Quelle différence entre ISO 27001 et ISO 27002 ?

ISO 27001 est la norme certifiable qui définit les exigences pour le système de management (SMSI) : ce qu'une organisation doit faire pour piloter sa sécurité de l'information. ISO 27002 est le recueil de bonnes pratiques qui détaille comment mettre en œuvre les mesures de sécurité listées dans l'annexe A de 27001. En analogie : 27001 dit "tu dois avoir un processus de gestion des accès et documenter tes choix", 27002 explique en pratique comment concevoir cette gestion des accès. Seule ISO 27001 est certifiable. ISO 27002 sert de guide d'implémentation. Les deux ont été révisées en 2022 (27002 d'abord, puis 27001 en octobre 2022) avec une réorganisation majeure des mesures de sécurité en 4 thèmes.

Combien coûte une certification ISO 27001 ?

Variable selon la taille et la complexité. Pour une PME (20-50 personnes, périmètre simple) : budget total 30 000 à 80 000 € la première année, incluant conseil, outils et frais d'audit. Pour une ETI (100-500 personnes) : 80 000 à 300 000 €. Pour une grande entreprise : plusieurs centaines de milliers d'euros. Décomposition typique : conseil/accompagnement (40-60%), frais de certification par l'organisme certificateur (10 000 à 50 000 € selon périmètre), outils (GRC, gestion des risques), temps interne non comptabilisé souvent. Le cycle est triennal : audit de certification (année 1), audits de surveillance (années 2 et 3), audit de renouvellement (année 4). Le budget annuel récurrent post-certification est environ 30-50% du coût initial.

Combien de temps pour obtenir la certification ?

Généralement 12 à 18 mois pour une première certification. Décomposition typique : 2-3 mois de cadrage et périmètre, 6-9 mois de mise en œuvre du SMSI (politiques, procédures, contrôles, formation), 2-3 mois de préparation aux audits, puis audits en 2 étapes (pré-audit + audit de certification) sur 1-3 mois. Les organisations matures en sécurité peuvent aller plus vite (6-9 mois). Les organisations découvrant la sécurité formalisée peuvent prendre 24 mois. Facteurs accélérateurs : engagement fort de la direction, RSSI expérimenté, périmètre bien délimité, culture documentation déjà présente. Facteurs ralentisseurs : résistance au changement, périmètre trop large, absence de ressources dédiées.

ISO 27001 suffit-elle pour la conformité NIS2 ?

Non, mais elle facilite grandement. ISO 27001 ne remplace pas les obligations réglementaires spécifiques (NIS2, DORA, RGPD, CRA) mais fournit un socle de management de sécurité que ces réglementations considèrent comme largement aligné. Une organisation certifiée ISO 27001 aura déjà 60 à 80% des mesures NIS2 en place : gouvernance, gestion des risques, contrôles techniques, réponse à incident, gestion des fournisseurs. Il reste néanmoins des exigences spécifiques NIS2 à compléter : notifications aux autorités dans les délais réglementaires, formation spécifique du conseil d'administration (responsabilité nouvelle NIS2), reporting régulier. ISO 27001 facilite aussi la conformité DORA, SOC 2, et les exigences contractuelles clients. Pour les organisations visant plusieurs conformités, ISO 27001 est une fondation efficiente.

ISO 27001 : la norme internationale de management de la sécurité

Nom officiel: ISO/IEC 27001:2022
Publication actuelle: Octobre 2022 (révision majeure)
Nombre de mesures (annexe A): 93, organisées en 4 thèmes
Durée certification: Cycle de 3 ans avec audits de surveillance
Certifications dans le monde: Plus de 70 000 organisations certifiées

01 — DéfinitionQu'est-ce qu'ISO 27001 ?

Source officielle : page ISO/IEC 27001.

ISO/IEC 27001 est la norme internationale de référence qui définit les exigences pour un Système de Management de la Sécurité de l'Information (SMSI). Développée conjointement par l'ISO (International Organization for Standardization) et l'IEC (International Electrotechnical Commission), elle est publiée pour la première fois en 2005 et a connu trois éditions majeures : 2005, 2013 et 2022 (édition actuelle).

Son objectif fondamental : donner à une organisation un cadre structuré pour protéger ses informations sensibles, qu'elles soient stockées numériquement, sur papier ou dans la mémoire des collaborateurs. Le périmètre de la norme dépasse la seule cybersécurité technique pour couvrir la sécurité de l'information au sens large : confidentialité, intégrité, disponibilité.

Elle est certifiable : une organisation peut faire auditer son SMSI par un organisme de certification accrédité, et obtenir un certificat ISO 27001 reconnu internationalement. Ce certificat :

Atteste que l'organisation a mis en place un SMSI conforme à la norme.
Est valable 3 ans avec audits de surveillance annuels.
Constitue un signal fort vers les clients, partenaires et régulateurs.
Facilite la conformité à d'autres cadres (NIS2, DORA, RGPD, CRA).

En 2026, plus de 70 000 organisations dans le monde sont certifiées ISO 27001, avec une croissance régulière portée par les exigences contractuelles des grands comptes, les obligations réglementaires et l'essor des services cloud.

ISO 27001 n'est pas une liste de mesures techniques à cocher. C'est un système de management : une manière structurée de piloter la sécurité dans la durée, avec des processus documentés, une gouvernance claire et une logique d'amélioration continue.

02 — SMSILe concept de système de management

Qu'est-ce qu'un système de management ?

Un système de management (MS) est un ensemble structuré de politiques, processus et pratiques qu'une organisation met en œuvre pour atteindre des objectifs spécifiques. D'autres normes ISO adoptent la même approche pour d'autres domaines : ISO 9001 (qualité), ISO 14001 (environnement), ISO 45001 (santé-sécurité au travail), ISO 22301 (continuité d'activité).

Appliqué à la sécurité de l'information, le SMSI couvre :

Gouvernance : engagement de la direction, rôles et responsabilités, politique de sécurité.
Gestion des risques : identification, évaluation et traitement des risques de sécurité.
Mesures de sécurité : contrôles techniques et organisationnels choisis en fonction des risques.
Gestion des ressources humaines : sensibilisation, formation, gestion des accès.
Gestion des incidents : détection, réponse, reprise d'activité.
Amélioration continue : mesure de la performance, revue de direction, actions correctives.

Le cycle PDCA (Plan-Do-Check-Act)

Le SMSI s'appuie sur le cycle d'amélioration continue PDCA (Plan-Do-Check-Act) ou roue de Deming :

Plan : planifier — établir les objectifs de sécurité, identifier les risques, définir les mesures.
Do : mettre en œuvre — déployer les mesures de sécurité, former les équipes, documenter.
Check : vérifier — mesurer la performance, auditer, surveiller.
Act : améliorer — corriger les écarts, adapter aux évolutions, mettre à jour.

L'approche n'est donc pas « on met en place et c'est fini » mais une démarche permanente qui s'adapte aux évolutions (nouvelles menaces, nouveaux systèmes, nouvelles réglementations).

Approche basée sur les risques

Le cœur d'ISO 27001 est l'approche par les risques : l'organisation identifie ses actifs informationnels, évalue les menaces et vulnérabilités, calcule les risques, et choisit les mesures de sécurité proportionnées au niveau de risque accepté. Toutes les mesures ne sont pas obligatoires : elles sont sélectionnées selon leur pertinence pour traiter les risques identifiés.

Cette approche est documentée dans une Déclaration d'Applicabilité (SoA — Statement of Applicability) qui justifie, pour chacune des 93 mesures de l'annexe A, si elle s'applique au périmètre et pourquoi.

La Harmonized Structure (HS)

Depuis 2022, ISO 27001 adopte la structure de haut niveau harmonisée commune à toutes les normes ISO de management. Cela facilite l'intégration avec d'autres SMS (qualité, environnement, continuité) dans un système de management intégré. Les organisations déjà certifiées ISO 9001 trouvent les concepts familiers.

03 — StructureL'organisation de la norme ISO 27001:2022

Les clauses principales (parties obligatoires)

Le corps principal de la norme s'articule en 10 clauses (chapitres) :

Clauses 1 à 3 : introduction — domaine d'application, références normatives, termes et définitions.
Clause 4 — Contexte de l'organisation : comprendre l'organisation, son contexte interne/externe, les exigences des parties prenantes. Définition du périmètre du SMSI.
Clause 5 — Leadership : engagement de la direction, politique de sécurité, rôles et responsabilités.
Clause 6 — Planification : identification des risques et opportunités, objectifs de sécurité, planification des actions.
Clause 7 — Support : ressources, compétences, sensibilisation, communication, documentation.
Clause 8 — Fonctionnement : planification et contrôle opérationnel, évaluation des risques, traitement des risques.
Clause 9 — Évaluation des performances : surveillance, mesure, analyse, audit interne, revue de direction.
Clause 10 — Amélioration : non-conformités, actions correctives, amélioration continue.

Chacune des clauses 4 à 10 contient des exigences précises que l'organisation doit satisfaire pour être certifiée.

L'annexe A — catalogue de mesures

L'annexe A liste 93 mesures de sécurité de référence, décrites plus précisément dans la norme ISO 27002. Elles ne sont pas toutes obligatoires : l'organisation sélectionne celles qui traitent ses risques identifiés. Chaque inclusion ou exclusion doit être justifiée dans la Déclaration d'Applicabilité.

La révision majeure de 2022

La version 2022 a apporté des changements structurels importants par rapport à 2013 :

Annexe A réorganisée : passage de 114 à 93 mesures (11 nouvelles, 24 fusionnées, 58 conservées, 35 renommées).
Nouveau classement en 4 thèmes au lieu de 14 domaines.
Ajout de 5 attributs par mesure : type, propriétés, cybersécurité, concepts opérationnels, capacités, domaines de sécurité.
Adaptation aux enjeux modernes : cloud, threat intelligence, secure coding, data masking, monitoring.
Alignement avec la Harmonized Structure ISO.

Les organisations certifiées sous ISO 27001:2013 avaient jusqu'à octobre 2025 pour migrer vers la version 2022. En 2026, toutes les certifications actives utilisent la version 2022.

04 — Annexe ALes 93 mesures de sécurité

L'annexe A organise les 93 mesures en 4 thèmes depuis la version 2022 :

A.5 — Mesures organisationnelles (37 mesures)

Le plus gros bloc : gouvernance, politiques, rôles, gestion des risques, relations fournisseurs. Exemples :

A.5.1 : Politiques de sécurité de l'information.
A.5.2 : Rôles et responsabilités.
A.5.7 : Threat intelligence (nouvelle en 2022).
A.5.19 : Sécurité dans les relations fournisseurs.
A.5.24 : Planification de la gestion des incidents.
A.5.29 : Sécurité pendant une perturbation (lien avec PRA).
A.5.31 : Exigences légales, statutaires, réglementaires.
A.5.34 : Confidentialité et protection des données personnelles.

A.6 — Mesures liées aux personnes (8 mesures)

Ressources humaines, sensibilisation, formation. Exemples :

A.6.1 : Filtrage à l'embauche.
A.6.2 : Termes et conditions d'emploi (clauses sécurité).
A.6.3 : Sensibilisation à la sécurité de l'information.
A.6.4 : Processus disciplinaire.
A.6.6 : Accords de confidentialité.
A.6.7 : Télétravail.
A.6.8 : Signalement d'événements de sécurité.

A.7 — Mesures physiques (14 mesures)

Sécurité physique des locaux, équipements, supports. Exemples :

A.7.1 : Périmètres de sécurité physique.
A.7.4 : Surveillance physique (nouvelle en 2022).
A.7.7 : Bureau vide et écran vide.
A.7.10 : Supports de stockage.
A.7.14 : Élimination ou réutilisation sécurisée des équipements.

A.8 — Mesures technologiques (34 mesures)

Contrôles techniques directs. Domaine le plus technique. Exemples :

A.8.1 : Dispositifs utilisateur.
A.8.2 : Droits d'accès privilégiés (lien avec PAM).
A.8.5 : Authentification sécurisée.
A.8.9 : Gestion de la configuration.
A.8.10 : Effacement d'informations.
A.8.11 : Data masking (nouvelle en 2022).
A.8.12 : Prévention de fuite de données (DLP, nouvelle en 2022).
A.8.16 : Surveillance des activités (nouvelle en 2022).
A.8.23 : Filtrage web (nouvelle en 2022).
A.8.26 : Exigences de sécurité des applications.
A.8.28 : Développement sécurisé (secure coding, nouvelle en 2022).
A.8.32 : Gestion du changement.

Les 11 nouvelles mesures de 2022

La version 2022 a introduit 11 nouvelles mesures reflétant l'évolution des menaces :

A.5.7 — Threat intelligence.
A.5.23 — Sécurité de l'information pour utilisation de services cloud.
A.5.30 — Préparation aux TIC pour la continuité d'activité.
A.7.4 — Surveillance de la sécurité physique.
A.8.9 — Gestion de la configuration.
A.8.10 — Suppression d'informations.
A.8.11 — Masquage des données.
A.8.12 — Prévention de fuite de données.
A.8.16 — Surveillance des activités.
A.8.23 — Filtrage web.
A.8.28 — Développement sécurisé.

ISO 27002 — le guide d'implémentation

Pour chacune des 93 mesures de l'annexe A, la norme ISO/IEC 27002:2022 fournit :

Objectif de la mesure.
Description détaillée.
Conseils d'implémentation pratiques.
Autres informations utiles.

ISO 27002 n'est pas certifiable — c'est un guide d'accompagnement à ISO 27001. Toute organisation qui met en œuvre ISO 27001 consulte systématiquement ISO 27002.

05 — DémarcheMise en œuvre d'un SMSI

Étape 1 — Engagement et cadrage (1-2 mois)

Obtenir l'engagement formel de la direction générale.
Nommer un responsable SMSI (souvent le RSSI).
Définir le périmètre du SMSI : quels sites, quels services, quelles activités.
Budget dédié et ressources humaines identifiées.
Définir les parties prenantes (clients, régulateurs, autorités, partenaires).

Étape 2 — Analyse du contexte (1-2 mois)

Cartographie des processus et actifs informationnels.
Analyse des exigences internes et externes (légales, contractuelles, clients).
Revue des pratiques existantes — gap analysis par rapport à la norme.
Identification des parties prenantes et leurs attentes.
Documentation du périmètre du SMSI.

Étape 3 — Analyse et traitement des risques (2-3 mois)

Choisir une méthode d'analyse de risques (EBIOS RM en France, ISO 27005, OCTAVE, MEHARI).
Identifier les actifs à protéger, les menaces, les vulnérabilités.
Évaluer les risques (probabilité × impact).
Définir les niveaux de risque acceptables (appétit au risque).
Décider du traitement : réduire, transférer, éviter, accepter.
Sélectionner les mesures de l'annexe A pertinentes.
Produire la Déclaration d'Applicabilité (SoA).

Étape 4 — Mise en œuvre des mesures (4-8 mois)

Rédaction des politiques et procédures.
Déploiement technique des contrôles (EDR, MFA, chiffrement, etc.).
Formation et sensibilisation des collaborateurs.
Contractualisation avec les fournisseurs (clauses sécurité).
Mise en place des processus (gestion incidents, gestion accès, gestion changements).
Outillage GRC (Governance Risk Compliance) si pertinent.

Étape 5 — Vérification (2-3 mois)

Mesures d'indicateurs de sécurité (KPI/KRI).
Audits internes du SMSI.
Revue de direction formelle.
Actions correctives sur les non-conformités identifiées.
Exercices de gestion de crise et de PRA.

Étape 6 — Certification (2-3 mois)

Sélection d'un organisme de certification accrédité (AFNOR, LNE, Bureau Veritas, LRQA, SGS, BSI, DNV).
Pré-audit (stage 1) : vérification documentaire, revue de la maturité du SMSI.
Audit de certification (stage 2) : audit terrain des processus, preuves de fonctionnement.
Traitement des non-conformités éventuelles.
Obtention du certificat.

Étape 7 — Maintien et amélioration continue

Audits de surveillance annuels (années 2 et 3).
Audit de renouvellement (année 4) pour nouveau cycle de 3 ans.
Revue continue des risques et adaptation des mesures.
Veille réglementaire et technique.
Évolution du périmètre selon les changements organisationnels.

06 — CertificationLe processus d'audit et de certification

Organismes de certification accrédités

En France, les principaux organismes accrédités par le COFRAC (Comité français d'accréditation) pour délivrer des certifications ISO 27001 sont :

AFNOR Certification : organisme national, reconnu largement.
Bureau Veritas : multinational français.
LNE (Laboratoire National de métrologie et d'Essais).
DNV : norvégien, forte présence maritime et énergie.
SGS : suisse, présent partout.
BSI Group : britannique, co-auteur historique de la norme.
LRQA (Lloyd's Register Quality Assurance).

Processus d'audit en 2 étapes

Stage 1 — Audit documentaire

Durée typique : 1-3 jours selon la taille.
Revue de la documentation du SMSI (politiques, procédures, SoA, registre des risques).
Vérification du périmètre.
Identification des écarts avant l'audit de certification.
Rapport préliminaire avec éventuels points d'attention.

Stage 2 — Audit de certification terrain

Durée typique : 3-15 jours-auditeur selon la taille et complexité.
Revue de l'application effective des processus documentés.
Entretiens avec les équipes.
Vérification des preuves opérationnelles (logs, enregistrements, comptes-rendus).
Tests de fonctionnement des mesures de sécurité.
Visites de sites.

Résultats possibles de l'audit

Conformité : certificat délivré, valable 3 ans.
Non-conformités mineures : certificat délivré avec plan d'action sous 3-6 mois.
Non-conformités majeures : certificat refusé jusqu'à correction démontrée.
Points d'attention : observations à prendre en compte sans impact sur la certification.

Cycle triennal

Année 1 : audit de certification initial.
Année 2 : audit de surveillance (réduit, typiquement 1-3 jours).
Année 3 : audit de surveillance.
Année 4 : audit de renouvellement (complet) pour un nouveau cycle.

Maintien du certificat

Entre les audits, l'organisation doit :

Maintenir le SMSI vivant (pas seulement conforme à l'instant T).
Notifier l'organisme de certification des changements significatifs.
Traiter les non-conformités identifiées.
Continuer d'effectuer des audits internes.
Tenir la revue de direction au moins annuellement.

Accréditation IAF-MLA

Pour être reconnu internationalement, le certificat doit être délivré par un organisme accrédité auprès d'un membre de l'IAF-MLA (International Accreditation Forum). En France : le COFRAC est membre. Un certificat délivré sans cette accréditation a une valeur réduite notamment dans les appels d'offres.

07 — BénéficesCe qu'apporte ISO 27001

Bénéfices opérationnels

Structuration de la sécurité dans une approche cohérente.
Réduction des risques via l'approche systématique d'identification et de traitement.
Meilleure gestion des incidents grâce aux processus documentés.
Amélioration continue par le cycle PDCA.
Gouvernance claire avec rôles et responsabilités formalisés.
Documentation robuste qui perdure aux changements de personnes.

Bénéfices commerciaux

Avantage concurrentiel : différenciation dans les appels d'offres, surtout en B2B.
Exigence contractuelle : de plus en plus fréquente des grands comptes et du secteur public.
Accès à certains marchés : défense, santé, bancaire.
Confiance client : argument de vente, surtout sur données sensibles.
Facilitation des audits clients : ISO 27001 remplace souvent les questionnaires détaillés.

Bénéfices réglementaires

Facilitation NIS2 : 60-80% des mesures NIS2 couvertes.
Facilitation DORA : socle de management attendu.
Facilitation RGPD : démontre les mesures techniques et organisationnelles appropriées.
Alignement avec SOC 2 : chevauchement important (environ 70%).
Référence pour CRA : démontre la maturité organisationnelle.

Bénéfices financiers

Réduction des primes de cyber-assurance : les assureurs appliquent souvent des ristournes significatives.
Réduction des coûts d'incidents via meilleure préparation et gestion.
Évitement d'amendes (RGPD, NIS2) via démonstration de moyens raisonnables.

Limites et critiques

Risque de « certification papier » : documentation impeccable mais application dégradée dans la pratique. L'audit détecte partiellement.
Coût significatif : peut être une barrière pour les petites structures.
Charge administrative : nombreuses procédures et documents à maintenir.
Pas spécifique à un secteur : généraliste, peut nécessiter des compléments sectoriels (ISO 27017 pour cloud, ISO 27018 pour données personnelles, IEC 62443 pour industriel).
Attention à l'équilibre : la certification est un moyen, pas une fin. Une organisation peut être très sécurisée sans certification, et certifiée sans être au top.

Organisations typiquement concernées

Prestataires de services IT et cloud.
Éditeurs logiciels SaaS.
Opérateurs d'importance vitale (obligation indirecte via NIS2).
Prestataires bancaires et financiers (obligation indirecte via DORA).
ESN/sociétés de conseil souhaitant répondre aux grands comptes.
Entreprises internationales avec exigences clients.
Sous-traitants de l'administration publique et de la défense.
Startups B2B voulant crédibiliser leur offre.

08 — FAQQuestions fréquentes

ISO 27001 couvre-t-elle le cloud ?

Oui, avec la version 2022 qui a explicitement ajouté des mesures cloud (A.5.23 notamment). Pour aller plus loin, deux normes complémentaires non certifiables mais très utilisées :

ISO 27017 : guide de mesures de sécurité spécifiques au cloud computing.
ISO 27018 : protection des données personnelles dans le cloud public.

Les grands fournisseurs cloud (AWS, Azure, GCP) sont certifiés ISO 27001 + 27017 + 27018.

Comment se positionne ISO 27001 par rapport à SOC 2 ?

Les deux sont des référentiels de confiance utilisés surtout en B2B. ISO 27001 est une norme internationale certifiable qui valide un SMSI complet. SOC 2 est un rapport d'audit américain (AICPA) sur les contrôles liés aux critères Trust Services. Différences principales :

ISO 27001 aboutit à un certificat, SOC 2 à un rapport détaillé.
ISO 27001 est international, SOC 2 est dominant aux USA.
Chevauchement d'environ 70% des contrôles.
Beaucoup d'organisations obtiennent les deux pour couvrir les marchés américain et européen.

Peut-on être certifié sur un périmètre limité ?

Oui, c'est même très courant. Une organisation peut certifier uniquement certaines activités, certains sites, ou certains services — à condition que le périmètre soit cohérent et clairement défini. Par exemple, un éditeur logiciel peut certifier uniquement « l'exploitation du service SaaS X ». Le périmètre doit figurer explicitement sur le certificat. Attention aux périmètres trop réduits qui perdraient en crédibilité.

Les sous-traitants doivent-ils être ISO 27001 ?

La norme n'exige pas la certification des sous-traitants mais impose de maîtriser les risques liés aux relations fournisseurs (mesure A.5.19 à A.5.22). En pratique, cela se traduit par : clauses contractuelles de sécurité, évaluations de sécurité des fournisseurs, audits périodiques, revue régulière. La certification du sous-traitant est un moyen efficace de satisfaire ces obligations — de plus en plus exigée par les donneurs d'ordres.

Quelle différence avec l'approche ANSSI française ?

L'ANSSI promeut ses propres référentiels (EBIOS RM pour l'analyse de risques, PSSIE pour les systèmes d'information de l'État, référentiels qualifications PRIS/PDIS). Ces référentiels sont compatibles avec ISO 27001 mais parfois plus prescriptifs. Pour une organisation privée : ISO 27001 est la norme dominante. Pour le secteur public et les OIV : combinaison ISO 27001 + référentiels ANSSI est courante.