Qu'est-ce qu'ISO 27001 ?

ISO 27001 est la norme internationale pour les systemes de management de la sécurité de l'information (SMSI). Publiee par l'ISO et l'IEC, elle specifie les exigences pour etablir, mettre en oeuvre, maintenir et ameliorer continuellement un SMSI. La certification demontre qu'une organisation dispose d'une approche systematique de la gestion des informations sensibles et qu'elle a ete verifiee de manière independante par un organisme de certification accredite.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Pour la plupart des entreprises de taille moyenne (50-500 employes), comptez 6 a 12 mois entre le lancement du projet et la certification. Ce delai se decompose ainsi : 3 a 6 mois pour la mise en oeuvre du SMSI (évaluation des risques, implementation des contrôles, documentation), 2 a 3 mois d'exploitation du SMSI pour demontrer son efficacite, et 4 a 8 semaines pour l'audit de certification (Etape 1 + Etape 2). Les entreprises disposant deja d'un programme de sécurité ou d'outils d'automatisation de la conformité peuvent avancer plus rapidement.

Combien coute la certification ISO 27001 ?

Les couts varient selon la taille et le perimetre de l'organisation. Fourchettes typiques pour une entreprise de taille moyenne : frais d'audit de certification (10 000-30 000 EUR), plateforme d'automatisation de la conformité (10 000-50 000 EUR/an), accompagnement par un consultant si nécessaire (15 000-50 000 EUR) et effort interne (150-400 jours-personne). Le cout total la premiere annee se situe generalement entre 30 000 et 150 000 EUR. Les couts de maintenance annuels sont inferieurs (15 000-50 000 EUR) et couvrent les audits de surveillance, les frais de plateforme et l'exploitation continue du SMSI.

Quelle est la difference entre ISO 27001:2013 et ISO 27001:2022 ?

ISO 27001:2022 est la version actuelle, remplacant l'edition 2013. Principaux changements : l'Annexe A a ete restructuree de 14 catégories de contrôles (114 contrôles) a 4 catégories (93 contrôles). Onze nouveaux contrôles ont ete ajoutes couvrant la veille sur les menaces, la sécurité cloud, la préparation TIC a la continuite d'activité, le masquage des données, et d'autres. Les clauses du systeme de management (4-10) ont recu des mises à jour mineures de formulation. Les organisations certifiees selon la version 2013 avaient jusqu'au 31 octobre 2025 pour effectuer la transition.

Quels sont les contrôles de l'Annexe A d'ISO 27001 ?

L'Annexe A contient 93 contrôles de référence organises en quatre catégories : organisationnels (37 contrôles couvrant les politiques, la gestion des actifs, le contrôle d'accès, la sécurité des fournisseurs, la gestion des incidents), lies aux personnes (8 contrôles couvrant la selection, la formation, les mesures disciplinaires, le travail à distance), physiques (14 contrôles couvrant les zones securisees, les equipements, le bureau propre, les supports de stockage) et technologiques (34 contrôles couvrant l'authentification, le chiffrement, la journalisation, la sécurité réseau, le developpement securise, la protection des données).

ISO 27001 est-elle obligatoire ?

La certification ISO 27001 est volontaire. Cependant, elle est de plus en plus exigee par les clients grands comptes lors des processus d'achat, en particulier en Europe. NIS2 fait référence a ISO 27001 comme norme pertinente pour demontrer la conformité aux mesures de l'article 21. DORA exige des cadres de gestion des risques TIC qui s'alignent etroitement sur ISO 27001. De nombreuses reglementations sectorielles et marches publics exigent ou privilegient fortement la certification ISO 27001.

Quelle est la difference entre ISO 27001 et SOC 2 ?

ISO 27001 est une norme de certification internationale utilisant une approche basee sur les risques avec les contrôles de l'Annexe A ; elle est valable 3 ans avec des audits de surveillance annuels. SOC 2 est un cadre d'attestation americain utilisant les critères Trust Services Criteria ; les rapports couvrent une periode specifique (generalement 12 mois). ISO 27001 est plus forte sur les marches europeens et internationaux ; SOC 2 est attendu par les acheteurs grands comptes americains. De nombreuses entreprises visant les marches mondiaux obtiennent les deux, avec 70-80 % de chevauchement des contrôles.

Quel est le lien entre ISO 27001 et NIS2 ?

ISO 27001 fournit une base solide pour la conformité NIS2 mais ne la garantit pas. L'article 21 de NIS2 exige dix catégories de mesures de gestion des risques qui correspondent bien aux contrôles ISO 27001 : analyse des risques, gestion des incidents, continuite d'activité, sécurité de la chaîne d'approvisionnement, et autres. Cependant, NIS2 comporte des exigences specifiques concernant les delais de signalement des incidents (alerte precoce sous 24 heures), la responsabilite de la direction et la sécurité de la chaîne d'approvisionnement qui vont au-dela de ce que couvre ISO 27001. La certification ISO 27001 demontre la maturité en matiere de sécurité aupres des autorites de supervision NIS2.

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

Published 7 mars 2026

By Emre Salmanoglu

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

Guide pratique de la certification ISO 27001 — ce qu'elle couvre, le deroulement de l'audit, les contrôles de l'Annexe A, les liens avec NIS2 et DORA, et ce que les entreprises europeennes doivent savoir pour obtenir et maintenir la certification.

ISO 27001

certification

SMSI

securite de l'information

Annexe A

NIS2

DORA

Besoin du guide complet ? Consultez notre Certification ISO 27001 : Le guide complet ou passez directement à la Liste de contrôle ISO 27001.

Certification ISO 27001 : ce qu'elle est, ce qu'elle exige et comment l'obtenir

ISO 27001 est la référence internationale en matiere de management de la sécurité de l'information. Publiee par l'Organisation internationale de normalisation (ISO) et la Commission electrotechnique internationale (IEC), elle definit les exigences pour construire, exploiter et ameliorer un systeme de management de la sécurité de l'information (SMSI).

Pour les entreprises europeennes, ISO 27001 remplit un double objectif : satisfaire les exigences des acheteurs grands comptes lors des processus d'achat et fournir une base structuree pour repondre aux obligations réglementaires au titre de NIS2 et DORA.

Ce guide couvre ce que la norme exige, le deroulement de l'audit de certification, les changements apportes par la revision 2022 et la place d'ISO 27001 dans le paysage europeen de la conformité.

Ce qu'exige ISO 27001

ISO 27001 comporte deux parties principales : les exigences du systeme de management (clauses 4-10) et les contrôles de référence (Annexe A).

Exigences du systeme de management (clauses 4-10)

Ces clauses definissent le fonctionnement de votre SMSI :

Clause 4 — Contexte de l'organisation : Definir le perimetre, comprendre les parties interessees, determiner les enjeux internes et externes affectant la sécurité de l'information
Clause 5 — Leadership : Etablir la politique de sécurité de l'information, attribuer les roles et responsabilites, demontrer l'engagement de la direction
Clause 6 — Planification : Realiser l'évaluation des risques, définir le plan de traitement des risques, fixer les objectifs de sécurité de l'information, planifier les changements
Clause 7 — Support : Allouer les ressources, assurer les competences, developper la sensibilisation, etablir les canaux de communication, gerer les informations documentees
Clause 8 — Realisation : Executer l'évaluation et le traitement des risques, gerer la planification et le contrôle opérationnels
Clause 9 — Évaluation des performances : Surveiller et mesurer l'efficacite du SMSI, realiser des audits internes, effectuer les revues de direction
Clause 10 — Amelioration : Traiter les non-conformites, mettre en oeuvre les actions correctives, piloter l'amelioration continue

Contrôles de l'Annexe A (ISO 27001:2022)

L'Annexe A fournit 93 contrôles de référence organises en quatre catégories :

Contrôles organisationnels (37 contrôles)

Couvrant la gouvernance, les politiques et les processus de gestion :

Politiques et roles en matiere de sécurité de l'information
Gestion et classification des actifs
Contrôle d'accès et gestion des identites
Sécurité des fournisseurs et des tiers
Gestion des incidents et continuite d'activité
Conformité et exigences legales

Contrôles lies aux personnes (8 contrôles)

Couvrant la dimension humaine de la sécurité :

Verification prealable a l'embauche
Conditions d'emploi
Sensibilisation et formation à la sécurité
Processus disciplinaire
Responsabilites apres la fin du contrat
Travail a distance et accords de confidentialité

Contrôles physiques (14 contrôles)

Couvrant les mesures de sécurité physique :

Perimetres de sécurité physique et contrôles d'entree
Securisation des bureaux, salles et installations
Protection et maintenance des equipements
Politiques de bureau propre et ecran vierge
Manipulation et elimination des supports de stockage

Contrôles technologiques (34 contrôles)

Couvrant les mesures de sécurité technique :

Authentification des utilisateurs et droits d'accès
Chiffrement et gestion des cles
Journalisation et surveillance de sécurité
Sécurité et segmentation du réseau
Cycle de vie du developpement securise
Protection des données et vie privee
Gestion des vulnerabilites et des correctifs
Sauvegarde et redondance

Declaration d'applicabilite (DdA)

La DdA est l'un des documents ISO 27001 les plus critiques. Elle liste chaque contrôle de l'Annexe A et indique :

Si le contrôle est applicable ou exclu
La justification de l'inclusion ou de l'exclusion
Comment le contrôle est mis en oeuvre
La référence a la documentation correspondante

La DdA fait le lien entre votre évaluation des risques et la mise en oeuvre de vos contrôles — les auditeurs l'examinent avec attention.

Le processus de certification

Choix d'un organisme de certification

Selectionnez un organisme de certification (OC) accredite. Points cles :

Accreditation : Verifiez que l'OC est accredite par un organisme national d'accreditation (par exemple, le COFRAC en France, le DAkkS en Allemagne, l'UKAS au Royaume-Uni)
Experience sectorielle : Choisissez un OC disposant d'auditeurs experimentes dans votre secteur et votre environnement technologique
Couverture geographique : Pour les entreprises multi-sites, assurez-vous que l'OC peut auditer tous les sites
Reputation : La reputation de l'OC influence la perception de votre certification par les acheteurs

Audit Etape 1 (revue documentaire)

L'audit Etape 1 est une verification de la préparation :

Revue documentaire — L'auditeur examine la documentation de votre SMSI : politiques, évaluation des risques, DdA, procedures et enregistrements
Verification du perimetre — Confirme que le perimetre du SMSI est approprie et clairement défini
Évaluation de la préparation — Evalue si le SMSI est suffisamment mis en oeuvre pour l'Etape 2
Planification — Identifie les points d'attention pour l'audit Etape 2

Duree : Generalement 1-2 jours sur site ou a distance

Resultat : Rapport d'Etape 1 identifiant les points de preoccupation et confirmant la préparation (ou non) pour l'Etape 2

Audit Etape 2 (verification de la mise en oeuvre)

L'audit Etape 2 vérifie que votre SMSI fonctionne efficacement :

Test des contrôles — Les auditeurs testent les contrôles par des entretiens, l'observation, l'examen des preuves et la re-execution
Verification des processus — Verifie que les processus du SMSI (évaluation des risques, audit interne, revue de direction) fonctionnent
Echantillonnage des preuves — Examine des echantillons d'enregistrements, de journaux et de documentation sur la periode d'audit
Entretiens avec le personnel — Echange avec le personnel a differents niveaux pour verifier la sensibilisation et la conformité
Classification des constats — Les problemes sont classes en :
- Non-conformité majeure — Defaillance significative necessitant une correction avant la certification
- Non-conformité mineure — Defaillance isolee necessitant un plan d'action corrective
- Observation — Axe d'amelioration (ne bloque pas la certification)

Duree : Generalement 3-10 jours selon la taille et le perimetre de l'organisation

Resultat : Rapport d'Etape 2 avec les constats et la recommandation de certification

Decision de certification

Apres l'Etape 2 :

En l'absence de non-conformité majeure : la certification est recommandee
En cas de non-conformites majeures : vous devez les corriger et fournir des preuves avant que la certification soit accordee
Les non-conformites mineures nécessitent un plan d'action corrective dans un delai convenu
Le comite de revue de l'organisme de certification prend la décision finale de certification

Maintien de la certification

La certification ISO 27001 est valable trois ans avec des obligations continues :

Audits de surveillance — Audits annuels (generalement les annees 1 et 2) verifiant le fonctionnement continu du SMSI. De perimetre plus réduit que l'audit initial.
Amelioration continue — Vous devez demontrer que le SMSI s'ameliore, pas seulement qu'il est maintenu
Audit de re-certification — Audit complet en annee 3 pour renouveler le certificat pour un nouveau cycle de trois ans
Exploitation continue — Le SMSI doit fonctionner en continu entre les audits — évaluations des risques mises à jour, incidents geres, contrôles surveilles, audits internes realises

ISO 27001:2022 — Ce qui a change

La revision 2022 a apporte des changements significatifs a l'Annexe A tout en conservant les clauses du systeme de management largement intactes :

Categories de contrôles restructurees

ISO 27001:2013	ISO 27001:2022
14 catégories de contrôles	4 catégories de contrôles
114 contrôles	93 contrôles
Numerotation A.5-A.18	Numerotation A.5-A.8

11 nouveaux contrôles

La revision 2022 a ajoute des contrôles refletant les defis de sécurité modernes :

A.5.7 Veille sur les menaces — Collecte et analyse des informations sur les menaces
A.5.23 Sécurité de l'information pour les services cloud — Gestion des risques specifiques au cloud
A.5.30 Preparation TIC a la continuite d'activité — S'assurer que la technologie soutient les plans de continuite
A.7.4 Surveillance de la sécurité physique — Systemes de surveillance et de detection
A.8.9 Gestion des configurations — Gestion securisee des configurations systeme
A.8.10 Suppression de l'information — Suppression securisee lorsqu'elle n'est plus nécessaire
A.8.11 Masquage des données — Protection des données sensibles par des techniques de masquage
A.8.12 Prevention des fuites de données — Prevention de l'exfiltration non autorisee de données
A.8.16 Activites de surveillance — Surveillance et analyse des événements de sécurité
A.8.23 Filtrage web — Gestion de l'accès aux sites web externes
A.8.28 Codage securise — Application des principes de developpement securise

Attributs des contrôles

La version 2022 introduit cinq attributs pour chaque contrôle, permettant aux organisations de creer differentes vues :

Type de contrôle : Preventif, Detectif, Correctif
Proprietes de sécurité de l'information : Confidentialité, Integrite, Disponibilite
Concepts de cybersecurite : Identifier, Proteger, Detecter, Repondre, Recuperer
Capacites opérationnelles : Gouvernance, Gestion des actifs, etc.
Domaines de sécurité : Gouvernance et ecosysteme, Protection, Defense, Resilience

ISO 27001 et les reglementations europeennes

Alignement avec NIS2

ISO 27001 correspond bien aux exigences de l'article 21 de NIS2, mais des ecarts existent :

Mesure de l'article 21 de NIS2	Couverture ISO 27001
Analyse des risques et politiques de sécurité	Forte — Clauses 6, 8, Annexe A.5
Gestion des incidents	Partielle — A.5.24-A.5.28 couvrent la gestion mais pas le signalement sous 24 heures de NIS2
Continuite d'activité	Forte — A.5.29-A.5.30
Sécurité de la chaîne d'approvisionnement	Partielle — A.5.19-A.5.22 couvrent la sécurité des fournisseurs mais NIS2 exige une évaluation plus approfondie
Sécurité d'acquisition des systemes	Forte — A.8.25-A.8.31
Évaluation de l'efficacite	Forte — Clause 9
Cyber-hygiene et formation	Forte — A.6.3, A.6.4
Cryptographie	Forte — A.8.24
Sécurité RH et contrôle d'accès	Forte — A.6, A.8.1-A.8.5
Authentification multifacteur	Partielle — A.8.5 traite l'authentification mais n'impose pas le MFA

Ecart cle : Le signalement des incidents NIS2 exige une alerte precoce sous 24 heures au CSIRT, une notification d'incident sous 72 heures et un rapport final sous un mois. ISO 27001 exige la gestion des incidents mais ne prescrit pas de delais de signalement specifiques.

Alignement avec DORA

Pour les entites financieres, ISO 27001 fournit une base pour les exigences de gestion des risques TIC de DORA :

Cadre de gestion des risques TIC (DORA Articles 5-16) s'aligne sur les clauses 6-8 d'ISO 27001
Gestion des incidents lies aux TIC (DORA Articles 17-23) va au-dela des contrôles d'incidents d'ISO 27001
Tests de resilience opérationnelle numerique (DORA Articles 24-27) exige des tests plus structures que l'audit interne d'ISO 27001
Gestion des risques lies aux tiers TIC (DORA Articles 28-44) exige une supervision plus approfondie des fournisseurs que les contrôles A.5.19-A.5.22 d'ISO 27001

Synergies avec le RGPD

ISO 27001 soutient la conformité RGPD par :

Une approche basee sur les risques pour la protection des données personnelles
Des contrôles de contrôle d'accès et de classification des données
La gestion des incidents (soutenant les obligations de notification de violation)
La gestion des fournisseurs (soutenant les exigences relatives aux sous-traitants au titre de l'article 28)
ISO 27701 (gestion de la vie privee) etend ISO 27001 specifiquement pour la protection de la vie privee

Erreurs courantes de certification

Considerer la certification comme l'objectif plutot que la sécurité. Les organisations qui construisent un SMSI uniquement pour reussir l'audit creent des systemes fragiles. Lorsque l'auditeur arrive, les lacunes se revelent. Construisez le SMSI parce qu'il rend votre organisation plus sure, et la certification suivra naturellement.
Sous-estimer l'évaluation des risques. L'évaluation des risques determine tout — votre selection de contrôles, votre DdA et votre perimetre d'audit. Une évaluation des risques superficielle conduit a des contrôles inadequats et des constats d'audit. Investissez du temps dans une évaluation approfondie et honnete.
Ignorer les exigences d'audit interne. Les audits internes sont obligatoires et doivent etre realises par des auditeurs independants des domaines audites. De nombreuses organisations retardent ou sautent les audits internes, puis font face a des non-conformites majeures lors de l'audit de certification.
Engagement insuffisant de la direction. ISO 27001 exige un engagement demontre de la direction — pas seulement une signature de politique. Les revues de direction doivent etre tenues, dotees en ressources et documentees avec des décisions et des actions claires.
Ne pas maintenir les preuves en continu. Les preuves doivent etre collectees tout au long de l'annee, pas rassemblees avant l'audit. La collecte automatisee des preuves via des plateformes de conformité elimine ce probleme et fournit une préparation continue aux audits.
Choisir un perimetre trop restreint. Un perimetre etroit (par exemple, certifier un seul produit alors que l'entreprise en exploite plusieurs) peut nuire a la crédibilité aupres des acheteurs. Les acheteurs veulent voir que le SMSI couvre les systemes qui traitent leurs données.

Comment Orbiq accompagne la certification ISO 27001

Trust Center — Publiez votre statut de certification ISO 27001, le perimetre, le resume de la DdA et les contrôles de sécurité sous forme de hub de preuves destine aux acheteurs
Surveillance continue — Suivez l'efficacite des contrôles sur les 93 contrôles de l'Annexe A et identifiez les ecarts avant les audits de surveillance
Gestion des preuves — Collecte automatisee des preuves mappees aux clauses ISO 27001 et aux contrôles de l'Annexe A pour une préparation d'audit simplifiee
Questionnaires alimentes par l'IA — Repondez aux questionnaires de sécurité des acheteurs en utilisant les preuves de votre SMSI et de votre programme ISO 27001

Pour aller plus loin

SMSI — Construire le systeme de management certifie par ISO 27001
Conformité SOC 2 — Comparaison d'ISO 27001 et SOC 2 pour l'accès au marche americain
Politique de sécurité de l'information — Rediger le document de gouvernance de haut niveau du SMSI
Automatisation de la conformité — Automatiser la collecte de preuves et la surveillance ISO 27001

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.