ISO/IEC 27001 est la norme internationale la plus reconnue en sécurité de l'information, et la certification Lead Implementer est celle qui vous habilite à mettre en place un système de management de la sécurité de l'information (SMSI) conforme à cette norme. Dans cet article, je vous explique ce que couvre la certification, ce que vous apprendrez vraiment dans le cours, pour quels profils elle a du sens, en quoi elle diffère du Lead Auditor et pourquoi elle reste, année après année, l'investissement de formation le plus rentable en GRC.

Qu'est-ce qu'ISO/IEC 27001 et pourquoi c'est important

ISO/IEC 27001 est la norme internationale qui établit les exigences d'un système de management de la sécurité de l'information (SMSI). En clair : un cadre complet, auditable et certifiable, qui démontre que votre organisation gère la sécurité de l'information de façon systématique et non improvisée.

La version en vigueur est ISO/IEC 27001:2022, publiée en octobre 2022, qui a mis à jour la structure des mesures de l'Annexe A, désormais alignée sur la nouvelle ISO/IEC 27002:2022. Le changement le plus visible est la consolidation des anciens 114 contrôles en 93, organisés en quatre groupes : organisationnels, liés aux personnes, physiques et technologiques.

Pourquoi elle reste la norme reine : ISO 27001 n'est pas qu'un joli certificat. C'est la base sur laquelle se construit quasiment toute la conformité réglementaire européenne en sécurité : NIS2, DORA et l'AI Act s'appuient, directement ou indirectement, sur les principes de gestion d'un SMSI conforme à 27001.

Ce que couvre le cours Lead Implementer

Le cours PECB Certified ISO/IEC 27001 Lead Implementer est une formation intensive de cinq jours qui vous habilite à piloter la mise en place d'un SMSI conforme à la norme. Ce n'est pas un cours théorique : l'approche est pratique et orientée vers le projet réel.

Le programme couvre les cinq phases types d'une mise en œuvre :

  1. Fondamentaux et planification. Concepts de base du SMSI, contexte de l'organisation, parties intéressées, périmètre, politique de sécurité et approche de gestion des risques.
  2. Analyse et évaluation des risques. Identification des actifs, menaces, vulnérabilités, probabilité et impact. Choix de la méthode (compatible avec ISO/IEC 27005).
  3. Traitement du risque et déclaration d'applicabilité. Sélection et justification des mesures de l'Annexe A, plan de traitement et SoA.
  4. Mise en œuvre opérationnelle. Déploiement des mesures retenues, formation, sensibilisation, gestion des incidents et continuité.
  5. Mesure, surveillance, audit interne et amélioration continue. Indicateurs, revue de direction et préparation à l'audit de certification.

Le dernier jour est consacré à la révision et à l'examen officiel PECB, d'une durée de trois heures.

Pour quels profils c'est pertinent

Lead Implementer est la certification naturelle pour plusieurs profils, chacun avec un objectif différent :

Lead Implementer vs Lead Auditor : lequel choisir

Le doute le plus fréquent quand on s'approche de la famille ISO 27001. La réponse courte : cela dépend de ce que vous voulez faire professionnellement.

Choisissez Lead Implementer si vous serez du côté « construire » : concevoir et mettre en place le SMSI, piloter le projet, configurer les mesures, former l'équipe. C'est la certification de celui qui met en œuvre.

Choisissez Lead Auditor si vous serez du côté « vérifier » : auditer des SMSI, que ce soit en tant qu'auditeur interne, externe, tierce partie (organisme de certification) ou évaluateur pour clients et fournisseurs. C'est la certification de l'auditeur.

Beaucoup de professionnels finissent par obtenir les deux au fil de leur carrière, car elles couvrent les deux faces d'une même pièce. Si vous ne devez en choisir qu'une pour commencer, je recommande Lead Implementer : la base conceptuelle est plus large et ouvre plus de portes. Ensuite, le passage à Lead Auditor est plus naturel.

L'examen, crédits CPD et certification

L'examen officiel PECB pour Lead Implementer dure trois heures et couvre les six domaines de compétence : fondamentaux, planification, mise en œuvre, surveillance, amélioration continue et préparation à l'audit. Le format est à questions ouvertes (essay-style), pas un QCM, ce qui exige de maîtriser réellement la matière.

Le cours octroie 31 crédits CPD (Continuing Professional Development), qui servent à maintenir d'autres certifications que vous détenez déjà (CISSP, CISM, CRISC). L'examen inclut deux tentatives : la première plus une reprise gratuite, utilisable dans les 12 mois suivants, un filet de sécurité important.

Retour réel de la certification

Si vous m'interrogez sur la rentabilité pure de l'investissement, ISO 27001 LI reste, année après année, l'une des certifications au meilleur retour en GRC. Pour trois raisons concrètes :

Première : une demande stable et croissante. ISO 27001 est la base sur laquelle se construit une bonne partie de la conformité européenne (NIS2, DORA). La demande d'implémenteurs ne va pas baisser ; elle va monter.

Deuxième : salariale. Un consultant certifié ISO 27001 LI facture entre 20 et 40 % de plus qu'un profil équivalent sans la certification. En poste salarié, elle ouvre la porte à des fonctions de responsable de la sécurité ou de CISO.

Troisième : combinable. C'est la certification parapluie. Implementer en 27001 vous permet de faire le lien avec NIS2, DORA, ISO 27701 (vie privée), ISO 22301 (continuité) et tout le reste de l'écosystème. C'est le centre de la carte.

ISO 27001 Lead Implementer n'est pas qu'un cours : c'est la pièce centrale de la carte de conformité GRC européenne. Qui la détient dispose d'un point de départ solide pour presque tout le reste.

Se former et se certifier

Si vous voulez franchir le pas vers la certification officielle PECB, le cours ISO/IEC 27001 Lead Implementer est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.