Sécurité & gouvernance IA intégrées

préparation aux certifications ISO/IEC 27001 & ISO/IEC 42001 & conformité AI Act

Méthodologie – PECB IMS2

(Integrated Implementation Methodology for Management Systems and Standards)

Objectif

Mettre en place un SMSI (ISO/IEC 27001) et un SMIA (ISO/IEC 42001) intégrés (gouvernance, risques, contrôles, preuves), produire un evidence pack unique utilisable sur les deux référentiels, et construire une trajectoire de conformité AI Act (classification + exigences + dossier de conformité), afin d’être prêt pour les audits de certification.

1) Résultats attendus (promesse livrable)
À l’issue de la mission, vous disposez de :
  • Un SMSI opérationnel (gouvernance, rôles, processus, indicateurs) couvrant le périmètre défini et prêt certification ISO/IEC 27001.
  • Un SMIA opérationnel (gouvernance IA, cycle de vie, supervision, traçabilité) prêt certification ISO/IEC 42001.
  • Une gouvernance intégrée sécurité + IA : comités, RACI, objectifs, KPI, arbitrages.
  • Une gestion des risques unifiée : risques SI + risques IA (méthodes, registres, traitements, critères d’acceptation).
  • Une déclaration d’applicabilité (SoA) ISO 27001 et une SoA ISO/IEC 42001, cohérentes et rationalisées (contrôles mutualisés).
  • Un registre des systèmes IA et une cartographie des flux (données, modèles, services, fournisseurs).
  • Un corpus documentaire intégré (politiques/procédures) : sécurité + IA (SDLC, vulnérabilités, incidents, changements, tiers, opérations IA, retrait).
  • Un plan de preuves (evidence pack) couvrant 27001 + 42001, prêt pour audit.
  • Un audit interne combiné (27001 + 42001) et une revue de direction réalisés (comptes rendus).
  • Une évaluation de préparation à la certification (pré-audit) + plan d’actions correctives.
  • Une trajectoire AI Act : classification des systèmes, mapping des obligations, liste de preuves à constituer et chantiers de mise en conformité alignés sur le SMSI/SMIA.
2) Périmètre (ce que couvre l’offre)
2.1 Périmètre “SMSI ISO/IEC 27001”
  • Gouvernance : leadership, responsabilités, objectifs, KPI, conformité, pilotage.
  • Gestion des risques SI : méthode, registres, traitements, acceptation du risque.
  • Déclaration d’applicabilité ISO 27001 (SoA) : contrôles retenus/justification.
  • Politiques et procédures : contrôle d’accès/IAM, chiffrement, journalisation, sauvegardes, sécurité opérationnelle.
  • Sécurité applicative : SDLC, gestion des vulnérabilités, durcissement, revues.
  • Gestion des incidents : détection, réponse, escalade, post-mortem.
  • Gestion des tiers/supply chain : évaluation, exigences, clauses, suivi.
  • Gestion documentaire, compétences & sensibilisation.
  • Surveillance, audit interne, revue de direction, amélioration continue.
2.2 Périmètre “SMIA ISO/IEC 42001"
  • Gouvernance IA : rôles, comités, politique IA, objectifs et indicateurs.
  • Registre IA & cartographie : cas d’usage, données, modèles, services, fournisseurs.
  • Management du risque IA : identification, analyse, traitement, suivi.
  • Cycle de vie IA : conception/choix, validation, mise en production, monitoring, gestion du changement, retrait.
  • Opérations IA : supervision humaine, traçabilité/logs, gestion d’incidents IA, dérives.
  • Gestion des fournisseurs/tiers IA : exigences, évaluation, clauses, suivi.
  • Gestion des informations documentées : politiques, procédures, enregistrements.
  • Surveillance, audit interne, revue de direction, amélioration continue.
2.3 Périmètre “AI Act” (trajectoire de conformité)
  • Classification des systèmes IA (par cas d’usage / produit / module).
  • Mapping exigences applicables (transparence, documentation, supervision humaine, robustesse/cyber, données, monitoring, traçabilité, etc.).
  • Dossier de conformité : structure, responsabilités, preuves attendues, plan de remédiation.
  • Alignement des preuves AI Act avec les contrôles et la documentation du SMSI/SMIA.

 

Cette offre vise une préparation structurée AI Act. La conformité complète dépend du type de système (ex. “high-risk”, GPAI), du contexte et des choix techniques. La mission fournit la trajectoire, le dossier et le plan de mise en conformité.

3) Déroulé de mise en œuvre (PECB IMS2 aligné ISO/IEC 27001 & ISO/IEC 42001)
Phase 1 — Définir et établir (Define & Establish)
Objectif : cadrer, obtenir l’adhésion, définir le périmètre, installer la gouvernance intégrée et établir les bases risques & documentation.

Activités :
 
  1. Leadership & approbation : sponsor, gouvernance de projet, objectifs, jalons.
  2. Rôles & responsabilités : RACI (Owner SMSI, Owner SMIA, Risk, DPO, Sec, Ops, Produit/IA).
  3. Contexte & parties prenantes : attentes clients, régulateurs, fournisseurs, risques.
  4. Périmètres SMSI/SMIA : entités, produits, environnements, données, fournisseurs.
  5. Analyse de l’existant : sécurité, IA, opérations, SDLC/MLOps, documentation.
  6. Politiques : politique de sécurité de l’information + politique IA.
  7. Management des risques : méthode risques SI + méthode risques IA, articulation et critères d’acceptation.
  8. Déclarations d’applicabilité : SoA ISO 27001 (v1) + SoA ISO/IEC 42001 (v1).

 

Livrables Phase 1
 
  • Charte projet + gouvernance + RACI intégré
  • Périmètres SMSI/SMIA
  • Registre initial des risques SI (v1) + plan de traitement (v1)
  • Méthodologie risques IA + registre risques IA (v1)
  • Registre IA (v1) + cartographie initiale (flux, fournisseurs)
  • Politique sécurité (v1) + politique IA (v1)
  • SoA ISO 27001 (v1) + SoA ISO/IEC 42001 (v1)
  • Plan projet + plan de preuves (structure)
Phase 2 — Mettre en œuvre et opérer (Implement & Operate)
Objectif : déployer les contrôles mutualisés, formaliser les procédures, lancer l’opérationnel et collecter les preuves.

Activités :
 
  1. Sélection & conception des mesures : contrôles 27001, mesures SMIA, exigences fournisseurs, critères de validation, monitoring, journaux.
  2. Mise en œuvre des mesures : procédures + outillage minimal (templates, workflows, tickets, registres).
  3. Gestion des informations documentées : référentiel documentaire, versions, preuves.
  4. Communication : règles d’usage (sécurité + IA), comités, circuits de décision.
  5. Compétence & sensibilisation : formation (dirigeants, produit/IA, ops, sécurité, conformité).
  6. Gestion des opérations : exploitation sécurité (vulnérabilités/incidents/changements) + opérations IA (monitoring, incidents IA, dérives, retrait).

 

Livrables Phase 2
 
  • Registre IA (v2) + fiches cas d’usage + cartographies flux/fournisseurs
  • Registre risques SI (v2) + plan de traitement + preuves de mise en œuvre
  • Registre risques IA (v2) + traitements + preuves
  • Procédures intégrées : IAM/accès, chiffrement, logs, vulnérabilités, SDLC, tiers/supply chain, gestion incidents, gestion des changements
  • Procédures IA : validation/release, monitoring, incidents IA, changement modèle, retrait
  • Catalogue de preuves + modèles d’enregistrements (revues, validations, logs)
  • Matrice KPI/OKR + structure tableau de bord
  • Plan de formation + supports + attestations
Phase 3 — Surveiller et revoir (Monitor & Review)
Objectif : prouver que le SMSI/SMIA fonctionne et est piloté, avec un audit interne combiné et une revue de direction intégrée.

Activités :
 
  1. Surveillance, mesure, analyse et évaluation : KPI sécurité + KPI IA, revues périodiques.
  2. Audit interne combiné (ISO/IEC 27001 + ISO/IEC 42001) : plan, checklists, interviews, constats.
  3. Revue de direction : décisions, arbitrages, ressources, plan d’amélioration.

 

Livrables Phase 3
 
  • Plan d’audit interne combiné + rapport d’audit interne
  • Compte rendu revue de direction + décisions + plan d’actions
  • Mise à jour SoA (27001/42001), risques (SI/IA), registre IA, preuves
Phase 4 — Maintenir et améliorer (Maintain & Improve)
Objectif : corriger les écarts, stabiliser le dispositif et finaliser la préparation à l’audit de certification.

Activités :
 
  1. Traitement des non-conformités : actions correctives, vérification efficacité.
  2. Amélioration continue : optimisation des contrôles, maturité, automatisation, pérennisation.

 

Livrables Phase 4
 
  • Registre non-conformités + actions correctives + preuves de clôture
  • Pack “Certification Readiness” : dossier de preuves final + plan de passage audit + checklist (27001 + 42001)
4) Volet AI Act (intégré au fil de l’eau)
4.1 Workshops AI Act
  • Inventaire des systèmes IA concernés (aligné registre IA).
  • Classification (catégories pertinentes selon cas d’usage).
  • Cartographie des obligations (par système) et responsabilités.
  • Alignement des preuves AI Act avec les contrôles et la documentation 27001/42001.
4.2 Livrables AI Act
  • Matrice classification & obligations
  • Roadmap de conformité (quick wins / chantiers structurants)
  • Structure du dossier de conformité + liste de preuves à constituer
  • Recommandations contractuelles (fournisseurs IA / sous-traitants) si nécessaire
5) Organisation du projet
Ateliers (typique)
  • Kick-off + cadrage périmètres SMSI/SMIA
  • Ateliers risques SI + SoA 27001
  • Ateliers registre IA + risques IA + SoA 42001
  • Ateliers contrôles intégrés (SDLC, IAM, logs, vulnérabilités, tiers)
  • Ateliers opérations IA (monitoring, incidents IA, changements, retrait)
  • Atelier AI Act : classification & obligations
  • Audit interne combiné + revue de direction + readiness
Rôles côté client (minimum)
  • Sponsor (direction)
  • Référent SMSI (owner)
  • Référent SMIA (owner)
  • Référent Produit/IA (CTO/Head of AI ou équivalent)
  • Référent Risk/Compliance et/ou DPO
  • Référent Sécurité (RSSI) et responsables opérations
6) Durée (à adapter au périmètre)
  • Standard : 10 à 16 semaines selon maturité existante, nombre d’équipes et volume de cas d’usage IA.
  • Étendu : 16+ semaines si multi-filiales, multi-produits, périmètre large ou IA critique.
7) Ce qui fait la valeur (certification + conformité)
  • Accélération des ventes grands comptes : confiance, réduction des audits et questionnaires, meilleure réponse aux exigences sécurité/IA.
  • Réduction du risque global : SI + IA traités dans un même pilotage, décisions traçables, contrôles opérés.
  • Efficience : contrôles mutualisés, un plan de preuves, audits internes combinés → coût de preuve réduit.
  • AI Act prêt : classification, obligations, dossier de conformité et preuves alignées sur 27001/42001.
8) Options
  • Pack “Architecture & sécurité” : revue d’architecture, durcissement, exigences d’exploitation, microservices.
  • Pack “Pentest & remédiation” : pentest applicatif/API + plan de correction + preuves.
  • Pack “Fournisseurs IA” : due diligence, clauses contractuelles, monitoring tiers.
  • Pack “Pré-audit blanc” : simulation audit certification 27001/42001 (stage 1/2).
  • Pack “Scale” : extension du SMSI/SMIA à d’autres produits/cas d’usage/filiales.