Prouve concrètement ta maîtrise d'ISO 27001 — périmètre SMSI, Annexe A 2022, analyse de risques et conduite d'audit — en 15 minutes d'oral avec une IA examinatrice.
Le badge ISO 27001 de Plume évalue ta capacité réelle à concevoir, déployer et faire vivre un Système de Management de la Sécurité de l'Information (SMSI) conforme à la norme ISO/IEC 27001:2022. L'oral IA explore des situations concrètes : définition du périmètre et du contexte organisationnel (clauses 4 et 5), rédaction et maintenance de la Déclaration d'Applicabilité (SoA), construction d'une analyse de risques alignée ISO 27005 (EBIOS RM, MEHARI ou approche par scénarios), et pilotage d'un audit de certification en deux étapes. L'examinateur va aussi tester ta connaissance de la restructuration de l'Annexe A 2022 en 93 mesures réparties en 4 thèmes et 5 attributs — propriétés, capacités, domaines opérationnels, types de sécurité et concepts de cybersécurité.
Contrairement à une certification LinkedIn ou à une simple ligne sur un CV, ce badge repose sur une preuve orale : un transcript complet analysé par Claude Opus, qui note chaque réponse sur la profondeur technique, la pertinence des exemples, la maîtrise des arbitrages et la capacité à articuler ISO 27001 avec d'autres référentiels (NIS 2, RGPD, HDS, SOC 2). Le score final de 0 à 100 et le niveau obtenu — Novice, Confirmé, Avancé ou Expert — sont calculés de façon reproductible et transparente, sans biais de présentation ni d'ancienneté.
Ce badge s'adresse aux RSSI, consultants GRC, auditeurs ISO, DPO impliqués dans la sécurité de l'information, et à tout professionnel qui a accompagné ou piloté une démarche de certification ISO 27001. Il est particulièrement utile si tu vises un poste impliquant la gouvernance de la sécurité, si tu réponds à des appels d'offres qui exigent une preuve de compétence, ou si tu veux simplement savoir où tu te situes avant de te lancer dans une mission de certification.
Ce que ce badge évalue
Voici les dimensions concrètes que l'IA examine pendant les 15 minutes d'oral.
Définition du périmètre SMSI
Capacité à délimiter le périmètre du SMSI (clause 4.3), à documenter le contexte interne et externe de l'organisation, et à justifier les exclusions de périmètre face à un auditeur.
Analyse de risques ISO 27005
Maîtrise du processus complet d'appréciation des risques : identification des actifs, des menaces, des vulnérabilités, calcul de la vraisemblance et de l'impact, puis élaboration du plan de traitement des risques (PTR).
Déclaration d'Applicabilité (SoA)
Rédaction et maintien de la SoA, justification de l'applicabilité ou de l'exclusion de chacune des 93 mesures de l'Annexe A 2022, et cohérence avec le PTR.
Conduite d'audit de certification
Préparation et accompagnement d'un audit ISO 27001 en deux étapes (revue documentaire Stage 1 et audit terrain Stage 2), gestion des non-conformités et suivi des actions correctives.
Annexe A 2022 — 93 mesures
Connaissance approfondie des 4 thèmes (organisationnel, humain, physique, technologique) et des 5 attributs de l'Annexe A 2022, avec capacité à identifier les mesures les plus difficiles à implémenter comme la threat intelligence (5.7) ou la sécurité du cloud (5.23).
Articulation multi-référentiels
Capacité à aligner ISO 27001 avec NIS 2, RGPD, HDS, SOC 2 ou DORA dans une organisation soumise à plusieurs cadres réglementaires simultanément, en évitant les redondances documentaires.
Amélioration continue du SMSI
Mise en place d'indicateurs de performance (clause 9.1), pilotage des revues de direction, gestion des audits internes et intégration du cycle PDCA pour maintenir la certification dans le temps.
Conseil stratégique et arbitrages
Capacité à conseiller un client sur l'opportunité de viser ou non la certification ISO 27001, à proposer des alternatives adaptées (ISO 27002 sans certification, ANSSI guide), et à adapter la démarche à la maturité de l'organisation.
Comment ce badge est évalué
L'évaluation finale est faite par Claude (Anthropic) qui relit la transcription complète et applique cette grille de critères pondérés.
Profondeur technique et normative
30% du score
Maîtrise précise des clauses 4 à 10, de l'Annexe A 2022 (93 mesures, 4 thèmes, 5 attributs) et des évolutions par rapport à la version 2013. Les réponses doivent aller au-delà du vocabulaire de surface et montrer une compréhension opérationnelle.
Qualité et pertinence des exemples concrets
25% du score
Capacité à illustrer chaque point par des situations réelles vécues — définition de périmètre, gestion d'une non-conformité, arbitrage sur la SoA — avec suffisamment de détail pour attester d'une expérience authentique de terrain.
Méthode d'analyse et de traitement des risques
20% du score
Rigueur dans la démarche d'appréciation des risques : choix et justification d'une méthode (EBIOS RM, MEHARI, approche par scénarios), cohérence entre l'identification des actifs, la cotation des risques et le plan de traitement.
Capacité à articuler plusieurs référentiels
15% du score
Aptitude à positionner ISO 27001 dans un écosystème réglementaire plus large (NIS 2, RGPD, HDS, SOC 2), à identifier les recouvrements et à éviter la redondance documentaire lors d'une démarche multi-certification.
Clarté, structure et posture de conseil
10% du score
Qualité de la communication orale : réponses structurées, capacité à nuancer (quand déconseiller ISO 27001 ?), posture de consultant ou d'expert interne crédible face à un comité de direction ou à un auditeur.
Comment se déroule l'oral
Une session Plume tient en environ 20 minutes, du test technique à la délivrance du badge.
1
Étape 1
Vérification technique (1 min)
L'IA vérifie que ton micro fonctionne correctement et que tu es dans un environnement calme. Un court message de bienvenue t'explique le déroulé de l'oral et les règles de l'examen ISO 27001.
2
Étape 2
Mise en contexte — présentation et expérience (2 min)
L'examinateur IA t'invite à te présenter brièvement et à situer ta relation avec ISO 27001 : ton rôle le plus récent, le type d'organisation et la version de la norme avec laquelle tu as travaillé (2013 ou 2022).
C'est le cœur de l'oral. L'IA explore entre 3 et 5 thèmes calibrés : définition du périmètre SMSI, conduite de l'analyse de risques, rédaction de la SoA, gestion de l'audit de certification en deux étapes, mesures Annexe A 2022 et articulation avec d'autres référentiels. Les questions s'adaptent à tes réponses.
4
Étape 4
Questions de nuance et de conseil (2 min)
L'examinateur te soumet un ou deux cas-limites : quand déconseiller ISO 27001 à un client, quelle alternative proposer, comment gérer une mesure difficile à implémenter comme la threat intelligence ou la sécurité du cloud computing.
5
Étape 5
Clôture et remise du badge (immédiat)
L'oral se clôture, Claude Opus analyse le transcript et produit ton score de 0 à 100 avec ton niveau (Novice / Confirmé / Avancé / Expert), un rapport détaillé par critère et un lien partageable vers ton badge ISO 27001.
Les 4 niveaux de maîtrise
Le score sur 100 se traduit en un niveau lisible d'un coup d'œil par un recruteur.
Novice
Score 0-39
Tu connais les grandes lignes d'ISO 27001 — SMSI, Annexe A, audit de certification — mais tu n'as pas encore accompagné de projet de bout en bout. Tu peux définir les principaux concepts mais tu as du mal à justifier des choix de périmètre ou d'exclusion de mesures face à un auditeur.
Confirmé
Score 40-59
Tu as participé à au moins un projet ISO 27001 (en support ou sur un périmètre limité). Tu sais construire une analyse de risques simple, rédiger une ébauche de SoA et préparer les équipes à un audit Stage 1. Tu maîtrises les clauses principales mais certains points de l'Annexe A 2022 te sont encore peu familiers.
Avancé
Score 60-79
Tu as piloté plusieurs projets de certification ISO 27001 de bout en bout, géré des audits en deux étapes, maintenu la SoA dans le temps et articulé la norme avec d'autres référentiels (RGPD, NIS 2, HDS). Tu connais les 93 mesures de l'Annexe A 2022 et leurs attributs, et tu sais quelles mesures posent le plus de difficultés en pratique.
Expert
Score 80-100
Tu es une référence sur ISO 27001 : tu interviens en tant que consultant senior, RSSI ou auditeur qualifié, tu maîtrises les subtilités de la version 2022 par rapport à 2013, tu gères des démarches multi-référentiels complexes, et tu conseilles des comités de direction sur la stratégie de certification et les alternatives disponibles.
À qui ce badge s'adresse
Pas besoin d'années d'expérience ou de diplôme pour passer le badge. Voici les profils pour qui il fait sens.
RSSI et responsables sécurité
Tu pilotes la mise en conformité ISO 27001 de ton organisation et tu veux un score objectif qui documente ta maîtrise opérationnelle du SMSI, au-delà des certifications papier.
Consultants GRC et auditeurs ISO
Tu accompagnes des clients vers la certification ISO 27001 et tu cherches une preuve de compétence crédible à présenter dans tes propositions commerciales ou sur ton profil freelance.
Candidats à une certification Lead Auditor / Lead Implementer
Tu prépares une certification officielle ISO 27001 (PECB, BSI, Bureau Veritas) et tu veux valider tes lacunes avant l'examen écrit grâce à un oral qui simule les questions d'un vrai auditeur.
DPO impliqués dans la sécurité de l'information
Tu travailles à l'intersection du RGPD et d'ISO 27001 et tu veux montrer que ta compréhension de la norme dépasse la simple case à cocher dans la cartographie des traitements.
Responsables IT en PME et ETI
Ton entreprise vise la certification ISO 27001 pour répondre à des exigences contractuelles ou d'appels d'offres, et tu as besoin de situer ton niveau avant de lancer ou de piloter le projet.
Cas d'usage concrets
Où et comment ton badge ISO 27001 va te servir au quotidien.
Réponse à appel d'offres
Un cabinet de conseil soumet une offre à un grand compte bancaire qui exige une preuve de compétence ISO 27001 pour chaque consultant affecté. Le badge Plume avec un score Avancé ou Expert complète le dossier de réponse et différencie l'offre.
Recrutement RSSI
Un DSI recrute un RSSI pour piloter la première certification ISO 27001 de l'entreprise. Le badge permet de comparer objectivement deux candidats qui affichent tous les deux 'ISO 27001' sur leur CV, en regardant les scores et les niveaux obtenus.
Freelance et positionnement tarifaire
Un consultant indépendant en cybersécurité utilise son badge Expert ISO 27001 sur son profil Malt ou LinkedIn pour justifier un TJM élevé et attirer des missions de conduite de certification auprès de PME ou d'ETI.
Auto-évaluation avant certification officielle
Un responsable IT prépare la certification Lead Implementer ISO 27001 d'un organisme accrédité. Il passe l'oral Plume pour identifier ses angles morts — notamment sur l'Annexe A 2022 et la méthode EBIOS RM — avant d'investir dans la formation officielle.
Contexte multi-référentiels NIS 2 / HDS
Un RSSI d'un hébergeur de données de santé doit démontrer sa maîtrise conjointe d'ISO 27001, HDS et NIS 2. Le badge documente sa capacité à articuler ces référentiels, un argument clé lors des audits croisés.
Montée en compétence d'une équipe
Un responsable sécurité fait passer le badge ISO 27001 à l'ensemble de son équipe pour cartographier les niveaux et construire un plan de formation ciblé, en priorisant les lacunes identifiées dans les rapports individuels.
Prérequis
Quelques minutes pour vérifier que tu as bien tout ce qu'il faut.
Avoir participé ou piloté au moins une démarche ISO 27001 (mise en œuvre, audit interne ou accompagnement à la certification)
Connaître les grandes clauses de la norme (clauses 4 à 10) et avoir une notion de l'Annexe A dans sa version 2022 ou 2013
Disposer d'un micro fonctionnel et d'un environnement calme pour un oral de 15 minutes
Être prêt à parler de situations réelles et précises, pas seulement de théorie normative
Ce que tu repars avec
À la fin de ta session, tu ne reçois pas juste un score : voici tout ce qui t'attend.
Score 0-100 et niveau certifié
Tu reçois un score précis de 0 à 100 et un niveau officiel (Novice / Confirmé / Avancé / Expert) calculé par Claude Opus sur la base du transcript complet de ton oral ISO 27001.
Rapport détaillé par critère
Un rapport complet détaille tes forces et tes points d'amélioration sur chacun des 5 critères : maîtrise normative, exemples concrets, méthode de gestion des risques, articulation multi-référentiels et posture de conseil.
Audio privé de l'oral
L'enregistrement audio de ta session est conservé de façon privée. Tu peux le réécouter pour analyser tes réponses et progresser avant de repasser l'oral pour un niveau supérieur.
Badge partageable et vérifiable
Tu obtiens une URL unique et vérifiable que tu peux partager sur LinkedIn, dans une proposition commerciale ou dans un dossier de candidature, avec le score et le niveau visibles publiquement.
Questions fréquentes sur le badge ISO 27001
L'oral est calibré principalement sur ISO/IEC 27001:2022 — notamment la restructuration de l'Annexe A en 93 mesures réparties en 4 thèmes avec 5 attributs, et les nouvelles mesures comme la threat intelligence (5.7), la sécurité du cloud (5.23) ou la continuité des communications (6.8). Si ton expérience porte sur la version 2013, tu peux tout à fait la valoriser en oral, mais l'examinateur te demandera si tu connais les évolutions de 2022 et leur impact sur tes missions.
Autres badges en Cybersécurité & RGPD
Découvre d'autres compétences proches que tu peux faire valider avec Plume.