ISO 27001: la norme pour la sécurité de l’information.

ISO/IEC 27001:2022

Direct answer

ISO/IEC 27001:2022 est la norme internationale pour un système de management de la sécurité de l’information (SMSI). Elle offre aux organisations un cadre fondé sur le risque, dix chapitres et 93 mesures de l’Annexe A réparties en quatre thèmes, pour gouverner la confidentialité, l’intégrité et la disponibilité de l’information. Des organismes tiers accrédités la certifient. Les certificats sont valables trois ans, avec une surveillance annuelle.

Ce qu’est ISO 27001

ISO/IEC 27001:2022 est la principale norme internationale pour le management de la sécurité de l’information. Elle spécifie les exigences d’un système de management de la sécurité de l’information (SMSI) : l’ensemble des politiques, procédures, processus et mesures qu’une organisation utilise pour protéger ses actifs informationnels. Elle repose sur la même structure harmonisée de l’Annexe SL qu’ISO 9001 et ISO 42001, ce qui signifie que les chapitres 4 à 10 suivent une architecture identique dans les trois normes, rendant l’intégration des systèmes de management simple.

Elle est certifiable par des organismes tiers accrédités, de sorte que la posture de sécurité d’une organisation peut être vérifiée de façon indépendante plutôt qu’auto-déclarée. La norme ne prescrit pas une architecture de sécurité unique. Elle exige plutôt qu’une organisation identifie ses risques, sélectionne les mesures adaptées à ces risques, les mette en œuvre et s’améliore en continu. Le résultat est un SMSI dimensionné selon le profil de risque réel de l’organisation, et non une liste générique.

Qui a besoin d’ISO 27001

ISO 27001 n’est pas légalement obligatoire dans la plupart des juridictions. Les organisations visent la certification parce que les clients, les régulateurs ou le marché l’exigent. Facteurs déclencheurs courants :

  • Achats des grands comptes : les grands clients de l’UE, du Royaume-Uni et du monde entier exigent de plus en plus ISO 27001 comme condition de sécurité fournisseur pour tout système traitant des données sensibles.
  • Secteurs réglementés : les services financiers, la santé, les infrastructures critiques et les fournisseurs du secteur public font face à des attentes réglementaires qu’ISO 27001 satisfait ou soutient.
  • Conformité NIS2 : les entités dans le périmètre de la directive européenne NIS2 peuvent utiliser un SMSI ISO 27001 comme socle structuré pour les mesures de sécurité de l’article 21. Les référentiels se recoupent étroitement.
  • Article 32 du RGPD : un SMSI prouve les « mesures techniques et organisationnelles appropriées » qu’exige le RGPD. ISO 27001 est une façon reconnue de le démontrer.
  • Accès aux marchés mondiaux : les organisations qui visent les grands comptes américains peuvent avoir besoin à la fois d’ISO 27001 et de SOC 2. Voir la section de comparaison ci-dessous.
  • Gouvernance interne : les organisations sans référentiel de sécurité utilisent la certification comme levier pour en construire un.

Il n’existe pas de taille minimale d’organisation. Des indépendants peuvent se certifier, et des multinationales le font. Le périmètre peut se limiter à un produit, une ligne de service ou une zone géographique précise, ce qui permet aux plus petites organisations de garder la certification maîtrisable.

Les dix chapitres

ISO 27001 comporte dix chapitres. Les chapitres 1 à 3 fixent le domaine d’application, les références normatives et les termes. Les chapitres 4 à 10 sont les exigences auditables ; ils suivent la même structure harmonisée qu’ISO 9001 et ISO 42001, ce qui permet aux organisations d’intégrer plusieurs systèmes de management sans dupliquer les politiques, les processus de risque ou les audits internes. Les exigences propres à la sécurité de l’information se concentrent au chapitre 6 (appréciation des risques, traitement des risques et Déclaration d’applicabilité) et au chapitre 8 (exploitation du SMSI et exécution du plan de traitement des risques).

Résumé des chapitres d’ISO 27001
ChapitreTitreExigence en une ligne
4Contexte de l’organisationIdentifier les enjeux internes et externes, les parties intéressées, et définir le périmètre du SMSI.
5LeadershipEngagement de la direction, une politique de sécurité de l’information et des rôles attribués.
6PlanificationAppréciation des risques, plan de traitement des risques, Déclaration d’applicabilité et objectifs de sécurité de l’information.
7SupportRessources, compétence, sensibilisation, communication et informations documentées.
8FonctionnementExécuter le plan de traitement des risques et les mesures de l’Annexe A ; tenir à jour les procédures opérationnelles.
9Évaluation des performancesSurveillance, mesure, audit interne et revue de direction.
10AméliorationNon-conformité, action corrective et amélioration continue.

Annexe A : 93 mesures réparties en 4 thèmes

L’Annexe A de l’édition 2022 organise 93 mesures en 4 thèmes : Organisationnel (37 mesures), Personnes (8), Physique (14) et Technologique (34). Les mesures sont un ensemble de référence, non une liste obligatoire. Le processus est le suivant : identifiez vos risques, déterminez quelles mesures les traiteraient, incluez-les dans la Déclaration d’applicabilité avec justification, et excluez les autres avec un motif documenté. Une exclusion n’est pas une non-conformité ; une exclusion non justifiée l’est.

La restructuration de 2022 a introduit 11 nouvelles mesures absentes de l’édition 2013 : renseignement sur les menaces (5.7), sécurité de l’information pour l’utilisation de services cloud (5.23), préparation des TIC pour la continuité d’activité (5.30), surveillance de la sécurité physique (7.4), gestion de la configuration (8.9), suppression de l’information (8.10), masquage des données (8.11), prévention des fuites de données (8.12), activités de surveillance (8.16), filtrage web (8.23) et codage sécurisé (8.28).

Le détail mesure par mesure se trouve sur la page dédiée aux mesures de l’Annexe A.

Thèmes de l’Annexe A d’ISO 27001:2022
ThèmeMesuresCouverture
Organisationnel (5.x)37Politiques, rôles, responsabilités, renseignement sur les menaces, gestion des actifs, sécurité des fournisseurs, gestion des incidents, continuité d’activité, conformité.
Personnes (6.x)8Sélection, conditions d’emploi, sensibilisation, formation, processus disciplinaire, fin d’emploi, télétravail, accords de confidentialité.
Physique (7.x)14Périmètres physiques, contrôles d’accès, sécurité des bureaux et des installations, protection des équipements, bureau et écran nets, gestion des supports physiques.
Technologique (8.x)34Terminaux, contrôle d’accès, cryptographie, gestion des vulnérabilités, configuration, journalisation, surveillance, filtrage web, développement sécurisé, sécurité du cloud.
Total93

La Déclaration d’applicabilité

La Déclaration d’applicabilité (DdA) est le document obligatoire au cœur d’ISO 27001. Le chapitre 6.1.3 l’exige. Elle liste les 93 mesures de l’Annexe A et, pour chacune, indique :

  • Si la mesure est applicable ou exclue.
  • La justification de la décision (résultat du traitement des risques, exigence légale, obligation contractuelle ou motif d’exclusion explicite).
  • Un renvoi vers l’endroit où la mesure est mise en œuvre (politique, procédure, système ou enregistrement).
  • Pour les mesures exclues : un motif documenté confirmant que le risque a été traité autrement ou ne s’applique pas au périmètre.

La DdA est le principal document qu’un auditeur d’étape 1 examine avant l’audit sur site. Défaillances courantes : exclure des mesures sans justification de risque documentée, lister des mesures comme applicables sans preuve de mise en œuvre, et ne pas mettre à jour la DdA lorsque le périmètre ou les risques changent.

Une DdA bien construite n’est pas un document ponctuel. Elle doit être versionnée, revue lors de la revue de direction annuelle, et mise à jour dès que de nouveaux risques sont identifiés, que le périmètre change, ou que l’applicabilité d’une mesure change. Les auditeurs rechercheront l’historique des versions et les dates de validation.

Comment obtenir la certification ISO 27001

La certification est délivrée par un organisme tiers accrédité après un audit en deux étapes. L’étape 1 examine la documentation et l’état de préparation du SMSI ; l’étape 2 teste le système en fonctionnement. Les auditeurs échantillonnent les preuves, interrogent le personnel et évaluent si les mesures de la DdA fonctionnent réellement.

Les certificats sont valables trois ans. Des audits de surveillance annuels confirment le maintien de la conformité. Un audit de recertification a lieu la troisième année. Pour l’accréditation, recherchez des organismes accrédités par UKAS (Royaume-Uni), ANAB ou A2LA (États-Unis), DAkkS (Allemagne), COFRAC (France) ou SAS (Suisse). L’ISO elle-même ne certifie pas les organisations.

La plupart des organisations mettent de trois à douze mois, de l’analyse d’écarts au certificat, selon la maturité du SMSI, le périmètre et les ressources disponibles.

Calendrier de certification ISO 27001
ÉtapeDurée typiqueCe qui se passe
Analyse d’écarts2 à 4 semainesÉvaluer l’état actuel par rapport aux chapitres 4 à 10 et aux 93 mesures de l’Annexe A.
Mise en œuvre du SMSI2 à 6 moisConstruire ou combler les écarts : périmètre, appréciation des risques, DdA, politiques, mesures et preuves.
Audit interne2 à 4 semainesRevue interne indépendante couvrant tous les chapitres ; les constats sont traités avant l’étape 1.
Revue de direction1 à 2 semainesLa direction examine la performance du SMSI et l’approuve pour l’audit de certification.
Audit d’étape 11 à 2 joursL’organisme de certification examine la documentation, la DdA et l’état de préparation du SMSI.
Remédiation d’étape 12 à 4 semainesTraiter les constats soulevés avant de passer à l’étape 2.
Audit d’étape 22 à 5+ joursMesures échantillonnées, personnel interrogé, preuves examinées par rapport à la DdA.
Certificat délivré1 à 4 semainesValable 3 ans une fois les non-conformités majeures closes.
Surveillance (années 1 et 2)1 à 3 jours par anConfirmer le maintien de la conformité ; un périmètre partiel est revu à chaque cycle.
Recertification (année 3)Audit completLe cycle complet d’audit de certification se répète.

SE FORMER POUR CERTIFIERAbilene Academy est le seul partenaire PECB Titanium de Suisse, le plus haut niveau d’accréditation du secteur, et dispense des formations certifiantes ISO 27001 Lead Implementer et Lead Auditor en présentiel, en ligne et en auto-formation. Couvre aussi la gestion des risques ISO 27005. Programmes multilingues en EN, FR, ES, DE, IT et plus. 99 % Taux de réussite aux examens · 2 500+ Professionnels formés · 120+ Pays touchés · Titanium Seul partenaire PECB Titanium de Suisse.

Formations ISO 27001

Coût de la certification ISO 27001

Les coûts de certification dépendent de la taille de l’organisation, du périmètre et du nombre de sites. Les chiffres ci-dessous sont des estimations indicatives fondées sur des données publiques. Les tarifs suisses et européens peuvent différer des chiffres américains. Demandez des devis formels à deux ou trois organismes accrédités avant de budgéter.

Les coûts se répartissent en deux catégories : les honoraires de l’organisme de certification (ce que vous payez à l’auditeur) et l’effort de mise en œuvre (temps interne, honoraires de conseil et outillage). Les deux sont réels, et la plupart des programmes sous-estiment l’effort de mise en œuvre. Une plateforme GRC qui cartographie ISO 27001 aux côtés des référentiels existants réduit fortement le coût de mise en œuvre.

Estimations de coût de certification ISO 27001 (indicatif seulement ; les données publiques varient)
Taille de l’organisationHonoraires organisme (année 1)Effort de mise en œuvreSurveillance annuelle
Petite (50 à 200 employés)15 000 à 30 000 USD30 000 à 100 000 USD8 000 à 15 000 USD
Moyenne (200 à 1 000 employés)25 000 à 60 000 USD80 000 à 250 000 USD12 000 à 25 000 USD
Grande (1 000+ employés)50 000+ USD200 000+ USD20 000+ USD

ISO 27001 vs SOC 2

ISO 27001 et SOC 2 traitent toutes deux de la sécurité de l’information, mais leur architecture diffère. ISO 27001 est une norme de système de management qui produit un certificat ; SOC 2 est un cadre d’attestation qui produit un rapport d’audit. Beaucoup d’organisations opérant sur les marchés européen et américain visent les deux. Voir la comparaison complète ISO 27001 vs SOC 2.

ISO 27001 vs SOC 2
DimensionISO/IEC 27001:2022SOC 2
ObjetCertification d’un SMSIAttestation des mesures d’un organisme de services
RésultatCertificat (validité 3 ans)Rapport Type I (à un instant) ou Type II (sur une période)
Organisme normatifISO et CEIAICPA
GéographieMondialePrincipalement les États-Unis ; exigée par les grands comptes américains dans le monde
Modèle d’auditOrganisme de certification accrédité (p. ex. UKAS, ANAB)Cabinet de CPA agréé
Référentiel10 chapitres et 93 mesures de l’Annexe A5 Trust Services Criteria (Sécurité obligatoire ; 4 optionnels)
PérimètreSMSI (politiques, risques, mesures, amélioration)Catégories TSC retenues et systèmes dans le périmètre
Cadence d’auditÉtapes 1 et 2 puis surveillance annuelleAnnuelle (Type II : période d’observation de 6 à 12 mois)
Qui l’exigeAchats de l’UE, secteurs réglementés, B2B mondialGrands comptes américains, acheteurs SaaS américains
Recoupement des mesuresRecoupement important avec les mesures CC de SOC 2Recoupement important avec l’Annexe A d’ISO 27001

Ce qui a changé entre 2013 et 2022

ISO/IEC 27001:2022 a été publiée en octobre 2022. La structure des chapitres (4 à 10) est inchangée ; le changement majeur porte sur l’Annexe A. L’édition 2013 comptait 114 mesures réparties en 14 domaines. L’édition 2022 les a restructurées en 93 mesures réparties en 4 thèmes, fusionnant, renommant et réorganisant des mesures existantes et en ajoutant 11 nouvelles.

La date limite de transition pour les organisations certifiées selon l’édition 2013 était le 31 octobre 2025. Les certificats délivrés selon l’édition 2013 qui n’ont pas effectué la transition ne sont plus valables.

ISO 27001 : édition 2013 vs édition 2022
DimensionISO 27001:2013ISO 27001:2022
Mesures de l’Annexe A11493
Structure de l’Annexe A14 domaines (A.5 à A.18)4 thèmes (Organisationnel, Personnes, Physique, Technologique)
Nouvelles mesuress.o.11 nouvelles mesures dont renseignement sur les menaces, sécurité du cloud, codage sécurisé, masquage des données, filtrage web
Structure des chapitresChapitres 4 à 10Chapitres 4 à 10 (inchangée)
Structure harmoniséeAnnexe SLAnnexe SL (alignement 2022)
Statut actuelRemplacée ; date limite de transition 31 octobre 2025Édition actuelle

Comment ISO 27001 se cartographie vers SOC 2, NIS2, ISO 42001 et le RGPD

ISO 27001 est la colonne vertébrale de la plupart des programmes GRC car ses mesures se cartographient vers pratiquement tous les référentiels adjacents. Les organisations qui mènent ISO 27001 aux côtés de SOC 2, NIS2, RGPD ou ISO 42001 n’ont pas besoin de reconstruire des mesures pour chaque référentiel. Elles cartographient une fois et réutilisent. Le tableau ci-dessous montre des domaines de mesures sélectionnés et leurs équivalents dans chaque référentiel.

C’est l’argument pratique en faveur d’ISO 27001 comme première certification : elle crée l’infrastructure de mesures que chaque référentiel ultérieur réutilise. Le moteur de cartographie inter-référentiels d’Acuna gère ces relations automatiquement, de sorte qu’une équipe menant déjà NIS2, RGPD ou SOC 2 étend son programme vers ISO 27001 sans dupliquer le travail.

Cartographie inter-référentiels d’ISO 27001 (domaines sélectionnés)
Domaine de mesure ISO 27001:2022TSC SOC 2NIS2 Art. 21ISO 42001RGPD
Appréciation des risques (chapitre 6.1)CC3.1 à CC3.4Art. 21(a)Chapitre 6.1Art. 35 (AIPD)
Contrôle d’accès (5.15 à 5.18)CC6.1, CC6.2, CC6.3Art. 21(i), (j)A.6.2Art. 32(1)(b)
Gestion des incidents (5.24 à 5.27)CC7.3, CC7.4, CC7.5Art. 21(b) ; Art. 23A.6.2Art. 33 à 34
Sécurité des fournisseurs (5.19 à 5.22)CC9.2Art. 21(d)A.10Art. 28 (sous-traitants)
Continuité d’activité (5.29, 5.30, 8.14)A1.1 à A1.3Art. 21(c)s.o.Art. 32
Cryptographie (8.24)CC6.7Art. 21(h)A.7Art. 32(1)(a)
Gestion des vulnérabilités (8.8)CC7.1Art. 21(e)s.o.Art. 32
Journalisation et surveillance (8.15 à 8.17)CC7.1, CC7.2Art. 21Chapitre 9Art. 32
Sensibilisation et formation (6.3)CC1.4, CC2.2Art. 21(g)Chapitre 7.2s.o.
Gestion des actifs (5.9 à 5.14)CC6.1Art. 21(i)A.7Art. 05 (principes)

Exécuter ISO 27001 dans Acuna

Acuna vous permet de mener ISO 27001 aux côtés de vos autres référentiels plutôt que comme un projet isolé. Elle construit et cadre le SMSI, mène les appréciations des risques, génère et versionne la Déclaration d’applicabilité, cartographie les 93 mesures de l’Annexe A vers des responsables et des preuves, et maintient le SMSI à jour pour la surveillance annuelle. Les cinq mesures de sécurité fournisseurs A.5.19 à A.5.23 de l’Annexe A sont opérationnalisées par la gestion de la relation fournisseurs : évaluations de fournisseurs, notation de sécurité continue, et la trace des preuves dont les processus de DPA de l’article 28 ont besoin. Les exigences de contrôle d’accès A.5.15 à A.5.18 de l’Annexe A se cartographient vers la gestion des accès : permissions basées sur les rôles, flux de revue d’accès, et l’enregistrement des attributions et retraits d’accès qu’un auditeur s’attend à échantillonner. La cartographie inter-référentiels est automatique : les équipes menant déjà NIS2, RGPD ou SOC 2 réutilisent leurs mesures existantes plutôt que de les reconstruire de zéro. Voyez comment Acuna cartographie ISO 27001.

EXPLORER

ISO 27001

Déclaration d’applicabilitéBientôt disponible

Ce qu’est la DdA, comment la construire, et les défaillances d’étape 1 les plus fréquentes.

ISO 27001 vs SOC 2Bientôt disponible

En quoi elles diffèrent, quand vous avez besoin des deux, et comment les mesures se recoupent.

Coût et calendrier de certificationBientôt disponible

Ce qu’il faut budgéter, qui engager, et combien de temps prennent les étapes 1 et 2.

Les 93 mesures de l’Annexe A expliquéesBientôt disponible

Les 93 mesures réparties en 4 thèmes, avec les notes des auditeurs sur ce qui est échantillonné.

Audit ISO 27001 : à quoi s’attendreBientôt disponible

Étape 1, étape 2, surveillance, et les non-conformités les plus fréquentes.

Qui a besoin de la certification ISO 27001Bientôt disponible

Applicabilité, décisions de cadrage, et comment décider s’il faut se certifier.

Comment mettre en œuvre ISO 27001Bientôt disponible

Un guide de mise en œuvre phase par phase, de l’analyse d’écarts au certificat.

Liste de contrôle de préparation ISO 27001Bientôt disponible

Une liste de contrôle téléchargeable, du socle du SMSI à l’audit d’étape 2.

Cartographie inter-référentiels : ISO 27001 vers SOC 2, NIS2, RGPD, ISO 42001Bientôt disponible

Comment les mesures d’ISO 27001 se cartographient vers chaque référentiel adjacent pris en charge par Acuna.

Solution ISO 27001SOLUTION

Comment Acuna cartographie et exécute ISO 27001 aux côtés de vos autres référentiels.

ISO 27001: questions fréquentes.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce qu’ISO 27001 ?

ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.

Quelle est la différence entre GRC et SMSI ?

La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.

Qu’est-ce qu’une Déclaration d’applicabilité dans ISO 27001 ?

La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.

Comment fonctionne le marquage d’applicabilité pour les exigences de référentiel ?

Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.

SOC 2 ou ISO 27001 : quelle différence ?

SOC 2 et ISO 27001 traitent tous deux des contrôles de sécurité de l’information, mais leur architecture diffère. ISO 27001 produit un certificat : délivré par un organisme de certification accrédité, valable trois ans, reconnu mondialement et vérifiable publiquement. SOC 2 produit un rapport d’attestation : émis par un cabinet d’experts-comptables agréé, distribué de manière privée, renouvelé chaque année, et devenu la norme sur le marché entreprise américain. ISO 27001 exige un SMSI formel avec un périmètre documenté, une analyse des risques et une Déclaration d’applicabilité pour les 93 contrôles de l’Annexe A. SOC 2 s’organise autour des critères de services fiduciaires de l’AICPA — la Sécurité (CC) est obligatoire, les quatre autres catégories sont optionnelles. Le recoupement des contrôles est important : CC6 (contrôles d’accès logiques) recoupe ISO 27001 A.5.15–A.5.18 ; CC9.2 (suivi des fournisseurs), A.5.19–A.5.23 ; CC7 (opérations), les contrôles ISO 27001 A.8.x. Les organisations qui courent les deux référentiels cartographient une fois et réutilisent les preuves plutôt que de maintenir des jeux parallèles. Le choix dépend de vos acheteurs. ISO 27001 est l’attente sur le marché entreprise européen et international. SOC 2 est la norme du marché américain et est fréquemment exigé par les services achats d’entreprises américaines avant signature. De nombreuses organisations actives sur les deux marchés — dont des sociétés françaises visant l’accès au marché américain — poursuivent les deux démarches.

POUR COMMENCER

Voyez comment Acuna exécute ISO 27001.

Réservez une démo de 30 minutes cadrée sur votre programme ISO 27001 et les autres référentiels que vous menez en parallèle.

Demander une démoSolution ISO 27001
Conçu pour :RSSIResponsables conformitéMSSP