La certification PECB Certified ISO/IEC 27001 Lead Implementer est le titre de référence pour qui veut prouver sa capacité à déployer un système de management de la sécurité de l’information (SMSI) conforme à la norme. Ce tutoriel propose un plan d’étude complet de six semaines, calibré pour un professionnel en poste qui dispose d’environ dix heures par semaine pour préparer l’examen. Vous y trouverez la décomposition jour par jour, les livrables intermédiaires à produire, les pièges classiques d’examen et la stratégie le jour J.
Pour le panorama complet des certifications PECB, le positionnement de Lead Implementer face à Lead Auditor et le calcul du retour sur investissement, voir l’article de référence Certifications PECB 2026 : panorama, parcours et examens.
Prérequis avant de démarrer
Avant de bloquer six semaines dans votre agenda, il est essentiel de vérifier que vous disposez du socle attendu. La PECB ne formalise pas d’exigence d’expérience pour passer l’examen, mais la grille de notation suppose que vous maîtrisez déjà certains fondamentaux. Sans ce socle, le taux d’échec grimpe sensiblement, indépendamment de la qualité de votre préparation.
Le minimum opérationnel comprend trois éléments. Premièrement, une compréhension générale d’un système de management ISO — savoir ce qu’est un PDCA (Plan-Do-Check-Act), savoir distinguer une politique d’une procédure, comprendre ce qu’est une non-conformité. Deuxièmement, une exposition concrète à la sécurité de l’information — vous avez déjà été impliqué dans un audit, une analyse de risque, une revue d’accès, un incident. Troisièmement, l’anglais lu — même si l’examen est disponible en français, les ressources d’appoint (forums, retours d’examen, documentation ISO en version courte) restent majoritairement anglophones.
Côté outillage, prévoyez : l’accès au manuel candidat PECB officiel (fourni avec la formation), une copie personnelle de la norme ISO/IEC 27001:2022 (achat séparé via iso.org ou via votre afnor national, environ 130 € à 200 € selon les pays), un classeur physique ou un outil de prise de notes que vous pourrez emporter à l’examen, et un compte sur la plateforme d’entraînement PECB si elle est incluse dans votre package formation.
Vue d’ensemble du plan en six semaines
Le plan suit la logique de progression du manuel candidat PECB, qui couvre sept domaines depuis le cadrage du SMSI jusqu’à la préparation de l’audit de certification. Chaque semaine vise un objectif livrable concret, ce qui force la mise en pratique et évite la lecture passive.
- Semaine 1 — Vocabulaire, principes fondamentaux, cadrage du SMSI
- Semaine 2 — Analyse du contexte, parties intéressées, périmètre
- Semaine 3 — Appréciation et traitement des risques (focus ISO 27005)
- Semaine 4 — Annexe A 2022, 93 contrôles, déclaration d’applicabilité
- Semaine 5 — Surveillance, mesure d’efficacité, amélioration continue
- Semaine 6 — Préparation à l’audit de certification, examens blancs, révisions
Étape 1 — Semaine 1 : vocabulaire et cadrage du SMSI
La première semaine sert à fixer le vocabulaire normatif. Une grande partie des questions d’examen se joue sur des nuances de vocabulaire que vous ne soupçonnez pas en lecture rapide : « non-conformité » versus « observation », « actif » versus « ressource », « risque » versus « menace ». Ces nuances semblent triviales en lecture, elles sont décisives à l’examen.
Consacrez les premiers jours à la lecture du clause 3 (Termes et définitions) de la norme. Reportez chaque terme dans une fiche personnelle avec sa définition, un exemple opérationnel et le terme connexe qu’il ne faut pas confondre. À la fin de la semaine, vous devez pouvoir restituer ces définitions sans hésiter sur la formulation officielle.
L’exercice pratique de la semaine consiste à rédiger une charte SMSI fictive d’une page pour une PME imaginaire. Cette charte fait apparaître l’engagement de la direction, le périmètre, les responsabilités, et le rythme de revue. C’est exactement le livrable qu’on attendra de vous lors de l’épreuve pratique de l’examen et c’est le premier livrable réel d’un projet SMSI en entreprise.
# Exemple de structure de charte SMSI (à compléter dans votre cas)
1. Objet et engagement de la direction
2. Périmètre (sites, processus, systèmes)
3. Objectifs de sécurité mesurables
4. Rôles et responsabilités (RSSI, propriétaires d'actifs, direction)
5. Politique d'audit interne et revue de direction
6. Cycle de revue annuelCette charte n’a pas vocation à être technique. Son objet est de cadrer politiquement l’effort. Lors d’un audit réel ou simulé, c’est le premier document que l’auditeur demandera et son absence est une non-conformité immédiate. Le réflexe à acquérir : tout projet SMSI commence par un mandat écrit de la direction, pas par un outil ou une technologie.
Étape 2 — Semaine 2 : contexte, parties intéressées, périmètre
La semaine 2 attaque les clauses 4 et 5 de la norme. La clause 4 (Contexte de l’organisme) impose d’identifier les enjeux externes et internes, les parties intéressées et leurs exigences, et de définir le périmètre du SMSI. La clause 5 (Leadership) formalise l’engagement de la direction, la politique de sécurité de l’information et la répartition des rôles. C’est le bloc le plus politique de la norme et le plus souvent bâclé en projet réel.
Le travail attendu pour cette semaine est de produire trois livrables : une analyse SWOT de votre PME imaginaire ciblée sur la sécurité de l’information, une cartographie des parties intéressées (clients, régulateurs, fournisseurs, employés) avec leurs exigences explicites, et une déclaration de périmètre du SMSI signée par la direction fictive. Chaque livrable doit tenir sur une page. Au-delà, vous noyez le lecteur, ce qui est aussi un piège d’examen — les questions favorisent les réponses concises et précises.
Sur le périmètre, la difficulté pédagogique tient à comprendre qu’un SMSI peut couvrir une partie seulement de l’organisme : une entité, un site, un service, un produit. Cette flexibilité est volontaire dans la norme, elle permet de démarrer un projet réaliste sur un périmètre maîtrisé. À l’examen, des questions classiques mettent en scène une organisation qui veut certifier seulement son équipe Cloud — la bonne réponse passe par la délimitation explicite des interfaces avec le reste de l’organisation, pas par l’extension automatique du périmètre.
Étape 3 — Semaine 3 : appréciation et traitement des risques
La semaine 3 est la plus dense techniquement. Elle couvre l’appréciation des risques selon ISO/IEC 27005 et leur traitement selon ISO/IEC 27001 clause 6.1.2 et 6.1.3. La maîtrise de ce bloc fait la différence entre un Lead Implementer qui pilote un vrai projet et un titulaire qui ne sait que réciter le manuel.
L’objectif livrable est de produire une analyse de risque complète sur un actif imaginaire — typiquement « base de données clients hébergée sur un serveur de production ». Le livrable doit inclure : l’identification de l’actif et de son propriétaire, la liste des menaces applicables (avec une bibliothèque de référence type l’Annexe A d’ISO/IEC 27005:2022 (la version 2022 a consolidé les six annexes de la version 2018 en une seule Annexe A intitulée « Examples of techniques in support of the risk assessment process ») ou le catalogue ENISA Threat Landscape), la liste des vulnérabilités potentielles, l’estimation de la vraisemblance et de l’impact selon une échelle documentée, le calcul du risque inhérent, le choix d’une option de traitement (réduction, transfert, évitement, acceptation), la liste des mesures retenues et le risque résiduel après traitement.
Une trame minimale de tableau d’analyse de risque pour l’entraînement :
# Tableau d'analyse de risque — colonnes minimales
Actif | Propriétaire | Menace | Vulnérabilité | Vraisemblance | Impact
| Risque inhérent | Traitement | Mesures Annexe A | Risque résiduelUne fois la première ligne complète sur la base de données clients, ajoutez deux autres lignes pour des actifs de natures différentes — par exemple un poste de travail nomade et un processus métier (gestion des factures). Cette diversité oblige à explorer des menaces et des mesures variées, ce qui colle aux scénarios d’examen.
Piège classique d’examen : confondre l’analyse de risque basée sur les actifs (approche historique d’ISO/IEC 27005:2011) et l’analyse basée sur les événements de risque (approche renforcée dans ISO/IEC 27005:2022 et alignée sur EBIOS RM). La version 2022 de la norme accepte les deux approches mais le manuel PECB met l’accent sur la cohérence interne — choisir une approche et s’y tenir. Une question d’examen qui mélange les deux approches dans le même scénario attend que vous identifiez l’incohérence.
Étape 4 — Semaine 4 : Annexe A 2022 et déclaration d’applicabilité
La version 2022 d’ISO/IEC 27001 a profondément remanié son Annexe A. Là où la version 2013 listait 114 contrôles organisés en 14 domaines, la version 2022 retient 93 contrôles regroupés en 4 thèmes : organisationnels (37 contrôles), personnels (8 contrôles), physiques (14 contrôles) et technologiques (34 contrôles). Onze contrôles sont nouveaux, parmi lesquels l’analyse du paysage des menaces, la sécurité du cloud, la prévention des fuites de données et le filtrage web.
L’objectif de la semaine est triple. Apprendre par cœur la cartographie des 93 contrôles est ni réaliste ni nécessaire — vous aurez le manuel à l’examen. En revanche, vous devez avoir la liste sous la main et savoir naviguer en moins de trente secondes pour retrouver un contrôle. Préparer un onglet de signets ou de marque-pages dans votre exemplaire papier du manuel et de la norme fait gagner un temps précieux à l’examen.
Deuxièmement, comprendre les onze nouveaux contrôles 2022. Ce sont les sujets les plus probables des questions scénarisées, car ils différencient la version 2022 de la version 2013. Pour chacun, ayez une définition courte en tête et un exemple opérationnel. Le contrôle 8.23 (filtrage web) par exemple : un cas concret consiste à déployer un proxy web avec catégorisation et blocage des sites malveillants connus, plus le journal d’accès à des fins d’enquête forensique.
Troisièmement, produire une déclaration d’applicabilité (SoA) sur votre PME imaginaire. Cette SoA liste, pour chacun des 93 contrôles, sa pertinence (applicable / non applicable), la justification du choix et l’état d’implémentation (implémenté / partiellement / non implémenté). Le livrable réel d’un projet SMSI fait souvent quinze à vingt pages. Pour l’entraînement, traitez vingt contrôles bien choisis, c’est suffisant pour maîtriser la mécanique.
Étape 5 — Semaine 5 : surveillance, mesure et amélioration continue
La semaine 5 couvre les clauses 9 (Évaluation des performances) et 10 (Amélioration). Elle est sous-estimée en préparation, alors qu’elle pèse lourd à l’examen — les scénarios fréquents tournent autour d’un SMSI déployé qui montre des signes d’essoufflement faute de surveillance correcte.
Trois mécanismes structurent cette section. La mesure d’efficacité (clause 9.1) impose de définir, pour chaque objectif de sécurité retenu en clause 6.2, comment on va mesurer son atteinte. Indicateurs, fréquence, responsable, source des données. L’audit interne (clause 9.2) impose un programme d’audit sur l’ensemble du SMSI avec une rotation pluriannuelle. La revue de direction (clause 9.3) impose une réunion formelle au moins annuelle qui passe en revue les performances et décide des actions correctives.
L’amélioration (clause 10) couvre le traitement des non-conformités et l’amélioration continue. L’erreur classique consiste à confondre une non-conformité (le SMSI ne respecte pas la norme ou ses propres règles) et un incident de sécurité (un événement opérationnel défavorable). Ce sont deux objets différents, traités par deux processus différents. L’examen testera cette nuance.
Livrable de la semaine : produire trois tableaux. Un tableau d’indicateurs avec au moins six lignes (par exemple : taux de complétion de la formation sécurité annuelle, MTTR sur les incidents critiques, pourcentage des accès revus dans les trois mois, etc.), un plan d’audit interne sur trois ans avec rotation par périmètre, une trame d’ordre du jour pour la revue de direction annuelle.
Étape 6 — Semaine 6 : audit de certification et examens blancs
La dernière semaine combine deux activités. La première moitié de semaine est consacrée à la préparation à l’audit de certification — comprendre l’enchaînement stade 1 (revue documentaire) et stade 2 (audit sur site), savoir préparer le dossier d’audit, savoir gérer la conduite d’audit (entretiens, demande de preuves, traitement des non-conformités à chaud). Cette section est moins testée à l’examen mais elle revient régulièrement sous forme de question contextuelle.
La seconde moitié est consacrée aux examens blancs. Faites au moins deux examens blancs complets dans les conditions du jour J : 3 heures chrono, livre ouvert, sans pause. Chronométrez les douze scénarios pour identifier votre rythme — l’expérience montre qu’il faut viser environ douze minutes par scénario pour finir en gardant une marge de relecture de quinze minutes.
L’objectif n’est pas tant le score brut que le repérage des points faibles. Si après deux examens blancs vous chutez systématiquement sur les questions relatives à l’Annexe A, retournez sur la semaine 4. Si vous bloquez sur l’analyse de risque, retournez sur la semaine 3. Ce diagnostic ciblé en fin de préparation est plus rentable qu’une relecture intégrale.
Étape 7 — Vérification : stratégie le jour J de l’examen
Le jour de l’examen, trois consignes pratiques font la différence entre un candidat qui réussit confortablement et un candidat qui passe juste au-dessus de la barre.
Premièrement, le timing. L’examen Lead Implementer en format scenario-based MCQ comporte 80 questions réparties en 10 scénarios (8 questions par scénario) sur 3 heures, soit environ 2 minutes 15 par question. Les questions se répartissent selon les domaines du manuel candidat : fondamentaux SMSI (15 questions), exigences ISO 27001 (12), planification (18), mise en œuvre (14), surveillance (10), amélioration continue (6), préparation à l’audit (5). Ne vous laissez pas piéger par un scénario complexe — si vous bloquez sur une question, marquez-la et passez à la suivante, vous y reviendrez en fin d’examen avec un œil neuf. Le temps perdu sur une question impossible vous coûte plusieurs questions faciles.
Deuxièmement, la consultation du manuel. C’est un examen à livre ouvert mais le piège est d’aller chercher dans le manuel à chaque question. Vous y perdrez trop de temps. La bonne stratégie : répondre par cœur à chaque question, marquer le scénario d’un signe si vous avez un doute, et ne consulter le manuel que pour les marqués lors d’une seconde passe.
Troisièmement, la lecture du scénario. Les scénarios PECB sont volumineux — typiquement une demi-page de contexte avant la question. La tentation est de survoler le contexte et d’aller à la question. Erreur classique : la bonne réponse dépend souvent d’un détail du contexte (taille de l’organisation, secteur, date, périmètre déjà couvert). Lisez le scénario lentement une fois, soulignez les éléments contextuels, puis lisez la question. Cette discipline coûte trois minutes par scénario et fait gagner systématiquement deux à trois points sur l’examen.
Le résultat est généralement communiqué par PECB sous une à deux semaines. Vous recevrez d’abord un mail de réussite ou d’échec sans détail. Le certificat lui-même arrive après validation du dossier d’expérience professionnelle, ce qui peut prendre encore quelques semaines. Pendant cette phase, votre statut sur la base PECB sera affiché en « pending ».
Erreurs fréquentes en préparation
| Erreur | Cause | Solution |
|---|---|---|
| Lecture passive du manuel sans livrables | Manque de méthode | Forcer un livrable hebdomadaire concret comme proposé ci-dessus |
| Confusion 27001:2013 versus 27001:2022 sur l’Annexe A | Anciennes ressources web | Vérifier la version 2022 sur chaque source ; le manuel PECB est à jour |
| Échec sur les questions de vocabulaire | Survol des définitions | Semaine 1 dédiée au vocabulaire, fiches personnelles avec contre-exemples |
| Mauvaise gestion du temps à l’examen | Trop de temps sur les scénarios complexes | 15 min max par scénario, parking et seconde passe |
| Sous-estimation des clauses 9 et 10 | Focus excessif sur l’Annexe A | Semaine 5 dédiée à la mesure d’efficacité et à l’audit interne |
Après l’examen
La réussite à l’examen n’équivaut pas immédiatement à la délivrance du titre. PECB exige la constitution d’un dossier d’application qui documente votre expérience professionnelle dans le domaine, vos références et votre engagement à respecter le code d’éthique PECB. Ce dossier est traité par les équipes de certification de l’organisme et la délivrance du titre intervient une fois la vérification réalisée.
Pour comparer la posture méthodologique avec d’autres référentiels de gouvernance sécurité, voir le CISSP Domaine 1 — Security and Risk Management et la fiche Bâtir une gouvernance de sécurité : charte, comité, matrice RACI (CISM). Une fois le titre obtenu, deux obligations s’installent dans la durée. Le paiement d’une cotisation annuelle de maintenance (Annual Maintenance Fee) auprès de PECB et le cumul de crédits CPD à justifier chaque année. Le cours officiel de cinq jours vaut 31 crédits CPD à lui seul, ce qui couvre généralement la première année. Pour les années suivantes, prévoyez de combiner conférences, publications, animation interne et formation continue pour atteindre le seuil requis.
Ressources et références officielles
- PECB — fiche officielle ISO/IEC 27001 Lead Implementer
- PECB — Candidate Handbook ISO/IEC 27001 Lead Implementer (MC)
- ISO — ISO/IEC 27001:2022
- ISO — ISO/IEC 27005:2022
- ITSkillsCenter — Certifications PECB 2026 : panorama et parcours
- ITSkillsCenter — Préparer ISO/IEC 27001 Lead Auditor
- ITSkillsCenter — Préparer ISO/IEC 27005 Risk Manager