Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/ISO 27001 : certification, exigences et mise en oeuvre
NIS2 / Securite

ISO 27001 : certification, exigences et mise en oeuvre

ISO 27001 est la norme internationale de référence pour la sécurité de l'information. Guide : exigences, certification, coûts et lien avec NIS2 et RGPD.

Par Thiébaut DevergrannePublie le 19 fevrier 2026Mis a jour le 19 fevrier 202615 min de lecture
Sommaire
  1. Qu’est-ce que la norme ISO 27001 ?
  2. Structure de la norme : clauses 4 à 10 et Annexe A
  3. Le cycle PDCA : moteur du SMSI
  4. Le processus de certification ISO 27001
  5. Coûts et calendrier de mise en oeuvre
  6. ISO 27001:2022 – les changements clés
  7. ISO 27001 et ISO 27002 : quel lien ?
  8. ISO 27001 et conformité NIS2
  9. ISO 27001 et RGPD : le lien avec l’article 32
  10. Qui devrait se faire certifier ?
  11. Étapes pratiques pour démarrer
  12. Conclusion
  13. FAQ

La norme ISO 27001 constitue aujourd’hui le cadre de référence international en matière de sécurité de l’information. Publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle définit les exigences relatives à la mise en place, au maintien et à l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). À l’heure ou les obligations réglementaires se multiplient – NIS2, RGPD, DORA – comprendre cette norme est devenu indispensable pour tout responsable sécurité, DPO ou dirigeant soucieux de structurer sa démarche. Ce guide en présente les exigences, le processus de certification, les coûts, ainsi que les liens concrets avec les réglementations européennes.

Qu’est-ce que la norme ISO 27001 ?

ISO 27001 est une norme internationale certifiable qui specifie les exigences pour établir, mettre en oeuvre, maintenir et améliorer un SMSI au sein d’une organisation. Contrairement à un référentiel technique qui imposerait des solutions précises, elle adopte une approche fondée sur le risque : l’organisation identifie ses propres risques en matière de sécurité de l’information, puis met en place des mesures de traitement proportionnées.

La norme s’applique à tout type d’organisation – PME, ETI, grand groupe, administration publique, association – quels que soient son secteur d’activité et sa taille. Son périmètre couvre l’ensemble des informations que l’organisation juge nécessaire de protéger, qu’elles soient numériques, physiques ou orales.

La version en vigueur est ISO/IEC 27001:2022, qui a remplacé la version 2013 et son amendement 2017.

Structure de la norme : clauses 4 à 10 et Annexe A

La norme ISO 27001 s’organise autour de deux composantes principales.

Les clauses d’exigences (4 à 10)

Ces clauses définissent les exigences de management du SMSI. Elles suivent la structure harmonisée (Harmonized Structuré, anciennement High Level Structuré) commune à toutes les normes de systèmes de management ISO.

  • Clause 4 – Contexte de l’organisation. L’organisme doit identifier les enjeux internes et externes pertinents, les parties intéressées et leurs attentes, ainsi que le périmètre du SMSI.
  • Clause 5 – Leadership. La direction doit démontrer son engagement, établir une politique de sécurité de l’information et attribuer les rôles et responsabilités.
  • Clause 6 – Planification. C’est le coeur du dispositif : l’organisation doit conduire une appréciation des risques (identification, analyse, évaluation) et définir un plan de traitement des risques. Elle doit également fixer des objectifs de sécurité mesurables.
  • Clause 7 – Support. Ressources, compétences, sensibilisation, communication et informations documentées nécessaires au fonctionnement du SMSI.
  • Clause 8 – Fonctionnement. Mise en oeuvre et pilotage des processus nécessaires pour satisfaire les exigences de sécurité, notamment l’exécution du plan de traitement des risques.
  • Clause 9 – Évaluation des performances. Surveillance, mesure, analyse, évaluation, audit interne et revue de direction.
  • Clause 10 – Amélioration. Traitement des non-conformités, actions correctives et amélioration continue du SMSI.

L’Annexe A : les mesures de référence

L’Annexe A contient une listé de mesures de sécurité (controls) que l’organisme doit considérer lors de l’élaboration de sa déclaration d’applicabilité (Statement of Applicability, SoA). Dans la version 2022, ces mesures sont réorganisées en 4 thèmes (contre 14 dans la version 2013) :

  1. Mesures organisationnelles (37 mesures) – gouvernance, politiques, gestion des actifs, relations fournisseurs, continuité d’activité, conformité.
  2. Mesures liées aux personnes (8 mesures) – sélection, conditions d’emploi, sensibilisation, discipline.
  3. Mesures physiques (14 mesures) – périmètres de sécurité, contrôle d’accès physique, protection des équipements.
  4. Mesures technologiques (34 mesures) – contrôle d’accès logique, chiffrement, sécurité des réseaux, sécurité du développement, gestion des vulnérabilités.

Au total, 93 mesures sont répertoriées, contre 114 dans la version 2013. Onze mesures sont nouvelles, couvrant notamment la sécurité du cloud, la prévention des fuites de données (DLP), le filtrage web et le codage sécurisé.

Le cycle PDCA : moteur du SMSI

Le fonctionnement du SMSI repose sur le cycle d’amélioration continue Plan-Do-Check-Act (PDCA), également appelé roue de Deming.

  • Plan (Planifier). Définir la politique, le périmètre, apprécier les risques, sélectionner les mesures de traitement, rédiger la déclaration d’applicabilité.
  • Do (Mettre en oeuvre). Déployer le plan de traitement des risques, mettre en place les mesures, former et sensibiliser le personnel.
  • Check (Vérifier). Surveiller et mesurer l’efficacité des mesures, conduire des audits internes, réaliser la revue de direction.
  • Act (Améliorer). Traiter les non-conformités, engager des actions correctives, faire évoluer le SMSI en fonction des retours d’expérience.

Ce cycle garantit que le SMSI n’est pas un dispositif statique, mais un processus vivant qui s’adapte à l’évolution des menaces et du contexte de l’organisation.

Le processus de certification ISO 27001

La certification est délivrée par un organisme d’audit accrédité (en France, accrédité par le COFRAC). Le processus se déroule en plusieurs étapes.

Audit initial – étape 1 (stage 1)

L’auditeur examiné la documentation du SMSI : politique de sécurité, périmètre, appréciation des risques, déclaration d’applicabilité, procédures documentées. L’objectif est de vérifier que le SMSI est suffisamment conçu et documenté pour passer à l’étape suivante. Cette étape peut se dérouler en partie à distance. Elle donne généralement lieu à des constats d’observation ou des points à corriger avant l’étape 2.

Audit initial – étape 2 (stage 2)

L’auditeur verifie sur site que le SMSI est effectivement mis en oeuvre et fonctionne de manière conforme aux exigences de la norme. Il conduit des entretiens, examiné des preuves, observe les pratiques. À l’issue de cet audit, trois types de constats sont possibles :

  • Non-conformité majeure : défaillance grave qui empêche la certification tant qu’elle n’est pas corrigée.
  • Non-conformité mineure : écart qui doit être corrigé dans un délai convenu (généralement 90 jours).
  • Opportunite d’amélioration : recommandation sans impact sur la décision de certification.

Si aucune non-conformité majeure n’est relevee, le certificat est délivré pour une durée de trois ans.

Audits de surveillance

Chaque année intermédiaire (années 1 et 2 du cycle), un audit de surveillance est conduit pour vérifier que le SMSI continue de fonctionner conformément à la norme. Ces audits couvrent un périmètre partiel mais incluent obligatoirement certains éléments clés (revue de direction, audits internes, traitement des non-conformités).

Audit de renouvellement

À l’issue du cycle de trois ans, un audit de renouvellement (recertification) complet est conduit, similaire en portée à l’audit initial de l’étape 2.

Coûts et calendrier de mise en oeuvre

Les coûts varient considérablement selon la taille de l’organisation, la maturité de son dispositif de sécurité existant et le périmètre retenu pour le SMSI.

Calendrier indicatif :

  • PME avec un périmètre cible : 6 à 12 mois de préparation.
  • ETI ou périmètre large : 12 à 18 mois.
  • Organisation complexe, multi-sites : 18 à 24 mois, voire davantage.

Postes de coûts principaux :

  • Conseil et accompagnement : de 20 000 a plus de 150 000 euros selon le périmètre.
  • Outillage (GRC, gestion des risques, gestion documentaire) : variable selon les solutions retenues.
  • Formation et sensibilisation : formation du responsable SMSI, des auditeurs internes, sensibilisation de l’ensemble du personnel.
  • Audit de certification : de 10 000 à 50 000 euros pour l’audit initial (étapes 1 et 2), selon le nombre de jours d’audit (lui-même fonction du nombre de salariés et de sites).
  • Audits de surveillance annuels : environ un tiers du coût de l’audit initial.

Le retour sur investissement se matérialise par la réduction des incidents, la conformité réglementaire facilitée, la confiance accrue des clients et partenaires, et l’accès à certains marchés exigeant la certification.

ISO 27001:2022 – les changements clés

La version 2022 de la norme a apporté des modifications significatives, principalement sur l’Annexe A.

Modifications des clauses d’exigences : les évolutions sont mineures. La clause 6.3 impose désormais de planifier les changements apportés au SMSI. La clause 4.2 precise qu’il faut déterminer lesquelles des exigences des parties intéressées seront traitées dans le cadre du SMSI. La clause 9.3 sur la revue de direction est légèrement restructurée.

Refonte de l’Annexe A : c’est le changement le plus visible. Les 114 mesures réparties en 14 domaines sont remplacées par 93 mesures organisées en 4 thèmes. Onze mesures nouvelles sont introduites, couvrant des sujets d’actualité : threat intelligence, sécurité du cloud, préparation à la continuité des activités TIC, surveillance de la sécurité physique, gestion de la configuration, suppression de l’information, masquage des données, prévention des fuites de données, filtrage web, codage sécurisé et activités de surveillance.

Délai de transition : les organisations certifiées sous la version 2013 devaient effectuer leur transition avant le 31 octobre 2025. Depuis cette date, seule la version 2022 est applicable.

ISO 27001 et ISO 27002 : quel lien ?

ISO 27002 est le guide d’implémentation associé à l’Annexe A d’ISO 27001. Alors qu’ISO 27001 indique quoi mettre en place (les exigences), ISO 27002 explique comment le faire (les bonnes pratiques détaillées pour chaque mesure).

ISO 27002:2022 a été publiée en février 2022 et constitue la base de la refonte de l’Annexe A d’ISO 27001:2022. Chaque mesure y est décrite avec un objectif, des recommandations de mise en oeuvre et des informations supplémentaires. La norme introduit également un système d’attributs (type de mesure, propriétés de sécurité, concepts de cybersécurité, capacités opérationnelles, domaines de sécurité) qui facilite le classement et la sélection des mesures.

ISO 27002 n’est pas certifiable en tant que telle, mais elle constitue un outil de travail essentiel pour toute organisation qui met en oeuvre un SMSI conforme à ISO 27001.

ISO 27001 et conformité NIS2

La directive NIS2 impose aux entités essentielles et importantes des obligations renforcées en matière de gestion des risques cyber (article 21). Ces obligations couvrent notamment : l’analyse de risques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, la sécurité des réseaux et systèmes d’information, la formation et la sensibilisation.

L’ISO 27001 constitue un socle solide pour démontrer la conformité à l’article 21 de NIS2. La correspondance est directe sur de nombreux points :

  • L’appréciation des risques (clause 6) répond à l’exigence d’analyse de risques de NIS2.
  • Les mesures de l’Annexe A couvrent la quasi-totalité des domaines visés par l’article 21.
  • Le cycle PDCA et les audits internes satisfont l’exigence d’évaluation régulière de l’efficacité des mesures.
  • La gestion des fournisseurs (mesure organisationnelle A.5.19 a A.5.23) répond à l’exigence de sécurité de la chaîne d’approvisionnement.

Il convient néanmoins de souligner que la certification ISO 27001 ne vaut pas, en elle-même, présomption de conformité a NIS2 au sens juridique. Elle en facilité cependant considérablement la démonstration. Certains États membres pourraient d’ailleurs reconnaître explicitement la certification comme élément de preuve de conformité dans leur transposition nationale. Un audit de sécurité informatique complémentaire peut s’avérer nécessaire pour couvrir les exigences spécifiques de NIS2 non directement traitées par le SMSI.

ISO 27001 et RGPD : le lien avec l’article 32

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cet article mentionné explicitement des mesures telles que le chiffrement, la capacité a garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes, ainsi que des procédures de test et d’évaluation régulières.

ISO 27001 répond structurellement à ces exigences. Le SMSI fournit le cadre de gouvernance, l’appréciation des risques permet de déterminer les mesures appropriées, et le cycle PDCA assure l’évaluation régulière de leur efficacité. Pour les organisations souhaitant étendre leur SMSI à la protection de la vie privée, la norme ISO 27701 constitue l’extension de référence, ajoutant des exigences spécifiques aux responsables de traitement et aux sous-traitants. La déclaration d’applicabilité documenté les mesures retenues et leur justification, ce qui constitue un élément probant solide en cas de contrôle par une autorité de protection des données.

Pour approfondir les exigences de sécurité spécifiques au RGPD, consultez notre analyse détaillée de la sécurité des données au titre de l’article 32 du RGPD.

Qui devrait se faire certifier ?

La certification ISO 27001 est particulièrement pertinente pour :

  • Les entreprises soumises à NIS2 (entités essentielles et importantes) qui doivent démontrer la conformité de leurs mesures de gestion des risques cyber.
  • Les sous-traitants au sens du RGPD (hébergeurs, éditeurs SaaS, prestataires informatiques) pour lesquels la certification constitue un avantage concurrentiel significatif et un gage de confiance auprès de leurs clients.
  • Les entreprises répondant à des appels d’offres ou la certification est de plus en plus fréquemment exigée, notamment dans les secteurs financier, santé, défense et administration publique.
  • Les organisations manipulant des données sensibles (données de santé, données bancaires, propriété intellectuelle) pour lesquelles une faille de sécurité aurait des conséquences majeures.
  • Les ETI et grands groupes souhaitant structurer et harmoniser leur approche de la sécurité à l’échelle de l’organisation.

Pour les petites structurés disposant de ressources limitées, une démarche de conformité a ISO 27001 sans certification formelle peut constituer une première étape pertinente, en utilisant la norme comme cadre de référence pour structurer progressivement le dispositif de sécurité.

Étapes pratiques pour démarrer

  1. Obtenir l’engagement de la direction. Sans soutien au plus haut niveau, le projet est voue à l’échec. La direction doit allouer les ressources et porter la démarche.
  2. Définir le périmètre du SMSI. Commencer par un périmètre restreint et maîtrisé est souvent plus efficace qu’une approche globale d’emblee.
  3. Réaliser une analyse d’écart (gap analysis). Comparer l’existant aux exigences de la norme pour identifier les travaux a conduire.
  4. Conduire l’appréciation des risques. Identifier les actifs informationnels, les menaces, les vulnérabilités, évaluer les risques et définir le plan de traitement.
  5. Rédiger la documentation essentielle. Politique de sécurité, déclaration d’applicabilité, procédures de gestion des risques, des incidents et de la continuité.
  6. Mettre en oeuvre les mesures de traitement. Déployer les mesures techniques et organisationnelles retenues dans le plan de traitement.
  7. Former et sensibiliser. L’ensemble du personnel doit comprendre son rôle dans la sécurité de l’information.
  8. Conduire un audit interne. Vérifier la conformité du SMSI avant de solliciter l’organisme de certification.
  9. Réaliser la revue de direction. S’assurer que la direction dispose des éléments nécessaires pour évaluer la performance du SMSI.
  10. Engager le processus de certification. Sélectionner un organisme accrédité et planifier les audits de l’étape 1 et de l’étape 2.

Conclusion

La norme ISO 27001 offre un cadre structuré, éprouvé et reconnu internationalement pour gérer la sécurité de l’information. Dans un contexte ou les exigences réglementaires convergent – NIS2 impose la gestion des risques cyber, le RGPD exige des mesures de sécurité appropriées --, la mise en place d’un SMSI conforme à ISO 27001 permet de rationaliser les efforts de conformité et de disposer d’un dispositif unique répondant à plusieurs obligations simultanément.

La certification, quant à elle, apporté la preuve tangible de cet engagement auprès des clients, partenaires, régulateurs et autorités de contrôle. C’est un investissement significatif, mais qui s’avéré de plus en plus nécessaire dans un environnement ou la sécurité de l’information est devenue un enjeu stratégique de premier plan.

FAQ

Combien coûte une certification ISO 27001 ?

Le coût total varie selon la taille de l’organisation. Pour une PME, comptez entre 30 000 et 80 000 euros (accompagnement, outillage et audit de certification). L’audit initial seul représente entre 10 000 et 50 000 euros selon le nombre de jours d’audit. Les audits de surveillance annuels coutent environ un tiers de ce montant.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Le délai dépend de la maturité de l’organisation en matière de sécurité. Pour une PME avec un périmètre cible, comptez 6 à 12 mois. Pour une ETI ou un périmètre large, 12 à 18 mois. L’engagement de la direction et l’allocation de ressources dédiées sont les facteurs les plus déterminants pour respecter le calendrier.

La certification ISO 27001 est-elle obligatoire ?

Non, la certification ISO 27001 n’est pas obligatoire en tant que telle. Cependant, elle est de plus en plus exigée dans les appels d’offres et constitue un atout majeur pour démontrer la conformité aux exigences de NIS2 et de l’article 32 du RGPD. Pour certains secteurs (finance, santé, défense), elle est devenue un prérequis de fait.

Quelle est la différence entre ISO 27001 et ISO 27002 ?

ISO 27001 définit les exigences du système de management de la sécurité de l’information (SMSI) et permet la certification. ISO 27002 est le guide d’implémentation qui explique comment mettre en oeuvre chacune des 93 mesures de l’Annexe A. ISO 27002 n’est pas certifiable mais constitue un outil de travail essentiel pour la mise en conformité.

La certification ISO 27001 suffit-elle pour être conforme au RGPD ?

Non, la certification couvre la sécurité de l’information au sens large mais ne traité pas de l’ensemble des exigences du RGPD (bases légales, droits des personnes, registre des traitements). Elle constitue toutefois un élément probant solide pour démontrer la conformité à l’article 32 du RGPD sur la sécurité des traitements. Un audit RGPD complémentaire reste nécessaire.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min