La norme ISO 27001 constitue aujourd’hui le cadre de reference international en matiere de securite de l’information. Publiee par l’Organisation internationale de normalisation (ISO) et la Commission electrotechnique internationale (IEC), elle definit les exigences relatives a la mise en place, au maintien et a l’amelioration continue d’un systeme de management de la securite de l’information (SMSI). A l’heure ou les obligations reglementaires se multiplient – NIS2, RGPD, DORA – comprendre cette norme est devenu indispensable pour tout responsable securite, DPO ou dirigeant soucieux de structurer sa demarche. Ce guide en presente les exigences, le processus de certification, les couts, ainsi que les liens concrets avec les reglementations europeennes.

Qu’est-ce que la norme ISO 27001 ?

ISO 27001 est une norme internationale certifiable qui specifie les exigences pour etablir, mettre en oeuvre, maintenir et ameliorer un SMSI au sein d’une organisation. Contrairement a un referentiel technique qui imposerait des solutions precises, elle adopte une approche fondee sur le risque : l’organisation identifie ses propres risques en matiere de securite de l’information, puis met en place des mesures de traitement proportionnees.

La norme s’applique a tout type d’organisation – PME, ETI, grand groupe, administration publique, association – quels que soient son secteur d’activite et sa taille. Son perimetre couvre l’ensemble des informations que l’organisation juge necessaire de proteger, qu’elles soient numeriques, physiques ou orales.

La version en vigueur est ISO/IEC 27001:2022, qui a remplace la version 2013 et son amendement 2017.

Structure de la norme : clauses 4 a 10 et Annexe A

La norme ISO 27001 s’organise autour de deux composantes principales.

Les clauses d’exigences (4 a 10)

Ces clauses definissent les exigences de management du SMSI. Elles suivent la structure harmonisee (Harmonized Structure, anciennement High Level Structure) commune a toutes les normes de systemes de management ISO.

• Clause 4 – Contexte de l’organisation. L’organisme doit identifier les enjeux internes et externes pertinents, les parties interessees et leurs attentes, ainsi que le perimetre du SMSI.
• Clause 5 – Leadership. La direction doit demontrer son engagement, etablir une politique de securite de l’information et attribuer les roles et responsabilites.
• Clause 6 – Planification. C’est le coeur du dispositif : l’organisation doit conduire une appreciation des risques (identification, analyse, evaluation) et definir un plan de traitement des risques. Elle doit egalement fixer des objectifs de securite mesurables.
• Clause 7 – Support. Ressources, competences, sensibilisation, communication et informations documentees necessaires au fonctionnement du SMSI.
• Clause 8 – Fonctionnement. Mise en oeuvre et pilotage des processus necessaires pour satisfaire les exigences de securite, notamment l’execution du plan de traitement des risques.
• Clause 9 – Evaluation des performances. Surveillance, mesure, analyse, evaluation, audit interne et revue de direction.
• Clause 10 – Amelioration. Traitement des non-conformites, actions correctives et amelioration continue du SMSI.

L’Annexe A : les mesures de reference

L’Annexe A contient une liste de mesures de securite (controls) que l’organisme doit considerer lors de l’elaboration de sa declaration d’applicabilite (Statement of Applicability, SoA). Dans la version 2022, ces mesures sont reorganisees en 4 themes (contre 14 dans la version 2013) :

1. Mesures organisationnelles (37 mesures) – gouvernance, politiques, gestion des actifs, relations fournisseurs, continuite d’activite, conformite.
2. Mesures liees aux personnes (8 mesures) – selection, conditions d’emploi, sensibilisation, discipline.
3. Mesures physiques (14 mesures) – perimetres de securite, controle d’acces physique, protection des equipements.
4. Mesures technologiques (34 mesures) – controle d’acces logique, chiffrement, securite des reseaux, securite du developpement, gestion des vulnerabilites.

Au total, 93 mesures sont repertoriees, contre 114 dans la version 2013. Onze mesures sont nouvelles, couvrant notamment la securite du cloud, la prevention des fuites de donnees (DLP), le filtrage web et le codage securise.

Le cycle PDCA : moteur du SMSI

Le fonctionnement du SMSI repose sur le cycle d’amelioration continue Plan-Do-Check-Act (PDCA), egalement appele roue de Deming.

• Plan (Planifier). Definir la politique, le perimetre, apprecier les risques, selectionner les mesures de traitement, rediger la declaration d’applicabilite.
• Do (Mettre en oeuvre). Deployer le plan de traitement des risques, mettre en place les mesures, former et sensibiliser le personnel.
• Check (Verifier). Surveiller et mesurer l’efficacite des mesures, conduire des audits internes, realiser la revue de direction.
• Act (Ameliorer). Traiter les non-conformites, engager des actions correctives, faire evoluer le SMSI en fonction des retours d’experience.

Ce cycle garantit que le SMSI n’est pas un dispositif statique, mais un processus vivant qui s’adapte a l’evolution des menaces et du contexte de l’organisation.

Le processus de certification ISO 27001

La certification est delivree par un organisme d’audit accredite (en France, accredite par le COFRAC). Le processus se deroule en plusieurs etapes.

Audit initial – etape 1 (stage 1)

L’auditeur examine la documentation du SMSI : politique de securite, perimetre, appreciation des risques, declaration d’applicabilite, procedures documentees. L’objectif est de verifier que le SMSI est suffisamment concu et documente pour passer a l’etape suivante. Cette etape peut se derouler en partie a distance. Elle donne generalement lieu a des constats d’observation ou des points a corriger avant l’etape 2.

Audit initial – etape 2 (stage 2)

L’auditeur verifie sur site que le SMSI est effectivement mis en oeuvre et fonctionne de maniere conforme aux exigences de la norme. Il conduit des entretiens, examine des preuves, observe les pratiques. A l’issue de cet audit, trois types de constats sont possibles :

• Non-conformite majeure : defaillance grave qui empeche la certification tant qu’elle n’est pas corrigee.
• Non-conformite mineure : ecart qui doit etre corrige dans un delai convenu (generalement 90 jours).
• Opportunite d’amelioration : recommandation sans impact sur la decision de certification.

Si aucune non-conformite majeure n’est relevee, le certificat est delivre pour une duree de trois ans.

Audits de surveillance

Chaque annee intermediaire (annees 1 et 2 du cycle), un audit de surveillance est conduit pour verifier que le SMSI continue de fonctionner conformement a la norme. Ces audits couvrent un perimetre partiel mais incluent obligatoirement certains elements cles (revue de direction, audits internes, traitement des non-conformites).

Audit de renouvellement

A l’issue du cycle de trois ans, un audit de renouvellement (recertification) complet est conduit, similaire en portee a l’audit initial de l’etape 2.

Couts et calendrier de mise en oeuvre

Les couts varient considerablement selon la taille de l’organisation, la maturite de son dispositif de securite existant et le perimetre retenu pour le SMSI.

Calendrier indicatif :

• PME avec un perimetre cible : 6 a 12 mois de preparation.
• ETI ou perimetre large : 12 a 18 mois.
• Organisation complexe, multi-sites : 18 a 24 mois, voire davantage.

Postes de couts principaux :

• Conseil et accompagnement : de 20 000 a plus de 150 000 euros selon le perimetre.
• Outillage (GRC, gestion des risques, gestion documentaire) : variable selon les solutions retenues.
• Formation et sensibilisation : formation du responsable SMSI, des auditeurs internes, sensibilisation de l’ensemble du personnel.
• Audit de certification : de 10 000 a 50 000 euros pour l’audit initial (etapes 1 et 2), selon le nombre de jours d’audit (lui-meme fonction du nombre de salaries et de sites).
• Audits de surveillance annuels : environ un tiers du cout de l’audit initial.

Le retour sur investissement se materialise par la reduction des incidents, la conformite reglementaire facilitee, la confiance accrue des clients et partenaires, et l’acces a certains marches exigeant la certification.

ISO 27001:2022 – les changements cles

La version 2022 de la norme a apporte des modifications significatives, principalement sur l’Annexe A.

Modifications des clauses d’exigences : les evolutions sont mineures. La clause 6.3 impose desormais de planifier les changements apportes au SMSI. La clause 4.2 precise qu’il faut determiner lesquelles des exigences des parties interessees seront traitees dans le cadre du SMSI. La clause 9.3 sur la revue de direction est legerement restructuree.

Refonte de l’Annexe A : c’est le changement le plus visible. Les 114 mesures reparties en 14 domaines sont remplacees par 93 mesures organisees en 4 themes. Onze mesures nouvelles sont introduites, couvrant des sujets d’actualite : threat intelligence, securite du cloud, preparation a la continuite des activites TIC, surveillance de la securite physique, gestion de la configuration, suppression de l’information, masquage des donnees, prevention des fuites de donnees, filtrage web, codage securise et activites de surveillance.

Delai de transition : les organisations certifiees sous la version 2013 devaient effectuer leur transition avant le 31 octobre 2025. Depuis cette date, seule la version 2022 est applicable.

ISO 27001 et ISO 27002 : quel lien ?

ISO 27002 est le guide d’implementation associe a l’Annexe A d’ISO 27001. Alors qu’ISO 27001 indique quoi mettre en place (les exigences), ISO 27002 explique comment le faire (les bonnes pratiques detaillees pour chaque mesure).

ISO 27002:2022 a ete publiee en fevrier 2022 et constitue la base de la refonte de l’Annexe A d’ISO 27001:2022. Chaque mesure y est decrite avec un objectif, des recommandations de mise en oeuvre et des informations supplementaires. La norme introduit egalement un systeme d’attributs (type de mesure, proprietes de securite, concepts de cybersecurite, capacites operationnelles, domaines de securite) qui facilite le classement et la selection des mesures.

ISO 27002 n’est pas certifiable en tant que telle, mais elle constitue un outil de travail essentiel pour toute organisation qui met en oeuvre un SMSI conforme a ISO 27001.

ISO 27001 et conformite NIS2

La directive NIS2 impose aux entites essentielles et importantes des obligations renforcees en matiere de gestion des risques cyber (article 21). Ces obligations couvrent notamment : l’analyse de risques, la gestion des incidents, la continuite d’activite, la securite de la chaine d’approvisionnement, la securite des reseaux et systemes d’information, la formation et la sensibilisation.

L’ISO 27001 constitue un socle solide pour demontrer la conformite a l’article 21 de NIS2. La correspondance est directe sur de nombreux points :

• L’appreciation des risques (clause 6) repond a l’exigence d’analyse de risques de NIS2.
• Les mesures de l’Annexe A couvrent la quasi-totalite des domaines vises par l’article 21.
• Le cycle PDCA et les audits internes satisfont l’exigence d’evaluation reguliere de l’efficacite des mesures.
• La gestion des fournisseurs (mesure organisationnelle A.5.19 a A.5.23) repond a l’exigence de securite de la chaine d’approvisionnement.

Il convient neanmoins de souligner que la certification ISO 27001 ne vaut pas, en elle-meme, presomption de conformite a NIS2 au sens juridique. Elle en facilite cependant considerablement la demonstration. Certains Etats membres pourraient d’ailleurs reconnaitre explicitement la certification comme element de preuve de conformite dans leur transposition nationale. Un audit de securite informatique complementaire peut s’averer necessaire pour couvrir les exigences specifiques de NIS2 non directement traitees par le SMSI.

ISO 27001 et RGPD : le lien avec l’article 32

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre les mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque. Cet article mentionne explicitement des mesures telles que le chiffrement, la capacite a garantir la confidentialite, l’integrite, la disponibilite et la resilience des systemes, ainsi que des procedures de test et d’evaluation regulieres.

ISO 27001 repond structurellement a ces exigences. Le SMSI fournit le cadre de gouvernance, l’appreciation des risques permet de determiner les mesures appropriees, et le cycle PDCA assure l’evaluation reguliere de leur efficacite. La declaration d’applicabilite documente les mesures retenues et leur justification, ce qui constitue un element probant solide en cas de controle par une autorite de protection des donnees.

Pour approfondir les exigences de securite specifiques au RGPD, consultez notre analyse detaillee de la securite des donnees au titre de l’article 32 du RGPD.

Qui devrait se faire certifier ?

La certification ISO 27001 est particulierement pertinente pour :

• Les entreprises soumises a NIS2 (entites essentielles et importantes) qui doivent demontrer la conformite de leurs mesures de gestion des risques cyber.
• Les sous-traitants au sens du RGPD (hebergeurs, editeurs SaaS, prestataires informatiques) pour lesquels la certification constitue un avantage concurrentiel significatif et un gage de confiance aupres de leurs clients.
• Les entreprises repondant a des appels d’offres ou la certification est de plus en plus frequemment exigee, notamment dans les secteurs financier, sante, defense et administration publique.
• Les organisations manipulant des donnees sensibles (donnees de sante, donnees bancaires, propriete intellectuelle) pour lesquelles une faille de securite aurait des consequences majeures.
• Les ETI et grands groupes souhaitant structurer et harmoniser leur approche de la securite a l’echelle de l’organisation.

Pour les petites structures disposant de ressources limitees, une demarche de conformite a ISO 27001 sans certification formelle peut constituer une premiere etape pertinente, en utilisant la norme comme cadre de reference pour structurer progressivement le dispositif de securite.

Etapes pratiques pour demarrer

1. Obtenir l’engagement de la direction. Sans soutien au plus haut niveau, le projet est voue a l’echec. La direction doit allouer les ressources et porter la demarche.
2. Definir le perimetre du SMSI. Commencer par un perimetre restreint et maitrise est souvent plus efficace qu’une approche globale d’emblee.
3. Realiser une analyse d’ecart (gap analysis). Comparer l’existant aux exigences de la norme pour identifier les travaux a conduire.
4. Conduire l’appreciation des risques. Identifier les actifs informationnels, les menaces, les vulnerabilites, evaluer les risques et definir le plan de traitement.
5. Rediger la documentation essentielle. Politique de securite, declaration d’applicabilite, procedures de gestion des risques, des incidents et de la continuite.
6. Mettre en oeuvre les mesures de traitement. Deployer les mesures techniques et organisationnelles retenues dans le plan de traitement.
7. Former et sensibiliser. L’ensemble du personnel doit comprendre son role dans la securite de l’information.
8. Conduire un audit interne. Verifier la conformite du SMSI avant de solliciter l’organisme de certification.
9. Realiser la revue de direction. S’assurer que la direction dispose des elements necessaires pour evaluer la performance du SMSI.
10. Engager le processus de certification. Selectionner un organisme accredite et planifier les audits de l’etape 1 et de l’etape 2.

Conclusion

La norme ISO 27001 offre un cadre structure, eprouve et reconnu internationalement pour gerer la securite de l’information. Dans un contexte ou les exigences reglementaires convergent – NIS2 impose la gestion des risques cyber, le RGPD exige des mesures de securite appropriees --, la mise en place d’un SMSI conforme a ISO 27001 permet de rationaliser les efforts de conformite et de disposer d’un dispositif unique repondant a plusieurs obligations simultanement.

La certification, quant a elle, apporte la preuve tangible de cet engagement aupres des clients, partenaires, regulateurs et autorites de controle. C’est un investissement significatif, mais qui s’avere de plus en plus necessaire dans un environnement ou la securite de l’information est devenue un enjeu strategique de premier plan.

FAQ

Combien coute une certification ISO 27001 ?

Le cout total varie selon la taille de l’organisation. Pour une PME, comptez entre 30 000 et 80 000 euros (accompagnement, outillage et audit de certification). L’audit initial seul represente entre 10 000 et 50 000 euros selon le nombre de jours d’audit. Les audits de surveillance annuels coutent environ un tiers de ce montant.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Le delai depend de la maturite de l’organisation en matiere de securite. Pour une PME avec un perimetre cible, comptez 6 a 12 mois. Pour une ETI ou un perimetre large, 12 a 18 mois. L’engagement de la direction et l’allocation de ressources dediees sont les facteurs les plus determinants pour respecter le calendrier.

La certification ISO 27001 est-elle obligatoire ?

Non, la certification ISO 27001 n’est pas obligatoire en tant que telle. Cependant, elle est de plus en plus exigee dans les appels d’offres et constitue un atout majeur pour demontrer la conformite aux exigences de NIS2 et de l’article 32 du RGPD. Pour certains secteurs (finance, sante, defense), elle est devenue un prerequis de fait.

Quelle est la difference entre ISO 27001 et ISO 27002 ?

ISO 27001 definit les exigences du systeme de management de la securite de l’information (SMSI) et permet la certification. ISO 27002 est le guide d’implementation qui explique comment mettre en oeuvre chacune des 93 mesures de l’Annexe A. ISO 27002 n’est pas certifiable mais constitue un outil de travail essentiel pour la mise en conformite.

La certification ISO 27001 suffit-elle pour etre conforme au RGPD ?

Non, la certification couvre la securite de l’information au sens large mais ne traite pas de l’ensemble des exigences du RGPD (bases legales, droits des personnes, registre des traitements). Elle constitue toutefois un element probant solide pour demontrer la conformite a l’article 32 du RGPD sur la securite des traitements. Un audit RGPD complementaire reste necessaire.