La norme ISO/IEC 27001 s'impose progressivement comme la référence de la sécurité de l'information, poussée par les exigences clients, les appels d'offres et la réglementation. Pour la mettre en œuvre ou l'auditer, deux certifications PECB dominent le marché : Lead Implementer et Lead Auditor. On les confond souvent : ce sont pourtant deux métiers.

Deux rôles, deux logiques

Le Lead Implementer construit : il déploie un Système de Management de la Sécurité de l'Information (SMSI), de l'analyse de risques à la déclaration d'applicabilité, jusqu'à la mise en conformité opérationnelle. Le Lead Auditor contrôle : il conduit des audits selon ISO 19011 et ISO 17021, évalue la conformité d'un SMSI existant et formule des constats. L'un est dans l'action de mise en place, l'autre dans le regard indépendant.

On ne devient pas auditeur pour avoir lu la norme ; on le devient en sachant chercher la preuve, qualifier l'écart et le formuler sans le négocier.

Le contenu des formations PECB

Les deux parcours s'étalent généralement sur cinq jours, examen inclus, et reposent sur des cas pratiques.

Lead Implementer

  • Cadrage du SMSI et engagement de la direction.
  • Appréciation et traitement des risques.
  • Mise en œuvre des mesures de sécurité de l'Annexe A.
  • Surveillance, audit interne et amélioration continue.

Lead Auditor

  • Principes et techniques d'audit selon ISO 19011.
  • Préparation, conduite et clôture d'un audit de certification.
  • Rédaction des constats et gestion des non-conformités.
  • Déontologie et posture de l'auditeur.

Quel profil pour quelle certification ?

Le Lead Implementer s'adresse aux RSSI, responsables conformité, chefs de projet sécurité et consultants chargés de déployer la norme chez un client. Le Lead Auditor vise les auditeurs internes et externes, les consultants qui réalisent des audits tiers et les profils visant un organisme de certification. Beaucoup de professionnels finissent par passer les deux : comprendre l'audit améliore l'implémentation, et inversement.

Pression du marché

De plus en plus d'appels d'offres et de contrats grands comptes exigent une certification ISO 27001 du prestataire. La demande de profils capables de la déployer dépasse aujourd'hui l'offre disponible au Maroc et en Afrique francophone.

Examen, financement et valeur

L'examen PECB, en fin de parcours, évalue la compréhension de la norme et la capacité à l'appliquer à des situations concrètes. Pour une entreprise, former en interne un Lead Implementer évite une dépendance coûteuse aux cabinets externes lors de la mise en conformité. Le coût de ces parcours est éligible aux Contrats Spéciaux de Formation, avec un remboursement pouvant atteindre 70 % via l'OFPPT, ce qui rend la montée en compétence interne particulièrement rentable.

En résumé

Lead Implementer pour construire le SMSI, Lead Auditor pour le contrôler : le choix dépend de votre rôle et de votre trajectoire. Dans un contexte où la sécurité de l'information devient un critère de sélection commercial, ces deux certifications PECB comptent parmi les plus stratégiques à internaliser.