ISO 27001 : qu'est-ce que c'est, quelles sont les exigences de la certification et votre organisation en a-t-elle besoin ?

La norme ISO 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information. Il s'agit de la certification de sécurité la plus largement reconnue à l'échelle mondiale ; elle est acceptée par les entreprises clientes, les autorités de régulation et les assureurs comme preuve d'une approche systématique et vérifiée de la gestion des risques liés à la sécurité de l'information.

Selon le rapport Kaseya « State of the MSP » 2026, la conformité réglementaire et le reporting figurent parmi les dix principaux besoins des clients des MSP en 2026, et la norme ISO 27001 est la certification la plus couramment exigée par les équipes d'approvisionnement des entreprises. Téléchargez le rapport complet.

Pour les équipes informatiques et les MSP, la norme ISO 27001 revêt une importance double : d'une part, en tant que norme de sécurité interne qu'il convient de mettre en œuvre, et d'autre part, en tant qu'exigence que les entreprises clientes imposent de plus en plus à leurs prestataires de services. Toute bonne décision commence par une bonne compréhension des exigences de la norme, ainsi que par la question de savoir si une certification officielle est réellement nécessaire ou si le simple fait de s'aligner sur la norme sans certification apporte une valeur équivalente. Les outils de conformité de Kaseya facilitent l'évaluation des écarts par rapport à la norme ISO 27001 et la collecte de preuves pour les organisations, à chaque étape de ce processus décisionnel.

Qu'est-ce que la norme ISO 27001 ?

La norme ISO/IEC 27001 est une norme internationale publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Elle définit les exigences relatives à la mise en place, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI), un cadre structuré permettant d'identifier et de gérer les risques liés à la sécurité de l'information au sein d'une organisation.

La norme ISO 27001 n'est pas une liste de contrôles de sécurité spécifiques. Il s'agit d'une norme relative aux systèmes de gestion. Cette norme exige qu'une organisation dispose d'un processus documenté de gestion des risques, mette en œuvre des contrôles adaptés aux risques qu'elle a identifiés, mesure la performance de son SMSI et l'améliore en permanence. La certification est délivrée par un organisme de certification tiers accrédité à l'issue d'un audit formel.

La norme ISO 27001:2022 est la version actuelle, publiée en octobre 2022. La date limite d'octobre 2025 fixée aux organisations pour passer de la norme ISO 27001:2013 est désormais dépassée. Tout certificat ISO 27001 valide doit faire référence à la version 2022. Les organisations qui citent encore la norme de 2013 doivent être considérées avec prudence par les équipes d'approvisionnement des entreprises, car ces certifications ne sont plus considérées comme valides.

L'adoption de cette norme a connu une forte croissance. Selon l'enquête ISO 2024, le nombre de certificats ISO 27001 valides dans le monde a atteint près de 97 000, soit une hausse considérable par rapport aux années précédentes, les organisations des secteurs des services financiers, des technologies et de la santé considérant de plus en plus la certification comme une exigence minimale en matière de sécurité.

ISO 27001 vs ISO 27002

Ces deux normes vont de pair et sont souvent confondues.

La norme ISO 27001 définit les exigences relatives à un système de gestion de la sécurité de l'information (SGSI) et précise les éléments que ce système doit comporter pour pouvoir être certifié. C'est la norme sur la base de laquelle les organisations sont certifiées.

La norme ISO 27002 fournit des recommandations sur la manière de mettre en œuvre les mesures de sécurité de l'information énumérées dans l'annexe A de la norme ISO 27001. Il s'agit d'un document de référence et non d'une norme certifiable. Les organisations sont certifiées selon la norme ISO 27001 et utilisent la norme ISO 27002 comme guide de mise en œuvre.

Considérez la norme ISO 27001 comme le référentiel (ce que vous devez mettre en place) et la norme ISO 27002 comme le guide de mise en œuvre (comment s'y prendre). Pour réussir un audit ISO 27001, il n'est pas nécessaire de mettre directement en œuvre la norme ISO 27002, mais les conseils qu'elle contient sont très utiles pour toute organisation qui s'engage pour la première fois dans la mise en place de contrôles.

Ce qu'exige la certification ISO 27001

Les exigences de certification sont présentées dans les clauses 4 à 10. Chacune d'entre elles doit être respectée pour obtenir la certification.

Clause 4, Contexte de l'organisation : Définir le champ d'application du SMSI. Identifier les enjeux internes et externes qui l'affectent, les parties prenantes ayant des exigences en matière de sécurité de l'information, ainsi que les actifs informationnels entrant dans ce champ d'application.

Clause 5, Direction : La direction doit faire preuve d'un engagement actif envers le SMSI. Cela implique d'adopter une politique documentée en matière de sécurité de l'information, d'attribuer des rôles et des responsabilités, et de veiller à ce que le programme dispose de ressources suffisantes.

Clause 6, Planification : Réaliser une évaluation formelle des risques liés à la sécurité de l'information. Identifier les risques pesant sur les actifs informationnels, évaluer leur probabilité et leur impact potentiel, et élaborer un plan de gestion des risques décrivant la manière dont chaque risque sera traité, qu'il soit accepté, atténué, transféré ou évité.

Clause 7, Soutien : Vérifier que le SMSI dispose des ressources nécessaires, que le personnel possède les compétences requises, que la sensibilisation aux responsabilités en matière de sécurité est activement entretenue et que la documentation est gérée de manière appropriée.

Clause 8, Exécution : mettre en œuvre le plan de gestion des risques. C'est à ce stade que les mesures de contrôle de l'annexe A sont mises en place et que les activités de sécurité opérationnelle décrites dans le plan sont effectivement menées.

Clause 9, Évaluation des performances : surveiller et mesurer les performances du SMSI par rapport aux objectifs définis. Réaliser des audits internes. La direction doit examiner le SMSI à intervalles réguliers.

Clause 10, Amélioration : traiter tout écart constaté, prendre des mesures correctives et améliorer en permanence le SMSI au fil du temps.

L'audit de certification se déroule en deux étapes. La première étape consiste en un examen documentaire : le SMSI existe-t-il et est-il correctement conçu ? La deuxième étape porte sur l'évaluation de la mise en œuvre : le SMSI fonctionne-t-il réellement comme prévu ? Après la certification initiale, des audits de surveillance ont lieu chaque année, et un audit complet de recertification est effectué au bout de trois ans.

Pour les organisations partant d'un niveau de référence peu élevé, le processus complet, de l'évaluation des lacunes à la certification du SMSI, prend généralement entre six et dix-huit mois et nécessite des investissements importants en services professionnels, en temps de travail des ressources internes et en outils.

Annexe A : les 93 mesures de sécurité

L'annexe A de la norme ISO 27001:2022 contient 93 mesures de contrôle réparties en quatre thèmes.

Contrôles organisationnels (37) : politiques, rôles et responsabilités, veille sur les menaces, sécurité de l'information dans la gestion de projet, relations avec les fournisseurs, procédures de gestion des incidents et planification de la continuité des activités.

Mesures relatives au personnel (8) : vérification préalable à l'embauche, clauses contractuelles relatives à la sécurité de l'information, formation et sensibilisation à la sécurité, procédures disciplinaires et politiques relatives au télétravail.

Mesures de contrôle physiques (14) : périmètres de sécurité physique, sécurité des équipements, politiques de « bureau vide » et d’« écran vide », et élimination sécurisée des équipements.

Mesures techniques (34) : contrôle d'accès, mécanismes d'authentification, gestion des clés cryptographiques, pratiques de développement sécurisées, gestion des vulnérabilités, surveillance de la sécurité du réseau, sauvegarde et restauration, journalisation et chiffrement.

Les 93 contrôles ne sont pas tous obligatoires pour toutes les organisations. La déclaration d'applicabilité (SoA) est un document obligatoire dans lequel l'organisation indique quels contrôles s'appliquent à son champ d'application et à son profil de risque, et justifie toute exclusion. Les contrôles sont exclus lorsqu'ils ne s'appliquent véritablement pas aux activités de l'organisation, et non dans le but de réduire les efforts de mise en conformité. Un auditeur examinera attentivement ces exclusions.

Certification ou alignement : quand une certification officielle en vaut-elle la peine ?

La certification ISO 27001 représente un investissement considérable. L'ensemble du processus, qui comprend l'analyse des écarts, la mise en place du SMSI, les audits internes, les audits de certification de phase 1 et de phase 2, ainsi que la surveillance continue, nécessite généralement entre six et dix-huit mois de travail et un budget conséquent.

Il vaut clairement la peine de se lancer dans une certification officielle lorsque :

• Les entreprises l'exigent. Les grandes organisations des secteurs des services financiers, de la santé et du secteur public font de plus en plus de la certification ISO 27001 un critère de sélection des fournisseurs. Si des clients clés ou des prospects cibles l'exigent, l'argument commercial est évident. Perdre un contrat ou être écarté d'un processus d'appel d'offres avant même que les discussions ne commencent constitue un risque réel pour les prestataires non certifiés.
• L'harmonisation réglementaire l'exige. Certaines réglementations sectorielles en vigueur dans l'Union européenne et au Royaume-Uni font référence à la norme ISO 27001 comme mécanisme de conformité acceptable. Pour les organisations soumises à ces réglementations, la certification peut constituer le moyen le plus sûr de démontrer leur conformité.
• La différenciation sur le marché le justifie. Sur les marchés concurrentiels où les entreprises évaluent plusieurs prestataires, la certification ISO 27001 témoigne d'une maturité en matière de sécurité qui fait défaut à de nombreux concurrents.

Une mise en conformité sans certification officielle peut s'avérer suffisante lorsque :

• Le principal objectif est l'amélioration de la sécurité interne. La mise en place de la structure du SMSI, la réalisation d'une évaluation des risques et le déploiement de contrôles appropriés permettent d'obtenir la plupart des avantages en matière de sécurité sans qu'il soit nécessaire de passer par un audit de certification.
• L'organisation s'efforce d'obtenir la certification, mais n'est pas encore prête. Mettre en place progressivement le SMSI en vue d'un audit de certification est une stratégie tout à fait valable, en particulier pour les petites organisations ou celles qui disposent de ressources internes limitées en matière de conformité.

Exemple concret : un MSP gérant 200 terminaux clients et en lice pour un contrat dans le secteur des services financiers destinés aux entreprises de taille moyenne constatera très certainement que la certification ISO 27001 figure sur la liste des critères de sélection des fournisseurs. Ce même MSP, qui fournit des services d'assistance informatique générale à des PME, pourrait constater que le simple fait de démontrer sa conformité, grâce à des politiques documentées et à une évaluation des risques complète, répond aux attentes réelles de ses clients.

ISO 27001 pour les MSP

La norme ISO 27001 revêt une importance particulière pour les MSP, et ce pour deux raisons distinctes.

Les MSP, un risque pour la chaîne d'approvisionnement. Les entreprises clientes ont tiré les leçons d'incidents très médiatisés liés à la chaîne d'approvisionnement : les MSP constituent une surface d'attaque importante pour leurs environnements. La certification ISO 27001 est la preuve reconnue qu'un MSP dispose d'un programme de sécurité systématique et audité. Les MSP qui cherchent à décrocher des contrats avec des entreprises, ou qui souhaitent conserver leurs clients professionnels existants à mesure que les processus d'approvisionnement évoluent, verront de plus en plus cette certification devenir une exigence de facto.

L'enquête « State of Information Security » 2025 menée par ISMS.online a révélé que la plupart des organisations ont connu au moins un incident de sécurité lié à un tiers ou à un fournisseur au cours de l'année précédente. Les équipes chargées des achats l'ont bien remarqué. Les MSP qui ne disposent pas de programmes de sécurité structurés sont écartés des discussions avant même que l'équipe commerciale n'intervienne.

Les MSP qui fournissent des services de mise en conformité à leurs clients. Les MSP qui aident leurs clients à se mettre en conformité avec la norme ISO 27001 ou à obtenir cette certification doivent en avoir une maîtrise suffisante pour réaliser des analyses des écarts, accompagner la mise en œuvre des contrôles et préparer leurs clients aux audits. Il s'agit d'un secteur d'activité en pleine expansion. Les entreprises de taille moyenne constituent l'un des segments qui connaissent la croissance la plus rapide en matière de certification ISO 27001, et nombre d'entre elles ne disposent pas de l'expertise interne nécessaire pour mener ce projet à bien de manière autonome.

Compliance Manager GRC l'évaluation ISO 27001/2 au sein de sa bibliothèque de référentiels, permettant ainsi aux MSP de gérer les évaluations des écarts ISO 27001 de leurs clients, la mise en correspondance des contrôles et la collecte de preuves à partir d'une plateforme centralisée. Un MSP accompagnant simultanément plusieurs clients dans leur préparation à la certification ISO 27001 tire un avantage considérable d'un outil structuré, bien plus qu'avec des feuilles de calcul ponctuelles et des disques partagés.

Le lien entre la norme ISO 27001 et d'autres référentiels

L'un des avantages concrets de la norme ISO 27001 réside dans sa compatibilité avec d'autres référentiels majeurs. Les efforts de mise en œuvre sont ainsi multipliés : une organisation qui met en place un SMSI solide conforme à la norme ISO 27001 aura, ce faisant, satisfait simultanément à une grande partie des exigences de conformité de plusieurs autres normes.

NIST CSF. Forte convergence. Il s'agit dans les deux cas d'approches fondées sur les risques, axées sur la gestion systématique de la sécurité de l'information. Une organisation certifiée ISO 27001 constatera que la plupart des exigences du NIST CSF sont déjà prises en compte par son SMSI. Le cadre du NIST ne donne pas lieu à une certification, mais il est largement utilisé comme référence, en particulier par les organisations ayant des contrats avec le gouvernement américain ou des clients américains.

SOC 2. Il existe un chevauchement important entre les domaines de contrôle, notamment en matière de contrôle d'accès, de journalisation, de gestion des changements et de disponibilité. La méthodologie d'audit et le format du rapport diffèrent considérablement, mais la certification ISO 27001 facilite considérablement la mise en conformité avec SOC 2. Les organisations visent souvent à obtenir les deux certifications.

RGPD. La norme ISO 27001 répond à bon nombre des exigences techniques et organisationnelles du RGPD en matière de sécurité. Un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001 constitue une preuve solide du respect de l'obligation prévue à l'article 32 de mettre en œuvre des mesures de sécurité appropriées. Les exigences spécifiques du RGPD en matière de protection de la vie privée vont plus loin, couvrant les droits des personnes concernées, la base légale et les analyses d'impact relatives à la protection des données, mais le SGSI en constitue le fondement en matière de sécurité.

Contrôles CIS. Les contrôles de l'annexe A de la norme ISO 27001 correspondent dans une large mesure aux contrôles CIS. Les organisations qui ont mis en œuvre les contrôles CIS IG2 ou IG3 auront déjà satisfait à une grande partie des exigences de l'annexe A et devraient, de ce fait, trouver l'audit de certification plus facile à gérer.

NIS 2. Les mesures de sécurité prévues à l'article 21 de la directive NIS 2 s'alignent étroitement sur l'approche du système de gestion de la sécurité de l'information (SGSI) de la norme ISO 27001. La certification ISO 27001 n'équivaut pas à la conformité à la directive NIS 2, mais elle constitue une base solide et répond à une grande partie des exigences des autorités de régulation en matière de gestion systématique et documentée de la sécurité.

Pour une comparaison plus approfondie entre la norme ISO 27001 et les normes SOC 2, NIST et PCI DSS, consultez la page « Principales normes de conformité et leurs différences ».

Découvrez comment Compliance Manager GRC l'évaluation et la gestion de la conformité à la norme ISO 27001.