Cybersécurité

ISO 27001 : guide de la certification SMSI pour l'entreprise 2026

Périmètre, annexe A, processus de certification et coût : ce qu'un RSSI ou un dirigeant doit savoir pour réussir une certification ISO 27001 en 2026.

Marc Aubert · Mis à jour le par Marc Aubert

ISO/IEC 27001 est la norme internationale la plus citée dès qu’une entreprise veut prouver qu’elle maîtrise la sécurité de son information [1]. Elle structure ce que l’on appelle un Système de Management de la Sécurité de l’Information, le SMSI. Pour un dirigeant ou un RSSI, la question n’est pas seulement de savoir ce que dit la norme, mais de comprendre ce que la certification engage, combien elle coûte, comment elle s’obtient, et comment elle s’articule avec les obligations réglementaires de 2026. Ce guide répond à ces questions de façon opérationnelle.

Ce que certifie ISO 27001 (et ce qu’elle ne certifie pas)

ISO 27001 ne certifie pas un produit, ni un serveur, ni une personne. Elle certifie un système de management : la façon dont une organisation pilote la sécurité de son information dans le temps. C’est une distinction fondamentale, car beaucoup confondent la certification d’entreprise avec une certification de produit ou une qualification technique.

Le SMSI repose sur une logique d’amélioration continue, le cycle PDCA (Plan, Do, Check, Act). L’entreprise planifie ses mesures à partir d’une analyse de risque, les met en oeuvre, vérifie leur efficacité par des audits et des indicateurs, puis corrige et améliore. La certification atteste que ce cycle existe, fonctionne, et produit des preuves vérifiables.

ISO 27001 ne dit pas non plus qu’une entreprise certifiée ne subira jamais d’incident. Elle atteste que l’organisation a identifié ses risques, choisi des mesures proportionnées, et qu’elle dispose d’un dispositif pour détecter, traiter et apprendre de ses incidents. C’est une garantie de gouvernance, pas une garantie d’invulnérabilité.

La famille de normes ISO 27000

ISO 27001 n’est pas isolée. Elle appartient à une famille cohérente :

  • ISO/IEC 27000 fournit le vocabulaire et les principes généraux.
  • ISO/IEC 27001 contient les exigences certifiables du SMSI.
  • ISO/IEC 27002 est un guide de mise en oeuvre des mesures de sécurité, non certifiable.
  • ISO/IEC 27005 cadre la gestion des risques liés à la sécurité de l’information.

Pour la démarche, on retient surtout le couple 27001 et 27002 : la première fixe les exigences et liste les mesures, la seconde explique comment les déployer concrètement.

La version 2022 : ce qui a changé

La version en vigueur est ISO/IEC 27001:2022, qui a remplacé l’édition de 2013 [1]. Les organisations certifiées sur l’ancienne version ont disposé d’une période de transition pour migrer vers la nouvelle. Trois évolutions méritent l’attention.

D’abord, la structure de l’annexe A a été profondément remaniée. Le nombre de mesures de sécurité est passé de 114 à 93. Ces 93 mesures sont regroupées en quatre thèmes au lieu des quatorze domaines de 2013 : mesures organisationnelles, mesures liées aux personnes, mesures physiques, et mesures technologiques.

Ensuite, onze nouvelles mesures ont été introduites, reflétant l’évolution des menaces depuis 2013. On y trouve notamment la veille sur les menaces (threat intelligence), la sécurité dans le recours au cloud, la continuité d’activité TIC, la surveillance des activités, le filtrage web, le masquage des données, la prévention des fuites de données, et la sécurisation du codage.

Enfin, chaque mesure est désormais associée à des attributs (type de mesure, propriété de sécurité visée, concept de cybersécurité, capacité opérationnelle, domaine de sécurité). Ces attributs facilitent le tri et la cartographie des mesures, par exemple pour les rattacher à un référentiel comme le NIST CSF.

Les quatre thèmes de l’annexe A 2022

Le passage de quatorze domaines à quatre thèmes simplifie la lecture de l’annexe A et reflète mieux la réalité opérationnelle d’un SI. Le thème organisationnel regroupe les mesures de gouvernance : politiques de sécurité, répartition des rôles, gestion des actifs, relations avec les fournisseurs, gestion des incidents, continuité d’activité, conformité légale. Il s’agit du thème le plus volumineux, car la sécurité repose d’abord sur l’organisation.

Le thème lié aux personnes couvre le facteur humain : vérification des antécédents lors du recrutement, clauses contractuelles, sensibilisation et formation, processus disciplinaire, gestion des départs. Le thème physique traite des locaux, des zones sécurisées, du contrôle d’accès physique, de la protection contre les menaces environnementales et de la sécurité du câblage. Le thème technologique rassemble les mesures techniques : gestion des accès, chiffrement, sécurité du réseau, sauvegardes, journalisation, surveillance, gestion des vulnérabilités, sécurité du développement.

Cette répartition aide le RSSI à répartir les chantiers entre les bonnes directions : la DSI pour le thème technologique, les ressources humaines pour le thème lié aux personnes, les services généraux pour le thème physique, la direction pour le thème organisationnel. Elle rend aussi plus lisible l’articulation entre la sécurité technique et la sécurité de gestion, souvent abordée dans les démarches comme l’architecture Zero Trust.

Les exigences de management : le coeur de la norme

L’annexe A attire l’attention parce qu’elle liste des mesures concrètes, mais le coeur de la norme se trouve dans les chapitres 4 à 10, qui définissent le système de management. Ces exigences sont obligatoires : on ne peut pas les écarter, contrairement aux mesures de l’annexe A.

Le chapitre 4 demande de comprendre le contexte de l’organisation et les attentes des parties intéressées, puis de définir le périmètre du SMSI. Le chapitre 5 impose un engagement de la direction, une politique de sécurité, et une répartition claire des rôles. Le chapitre 6 porte sur la planification, dont l’analyse de risque et le traitement du risque. Le chapitre 7 couvre les ressources, les compétences, la sensibilisation et la documentation. Le chapitre 8 concerne le fonctionnement opérationnel. Le chapitre 9 traite de l’évaluation des performances, des audits internes et de la revue de direction. Le chapitre 10 organise l’amélioration continue et le traitement des non-conformités.

L’analyse de risque est le pivot de tout l’édifice. Une méthode reconnue comme EBIOS Risk Manager de l’ANSSI ou l’approche d’ISO 27005 permet d’identifier les risques, de les évaluer et de décider de leur traitement. C’est cette analyse qui justifie le choix des mesures de l’annexe A.

La déclaration d’applicabilité

La déclaration d’applicabilité, souvent désignée par son sigle anglais SoA (Statement of Applicability), est un document central. Elle liste les 93 mesures de l’annexe A et indique, pour chacune, si elle est retenue ou exclue, avec une justification. Une mesure peut être exclue si elle ne correspond à aucun risque identifié ni à aucun actif du périmètre.

L’auditeur examine en priorité ce document, car il révèle la cohérence entre l’analyse de risque, les décisions de traitement et les mesures réellement déployées. Une déclaration d’applicabilité mal motivée est le signe d’un SMSI plaqué plutôt que vécu.

Documents et preuves attendus

Au-delà de la déclaration d’applicabilité, l’audit attend un corpus documentaire structuré et, surtout, des preuves que ce corpus est appliqué. On retrouve typiquement la politique de sécurité de l’information validée par la direction, le périmètre du SMSI, la méthode et les résultats de l’analyse de risque, le plan de traitement du risque, les objectifs de sécurité mesurables et leurs indicateurs. À ces documents de cadrage s’ajoutent les procédures opérationnelles : gestion des accès, gestion des incidents, sauvegarde et restauration, gestion des changements, sécurité des fournisseurs.

La différence entre une entreprise prête et une entreprise en difficulté tient aux preuves d’exécution. L’auditeur demande à voir des comptes rendus de revue de direction, des rapports d’audit interne avec leurs plans d’action, des registres d’incidents traités, des journaux de sauvegarde et des tests de restauration, des supports de sensibilisation et des feuilles d’émargement, des revues d’habilitations. Un SMSI qui produit ces preuves de façon régulière démontre qu’il vit. Un SMSI qui ne produit que des modèles de documents vides échoue à l’étape 2.

Le processus de certification, étape par étape

La certification s’obtient auprès d’un organisme certificateur indépendant, lui-même accrédité. En France, cette accréditation relève du COFRAC, le Comité français d’accréditation [2]. Choisir un organisme accrédité COFRAC, ou par un homologue européen équivalent, garantit que le certificat sera reconnu, notamment dans les appels d’offres.

L’audit de certification se déroule en deux étapes. L’étape 1 est une revue documentaire : l’auditeur vérifie que le SMSI est en place, que la documentation existe (politique, analyse de risque, déclaration d’applicabilité, procédures) et que l’entreprise est prête pour l’étape 2. L’étape 2 est l’audit de certification proprement dit : l’auditeur vérifie sur le terrain que le SMSI fonctionne réellement, en examinant des preuves d’exécution, en interrogeant les équipes et en contrôlant les mesures déployées.

À l’issue de l’étape 2, l’auditeur consigne d’éventuelles non-conformités, classées en majeures ou mineures. Une non-conformité majeure doit être corrigée avant la délivrance du certificat. Une non-conformité mineure donne lieu à un plan d’action suivi lors de l’audit suivant.

Le cycle de trois ans

Le certificat est valable trois ans. Pendant cette période, l’organisme réalise des audits de surveillance, en général annuels, pour vérifier que le SMSI continue de vivre et de s’améliorer. À la fin du cycle, un audit de renouvellement, plus complet qu’un audit de surveillance, permet de reconduire le certificat pour trois nouvelles années.

Cette logique de cycle est importante : ISO 27001 n’est pas un examen que l’on passe une fois. C’est un engagement de management continu. Un SMSI qui s’arrête de fonctionner entre deux audits sera détecté lors de la surveillance suivante.

Combien coûte une certification ISO 27001

Le coût se décompose en trois postes. Le premier est l’accompagnement éventuel par un cabinet de conseil, qui aide à construire le SMSI et à préparer l’audit. Le deuxième est le temps interne et les outils : rédaction documentaire, déploiement des mesures, formation des équipes. Le troisième est constitué des honoraires de l’organisme certificateur, qui dépendent du nombre de jours d’audit, lui-même fonction de la taille du périmètre.

Pour une PME, le budget de première année se situe le plus souvent entre 15 000 et 60 000 euros, avec une part très variable selon que la démarche est externalisée ou conduite en interne. Les audits de surveillance des années 2 et 3 coûtent nettement moins cher que l’audit initial. Le principal facteur de variation reste le périmètre : nombre de sites, effectifs concernés, processus inclus.

Il est souvent pertinent de commencer par un périmètre restreint, par exemple une activité ou une plateforme bien identifiée, puis de l’étendre lors des cycles suivants. Un périmètre maîtrisé réduit le coût initial et le risque d’échec à l’audit.

ISO 27001 face aux obligations réglementaires de 2026

ISO 27001 n’est pas obligatoire en droit français. Mais elle dialogue étroitement avec les textes réglementaires en vigueur. La directive NIS2, transposée par la loi Résilience, attend des entités régulées un ensemble de mesures de gestion des risques [3]. Un SMSI certifié ISO 27001 couvre une large part de ces attentes et constitue une preuve solide de conformité, même si la certification n’est pas exigée en tant que telle.

La même logique vaut pour le secteur financier soumis à DORA : ISO 27001 sert de socle de gouvernance, complété par les exigences spécifiques du règlement. Pour les organisations qui visent le cloud souverain, la qualification SecNumCloud de l’ANSSI intègre d’ailleurs des exigences proches de celles d’ISO 27001, enrichies de contraintes de localisation et d’immunité juridique.

Concrètement, beaucoup d’entreprises construisent leur conformité de manière mutualisée : un SMSI ISO 27001 qui sert de tronc commun, sur lequel se greffent les exigences additionnelles de NIS2, de DORA ou du RGPD. Cette approche évite la multiplication de dispositifs cloisonnés et réduit le coût global de la conformité.

ISO 27001 et le RGPD

ISO 27001 et le RGPD se recoupent sans se confondre. ISO 27001 couvre la sécurité de l’information dans son ensemble, tandis que le RGPD se concentre sur la protection des données à caractère personnel et ajoute des obligations propres : base légale du traitement, droits des personnes, durée de conservation, registre des traitements. Un SMSI bien conçu intègre les mesures de sécurité attendues par le RGPD, mais la certification ISO 27001 ne vaut pas conformité RGPD à elle seule. Pour les données personnelles, la norme ISO/IEC 27701 prolonge ISO 27001 par un système de management de la vie privée.

Les erreurs fréquentes à éviter

La première erreur est de viser la certification avant d’avoir un SMSI qui vit. Un dispositif documentaire impeccable mais sans preuves d’exécution sera retoqué à l’étape 2. L’auditeur cherche des journaux, des comptes rendus de revue, des résultats d’audit interne, des tickets d’incident traités. Il faut donc faire fonctionner le SMSI plusieurs mois avant l’audit.

La deuxième erreur est de surdimensionner le périmètre. Vouloir certifier d’emblée toute l’entreprise multiplie la charge et le risque d’échec. Un périmètre ciblé, étendu progressivement, est plus sûr.

La troisième erreur est de traiter l’analyse de risque comme une formalité. Une déclaration d’applicabilité décorrélée des risques réels est immédiatement repérée. L’analyse de risque doit nourrir les choix de mesures, et non l’inverse.

La quatrième erreur est de négliger l’engagement de la direction. ISO 27001 exige un portage par la direction, des ressources allouées et une revue de direction périodique. Sans ce portage, le SMSI dépérit entre deux audits. C’est aussi un point d’attention partagé avec d’autres dispositifs comme la gestion des vulnérabilités, qui n’ont de valeur que s’ils sont suivis dans la durée.

Par où commencer

Pour une organisation qui part de zéro, une séquence pragmatique consiste à cadrer d’abord le périmètre et les enjeux, puis à conduire une analyse de risque structurée, à rédiger la politique de sécurité et la déclaration d’applicabilité, à déployer les mesures prioritaires, à faire vivre le SMSI quelques mois, et enfin à solliciter un organisme accrédité pour l’audit en deux étapes. L’accompagnement par un consultant expérimenté n’est pas obligatoire, mais il réduit sensiblement le risque d’échec lors du premier cycle.

ISO 27001 n’est pas une fin en soi. C’est un cadre qui oblige à formaliser, mesurer et améliorer la sécurité de l’information de façon continue. Bien menée, la démarche structure durablement la gouvernance cyber et facilite la réponse aux exigences réglementaires comme aux appels d’offres.

Sources et références

[1] ISO/IEC 27001 Information security management systems, page de la norme sur le site de l’Organisation internationale de normalisation (iso.org). [2] COFRAC, Comité français d’accréditation, organisme national d’accréditation des certificateurs (cofrac.fr). [3] cyber.gouv.fr et directive (UE) 2022/2555 (NIS2), exigences de gestion des risques attendues des entités régulées.

Questions fréquentes

La certification ISO 27001 est-elle obligatoire en France ?

Non. ISO 27001 est une norme volontaire. Aucun texte de droit français n'impose à une entreprise d'être certifiée. En revanche, la certification est fréquemment exigée par les clients dans les appels d'offres, en particulier sur les marchés publics, les contrats avec des grands comptes et les prestations d'hébergement de données sensibles. Par ailleurs, la directive NIS2 et la loi Résilience reconnaissent ISO 27001 comme une preuve solide de conformité au regard des mesures de gestion des risques attendues, même si elles n'imposent pas la certification en tant que telle.

Quelle différence entre ISO 27001 et ISO 27002 ?

ISO/IEC 27001 est la norme certifiable : elle définit les exigences de management d'un SMSI, c'est-à-dire la manière de piloter la sécurité de l'information. Son annexe A liste les intitulés des 93 mesures de sécurité. ISO/IEC 27002 n'est pas certifiable : c'est un guide de bonnes pratiques qui détaille la mise en oeuvre de chacune de ces 93 mesures. Concrètement, on se certifie sur ISO 27001 et on s'appuie sur ISO 27002 pour savoir comment implémenter chaque mesure de l'annexe A.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Pour une PME qui part de zéro, il faut compter entre 6 et 12 mois pour construire le SMSI, le faire vivre quelques mois (l'audit attend des preuves de fonctionnement réel), puis passer l'audit de certification en deux étapes. Une organisation qui dispose déjà d'une politique de sécurité mature et de processus documentés peut viser 4 à 6 mois. Le délai dépend surtout de la maturité initiale, de la taille du périmètre et de la disponibilité des équipes pour produire les preuves.

Combien coûte une certification ISO 27001 ?

Le coût se décompose en trois postes : l'accompagnement éventuel par un consultant, les outils et le temps interne, et les honoraires de l'organisme certificateur. Pour une PME, le budget de première année se situe le plus souvent entre 15 000 et 60 000 euros, dont une part variable selon que l'entreprise s'appuie sur un cabinet ou réalise la démarche en interne. Les audits de surveillance des années 2 et 3 sont moins coûteux que l'audit initial. Le périmètre retenu (nombre de sites, d'effectifs, de processus) est le principal facteur de variation du prix.

Quelle est la durée de validité d'un certificat ISO 27001 ?

Un certificat ISO 27001 est valable trois ans. Pendant cette période, l'organisme certificateur réalise des audits de surveillance, en général annuels, pour vérifier que le SMSI continue de fonctionner et de s'améliorer. À l'issue des trois ans, un audit de renouvellement, plus complet que l'audit de surveillance, permet de reconduire le certificat pour un nouveau cycle de trois ans. Un manquement majeur non corrigé peut conduire à la suspension ou au retrait du certificat.

Faut-il appliquer les 93 mesures de l'annexe A ?

Pas nécessairement. L'annexe A est une liste de référence. L'entreprise sélectionne les mesures pertinentes au regard de son analyse de risque et justifie chaque inclusion ou exclusion dans un document appelé déclaration d'applicabilité (Statement of Applicability, SoA). Une mesure peut être écartée si elle ne correspond à aucun risque identifié ou à aucun actif du périmètre, à condition de motiver cette exclusion. L'auditeur vérifie la cohérence entre l'analyse de risque, la déclaration d'applicabilité et les mesures réellement déployées.

Sources citées

  1. https://www.iso.org/standard/27001
  2. https://www.cofrac.fr/
  3. https://cyber.gouv.fr/
  4. https://www.enisa.europa.eu/
  5. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  6. https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270012022/
#ISO 27001#SMSI#ISO 27002#certification#RSSI#compliance
Cybersécurité

DMARC, SPF, DKIM : l'authentification des e-mails en entreprise (guide 2026)

SPF, DKIM et DMARC empêchent l'usurpation de votre domaine. Mécanismes, déploiement progressif, lecture des rapports et erreurs à éviter : le guide RSSI 2026.
Cybersécurité

Cyber Threat Intelligence (CTI) : le renseignement menaces en entreprise

Le CTI transforme des données brutes en décisions de sécurité. Niveaux, sources, TLP, MITRE ATT&CK et intégration au SOC : le guide RSSI 2026.
Cybersécurité

Cryptographie post-quantique : préparer la migration en entreprise

Un ordinateur quantique cassera le chiffrement actuel, et les données volées aujourd'hui seront déchiffrées plus tard. La méthode de migration post-quantique en entreprise.