Certification ISO 27001 et conseil SMSI en Belgique
Devenez prêt pour la certification sans la lourdeur. Nous construisons un SMSI ISO/IEC 27001:2022 dimensionné à vos besoins — fondé sur les risques, prêt pour l'audit et intégré à vos obligations NIS2, RGPD et DORA — guidé par un Lead Auditor ISO 27001.
ISO/IEC 27001 est la norme internationale relative au système de management de la sécurité de l'information (SMSI) et la certification la plus souvent exigée dans les appels d'offres et la due diligence fournisseurs. La révision de 2022 a restructuré l'annexe A en 93 contrôles répartis en quatre thèmes — organisationnel, humain, physique et technologique — et a introduit de nouveaux contrôles tels que la veille sur les menaces, le développement sécurisé et la sécurité du cloud. ICTLAB aide les organisations belges à concevoir, mettre en œuvre et exploiter un SMSI dimensionné à leurs besoins, du cadrage et de l'évaluation des risques jusqu'à la déclaration d'applicabilité et l'audit interne, puis vous accompagne lors des audits de phase 1 et de phase 2 réalisés par un organisme de certification accrédité. Comme ISO 27001 recoupe NIS2, le RGPD et DORA, nous construisons un seul système de management cohérent qui satisfait plusieurs obligations à la fois — guidé par un Lead Auditor ISO 27001.
Ce que nous livrons
Cadrage du SMSI et analyse des écarts
Définition du périmètre du SMSI et analyse des écarts contrôle par contrôle par rapport à ISO/IEC 27001:2022 avec un backlog de remédiation priorisé.
Évaluation des risques et plan de traitement
Une évaluation documentée des risques de sécurité de l'information et un plan de traitement des risques qui orientent la sélection des contrôles et l'acceptation du risque résiduel.
Déclaration d'applicabilité et contrôles de l'annexe A
Une déclaration d'applicabilité complète justifiant chacun des 93 contrôles de l'annexe A, avec des orientations de mise en œuvre pour les contrôles retenus.
Jeu documentaire du SMSI
Les politiques, procédures et enregistrements obligatoires exigés par ISO 27001 — politique de sécurité de l'information, contrôle d'accès, sécurité des fournisseurs, gestion des incidents et plus.
Audit interne et revue de direction
Un audit interne indépendant et une revue de direction structurée pour confirmer que le SMSI est efficace et prêt pour la certification.
Accompagnement aux audits de certification (phase 1 et 2)
Un accompagnement pratique avant et pendant les audits de phase 1 et de phase 2 réalisés par votre organisme de certification accrédité, y compris la remédiation des non-conformités.
Comment nous travaillons
Cadrage et analyse des écarts
Convenir du périmètre du SMSI et évaluer les contrôles actuels par rapport à ISO/IEC 27001:2022 pour identifier les écarts et les gains rapides.
Évaluation des risques et traitement
Réaliser l'évaluation des risques de sécurité de l'information, décider des traitements et sélectionner les contrôles de l'annexe A en conséquence.
Mise en œuvre du SMSI
Développer les politiques et procédures, déployer les contrôles retenus et intégrer le SMSI dans les opérations quotidiennes.
Audit interne et revue de direction
Réaliser l'audit interne, conduire la revue de direction et clôturer les non-conformités avant l'audit de certification.
Accompagnement à l'audit de certification
Accompagner les audits de phase 1 et de phase 2 avec l'organisme accrédité et aider à résoudre les éventuelles constatations.
Amélioration continue
Maintenir le SMSI via les audits de surveillance, les actions correctives et l'amélioration continue des contrôles.
Technologies que nous utilisons
Questions fréquemment posées
Combien de temps prend la certification ISO 27001 ?
Pour la plupart des PME, une première certification prend environ 4 à 9 mois selon le périmètre, la maturité existante et la disponibilité des ressources. Nous pouvons l'accélérer avec un périmètre ciblé et un SMSI pragmatique fondé sur les risques.
Combien coûte la certification ISO 27001 ?
Notre conseil pour l'analyse des écarts et la mise en œuvre du SMSI varie généralement de 15 000 € à 60 000 €+ selon le périmètre et la maturité. Les frais d'audit de l'organisme de certification sont distincts et facturés directement par l'organisme accrédité.
ISO 27001:2022 vs 2013 — qu'est-ce qui a changé ?
La version 2022 a réorganisé l'annexe A, passant de 114 à 93 contrôles répartis en quatre thèmes (organisationnel, humain, physique, technologique) et a ajouté 11 nouveaux contrôles, dont la veille sur les menaces, la sécurité de l'information pour les services cloud et le développement sécurisé. Les organisations déjà certifiées ont disposé d'une période de transition pour se mettre à jour.
ISO 27001 aide-t-elle pour NIS2, le RGPD et DORA ?
Oui. Les contrôles ISO 27001 correspondent étroitement aux mesures de gestion des risques de NIS2, soutiennent les obligations de sécurité du RGPD et offrent une base solide pour le cadre de risque TIC de DORA. Un seul SMSI peut démontrer une grande partie des trois.
Délivrez-vous le certificat ISO 27001 ?
Non — le certificat est délivré par un organisme de certification accrédité indépendant, ce qui garantit la crédibilité du processus. Nous préparons votre SMSI, réalisons l'audit interne et vous accompagnons lors des audits de phase 1 et de phase 2 de l'organisme.
De notre blog
13 juin 2026
DORA vs NIS2 : chevauchements, différences et lequel s’applique
DORA et NIS2 encadrent tous deux la résilience cyber — mais lequel s'applique à votre organisation ? Champ d'application, principe lex specialis, les cinq piliers de DORA, dates clés et guide de décision pour les entités belges.
13 juin 2026
DORA risque tiers TIC : construire votre registre d’information
Les règles tiers de DORA (Art. 28-30) : ce que le registre d'information doit contenir, les clauses contractuelles obligatoires (Art. 30(2) vs 30(3)), les fonctions critiques ou importantes et les échéances de remise 2025.
12 juin 2026
NIST CSF 2.0 pour les PME européennes : guide de mise en œuvre pratique
Guide pas-à-pas du NIST Cybersecurity Framework 2.0 pour les PME européennes : les six fonctions (Govern, Identify, Protect, Detect, Respond, Recover), niveaux, profils, et la correspondance avec NIS2 et ISO 27001.
12 juin 2026
NIST AI RMF : bâtir une IA digne de confiance (et son lien avec l’AI Act)
Le NIST AI Risk Management Framework expliqué : les quatre fonctions (Govern, Map, Measure, Manage), le profil IA générative, les caractéristiques d'une IA digne de confiance, et sa complémentarité avec l'AI Act.
9 juin 2026
Classification des risques AI Act : interdit, haut risque ou risque limité ?
Guide de décision pratique pour classer votre système d'IA selon l'AI Act : pratiques interdites (Art. 5), systèmes à haut risque (Annexe III), risque limité et minimal — avec des exemples concrets.
9 juin 2026
RGPD & IA : données d’entraînement, décisions automatisées et AIPD en Belgique
Comment le RGPD s'applique à l'IA pour les entreprises belges : base légale des données d'entraînement, décisions automatisées (Art. 22), AIPD, et où le RGPD rejoint l'AI Act.
Services connexes
Audit de sécurité
Évaluation complète de votre posture de sécurité par rapport aux normes du secteur. Nos audits identifient les lacunes et fournissent des plans de remédiation exploitables.
Conformité NIS2
Naviguez NIS2 en toute confiance. Nous aidons les organisations belges à comprendre leurs obligations, combler les lacunes de conformité et développer les capacités de sécurité exigées par la directive.
Conformité technique RGPD
Mettez en œuvre les contrôles techniques exigés par le RGPD. Du chiffrement et de la gestion des accès aux analyses d'impact sur la protection des données, nous veillons à ce que vos systèmes répondent aux exigences réglementaires.
Prêt à commencer ?
Discutons de la façon dont nous pouvons vous aider à atteindre vos objectifs.
Contactez-nous