Comment préparer un audit interne ISO 27001 en 10 étapes

📅 29 September 2025

Introduction

L’audit interne est une étape incontournable de la certification ISO 27001.
Il permet de vérifier que le SMSI (Système de Management de la Sécurité de l’Information) fonctionne comme prévu, de détecter les écarts, et de démontrer l’amélioration continue.
Un audit bien préparé facilite grandement l’audit de certification et évite les mauvaises surprises.

👉 Dans cet article, découvrez les 10 étapes clés pour réussir un audit interne ISO 27001.

Résumé rapide

  • Public cible : responsables qualité, auditeurs internes, RSSI.
  • Points clés :
    1. Définir le périmètre de l’audit
    2. Préparer un plan d’audit
    3. Désigner les auditeurs
    4. Collecter la documentation
    5. Réaliser les entretiens
    6. Examiner les preuves
    7. Rédiger le rapport d’audit
    8. Identifier les écarts
    9. Suivre les actions correctives
    10. Capitaliser pour l’audit suivant
  • À retenir : un audit interne réussi est un atout majeur pour la certification.

Contexte & enjeux

L’ISO 27001 exige la réalisation régulière d’audits internes (clause 9.2).
Ils permettent de vérifier :

  • la conformité aux exigences de la norme,
  • l’efficacité des mesures de sécurité,
  • l’amélioration continue du SMSI.

Un audit interne mal préparé peut générer des écarts coûteux à corriger lors de l’audit externe.

Les 10 étapes d’un audit interne ISO 27001

1. Définir le périmètre

  • Quels sites, services et processus seront audités ?
  • Déterminer les limites et exclusions.

2. Préparer le plan d’audit

  • Définir les objectifs et critères de l’audit.
  • Planifier les dates et ressources.

3. Désigner les auditeurs

  • Auditeurs internes formés, indépendants des activités auditées.
  • Possibilité d’externaliser si besoin.

4. Collecter la documentation

  • Politiques, procédures, registres, rapports précédents.

5. Réaliser les entretiens

  • Rencontrer les responsables et utilisateurs clés.
  • Vérifier la bonne application des politiques.

6. Examiner les preuves

  • Tracer les contrôles ISO 27001 mis en place.
  • Vérifier les journaux, rapports de vulnérabilités, suivis DLP.

7. Rédiger le rapport d’audit

  • Résumer les constats.
  • Identifier les écarts et points forts.

8. Identifier les écarts

  • Classer les écarts (majeurs, mineurs, observations).

9. Suivre les actions correctives

  • Plan d’action pour corriger les écarts.
  • Suivi et validation.

10. Capitaliser

  • Ajuster le SMSI et préparer l’audit suivant.

Bonnes pratiques

  • Utiliser une checklist ISO 27001 pour structurer l’audit.
  • Garder une approche bienveillante et constructive.
  • Documenter chaque preuve collectée.

Exemple pratique

Une ETI du secteur industriel a préparé son audit interne en suivant ce plan :

  • 3 semaines avant, collecte des politiques et rapports.
  • 5 jours d’entretiens avec les équipes IT et métiers.
  • Rapport diffusé à la direction avec 4 écarts mineurs → corrigés en 1 mois.

Résultat : certification obtenue sans non-conformité majeure.

Conclusion

  • L’audit interne est une étape clé pour la certification ISO 27001.
  • Il permet de corriger les écarts avant l’audit externe.
  • Un processus clair et récurrent améliore la maturité sécurité.

Aller plus loin

👉 Télécharger notre kit de préparation d’audit ISO 27001
👉 Consultez nos autres articles pratiques ISO 27001.
👉 Contactez-nous à contact@cyberconforme.fr pour un accompagnement.

⬅ Revenir en arrière 🏠 Retour à l’accueil