Qu'est-ce que la norme ISO 27001 ? Le guide complet 2026
ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l'information. Découvrez ce qu'elle couvre, pourquoi 96 000+ organisations sont certifiées et comment commencer.
Qu'est-ce que la norme ISO 27001 ? Le guide complet 2026
ISO 27001 est la principale norme mondiale pour le management de la sécurité de l'information. En 2024, le nombre de certificats ISO 27001 valides a presque doublé — passant de 48 671 à 96 709 organisations certifiées dans plus de 150 pays [¹]. Cette croissance n'est pas fortuite. Les acheteurs en entreprise l'exigent. Les régulateurs s'y réfèrent. Les cyber-assureurs la récompensent.
Ce guide explique précisément ce qu'est la norme ISO 27001, ce qu'elle couvre, comment elle fonctionne et pourquoi elle est importante pour votre organisation — que vous commenciez tout juste à vous renseigner sur la norme ou que vous vous prépariez à la certification.
Points clés à retenir
- ISO 27001 est une norme internationale pour la mise en place et l'exploitation d'un Système de Management de la Sécurité de l'Information (SMSI). La version actuelle est ISO/IEC 27001:2022.
- La norme certifie votre approche globale de la sécurité — pas seulement des outils ou mesures individuels. Elle couvre les personnes, les processus et la technologie.
- 93 mesures de l'Annexe A sont organisées en quatre catégories : Organisationnelles, Liées aux personnes, Physiques et Technologiques.
- La certification nécessite un audit par une tierce partie accréditée. Le certificat est valable trois ans avec des audits de surveillance annuels.
- 96 709 organisations étaient certifiées en 2024, le marché croissant de 15,2 % par an [¹][²].
- ISO 27001 s'aligne avec NIS2, DORA et le RGPD, ce qui en fait un investissement stratégique pour les entreprises de l'UE.
Qu'est-ce que la norme ISO 27001 ?
ISO 27001 (nom complet : ISO/IEC 27001) est une norme internationale publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Elle spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un Système de Management de la Sécurité de l'Information (SMSI).
En pratique, ISO 27001 fournit un cadre structuré pour :
- Identifier les informations à protéger — actifs informationnels, systèmes, processus et personnes
- Évaluer les risques pesant sur ces informations — ce qui pourrait mal tourner, la probabilité et l'impact
- Mettre en œuvre des mesures pour réduire ces risques à un niveau acceptable
- Mesurer et améliorer l'efficacité de votre programme de sécurité dans le temps
La norme ne prescrit pas exactement les technologies à utiliser ni les politiques spécifiques à rédiger. Elle propose une approche basée sur les risques : votre organisation identifie ses propres menaces, évalue leur gravité et sélectionne des mesures appropriées dans un catalogue de référence (Annexe A).
La certification signifie qu'un organisme de certification accrédité et indépendant a vérifié que votre SMSI satisfait aux exigences de la norme. Cette vérification indépendante distingue la certification ISO 27001 des auto-évaluations, questionnaires ou affirmations des fournisseurs.
ISO 27001 : une brève histoire
La famille des normes ISO 27000 trouve ses racines dans la norme britannique BS 7799, publiée pour la première fois en 1995 :
| Année | Développement |
|---|---|
| 1995 | BS 7799 publiée par le British Standards Institution |
| 2000 | BS 7799 Partie 1 adoptée comme ISO/IEC 17799 |
| 2005 | ISO/IEC 27001:2005 publiée — première édition ISO 27001 |
| 2013 | ISO/IEC 27001:2013 publiée — révision majeure, largement adoptée dans le monde |
| 2022 | ISO/IEC 27001:2022 publiée — version actuelle ; Annexe A restructurée de 114 à 93 mesures |
| 2024 | Amendement 1 ajouté — considération sur le changement climatique dans la Clause 4.1 |
| Oct. 2025 | Toutes les certifications basées sur la version 2013 expirées ; 2022 est désormais la seule édition valide |
La révision de 2022 était la mise à jour la plus significative depuis près d'une décennie. Toutes les organisations certifiées selon la version 2013 devaient migrer avant octobre 2025. En 2026, tous les audits de certification ISO 27001 sont menés contre l'édition 2022 [³].
Le cadre ISO 27001 : deux composantes essentielles
ISO 27001 comprend deux parties principales : les exigences du système de management et les mesures de référence de l'Annexe A.
Partie 1 : Exigences du système de management (Clauses 4 à 10)
Ces sept clauses définissent comment le SMSI doit être structuré et exploité :
| Clause | Sujet | Exigence principale |
|---|---|---|
| Clause 4 | Contexte de l'organisme | Définir le domaine d'application du SMSI ; identifier les parties intéressées |
| Clause 5 | Leadership | Établir la politique de sécurité de l'information ; attribuer les rôles ; démontrer l'engagement de la direction |
| Clause 6 | Planification | Effectuer l'appréciation des risques ; définir le plan de traitement des risques ; fixer les objectifs de sécurité |
| Clause 7 | Support | Allouer les ressources ; sensibiliser ; gérer la documentation |
| Clause 8 | Réalisation | Mettre en œuvre les plans d'appréciation et de traitement des risques |
| Clause 9 | Évaluation des performances | Surveiller l'efficacité ; mener des audits internes ; effectuer des revues de direction |
| Clause 10 | Amélioration | Traiter les non-conformités ; piloter l'amélioration continue |
Les clauses du système de management suivent le cycle Plan-Do-Check-Act (PDCA) — Planifier (Clauses 4-6), Faire (Clauses 7-8), Vérifier (Clause 9), Agir (Clause 10).
Partie 2 : Mesures de référence de l'Annexe A
L'Annexe A fournit 93 mesures de référence organisées en quatre catégories. Elles ne sont pas toutes obligatoires — votre appréciation des risques détermine les mesures applicables à votre situation. Si vous excluez une mesure, vous devez documenter votre justification dans la Déclaration d'applicabilité (DdA).
Mesures organisationnelles (37 mesures)
Gouvernance et processus de management, incluant :
- Politiques et procédures de sécurité de l'information
- Gestion des actifs et classification de l'information
- Politiques de contrôle d'accès
- Gestion de la sécurité des fournisseurs et tiers
- Processus de gestion des incidents
- Continuité d'activité et reprise après sinistre
- Conformité et exigences légales
Mesures liées aux personnes (8 mesures)
La dimension humaine de la sécurité :
- Vérification avant l'embauche
- Conditions d'emploi (incluant la confidentialité)
- Formation et sensibilisation à la sécurité de l'information
- Processus disciplinaire
- Responsabilités après la rupture du contrat
- Politiques de télétravail
Mesures physiques (14 mesures)
Mesures de sécurité physique :
- Périmètres de sécurité physique et contrôles d'accès
- Sécurisation des bureaux, salles et installations
- Protection et maintenance des équipements
- Politiques de bureau propre et d'écran verrouillé
- Gestion sécurisée et élimination des supports de stockage
Mesures technologiques (34 mesures)
Mise en œuvre de la sécurité technique :
- Authentification des utilisateurs, autorisation et droits d'accès
- Chiffrement et gestion des clés
- Journalisation et surveillance des événements de sécurité
- Sécurité et segmentation des réseaux
- Cycle de vie du développement logiciel sécurisé (SDLC)
- Protection des données, masquage et prévention des fuites
- Gestion des vulnérabilités et gestion des correctifs
- Sauvegarde et redondance
Les 11 nouvelles mesures introduites en 2022
La révision ISO/IEC 27001:2022 a introduit 11 nouvelles mesures reflétant les défis modernes de la sécurité :
| Mesure | Sujet |
|---|---|
| A.5.7 | Renseignement sur les menaces |
| A.5.23 | Sécurité de l'information pour les services cloud |
| A.5.30 | Préparation des TIC pour la continuité d'activité |
| A.7.4 | Surveillance de la sécurité physique |
| A.8.9 | Gestion des configurations |
| A.8.10 | Suppression de l'information |
| A.8.11 | Masquage des données |
| A.8.12 | Prévention des fuites de données |
| A.8.16 | Activités de surveillance |
| A.8.23 | Filtrage web |
| A.8.28 | Codage sécurisé |
Qu'est-ce qu'un SMSI ?
ISO 27001 certifie votre Système de Management de la Sécurité de l'Information (SMSI). Un SMSI n'est pas un produit logiciel ou un outil technique — c'est un système de management : un ensemble de politiques, processus, rôles et mesures qui fonctionnent ensemble pour gérer systématiquement les risques liés à la sécurité de l'information.
Pensez-y comme à un système de management de la qualité (ISO 9001) pour la sécurité. De même qu'un SMQ assure une qualité produit constante grâce à des processus documentés et une amélioration continue, un SMSI assure une sécurité de l'information constante grâce à une gestion structurée des risques.
Un SMSI comprend :
- Définition du périmètre — quels actifs informationnels, systèmes et processus sont inclus
- Méthodologie d'appréciation des risques — comment identifier et évaluer les risques
- Plan de traitement des risques — ce que vous faites de chaque risque (réduire, accepter, transférer, éviter)
- Déclaration d'applicabilité (DdA) — quelles mesures de l'Annexe A s'appliquent et comment elles sont mises en œuvre
- Politiques et procédures — les règles que suit votre organisation
- Preuves des mesures — preuves de l'efficacité opérationnelle des mesures
- Programme d'audit interne — vérifications régulières du fonctionnement du SMSI
- Procès-verbaux des revues de direction — preuves de l'engagement de la direction
- Suivi des actions correctives — comment vous répondez aux problèmes et en tirez des leçons
En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) reconnaît ISO 27001 comme référentiel de sécurité pertinent. Les organismes de certification accrédités COFRAC — comme Bureau Veritas, LRQA et SGS — délivrent les certificats ISO 27001 les plus reconnus sur le marché français.
Pour un guide détaillé sur la construction d'un SMSI, consultez Qu'est-ce qu'un SMSI ?.
Pourquoi ISO 27001 est importante en 2026
Les acheteurs en entreprise l'exigent
La raison commerciale la plus directe pour se certifier : les processus d'achat en entreprise exigent de plus en plus ISO 27001 comme condition de base. Cela est particulièrement vrai sur les marchés européens, où les acheteurs allemands, néerlandais, français et nordiques attendent la certification ISO 27001 avant de signer des contrats logiciels B2B.
Les données le confirment : 81 % des organisations ont déclaré avoir une certification ISO 27001 actuelle ou planifiée en 2025, contre 67 % en 2024 — une augmentation de 14 points de pourcentage en un an [⁴].
NIS2 et DORA créent une dynamique réglementaire
Pour les organisations soumises à la Directive NIS2 ou au règlement DORA, ISO 27001 offre un chevauchement significatif avec les exigences réglementaires :
- NIS2 Article 21 exige l'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement — tout ce qui est couvert par les mesures ISO 27001
- DORA exige des cadres de gestion des risques TIC pour les entités financières qui correspondent étroitement à la structure du système de management ISO 27001
ISO 27001 ne garantit pas la conformité NIS2 ou DORA — les deux règlements ont des exigences spécifiques supplémentaires qui vont au-delà du SMSI. Mais elle fournit environ 70 % des fondements nécessaires à la conformité NIS2.
En France, l'ANSSI guide les entreprises soumises à NIS2 vers ISO 27001 comme point de départ naturel pour leurs démarches de conformité.
Avantage concurrentiel lors des revues sécurité
Les organisations certifiées peuvent partager leur certificat ISO 27001 — avec leur périmètre, leur Déclaration d'applicabilité et leurs preuves de mesures — via un Trust Center. Cela permet aux acheteurs d'effectuer eux-mêmes leur due diligence en matière de sécurité sans envoyer de questionnaires.
Avantages de la cyber-assurance
Les cyber-assureurs sont devenus de plus en plus rigoureux dans leurs critères de souscription. Les organisations certifiées ISO 27001 démontrent une approche systématique de la gestion des risques, ce qui réduit directement l'exposition de l'assureur.
Efficacité multi-cadres
Les 93 mesures de l'Annexe A d'ISO 27001 chevauchent à 70-80 % les critères des services de confiance de SOC 2. Les organisations qui construisent leur programme de conformité autour d'ISO 27001 établissent un socle qui s'étend à plusieurs cadres [⁵].
ISO 27001 vs autres cadres de sécurité
ISO 27001 vs SOC 2
| Dimension | ISO 27001 | SOC 2 |
|---|---|---|
| Origine | International (ISO/IEC) | États-Unis (AICPA) |
| Résultat | Certificat d'un organisme accrédité | Rapport d'attestation d'un cabinet d'expertise comptable |
| Approche | Basée sur les risques avec mesures Annexe A | Basée sur des critères (Trust Services Criteria) |
| Durée | Certificat 3 ans avec surveillance annuelle | Rapport annuel couvrant la période d'observation |
| Coût | EUR 30 000–150 000 la première année | USD 30 000–150 000 la première année |
| Calendrier | 6–12 mois | Type II : 9–12 mois |
| Géographie | Dominant en Europe et à l'international | Attendu sur le marché américain |
| Alignement réglementaire | Fort alignement UE (NIS2, DORA, RGPD) | Fort alignement américain |
| Chevauchement des mesures | — | 70–80 % de chevauchement avec ISO 27001 |
Lequel choisir ? Pour les entreprises européennes, ISO 27001 devrait être votre fondation. Pour les entreprises ayant des clients américains, envisagez d'ajouter SOC 2. Grâce au chevauchement de 70-80 % des mesures, poursuivre les deux simultanément coûte 30-40 % de moins que de les construire séparément [⁵].
ISO 27001 vs ISO 27002
Une source courante de confusion : ISO 27001 est la norme certifiable ; ISO 27002 fournit des lignes directrices de mise en œuvre. Les organisations sont certifiées selon ISO 27001. ISO 27002 fournit des conseils détaillés et non obligatoires sur la façon de mettre en œuvre chacune des 93 mesures de l'Annexe A.
ISO 27001 vs RGPD
ISO 27001 et le RGPD se complètent sans se remplacer. La norme ISO/IEC 27701 étend ISO 27001 spécifiquement pour la gestion des informations relatives à la protection de la vie privée, créant un Système de Management des Informations sur la Protection de la Vie Privée (SMIPVP). Les organisations déjà certifiées ISO 27001 peuvent poursuivre la certification ISO 27701 avec un effort marginal relativement faible, obtenant ainsi un cadre unifié pour la sécurité de l'information et la conformité RGPD.
Ce que prouve la certification ISO 27001 — et ce qu'elle ne prouve pas
Ce qu'elle prouve
La certification ISO 27001 prouve qu'au moment de l'audit :
- Votre organisation a défini le périmètre de son SMSI
- Vous avez effectué une appréciation des risques approfondie et documentée
- Vous avez mis en œuvre des mesures appropriées basées sur cette appréciation
- Vos processus SMSI (audit interne, revue de direction, actions correctives) fonctionnent
- Un organisme de certification accrédité et indépendant a vérifié tout cela
Ce qu'elle ne prouve pas
- Que votre organisation n'a jamais subi de violation. Elle signifie que vous avez une approche systématique de la gestion des risques.
- La conformité NIS2 ou DORA. Les deux règlements ont des exigences spécifiques qui vont au-delà du SMSI — notamment concernant les délais de notification des incidents et la responsabilité de la direction.
- La couverture de toute votre organisation par défaut. Le périmètre de certification est défini par l'organisation. Les acheteurs doivent vérifier attentivement le périmètre du certificat.
Le processus de certification ISO 27001 : aperçu
- Analyse des écarts — Évaluer votre posture de sécurité actuelle par rapport aux exigences ISO 27001
- Définir le périmètre — Déterminer ce que couvrira votre SMSI
- Appréciation des risques — Identifier et évaluer les risques pesant sur vos actifs dans le périmètre
- Mettre en œuvre les mesures — Déployer les mesures nécessaires pour traiter les risques identifiés
- Documenter le SMSI — Rédiger les politiques, procédures et la Déclaration d'applicabilité
- Exploiter le SMSI — Le faire fonctionner suffisamment longtemps pour générer des preuves (typiquement 3-6 mois)
- Audit interne — Mener un audit interne avant l'audit de certification
- Revue de direction — Tenir une revue de direction formelle de la performance du SMSI
- Audit de Stade 1 — L'organisme de certification examine votre documentation
- Audit de Stade 2 — L'organisme vérifie la mise en œuvre à travers des entretiens et des tests de preuves
- Certification — Certificat délivré si aucune non-conformité majeure ne subsiste
- Maintien — Audits de surveillance annuels ; recertification complète en année 3
Pour le guide étape par étape complet incluant les coûts, les délais et les erreurs courantes, consultez Certification ISO 27001 : Le guide complet.
La famille ISO 27000
ISO 27001 est le cœur d'une plus large famille ISO/IEC 27000 de normes de sécurité de l'information :
| Norme | Domaine |
|---|---|
| ISO/IEC 27001 | Exigences SMSI (certifiable) |
| ISO/IEC 27002 | Lignes directrices de mise en œuvre des mesures Annexe A |
| ISO/IEC 27003 | Lignes directrices de mise en œuvre SMSI |
| ISO/IEC 27004 | Surveillance et mesure SMSI |
| ISO/IEC 27005 | Gestion des risques de sécurité de l'information |
| ISO/IEC 27017 | Mesures de sécurité pour les services cloud |
| ISO/IEC 27018 | Protection des données personnelles dans les services cloud |
| ISO/IEC 27701 | Système de Management des Informations sur la Protection de la Vie Privée (SMIPVP) — étend ISO 27001 pour le RGPD |
Qui certifie les organisations selon ISO 27001 ?
En France, la certification ISO 27001 est délivrée par des organismes accrédités COFRAC :
| Organisme | Accréditation |
|---|---|
| Bureau Veritas Certification | COFRAC |
| LRQA (anciennement Lloyd's Register) | COFRAC / UKAS |
| SGS | COFRAC |
| BSI Group | UKAS / reconnaissance internationale |
| DNV | COFRAC |
| AFNOR Certification | COFRAC |
Le COFRAC (Comité français d'accréditation) est l'unique instance nationale d'accréditation en France, désignée par les pouvoirs publics conformément au règlement européen CE 765/2008. Les certificats délivrés par des organismes accrédités COFRAC sont reconnus dans toute l'UE via les accords de reconnaissance mutuelle de l'IAF.
Ce que la plupart des guides ne disent pas sur ISO 27001
1. La qualité des preuves est plus importante que jamais en 2026
Les auditeurs deviennent plus exigeants en matière de preuves. Les captures d'écran et les feuilles de calcul ne suffisent plus pour de nombreux organismes de certification. Les auditeurs veulent des preuves démontrant le fonctionnement continu des mesures sur toute la fenêtre d'observation (typiquement 6-12 mois) : journaux horodatés, historiques de tickets, comptes rendus de réunions [³].
2. L'appréciation des risques est à la fois la partie la plus difficile et la plus précieuse
Une appréciation des risques significative force à comprendre vos actifs informationnels réels, vos menaces et vos vulnérabilités — et crée le fondement documenté de chaque décision de mesure qui suit.
3. Les décisions de périmètre sont stratégiques
Pour la plupart des entreprises SaaS B2B, il est judicieux de couvrir le produit principal, son infrastructure et les équipes qui le construisent et l'exploitent.
4. L'automatisation a changé l'économie de la conformité
Les plateformes d'automatisation de la conformité se connectent aujourd'hui à vos fournisseurs cloud, à la gestion des identités, aux dépôts de code et aux outils de sécurité pour collecter des preuves en continu. Les organisations utilisant l'automatisation atteignent la certification en 4-6 mois plutôt qu'en 9-12 mois [⁴].
Par où commencer avec ISO 27001
Étape 1 : Comprenez ce que vous devez protéger. Documentez vos principaux actifs informationnels : données clients, propriété intellectuelle, infrastructure.
Étape 2 : Réalisez une analyse des écarts. Comparez vos mesures de sécurité actuelles aux exigences ISO 27001.
Étape 3 : Estimez le périmètre et le budget. Utilisez notre guide des coûts de certification ISO 27001 pour élaborer un plan de projet réaliste.
Étape 4 : Évaluez les outils. La décision entre conformité basée sur des tableurs et une plateforme SMSI dédiée est fondamentalement une question d'économie.
Étape 5 : Choisissez un organisme de certification tôt. Les organismes de certification se remplissent rapidement. Contactez des organismes accrédités COFRAC potentiels 3-4 mois avant votre date d'audit prévue.
Foire aux questions
Qu'est-ce qu'ISO 27001 en termes simples ?
ISO 27001 est une norme reconnue internationalement indiquant aux organisations comment construire, exploiter et améliorer un système de gestion des risques liés à la sécurité de l'information. Des auditeurs indépendants vérifient la conformité et délivrent un certificat valable trois ans.
Qui a besoin d'ISO 27001 ?
Toute organisation traitant des informations sensibles bénéficie d'ISO 27001. Elle est particulièrement critique pour les éditeurs de logiciels B2B, les prestataires de services cloud et les organisations de santé qui servent des acheteurs en entreprise européens.
Que prouve la certification ISO 27001 ?
Elle prouve qu'un auditeur accrédité et indépendant a vérifié que votre organisation a évalué ses risques liés à la sécurité de l'information, mis en œuvre des mesures appropriées et établi des processus de management pour maintenir et améliorer continuellement son programme de sécurité.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est la norme certifiable contre laquelle les organisations sont auditées. ISO 27002 fournit des conseils supplémentaires sur la mise en œuvre des mesures de l'Annexe A. Vous êtes certifié selon ISO 27001 ; ISO 27002 vous aide à mettre en œuvre les mesures efficacement.
ISO 27001 est-elle obligatoire dans l'UE ?
ISO 27001 n'est pas légalement obligatoire, mais elle est devenue une exigence de marché de facto pour les entreprises B2B en Europe. NIS2 fait référence aux mesures ISO 27001, et les processus d'achat en entreprise l'exigent fréquemment explicitement.
Pour aller plus loin
- Certification ISO 27001 : Le guide complet — Processus de certification étape par étape, coûts et délais
- Qu'est-ce qu'un SMSI ? — Le système de management que certifie ISO 27001
- Conformité SOC 2 — Comparaison d'ISO 27001 avec SOC 2
- Automatisation de la conformité — Automatiser la collecte de preuves ISO 27001
- Conformité NIS2 — La directive UE qui fait référence aux mesures ISO 27001
- Logiciel SMSI d'Orbiq — Gérez votre programme ISO 27001
Sources et références
[¹] HEIC — Les certifications ISO 27001 ont presque doublé en 2024 : https://heic.eu/iso-27001-certifications-nearly-double-in-2024-as-global-organizations-prioritize-cybersecurity/
[²] Business Research Insights — Marché de la certification ISO 27001, perspectives 2035 : https://www.businessresearchinsights.com/market-reports/iso-27001-certification-market-120318
[³] Konfirmity — Ce qui a changé dans ISO 27001 en 2026 : https://www.konfirmity.com/blog/iso-27001-what-changed-in-2026
[⁴] Secureframe — 130+ Statistiques et tendances de conformité 2026 : https://secureframe.com/blog/compliance-statistics
[⁵] SOC 2 Auditors — SOC 2 vs ISO 27001 (2026) : https://soc2auditors.org/insights/soc-2-vs-iso-27001/
Ce guide est maintenu par l'équipe Orbiq. Dernière mise à jour : mars 2026.