Combien de temps faut-il pour obtenir la certification ISO 27001 ?

La plupart des organisations mettent 6 à 12 mois entre le début de la mise en œuvre et la réception du certificat. Les petites entreprises disposant de pratiques de sécurité matures peuvent réduire ce délai à 3 à 6 mois. L'audit de certification lui-même (phase 1 + phase 2) prend généralement 2 à 3 mois à planifier et à réaliser une fois le SMSI prêt. L'utilisation d'un logiciel d'automatisation de la conformité réduit la phase de mise en œuvre de 40 à 60 % par rapport à une approche entièrement manuelle.

Combien coûte la certification ISO 27001 en 2026 ?

Les coûts totaux de la première année se situent généralement entre 20 000 et 80 000 euros pour les entreprises de taille intermédiaire. Les seuls frais d'audit de certification varient de 8 000 à 25 000 euros selon la taille de l'organisation et le périmètre. Les audits de surveillance des années 2 et 3 coûtent environ 30 à 40 % des frais d'audit initiaux. Un logiciel d'automatisation de la conformité peut réduire les coûts de la phase de mise en œuvre et de documentation de 40 à 60 %.

Quels organismes peuvent délivrer des certificats ISO 27001 ?

Vous devriez faire appel à un organisme de certification accrédité — c'est-à-dire évalué par un organisme d'accréditation national dont la reconnaissance est couverte par le Global Accreditation Cooperation MRA, successeur des anciens dispositifs IAF/ILAC. En France, le COFRAC (Comité français d'accréditation) accrédite les organismes certificateurs. Un certificat délivré par un organisme non accrédité peut ne pas être accepté par les acheteurs enterprise et les régulateurs.

Quelle est la différence entre l'audit de phase 1 et l'audit de phase 2 ?

La phase 1 est une revue documentaire : l'auditeur vérifie que votre SMSI est conçu correctement et que vos politiques, évaluation des risques, plan de traitement des risques et Déclaration d'applicabilité sont complets. La phase 1 se déroule souvent à distance et dure 1 à 2 jours. La phase 2 est l'audit de certification principal : l'auditeur vérifie que votre SMSI fonctionne effectivement comme documenté, en interrogeant le personnel, en examinant les preuves et en testant les contrôles. La phase 2 est généralement sur site et dure 2 à 5 jours.

Ai-je besoin d'un consultant pour obtenir la certification ISO 27001 ?

Un consultant n'est pas obligatoire, mais il accélère considérablement le processus pour les primo-certifiants. De nombreuses organisations font appel à un consultant pour la phase d'analyse d'écart et de documentation, puis réalisent la mise en œuvre en interne avec l'aide d'outils. Un logiciel d'automatisation de la conformité réduit le besoin de conseil continu en automatisant la collecte de preuves, la surveillance des contrôles et la maintenance de la documentation.

Quel est le lien entre ISO 27001 et NIS2 et DORA ?

ISO 27001 ne remplace pas la conformité à NIS2 ou DORA, mais elle couvre une large part des exigences des deux réglementations. Les mesures de gestion des risques de l'article 21 de NIS2 chevauchent significativement les contrôles ISO 27001. Les exigences de gestion des risques TIC de l'article 6 de DORA s'alignent étroitement avec les exigences SMSI. De nombreuses organisations utilisent ISO 27001 comme fondation et y mappent ensuite les obligations spécifiques NIS2/DORA.

Comment obtenir la certification ISO 27001 : guide pratique en 6 étapes

Published 14 avr. 2026

By Orbiq Team

Comment obtenir la certification ISO 27001 : guide pratique en 6 étapes

Guide pratique pour obtenir la certification ISO 27001 — du choix de l'organisme certificateur à l'audit de phase 2. Coûts, délais, organismes accrédités COFRAC en France.

iso-27001

certification

smsi

conformite

audit

anssi

Comment obtenir la certification ISO 27001 : guide pratique en 6 étapes

La certification ISO 27001 indique aux acheteurs enterprise que vous disposez d'un Système de Management de la Sécurité de l'Information (SMSI) formel et audité. En 2026, c'est la condition préalable de facto pour les entreprises B2B qui vendent aux grandes entreprises européennes, aux institutions financières et aux secteurs régulés. Si vous ne l'avez pas, vous perdez des deals au profit de concurrents certifiés.

Ce guide explique les étapes concrètes pour obtenir la certification — pas la théorie, mais la séquence pratique d'actions depuis la décision de se lancer jusqu'à la réception du certificat.

Points clés

La certification prend 6 à 12 mois pour la plupart des organisations ; 3 à 6 mois avec de solides pratiques sécurité existantes et des outils d'automatisation
Coût total en première année : 20 000 à 80 000 € selon la taille, le périmètre et le niveau d'automatisation
Les audits de phase 1 et phase 2 sont obligatoires : la phase 1 vérifie la documentation, la phase 2 confirme la mise en œuvre
Les organismes certificateurs accrédités et reconnus via le Global Accreditation Cooperation MRA sont le choix le plus fiable pour des certificats acceptés
ISO 27001 couvre NIS2 et DORA — la certification satisfait une grande partie des exigences de gestion des risques des deux réglementations

Étape 1 : Définir le périmètre

Le périmètre du SMSI définit quelles parties de votre organisation, quels systèmes et quels actifs informationnels relèvent de la norme ISO 27001. Définir le bon périmètre est la décision initiale la plus déterminante.

Trop étroit : Un périmètre qui exclut des systèmes clés peut satisfaire un auditeur mais laisse des risques matériels hors du programme — et les clients qui font leur due diligence s'en apercevront.

Trop large : Un périmètre couvrant tout ce que l'entreprise touche rend la mise en œuvre ingérable et fait inutilement augmenter les coûts d'audit.

La plupart des entreprises SaaS B2B définissent leur certification autour de leur infrastructure produit principale, leur environnement de développement et les processus organisationnels qui les soutiennent. Les systèmes de support client, RH et finance peuvent être inclus ou non selon les types de données qu'ils traitent.

Documentez le périmètre sous forme de document formel. Votre auditeur de phase 1 l'examinera en premier — il signale si vous maîtrisez la norme.

Étape 2 : Réaliser une analyse d'écart

Une analyse d'écart compare vos contrôles de sécurité et votre documentation actuels aux exigences de la norme ISO 27001. Elle répond à la question : à quelle distance sommes-nous d'être prêts pour l'audit ?

Menez l'analyse à deux niveaux :

Clauses ISO 27001 (4 à 10) : Les exigences obligatoires — contexte, leadership, planification, support, opérations, évaluation des performances et amélioration. Elles couvrent la structure de votre système de management.
Contrôles de l'Annexe A (93 contrôles en 4 catégories) : Les contrôles de référence que vous sélectionnez et mettez en œuvre selon votre évaluation des risques. Tous les 93 ne sont pas obligatoires — votre Déclaration d'applicabilité justifie lesquels sont applicables.

Le résultat de l'analyse d'écart est un plan d'action priorisé. La plupart des primo-certifiants constatent des lacunes documentaires significatives et quelques lacunes de contrôle. Les lacunes d'infrastructure substantielles sont moins fréquentes chez les entreprises SaaS avec des architectures cloud modernes.

Étape 3 : Construire le SMSI et créer la documentation obligatoire

La norme ISO 27001 exige un ensemble de documents spécifiques. Votre auditeur les utilise comme source de preuves principale. Une documentation manquante ou incomplète est la raison la plus fréquente d'échec en phase 1.

La documentation obligatoire comprend :

Document	Contenu
Périmètre du SMSI	Quels systèmes, processus et unités organisationnelles sont couverts
Politique de sécurité de l'information	Déclaration de politique de haut niveau signée par la direction
Méthodologie d'évaluation des risques	Comment vous identifiez, évaluez et traitez les risques de sécurité
Registre des risques	Inventaire des risques identifiés avec probabilité, impact et décisions de traitement
Plan de traitement des risques	Comment et quand les risques identifiés seront traités
Déclaration d'applicabilité (DdA)	Les 93 contrôles de l'Annexe A — statut applicable/exclu et justification pour chacun
Objectifs de sécurité de l'information	Cibles mesurables pour le SMSI
Programme d'audit interne	Calendrier et méthodologie des audits internes
Comptes rendus de revue de direction	Preuves que la direction examine la performance du SMSI
Preuves de non-conformités et actions correctives	Comment les écarts par rapport aux politiques sont traités

La Déclaration d'applicabilité mérite une attention particulière. C'est le premier document que la plupart des auditeurs demandent — elle mappe vos décisions de traitement des risques sur les contrôles spécifiques, et chaque contrôle marqué comme applicable doit être attesté par des preuves.

Étape 4 : Choisir un organisme de certification accrédité

Les organismes de certification n'offrent pas tous la même reconnaissance. Votre certificat devrait être délivré par un organisme accrédité par un organisme national dont la reconnaissance est couverte par le Global Accreditation Cooperation MRA, qui a succédé aux anciens dispositifs IAF/ILAC en 2026.

Organismes d'accréditation nationaux par pays :

Pays	Organisme d'accréditation
France	COFRAC (Comité français d'accréditation)
Allemagne	DAkkS (Deutsche Akkreditierungsstelle)
Pays-Bas	RvA (Raad voor Accreditatie)
Royaume-Uni	UKAS (United Kingdom Accreditation Service)
Norvège	Norsk Akkreditering (NA)

Parmi les organismes de certification reconnus en Europe : Bureau Veritas, BSI Group, AFNOR Certification, TÜV SÜD, TÜV Rheinland, DNV et LRQA. Demandez au moins 2 à 3 devis — les frais d'audit pour les entreprises de taille intermédiaire se situent généralement entre 8 000 et 25 000 euros pour la certification initiale [1].

Posez deux questions pratiques aux candidats : Ont-ils de l'expérience dans votre secteur ? Et quel est le délai actuel pour la planification des audits de phase 2 ?

Étape 5 : Réaliser l'audit interne et la revue de direction

Avant de planifier votre audit de phase 1, la norme ISO 27001 exige que vous ayez complété au moins un cycle complet de :

Audit interne : Un examen indépendant de la conformité de votre SMSI aux exigences ISO 27001 et de son efficacité. L'auditeur interne doit être compétent et indépendant des domaines audités — cela implique généralement un auditeur interne qualifié d'une autre équipe ou un consultant externe.

Revue de direction : Un examen formel par la direction de la performance du SMSI, comprenant les résultats des audits internes, les incidents, la progression des objectifs et les opportunités d'amélioration. Le résultat doit être documenté — les auditeurs demandent systématiquement les comptes rendus de revue de direction comme preuve de l'engagement de la direction.

Les deux doivent être réalisés avant la phase 1. Une revue de direction effectuée deux jours avant la phase 1 soulève des interrogations.

Étape 6 : Réussir les audits de phase 1 et phase 2

Phase 1 : Revue documentaire

La phase 1 dure généralement 1 à 2 jours et porte sur la bonne conception de votre SMSI. L'auditeur examine :

Le périmètre du SMSI
La politique de sécurité de l'information
La documentation d'évaluation et de traitement des risques
La Déclaration d'applicabilité
Les rapports d'audit interne et de revue de direction

Le résultat est un rapport de phase 1 identifiant les non-conformités majeures (à résoudre avant la phase 2) et les non-conformités mineures ou observations (à traiter sans bloquer la certification).

Phase 2 : Vérification de la mise en œuvre

La phase 2 est l'audit de certification principal — généralement 2 à 5 jours sur site selon la taille. L'auditeur vérifie que votre SMSI fonctionne comme documenté :

Entretiens : L'auditeur interroge le personnel de tous les départements — pas seulement le RSSI, mais aussi les développeurs, les opérations, les RH et la direction. Il veut confirmer que les personnes connaissent les politiques et suivent les procédures.
Examen des preuves : L'auditeur demande des preuves de contrôles spécifiques : journaux d'accès, résultats de scans de vulnérabilités, registres de formation, rapports d'incidents, évaluations de fournisseurs et résultats de tests de sauvegarde.
Observation des processus : Pour les contrôles opérationnels, l'auditeur peut observer directement les processus ou examiner des captures d'écran de systèmes en fonctionnement.

Réussir la phase 2 signifie que l'auditeur ne constate aucune non-conformité majeure. Les non-conformités mineures sont documentées et vous vous engagez à des actions correctives. L'organisme certificateur délivre ensuite votre certificat ISO 27001, valable trois ans.

Après la certification : maintenir votre SMSI

La certification n'est pas un événement ponctuel. Pour la maintenir :

Audits de surveillance annuels : Les années 1 et 2, votre organisme certificateur effectue des audits de surveillance plus courts (généralement 1 à 2 jours) pour vérifier la conformité continue.

Recertification en année 3 : Un audit complet répétant le processus de phase 1 et phase 2 est requis avant l'expiration de votre certificat.

Collecte continue de preuves : L'intervalle entre les audits annuels est le domaine où la plupart des programmes SMSI rencontrent des difficultés. Les politiques ne sont pas révisées. Les registres des risques deviennent obsolètes. Les enregistrements de formation expirent. Les outils d'automatisation de la conformité qui collectent continuellement des preuves et alertent sur les lacunes de contrôle évitent le rattrapage frénétique avant chaque audit.

ISO 27001 et réglementations européennes

ISO 27001 ne remplace pas la conformité à NIS2, DORA ou au RGPD, mais elle crée une base solide :

NIS2 article 21 : Les mesures de gestion des risques — contrôle d'accès, gestion des incidents, sécurité de la chaîne d'approvisionnement, cryptographie — correspondent étroitement aux contrôles de l'Annexe A d'ISO 27001
DORA article 6 : Les exigences du cadre de gestion des risques TIC s'alignent avec la structure et les obligations documentaires du SMSI
RGPD article 32 : Les mesures techniques et organisationnelles de sécurité sont partiellement satisfaites par les contrôles ISO 27001

Pour les entreprises B2B opérant en Europe, la certification ISO 27001 associée à la conformité NIS2/DORA constitue la référence standard. Le logiciel SMSI d'Orbiq mappe les contrôles ISO 27001 aux obligations NIS2, DORA et RGPD, vous permettant de maintenir une seule base de preuves pour les trois référentiels.

Démarrer

Orbiq aide les entreprises B2B à atteindre la certification ISO 27001 plus rapidement grâce à la collecte automatisée de preuves, la surveillance des contrôles et la maintenance de la documentation. La plateforme couvre NIS2, DORA et le RGPD, de sorte que votre programme SMSI répond à toutes les obligations majeures de l'UE.

Découvrir comment Orbiq accélère la certification ISO 27001 →

Sources

High Table — How Much Does ISO 27001 Certification Cost? (2026 Price Guide)
Secureframe — ISO 27001 Certification Timeline
Glocert International — ISO 27001 Certification Process : Stage 1 vs Stage 2 Guide
ISMS.online — ISO 27001:2022 Audit Cycle : phases et calendriers
Global Accreditation Cooperation — lancement de Global ACI et continuité du MRA
COFRAC — Comité français d'accréditation
ISO — ISO/IEC 27001 information security management systems
ANSSI — Guide d'hygiène informatique et recommandations ISO 27001
Hyperproof — Steps to Achieve ISO 27001 Certification

Comment obtenir la certification ISO 27001 : guide pratique en 6 étapes

Comment obtenir la certification ISO 27001 : guide pratique en 6 étapes

Points clés

Étape 1 : Définir le périmètre

Étape 2 : Réaliser une analyse d'écart

Étape 3 : Construire le SMSI et créer la documentation obligatoire

Étape 4 : Choisir un organisme de certification accrédité

Étape 5 : Réaliser l'audit interne et la revue de direction

Étape 6 : Réussir les audits de phase 1 et phase 2

Phase 1 : Revue documentaire

Phase 2 : Vérification de la mise en œuvre

Après la certification : maintenir votre SMSI

ISO 27001 et réglementations européennes

Démarrer

Articles connexes

Sources