top of page

Formation ISO/IEC 27001 — Sécurité de l'information et SMSI

La norme ISO 27001 est le référentiel de référence pour structurer la sécurité du système d'information, face à des cybermenaces croissantes et des exigences réglementaires renforcées, y compris pour les fabricants de logiciels médicaux soumis au MDR.

La formation ISO 27001 de CAP COMPLIANCE rend la norme accessible à tous les profils (qualité, direction, RSSI, chefs de projet), sans prérequis informatique, avec des cas concrets issus du terrain : de la Politique de Sécurité de l'Information aux contrôles de sécurité opérationnels.

Collaboration

Pourquoi suivre une formation ISO/IEC 27001 ?

Comprendre les exigences de la norme ISO/IEC 27001 : 2022 / A1 : 2024

La norme ISO 27001 définit les exigences pour établir, mettre en oeuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI). Elle s'appuie sur la structure HLS commune aux normes ISO, cohérente avec l'ISO 9001, l'ISO 14001 ou l'ISO 13485. La norme fonctionne en binôme avec l'ISO 27002, qui fournit le référentiel détaillé des contrôles de sécurité, et peut s'appuyer sur l'ISO 27005 pour structurer la démarche d'analyse de risques.

La révision A1:2024 ajoute une exigence explicite sur la prise en compte du changement climatique dans l'analyse de contexte du SMSI. CAP COMPLIANCE intègre cet amendement directement dans le module consacré au contexte de l'organisation.

Mettre en place un Système de Management de la Sécurité de l'Information (SMSI)

La formation vise à donner aux participants la capacité de construire les fondations d'un SMSI : définir une Politique de sécurité adaptée à l'organisation, identifier les actifs informationnels à protéger, conduire une analyse des risques proportionnée, sélectionner les contrôles de sécurité pertinents dans l'Annexe A et amorcer la rédaction d'une Déclaration d'Applicabilité (SoA).

Trois points concentrent l'essentiel des difficultés : l'analyse des risques (souvent trop théorique), la lecture de l'Annexe A (93 mesures perçues comme ingérables) et la SoA (mal comprise dans sa fonction de démonstration de cohérence). Notre pédagogie traite ces trois points de manière articulée plutôt qu'isolée.

Répondre aux exigences réglementaires croissantes sur la cybersécurité

Pour les fabricants de logiciels médicaux (SaMD), l'ISO 27001 est une attente croissante des organismes notifiés dans le cadre du MDR et une exigence directe de l'IEC 62304. CAP COMPLIANCE articule la sécurité du système d'information avec les référentiels propres au secteur médical : MDR, ISO 13485, IEC 62304, une convergence rarement proposée par les organismes de formation généralistes.

Au travail

Objectifs de la formation  ISO/IEC 27001

À l'issue de la formation, les participants sont capables de :

  • Comprendre la structure et les exigences de la norme ISO 27001 : 2022 / A1 : 2024

  • Situer le rôle et l'articulation des différentes clauses du SMSI (clauses 4 à 10)

  • Définir une Politique de Sécurité de l'Information adaptée à leur organisation

  • Identifier les exigences applicables et conduire une analyse de risques proportionnée

  • Lire et interpréter l'Annexe A (ISO 27002) pour sélectionner les contrôles de sécurité pertinents

  • Amorcer la rédaction d'une Déclaration d'Applicabilité (SoA)

  • Comprendre la logique d'un SMSI et son articulation avec les autres systèmes de management (ISO 9001, ISO 13485)

  • Dialoguer efficacement avec un consultant, un auditeur ou un organisme certificateur

Modern Architecture

Public concerné

À qui s'adresse cette formation ?

Cette formation s'adresse en priorité aux :

  • Responsables qualité et affaires réglementaires (QARA) impliqués dans une démarche de mise en conformité multi-référentiels

  • Responsables de la sécurité des systèmes d'information (RSSI) souhaitant structurer leur approche autour d'un système de management

  • Chefs de projet et membres de direction impliqués dans une certification ISO 27001 volontaire ou imposée par un client

  • Fabricants de logiciels médicaux (SaMD) soumis aux exigences MDR et IEC 62304 sur la cybersécurité

La formation est conçue dès l'origine pour des profils non-IT. Aucun prérequis en informatique ou en cybersécurité n'est nécessaire c'est l'un des points forts de notre pédagogie.

Prérequis

Aucun prérequis formel. Une compréhension de base des enjeux organisationnels ou qualité est appréciée mais non indispensable.

Contenu de la formation ISO/IEC 27001

Image de Alim
Image de Kevin Grieve
Image de Christian Wiediger

Module 1

Module 2

Module 3

Fondamentaux et contexte

​Structure HLS, vocabulaire SMSI, historique des révisions, apport de l'amendement A1:2024. Panorama des cybermenaces et enjeux pour les organisations.

Exigences du SMSI — Clauses 4 à 10

​Contexte, leadership, Politique de Sécurité de l'Information, planification, ressources, compétences, communication, Revue de Direction, évaluation des performances et amélioration continue.

  Analyse des risques de sécurité

​Identification des actifs du système d'information, menaces et vulnérabilités, estimation et évaluation des risques selon la logique ISO 27001 avec un éclairage sur l'ISO 27005. Plan de traitement des risques. Mise en pratique sur cas concret.

Image de Filip Kvasnak
Image de Conny Schneider

Module 4

Module 5

Annexe A (ISO 27002) et Déclaration d'Applicabilité

​Lecture structurée des 93 contrôles de sécurité par thématiques (dont Gestion des fournisseurs, clauses 5.19-5.22). Méthode de sélection et d'exclusion des mesures. Construction guidée d'une Déclaration d'Applicabilité (SoA).

Focus SaMD : Pour les fabricants de logiciels médicaux

​Un temps spécifique est consacré aux exigences du Règlement (UE) 2017/745 (MDR) relatives à la cybersécurité des dispositifs médicaux intégrant un logiciel, et à leur articulation avec le SMSI ISO 27001 : sécurité by design, gestion des vulnérabilités, documentation attendue par les organismes notifiés.

Format, durée et modalités pratiques

  • Durée : 1 jour

  • Format : intra-entreprise ou inter-entreprises,

  • Modalités : présentiel ou distanciel,

  • Groupes à taille réduite pour favoriser les échanges,

  • Évaluations par quiz, études de cas et mises en situation.

Modalités d’évaluation

  • Questionnaire de positionnement avant/après la formation

  • Exercices pratiques corrigés collectivement (Annexe A, Déclaration d'Applicabilité)

  • Quiz de validation des connaissances en fin de session

  • Attestation de formation remise à chaque participant

Tarifs et inscription

Les formations sont proposées sur devis, en fonction du format, de la durée et du degré de personnalisation.
Des parcours modulaires ou des formations ISO spécifiques peuvent être construits à la demande.

Mains tenant un document

Supports remis aux participants

  • Support de présentation complet de la formation

  • Exercices pratiques corrigés sur l'Annexe A et la construction de la SoA

  • Exemples et cas concrets issus des missions terrain CAP COMPLIANCE

Les avantages CAP COMPLIANCE

pour votre formation ISO/IEC 27001

Une expertise unique à l'intersection sécurité de l'information et dispositifs médicaux

CAP COMPLIANCE est avant tout un acteur des affaires réglementaires DM. Nos formateurs connaissent à la fois la norme ISO 27001 et les exigences MDR, ISO 13485 et IEC 62304. Pour les fabricants de SaMD, c'est une combinaison introuvable chez les organismes généralistes.

Une approche pragmatique et opérationnelle

La formation est conçue comme un véritable outil de montée en compétences. Elle privilégie la mise en pratique immédiate, l’adaptation aux contextes réels des participants et l’utilisation d’outils concrets, sur votre site ou à distance, en français ou en anglais.

Certification Qualiopi

La formation est une formation professionnelle certifiée Qualiopi, ouvrant droit à une prise en charge financière par les OPCO selon les conditions applicables.

Une pédagogie sur mesure

Chaque session est adaptée au secteur d'activité et à la maturité réelle des participants. Groupes à taille réduite, cas pratiques adaptés, accompagnement qui ne s'arrête pas à la fin de la journée.

Image de Alexander Kagan

Vous souhaitez organiser une formation ISO/IEC 27001 pour vos équipes ?

Nos consultants-formateurs définissent avec vous le format adapté à votre contexte, votre niveau de maturité et vos objectifs de mise en conformité, de la découverte de la norme à la préparation à la certification.

FAQ

Formation ISO/IEC 27001

bottom of page