Qu'est-ce qu'ISO 27001 ?

ISO 27001 est la norme internationale pour les systemes de management de la securite de l'information (SMSI). Publiee par l'ISO et l'IEC, elle specifie les exigences pour etablir, mettre en oeuvre, maintenir et ameliorer continuellement un SMSI. La certification demontre qu'une organisation dispose d'une approche systematique de la gestion des informations sensibles et qu'elle a ete verifiee de maniere independante par un organisme de certification accredite.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Pour la plupart des entreprises de taille moyenne (50-500 employes), comptez 6 a 12 mois entre le lancement du projet et la certification. Ce delai se decompose ainsi : 3 a 6 mois pour la mise en oeuvre du SMSI (evaluation des risques, implementation des controles, documentation), 2 a 3 mois d'exploitation du SMSI pour demontrer son efficacite, et 4 a 8 semaines pour l'audit de certification (Etape 1 + Etape 2). Les entreprises disposant deja d'un programme de securite ou d'outils d'automatisation de la conformite peuvent avancer plus rapidement.

Combien coute la certification ISO 27001 ?

Les couts varient selon la taille et le perimetre de l'organisation. Fourchettes typiques pour une entreprise de taille moyenne : frais d'audit de certification (10 000-30 000 EUR), plateforme d'automatisation de la conformite (10 000-50 000 EUR/an), accompagnement par un consultant si necessaire (15 000-50 000 EUR) et effort interne (150-400 jours-personne). Le cout total la premiere annee se situe generalement entre 30 000 et 150 000 EUR. Les couts de maintenance annuels sont inferieurs (15 000-50 000 EUR) et couvrent les audits de surveillance, les frais de plateforme et l'exploitation continue du SMSI.

Quelle est la difference entre ISO 27001:2013 et ISO 27001:2022 ?

ISO 27001:2022 est la version actuelle, remplacant l'edition 2013. Principaux changements : l'Annexe A a ete restructuree de 14 categories de controles (114 controles) a 4 categories (93 controles). Onze nouveaux controles ont ete ajoutes couvrant la veille sur les menaces, la securite cloud, la preparation TIC a la continuite d'activite, le masquage des donnees, et d'autres. Les clauses du systeme de management (4-10) ont recu des mises a jour mineures de formulation. Les organisations certifiees selon la version 2013 avaient jusqu'au 31 octobre 2025 pour effectuer la transition.

Quels sont les controles de l'Annexe A d'ISO 27001 ?

L'Annexe A contient 93 controles de reference organises en quatre categories : organisationnels (37 controles couvrant les politiques, la gestion des actifs, le controle d'acces, la securite des fournisseurs, la gestion des incidents), lies aux personnes (8 controles couvrant la selection, la formation, les mesures disciplinaires, le travail a distance), physiques (14 controles couvrant les zones securisees, les equipements, le bureau propre, les supports de stockage) et technologiques (34 controles couvrant l'authentification, le chiffrement, la journalisation, la securite reseau, le developpement securise, la protection des donnees).

ISO 27001 est-elle obligatoire ?

La certification ISO 27001 est volontaire. Cependant, elle est de plus en plus exigee par les clients grands comptes lors des processus d'achat, en particulier en Europe. NIS2 fait reference a ISO 27001 comme norme pertinente pour demontrer la conformite aux mesures de l'article 21. DORA exige des cadres de gestion des risques TIC qui s'alignent etroitement sur ISO 27001. De nombreuses reglementations sectorielles et marches publics exigent ou privilegient fortement la certification ISO 27001.

Quelle est la difference entre ISO 27001 et SOC 2 ?

ISO 27001 est une norme de certification internationale utilisant une approche basee sur les risques avec les controles de l'Annexe A ; elle est valable 3 ans avec des audits de surveillance annuels. SOC 2 est un cadre d'attestation americain utilisant les criteres Trust Services Criteria ; les rapports couvrent une periode specifique (generalement 12 mois). ISO 27001 est plus forte sur les marches europeens et internationaux ; SOC 2 est attendu par les acheteurs grands comptes americains. De nombreuses entreprises visant les marches mondiaux obtiennent les deux, avec 70-80 % de chevauchement des controles.

Quel est le lien entre ISO 27001 et NIS2 ?

ISO 27001 fournit une base solide pour la conformite NIS2 mais ne la garantit pas. L'article 21 de NIS2 exige dix categories de mesures de gestion des risques qui correspondent bien aux controles ISO 27001 : analyse des risques, gestion des incidents, continuite d'activite, securite de la chaine d'approvisionnement, et autres. Cependant, NIS2 comporte des exigences specifiques concernant les delais de signalement des incidents (alerte precoce sous 24 heures), la responsabilite de la direction et la securite de la chaine d'approvisionnement qui vont au-dela de ce que couvre ISO 27001. La certification ISO 27001 demontre la maturite en matiere de securite aupres des autorites de supervision NIS2.

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

Published 7 mars 2026

By Emre Salmanoglu

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

Guide pratique de la certification ISO 27001 — ce qu'elle couvre, le deroulement de l'audit, les controles de l'Annexe A, les liens avec NIS2 et DORA, et ce que les entreprises europeennes doivent savoir pour obtenir et maintenir la certification.

ISO 27001

certification

SMSI

securite de l'information

Annexe A

NIS2

DORA

Besoin du guide complet ? Consultez notre Certification ISO 27001 : Le guide complet ou passez directement à la Liste de contrôle ISO 27001.

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

ISO 27001 est la reference internationale en matiere de management de la securite de l'information. Publiee par l'Organisation internationale de normalisation (ISO) et la Commission electrotechnique internationale (IEC), elle definit les exigences pour construire, exploiter et ameliorer un systeme de management de la securite de l'information (SMSI).

Pour les entreprises europeennes, ISO 27001 remplit un double objectif : satisfaire les exigences des acheteurs grands comptes lors des processus d'achat et fournir une base structuree pour repondre aux obligations reglementaires au titre de NIS2 et DORA.

Ce guide couvre ce que la norme exige, le deroulement de l'audit de certification, les changements apportes par la revision 2022 et la place d'ISO 27001 dans le paysage europeen de la conformite.

Ce qu'exige ISO 27001

ISO 27001 comporte deux parties principales : les exigences du systeme de management (clauses 4-10) et les controles de reference (Annexe A).

Exigences du systeme de management (clauses 4-10)

Ces clauses definissent le fonctionnement de votre SMSI :

Clause 4 — Contexte de l'organisation : Definir le perimetre, comprendre les parties interessees, determiner les enjeux internes et externes affectant la securite de l'information
Clause 5 — Leadership : Etablir la politique de securite de l'information, attribuer les roles et responsabilites, demontrer l'engagement de la direction
Clause 6 — Planification : Realiser l'evaluation des risques, definir le plan de traitement des risques, fixer les objectifs de securite de l'information, planifier les changements
Clause 7 — Support : Allouer les ressources, assurer les competences, developper la sensibilisation, etablir les canaux de communication, gerer les informations documentees
Clause 8 — Realisation : Executer l'evaluation et le traitement des risques, gerer la planification et le controle operationnels
Clause 9 — Evaluation des performances : Surveiller et mesurer l'efficacite du SMSI, realiser des audits internes, effectuer les revues de direction
Clause 10 — Amelioration : Traiter les non-conformites, mettre en oeuvre les actions correctives, piloter l'amelioration continue

Controles de l'Annexe A (ISO 27001:2022)

L'Annexe A fournit 93 controles de reference organises en quatre categories :

Controles organisationnels (37 controles)

Couvrant la gouvernance, les politiques et les processus de gestion :

Politiques et roles en matiere de securite de l'information
Gestion et classification des actifs
Controle d'acces et gestion des identites
Securite des fournisseurs et des tiers
Gestion des incidents et continuite d'activite
Conformite et exigences legales

Controles lies aux personnes (8 controles)

Couvrant la dimension humaine de la securite :

Verification prealable a l'embauche
Conditions d'emploi
Sensibilisation et formation a la securite
Processus disciplinaire
Responsabilites apres la fin du contrat
Travail a distance et accords de confidentialite

Controles physiques (14 controles)

Couvrant les mesures de securite physique :

Perimetres de securite physique et controles d'entree
Securisation des bureaux, salles et installations
Protection et maintenance des equipements
Politiques de bureau propre et ecran vierge
Manipulation et elimination des supports de stockage

Controles technologiques (34 controles)

Couvrant les mesures de securite technique :

Authentification des utilisateurs et droits d'acces
Chiffrement et gestion des cles
Journalisation et surveillance de securite
Securite et segmentation du reseau
Cycle de vie du developpement securise
Protection des donnees et vie privee
Gestion des vulnerabilites et des correctifs
Sauvegarde et redondance

Declaration d'applicabilite (DdA)

La DdA est l'un des documents ISO 27001 les plus critiques. Elle liste chaque controle de l'Annexe A et indique :

Si le controle est applicable ou exclu
La justification de l'inclusion ou de l'exclusion
Comment le controle est mis en oeuvre
La reference a la documentation correspondante

La DdA fait le lien entre votre evaluation des risques et la mise en oeuvre de vos controles — les auditeurs l'examinent avec attention.

Le processus de certification

Choix d'un organisme de certification

Selectionnez un organisme de certification (OC) accredite. Points cles :

Accreditation : Verifiez que l'OC est accredite par un organisme national d'accreditation (par exemple, le COFRAC en France, le DAkkS en Allemagne, l'UKAS au Royaume-Uni)
Experience sectorielle : Choisissez un OC disposant d'auditeurs experimentes dans votre secteur et votre environnement technologique
Couverture geographique : Pour les entreprises multi-sites, assurez-vous que l'OC peut auditer tous les sites
Reputation : La reputation de l'OC influence la perception de votre certification par les acheteurs

Audit Etape 1 (revue documentaire)

L'audit Etape 1 est une verification de la preparation :

Revue documentaire — L'auditeur examine la documentation de votre SMSI : politiques, evaluation des risques, DdA, procedures et enregistrements
Verification du perimetre — Confirme que le perimetre du SMSI est approprie et clairement defini
Evaluation de la preparation — Evalue si le SMSI est suffisamment mis en oeuvre pour l'Etape 2
Planification — Identifie les points d'attention pour l'audit Etape 2

Duree : Generalement 1-2 jours sur site ou a distance

Resultat : Rapport d'Etape 1 identifiant les points de preoccupation et confirmant la preparation (ou non) pour l'Etape 2

Audit Etape 2 (verification de la mise en oeuvre)

L'audit Etape 2 verifie que votre SMSI fonctionne efficacement :

Test des controles — Les auditeurs testent les controles par des entretiens, l'observation, l'examen des preuves et la re-execution
Verification des processus — Verifie que les processus du SMSI (evaluation des risques, audit interne, revue de direction) fonctionnent
Echantillonnage des preuves — Examine des echantillons d'enregistrements, de journaux et de documentation sur la periode d'audit
Entretiens avec le personnel — Echange avec le personnel a differents niveaux pour verifier la sensibilisation et la conformite
Classification des constats — Les problemes sont classes en :
- Non-conformite majeure — Defaillance significative necessitant une correction avant la certification
- Non-conformite mineure — Defaillance isolee necessitant un plan d'action corrective
- Observation — Axe d'amelioration (ne bloque pas la certification)

Duree : Generalement 3-10 jours selon la taille et le perimetre de l'organisation

Resultat : Rapport d'Etape 2 avec les constats et la recommandation de certification

Decision de certification

Apres l'Etape 2 :

En l'absence de non-conformite majeure : la certification est recommandee
En cas de non-conformites majeures : vous devez les corriger et fournir des preuves avant que la certification soit accordee
Les non-conformites mineures necessitent un plan d'action corrective dans un delai convenu
Le comite de revue de l'organisme de certification prend la decision finale de certification

Maintien de la certification

La certification ISO 27001 est valable trois ans avec des obligations continues :

Audits de surveillance — Audits annuels (generalement les annees 1 et 2) verifiant le fonctionnement continu du SMSI. De perimetre plus reduit que l'audit initial.
Amelioration continue — Vous devez demontrer que le SMSI s'ameliore, pas seulement qu'il est maintenu
Audit de re-certification — Audit complet en annee 3 pour renouveler le certificat pour un nouveau cycle de trois ans
Exploitation continue — Le SMSI doit fonctionner en continu entre les audits — evaluations des risques mises a jour, incidents geres, controles surveilles, audits internes realises

ISO 27001:2022 — Ce qui a change

La revision 2022 a apporte des changements significatifs a l'Annexe A tout en conservant les clauses du systeme de management largement intactes :

Categories de controles restructurees

ISO 27001:2013	ISO 27001:2022
14 categories de controles	4 categories de controles
114 controles	93 controles
Numerotation A.5-A.18	Numerotation A.5-A.8

11 nouveaux controles

La revision 2022 a ajoute des controles refletant les defis de securite modernes :

A.5.7 Veille sur les menaces — Collecte et analyse des informations sur les menaces
A.5.23 Securite de l'information pour les services cloud — Gestion des risques specifiques au cloud
A.5.30 Preparation TIC a la continuite d'activite — S'assurer que la technologie soutient les plans de continuite
A.7.4 Surveillance de la securite physique — Systemes de surveillance et de detection
A.8.9 Gestion des configurations — Gestion securisee des configurations systeme
A.8.10 Suppression de l'information — Suppression securisee lorsqu'elle n'est plus necessaire
A.8.11 Masquage des donnees — Protection des donnees sensibles par des techniques de masquage
A.8.12 Prevention des fuites de donnees — Prevention de l'exfiltration non autorisee de donnees
A.8.16 Activites de surveillance — Surveillance et analyse des evenements de securite
A.8.23 Filtrage web — Gestion de l'acces aux sites web externes
A.8.28 Codage securise — Application des principes de developpement securise

Attributs des controles

La version 2022 introduit cinq attributs pour chaque controle, permettant aux organisations de creer differentes vues :

Type de controle : Preventif, Detectif, Correctif
Proprietes de securite de l'information : Confidentialite, Integrite, Disponibilite
Concepts de cybersecurite : Identifier, Proteger, Detecter, Repondre, Recuperer
Capacites operationnelles : Gouvernance, Gestion des actifs, etc.
Domaines de securite : Gouvernance et ecosysteme, Protection, Defense, Resilience

ISO 27001 et les reglementations europeennes

Alignement avec NIS2

ISO 27001 correspond bien aux exigences de l'article 21 de NIS2, mais des ecarts existent :

Mesure de l'article 21 de NIS2	Couverture ISO 27001
Analyse des risques et politiques de securite	Forte — Clauses 6, 8, Annexe A.5
Gestion des incidents	Partielle — A.5.24-A.5.28 couvrent la gestion mais pas le signalement sous 24 heures de NIS2
Continuite d'activite	Forte — A.5.29-A.5.30
Securite de la chaine d'approvisionnement	Partielle — A.5.19-A.5.22 couvrent la securite des fournisseurs mais NIS2 exige une evaluation plus approfondie
Securite d'acquisition des systemes	Forte — A.8.25-A.8.31
Evaluation de l'efficacite	Forte — Clause 9
Cyber-hygiene et formation	Forte — A.6.3, A.6.4
Cryptographie	Forte — A.8.24
Securite RH et controle d'acces	Forte — A.6, A.8.1-A.8.5
Authentification multifacteur	Partielle — A.8.5 traite l'authentification mais n'impose pas le MFA

Ecart cle : Le signalement des incidents NIS2 exige une alerte precoce sous 24 heures au CSIRT, une notification d'incident sous 72 heures et un rapport final sous un mois. ISO 27001 exige la gestion des incidents mais ne prescrit pas de delais de signalement specifiques.

Alignement avec DORA

Pour les entites financieres, ISO 27001 fournit une base pour les exigences de gestion des risques TIC de DORA :

Cadre de gestion des risques TIC (DORA Articles 5-16) s'aligne sur les clauses 6-8 d'ISO 27001
Gestion des incidents lies aux TIC (DORA Articles 17-23) va au-dela des controles d'incidents d'ISO 27001
Tests de resilience operationnelle numerique (DORA Articles 24-27) exige des tests plus structures que l'audit interne d'ISO 27001
Gestion des risques lies aux tiers TIC (DORA Articles 28-44) exige une supervision plus approfondie des fournisseurs que les controles A.5.19-A.5.22 d'ISO 27001

Synergies avec le RGPD

ISO 27001 soutient la conformite RGPD par :

Une approche basee sur les risques pour la protection des donnees personnelles
Des controles de controle d'acces et de classification des donnees
La gestion des incidents (soutenant les obligations de notification de violation)
La gestion des fournisseurs (soutenant les exigences relatives aux sous-traitants au titre de l'article 28)
ISO 27701 (gestion de la vie privee) etend ISO 27001 specifiquement pour la protection de la vie privee

Erreurs courantes de certification

Considerer la certification comme l'objectif plutot que la securite. Les organisations qui construisent un SMSI uniquement pour reussir l'audit creent des systemes fragiles. Lorsque l'auditeur arrive, les lacunes se revelent. Construisez le SMSI parce qu'il rend votre organisation plus sure, et la certification suivra naturellement.
Sous-estimer l'evaluation des risques. L'evaluation des risques determine tout — votre selection de controles, votre DdA et votre perimetre d'audit. Une evaluation des risques superficielle conduit a des controles inadequats et des constats d'audit. Investissez du temps dans une evaluation approfondie et honnete.
Ignorer les exigences d'audit interne. Les audits internes sont obligatoires et doivent etre realises par des auditeurs independants des domaines audites. De nombreuses organisations retardent ou sautent les audits internes, puis font face a des non-conformites majeures lors de l'audit de certification.
Engagement insuffisant de la direction. ISO 27001 exige un engagement demontre de la direction — pas seulement une signature de politique. Les revues de direction doivent etre tenues, dotees en ressources et documentees avec des decisions et des actions claires.
Ne pas maintenir les preuves en continu. Les preuves doivent etre collectees tout au long de l'annee, pas rassemblees avant l'audit. La collecte automatisee des preuves via des plateformes de conformite elimine ce probleme et fournit une preparation continue aux audits.
Choisir un perimetre trop restreint. Un perimetre etroit (par exemple, certifier un seul produit alors que l'entreprise en exploite plusieurs) peut nuire a la credibilite aupres des acheteurs. Les acheteurs veulent voir que le SMSI couvre les systemes qui traitent leurs donnees.

Comment Orbiq accompagne la certification ISO 27001

Trust Center — Publiez votre statut de certification ISO 27001, le perimetre, le resume de la DdA et les controles de securite sous forme de hub de preuves destine aux acheteurs
Surveillance continue — Suivez l'efficacite des controles sur les 93 controles de l'Annexe A et identifiez les ecarts avant les audits de surveillance
Gestion des preuves — Collecte automatisee des preuves mappees aux clauses ISO 27001 et aux controles de l'Annexe A pour une preparation d'audit simplifiee
Questionnaires alimentes par l'IA — Repondez aux questionnaires de securite des acheteurs en utilisant les preuves de votre SMSI et de votre programme ISO 27001

Pour aller plus loin

SMSI — Construire le systeme de management certifie par ISO 27001
Conformite SOC 2 — Comparaison d'ISO 27001 et SOC 2 pour l'acces au marche americain
Politique de securite de l'information — Rediger le document de gouvernance de haut niveau du SMSI
Automatisation de la conformite — Automatiser la collecte de preuves et la surveillance ISO 27001

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.