PECB est devenu en deux décennies l’un des organismes de certification de personnes les plus visibles sur le marché ISO. Son catalogue couvre la sécurité de l’information, la continuité d’activité, la protection des données, la gestion des risques, l’audit interne, la gestion de l’intelligence artificielle et le pentest offensif. Pour un professionnel de l’IT francophone, c’est souvent la voie la plus directe pour transformer une expérience opérationnelle en titre reconnu par les recruteurs et les commanditaires d’appels d’offres.
Ce guide passe en revue les huit principales certifications PECB ciblées par les ingénieurs systèmes, les analystes SOC, les RSSI, les consultants conformité et les pentesters : ISO/IEC 27001 Lead Implementer, ISO/IEC 27001 Lead Auditor, ISO/IEC 27005 Risk Manager, ISO 22301 Lead Implementer, ISO/IEC 42001 Lead Implementer, Lead Pen Test Professional, Lead Ethical Hacker, plus les niveaux Foundation et Manager qui leur servent de passerelles. Chaque famille de norme renvoie vers un tutoriel de préparation détaillé, étape par étape.
Qu’est-ce que PECB et pourquoi ses certifications sont reconnues
PECB est un organisme de certification de personnes fondé en 2005, dont le siège est à Montréal. Sa particularité tient à son accréditation par l’International Accreditation Service (IAS) selon la norme ISO/IEC 17024, qui définit les exigences applicables aux organismes qui certifient des individus. Cette norme impose une séparation stricte entre la formation et l’examen, une gouvernance documentée des programmes, une révision périodique des questions et une procédure d’appel pour les candidats. Sans cette accréditation, un titre de certification ne vaut guère plus qu’une attestation de formation.
Concrètement, lorsqu’un recruteur ou un commanditaire d’appel d’offres demande une « certification reconnue », ils attendent que l’organisme soit accrédité ISO/IEC 17024 par un membre signataire de l’International Accreditation Forum. PECB répond à cette exigence pour la quasi-totalité de son catalogue ISO. C’est ce qui distingue ces titres d’un simple certificat délivré par un éditeur de logiciels ou un centre de formation isolé.
Le second pilier du modèle PECB est la logique en quatre niveaux. Pour chaque norme, on retrouve typiquement un parcours Foundation (sensibilisation, 2 jours), Manager ou Risk Manager (mise en œuvre opérationnelle, 3 jours), Lead Implementer (mise en place complète du système de management, 5 jours) et Lead Auditor (audit selon ISO/IEC 17021-1, 5 jours). Cette progression permet de calibrer l’effort en fonction du poste cible.
Le format d’examen PECB en 2026
PECB a engagé depuis plusieurs cycles une transition de ses examens vers un format à choix multiples scénarisés (scenario-based multiple-choice). À horizon 2026, deux formats coexistent encore selon les normes :
- Format historique — questions à développement (essais), parfois mixé avec des QCM. Typique des Lead Auditor encore en cours de migration. Durée 3 heures, livre ouvert.
- Format scenario-based MCQ — typiquement 80 questions réparties en 10 scénarios (8 questions par scénario) sur 3 heures, livre ouvert, 70 % requis. C’est le format cible vers lequel les Lead Implementer et Risk Manager basculent (ISO 27001 LI, ISO 27005 Risk Manager, ISO 27005 Lead Risk Manager déjà en MCQ scenarisé). Le « livre ouvert » signifie que vous avez accès à vos supports de cours, vos notes manuscrites, la norme ISO et le manuel du candidat pendant l’examen.
- Format pratique hybride — pour le Lead Ethical Hacker, l’examen comporte une épreuve pratique (compromettre au moins deux machines cibles) suivie d’un rapport écrit. Voir le tutoriel dédié pour la mécanique exacte.
Le seuil de réussite est uniforme : 70 % sur l’ensemble des compétences évaluées. PECB applique par ailleurs deux règles favorables au candidat qu’il faut connaître avant de s’inscrire. Premièrement, en cas d’échec à la première tentative, le candidat ayant suivi le cours officiel peut repasser l’examen gratuitement une fois, dans un délai de douze mois après la date du premier examen. Deuxièmement, l’examen peut être passé en ligne via l’application PECB (avec surveillance par webcam) ou en présentiel dans un centre PECB, au choix.
L’examen est dissocié du parcours de formation : un candidat expérimenté peut acheter l’examen seul auprès d’un partenaire PECB, sans suivre le cours de cinq jours. C’est rare en pratique, car la grille de notation suit fidèlement le manuel officiel, mais cela offre une alternative pour les profils déjà en poste depuis plusieurs années sur le sujet.
La famille ISO/IEC 27001 — sécurité de l’information
ISO/IEC 27001 reste la norme la plus demandée du catalogue PECB, parce qu’elle structure l’ensemble des audits clients, des appels d’offres publics et des due diligence menées avant un partenariat industriel. Deux certifications Lead s’articulent autour d’elle.
ISO/IEC 27001 Lead Implementer s’adresse aux profils qui doivent construire un système de management de la sécurité de l’information (SMSI). Le cours dure cinq jours, il couvre les onze domaines décrits par PECB — du cadrage initial du SMSI à la préparation à l’audit de certification, en passant par l’analyse de risque, la mise en œuvre des mesures de l’Annexe A (révisée en 2022 avec 93 contrôles regroupés en 4 thèmes) et la mesure d’efficacité. Le candidat repart avec une méthodologie clé en main pour déployer un SMSI sur dix-huit mois en moyenne. Détails de préparation et plan d’étude dans le tutoriel « Préparer PECB ISO/IEC 27001 Lead Implementer ».
ISO/IEC 27001 Lead Auditor vise les futurs auditeurs internes et externes. Le contenu repose sur ISO/IEC 17021-1 (exigences pour les organismes d’audit) et ISO 19011 (lignes directrices pour l’audit des systèmes de management). On y apprend la planification d’audit, la conduite d’entretiens, la collecte de preuves d’audit, la rédaction des constats de non-conformité et la défense du rapport face au comité de direction de l’audité. Pour qui vise un poste d’auditeur dans un cabinet conseil, cette certification est plus directement valorisable que la Lead Implementer.
Les deux certifications sont compatibles : il est fréquent qu’un consultant les enchaîne dans la même année, parce que la base commune sur la norme est identique et qu’il ne reste qu’à internaliser la mécanique d’audit pour passer du déploiement à la vérification.
ISO/IEC 27005 — gestion des risques de sécurité de l’information
ISO/IEC 27005 est la norme d’appui d’ISO 27001 dédiée à l’analyse de risque. Elle ne prescrit pas une méthode unique mais cadre le processus de gestion des risques en quatre macro-étapes : appréciation, traitement, communication et consultation, surveillance et revue. La version 27005:2022 a renforcé l’alignement avec ISO 31000 et clarifié l’usage de méthodes nationales comme EBIOS RM (France), MEHARI ou OCTAVE.
PECB propose deux niveaux distincts à ne pas confondre. ISO/IEC 27005 Risk Manager est un cours de trois jours, ciblé sur la mise en œuvre opérationnelle du processus de gestion des risques au sein d’un SMSI existant. ISO/IEC 27005 Lead Risk Manager est un cours de cinq jours qui ajoute l’animation du processus à l’échelle d’une organisation et l’expertise sur les méthodes formelles d’appréciation des risques. Pour un analyste GRC en cabinet ou un correspondant risque chez un opérateur d’importance vitale, le format Lead est plus valorisable. Pour un correspondant sécurité dans une PME, le format Risk Manager suffit.
Le manuel du candidat PECB pour ISO/IEC 27005 Risk Manager (version multiple-choice) confirme la mécanique : 3 heures, livre ouvert, 70 % requis, scenario-based. Le tutoriel dédié détaille comment articuler EBIOS RM (méthode plébiscitée par l’ANSSI en France) avec ISO/IEC 27005 dans un même livrable.
ISO 22301 — continuité d’activité
ISO 22301 est la norme de référence pour les systèmes de management de la continuité d’activité (SMCA). Elle s’applique à toutes les organisations qui souhaitent formaliser leur capacité à poursuivre leurs opérations en cas d’incident majeur : sinistre IT, pandémie, rupture fournisseur, attaque cyber, coupure électrique prolongée.
La certification ISO 22301 Lead Implementer de PECB est l’une des rares titres internationaux reconnus sur ce sujet. Le cours de cinq jours couvre l’analyse d’impact métier (BIA), la définition des délais maximaux d’interruption tolérables (RTO) et des pertes de données acceptables (RPO), la stratégie de continuité (sites de repli, télétravail, fournisseurs de secours), le plan de continuité (PCA) et le plan de reprise (PRA), ainsi que les tests et exercices périodiques. L’examen comporte 80 questions à choix multiples sur 3 heures, à livre ouvert, avec 70 % requis. Les domaines 3 (mise en œuvre du SMCA) et 4 (surveillance et amélioration) totalisent 45 % des questions.
La certification confère 31 crédits CPD (Continuing Professional Development) que le candidat devra ensuite renouveler chaque année pour maintenir son titre actif. Le tutoriel dédié explique en détail comment décliner un BIA réaliste sur une fonction métier critique, sans tomber dans le piège du « livrable PowerPoint » dépourvu de valeur opérationnelle.
ISO/IEC 42001 — système de management de l’IA
ISO/IEC 42001:2023 est la première norme internationale dédiée aux systèmes de management de l’intelligence artificielle (AIMS). Publiée fin 2023, elle répond à un besoin urgent d’encadrement de la gouvernance IA, alors que l’AI Act européen a été adopté en 2024 et que les premières obligations sont entrées en vigueur en 2025-2026 selon les catégories de risque.
PECB a été l’un des premiers organismes à proposer un parcours de certification autour de cette norme, avec trois niveaux : Foundation (2 jours), Lead Implementer (4 jours) et Lead Auditor (5 jours). Le Lead Implementer prépare à la conception et à la mise en œuvre d’un AIMS conforme à la norme : politique IA, cartographie des cas d’usage, évaluation d’impact des systèmes IA (proche d’une étude d’impact RGPD), traitement des biais, surveillance continue, journalisation, et articulation avec l’AI Act pour les systèmes à haut risque.
Pour un RSSI ou un DPO qui voit arriver des projets IA générative dans son organisation, cette certification est aujourd’hui le titre formel le plus accessible pour démontrer la maîtrise du sujet auprès d’un comité de direction. Le tutoriel dédié déroule la méthodologie complète, en pointant les sections du manuel PECB à travailler en priorité avant l’examen et les zones de chevauchement avec le RGPD et l’AI Act qu’il faut absolument verrouiller.
PECB Lead Pen Test Professional
La certification Lead Pen Test Professional cible les ingénieurs sécurité offensive qui mènent des audits techniques d’intrusion sur des périmètres complexes. Elle s’adresse à des profils qui ne se contentent pas d’exécuter un scan automatisé : on attend du candidat qu’il sache cadrer une mission, choisir une méthodologie (OSSTMM, PTES, OWASP WSTG), exécuter les phases reconnaissance / exploitation / post-exploitation, et surtout produire un rapport exploitable par un comité de direction et par les équipes correctives.
Le cours de quatre jours couvre quatre grands blocs : les fondements du penetration testing (cadre légal, éthique, contractualisation), les bases techniques (réseau, applications, systèmes d’exploitation, cryptographie), les techniques spécifiques selon les cibles (infrastructure, application web, mobile, ingénierie sociale), et le reporting. L’examen est livré au format ouvert (livre ouvert), 3 heures, soit en QCM scenarisé soit en essais selon le centre. Le retake gratuit dans les 12 mois s’applique également.
Comparée à OSCP (Offensive Security), la Lead Pen Test Professional met plus l’accent sur la méthodologie, la gestion de mission et la qualité du rapport, là où OSCP reste à dominante technique pure (24 heures de compromission en environnement isolé, puis 24 heures de rapport, sans livre ouvert). Les deux certifications sont complémentaires : OSCP démontre la capacité technique brute, LPTP démontre la capacité à mener une mission complète de bout en bout. Le tutoriel dédié explique comment combiner les deux dans un parcours de carrière en pentest.
PECB Lead Ethical Hacker
La Lead Ethical Hacker est la certification la plus récente du volet offensif PECB. Elle se distingue radicalement du reste du catalogue par son examen hands-on. Le candidat doit compromettre au moins deux machines cibles dans un environnement de lab isolé, à livre ouvert (matériel de cours et notes personnelles autorisés), puis rédiger un rapport d’audit conforme aux standards de l’industrie.
Cette mécanique la rapproche d’OSCP et de CEH Practical, et l’éloigne radicalement de CEH ANSI (qui reste un QCM théorique de 125 questions sur 4 heures). Le cours de cinq jours couvre l’ensemble de la chaîne d’attaque : reconnaissance, énumération, exploitation, élévation de privilèges, mouvement latéral, persistence, exfiltration, effacement de traces. Il met l’accent sur les techniques actuelles (Active Directory, conteneurs, cloud), sans rester bloqué sur des CVE de 2015 comme on a pu le voir dans certaines anciennes versions de CEH.
Pour un profil junior, OSCP reste probablement la cert offensive la plus discriminante sur le marché du recrutement pentest, mais LEH a deux avantages : un environnement examen plus court (donc moins éprouvant que les 23h45 d’OSCP) et un cadre francophone disponible auprès de nombreux partenaires PECB. Le tutoriel détaillé explique comment construire un home-lab d’entraînement, quels CTF prioriser (HackTheBox, TryHackMe, PortSwigger) et comment articuler la phase d’examen pratique avec la phase rapport.
Comparatif avec ISC2, ISACA, EC-Council et Offensive Security
Le marché de la certification cyber n’est pas dominé par un seul acteur. Quatre familles cohabitent et répondent à des besoins distincts :
| Famille | Positionnement | Cas d’usage typique |
|---|---|---|
| ISC2 (CISSP, CCSP) | Management sécurité, vision transverse, anglo-saxon | RSSI grand groupe, architecte sécurité senior |
| ISACA (CISA, CISM, CRISC) | Audit SI, gouvernance, risque, conformité financière | Auditeur interne SI, RSSI alignement réglementaire |
| EC-Council (CEH, CPENT — l’ancienne ECSA a été retirée en mars 2021) | Hacking éthique, dominante théorique pour CEH ANSI | Junior cyber, premier titre marketing recruteur |
| Offensive Security (OSCP, OSEP, OSWE) | Technique offensive pure, exigeant, hands-on | Pentester senior, red teamer |
| PECB (catalogue ISO) | Système de management formel, francophone disponible | Consultant conformité, RSSI PME-ETI, auditeur certifié |
L’erreur classique consiste à opposer ces familles. En pratique, un consultant senior cumule souvent une certification PECB (pour la conformité ISO contractuellement exigée par les clients) et une certification ISC2 ou ISACA (pour la légitimité internationale). Un pentester combinera souvent OSCP (technique pure) et LPTP ou LEH PECB (méthodologie et reporting). L’article comparatif « CISM, CISSP ou ISO 27001 Lead Auditor : choisir selon votre poste cible » détaille ce raisonnement pour les profils management.
Maintien de la certification — CPD et frais annuels
Une certification PECB n’est pas valable à vie sans contrepartie. Pour conserver son titre actif, le certifié doit s’acquitter de deux obligations.
La première est le paiement d’une cotisation annuelle de maintenance (Annual Maintenance Fee, AMF) versée à PECB. Le montant varie selon le niveau de certification et n’est pas publié de manière uniforme — il faut s’y référer au moment de la première certification, ou via votre compte PECB. La seconde est le cumul de crédits CPD (Continuing Professional Development) chaque année. Un Lead Implementer ou un Lead Auditor doit typiquement justifier de plusieurs dizaines de crédits CPD par an, via des activités de formation continue, des conférences, des publications, ou de l’animation interne sur le sujet.
Le non-respect de ces obligations entraîne le passage du certifié en statut « inactif », puis la perte du titre après un délai de grâce. Il est donc important d’intégrer cette charge récurrente dans le calcul du retour sur investissement de la certification — c’est typiquement quelques centaines d’euros par an, à comparer au surcroît de salaire ou de TJM facturable obtenu grâce au titre.
Combien coûte une certification PECB
Le tarif d’une certification PECB se décompose en trois postes. Premièrement, la formation officielle (5 jours pour un Lead) est dispensée par des partenaires de formation accrédités : on retrouve typiquement des prix entre 2 500 € et 4 000 € pour un Lead Implementer ou Lead Auditor, repas et supports inclus. Deuxièmement, les frais d’examen sont généralement inclus dans le package formation+examen ; en achat séparé, ils se situent dans une fourchette de 500 à 1 000 USD selon les sources publiées par les partenaires. Troisièmement, les frais d’application à la certification après réussite à l’examen (vérification de l’expérience professionnelle, vérification du dossier candidat) sont distincts de l’examen lui-même.
Pour un candidat qui finance lui-même sa certification, la question principale est de savoir s’il est possible d’acheter l’examen seul. La réponse est oui dans la plupart des cas, mais l’expérience montre que le taux de réussite chute fortement sans la formation officielle — le manuel du candidat à plus de 450 pages couvre des spécificités méthodologiques difficiles à reconstituer à partir de la seule lecture de la norme. Pour les candidats au budget limité, l’alternative la plus économique reste le format e-learning officiel proposé par certains partenaires, dont le tarif tourne typiquement autour de 1 500 à 2 000 € avec examen inclus.
Comment choisir son parcours PECB
Trois critères structurent le choix du parcours :
- Le poste cible à 24 mois — un consultant qui vise un poste d’auditeur dans un cabinet conseil partira sur Lead Auditor. Un RSSI qui doit déployer un SMSI partira sur Lead Implementer. Un pentester partira sur LEH ou LPTP. Un futur DPO qui anticipe une mission gouvernance IA partira sur ISO 42001.
- Le niveau d’expérience préalable — sans expérience SMSI, attaquer directement un Lead est risqué. Un détour par Foundation (2 jours) ou Manager (3 jours) consolide les bases vocabulaire et méthodologie, ce qui réduit le risque d’échec à l’examen Lead. À l’inverse, un profil avec cinq ans d’expérience sécurité peut directement attaquer un Lead sans passer par les niveaux inférieurs.
- Le budget annuel formation — entre la formation initiale, les frais d’examen, la cotisation annuelle PECB et les CPD à entretenir, une certification Lead PECB représente un effort de plusieurs milliers d’euros sur la première année puis quelques centaines par an. Si le budget est limité, mieux vaut viser une seule certification Lead solide qu’éparpiller l’effort sur plusieurs Foundation peu valorisables.
Un parcours typique pour un consultant cybersécurité francophone qui se construit sur cinq ans pourrait ressembler à : année 1 — ISO/IEC 27001 Lead Implementer ; année 2 — ISO/IEC 27005 Risk Manager (étendu en Lead Risk Manager si poste en cabinet) ; année 3 — ISO 22301 Lead Implementer si le portefeuille client le justifie ; année 4 — ISO/IEC 27001 Lead Auditor pour basculer côté audit ; année 5 — ISO/IEC 42001 Lead Implementer pour anticiper le marché gouvernance IA. Ce parcours capitalise sur la base commune méthodologique PECB et évite la dispersion entre familles concurrentes.
Tutoriels de préparation par certification
Chaque certification PECB du catalogue principal dispose d’un tutoriel de préparation détaillé sur ce blog. Tous sont conçus comme des plans d’étude pas-à-pas de plusieurs semaines, avec rythme hebdomadaire, exercices, livrables intermédiaires et grilles d’auto-évaluation alignées sur le manuel candidat officiel.
- Préparer PECB ISO/IEC 27001 Lead Implementer — plan d’étude six semaines
- Préparer PECB ISO/IEC 27001 Lead Auditor — méthodologie d’audit pas-à-pas
- Préparer PECB ISO/IEC 27005 Risk Manager — articulation avec EBIOS RM
- Préparer PECB ISO 22301 Lead Implementer — BIA et plan de continuité
- Préparer PECB ISO/IEC 42001 Lead Implementer — gouvernance IA
- Préparer PECB Lead Pen Test Professional — OSSTMM, livrables et reporting
- Préparer PECB Lead Ethical Hacker — lab d’entraînement et examen pratique
Questions fréquentes
Faut-il suivre la formation officielle pour passer l’examen PECB ?
Non, l’examen peut être acheté en standalone, mais le taux d’échec est significativement plus élevé sans la formation. PECB le précise dans ses manuels candidat : la formation officielle est fortement recommandée pour préparer l’examen, qui suit fidèlement le contenu du manuel.
L’examen PECB est-il vraiment à livre ouvert ?
Oui, pour la quasi-totalité des examens Lead. Le candidat peut consulter pendant les 3 heures d’examen : le manuel officiel PECB, la norme ISO concernée, ses notes manuscrites, ses surlignages. Ce qui est strictement interdit : la communication avec un tiers, l’usage d’un téléphone, la consultation de matériel non autorisé. La surveillance par webcam pour l’examen en ligne vérifie ces points en continu.
Quelle est la durée de validité d’une certification PECB ?
La certification est délivrée pour une période de trois ans, renouvelable sous condition de paiement de la cotisation annuelle et de cumul des crédits CPD requis. À défaut, le statut passe à « inactif » puis la certification expire.
Peut-on passer l’examen PECB en français ?
Oui pour la grande majorité du catalogue. PECB publie ses manuels et ses examens dans plusieurs langues, dont le français. Vérifier au moment de l’inscription que la version française est disponible pour le code d’examen visé.
Quel est le score minimal pour réussir ?
70 % sur l’ensemble des compétences évaluées. Le score précis par domaine n’est pas remonté au candidat — seul le résultat global est communiqué.
Que se passe-t-il en cas d’échec à l’examen ?
Le candidat qui a suivi la formation officielle bénéficie d’un retake gratuit dans un délai de douze mois à compter de la date du premier examen. En cas de second échec, un nouveau paiement est nécessaire.
Y a-t-il un prérequis d’expérience pour obtenir le titre PECB après l’examen ?
Oui, la réussite à l’examen est nécessaire mais pas suffisante. PECB exige également un dossier d’expérience professionnelle documentée dans le domaine, validé après l’examen lors de l’application au titre. Les exigences exactes (nombre d’années, types de mission, recommandation par un certifié) varient selon la certification ; consulter le manuel candidat pour la version applicable.
Ressources et références officielles
- PECB — ISO/IEC 27001 Lead Implementer (fiche officielle)
- PECB — Candidate Handbook ISO/IEC 27001 Lead Implementer (multiple-choice)
- PECB — ISO/IEC 27005 Risk Manager (fiche officielle)
- PECB — Candidate Handbook ISO/IEC 27005 Risk Manager (multiple-choice)
- PECB — ISO 22301 Lead Implementer
- PECB — ISO/IEC 42001 Lead Implementer
- PECB — Lead Pen Test Professional
- PECB — Lead Ethical Hacker
- ISO — ISO/IEC 27001:2022 (page éditeur)
- ISO — ISO/IEC 27005:2022
- ISO — ISO 22301:2019
- ISO — ISO/IEC 42001:2023 (système de management de l’IA)
- ISO — ISO/IEC 17024 (organismes de certification de personnes)
Articles connexes
- Développer une application iOS avec Swift et SwiftUI : panorama 2026 du parcours pour démarrer
- Métiers de lIA en 2026 — rôles, salaires Sénégal, certifications, formation
- Plan de révision CCNA 200-301 en 90 jours et examens blancs — méthode 2026
- Risk management : NIST RMF et ISO 27001 — tutoriel Security+ 2026
Prérequis pratique : avant d’aller plus loin, mettre en place Burp Suite (JRE, proxy, CA).