Aller au contenu
ISO 27001

ISO 27001 : définition, utilité et importance pour les entreprises

·
15 minutes de lecture
Les RH d’un côté, l’IT de l’autre ?
Gérez les appareils, les licences et la sécurité depuis un seul endroit. Synchronisé avec les arrivées et départs de votre équipe. Découvrez Factorial IT
Article rédigé par

La sécurité de l’information n’est plus l’affaire du seul service informatique. Les attaques par rançongiciel, les fuites de données et les incidents dans la chaîne d’approvisionnement touchent les entreprises de toutes tailles, et le coût moyen de chaque incident continue d’augmenter année après année. En parallèle, le cadre réglementaire s’est nettement durci. Avec l’entrée en vigueur de la loi du 30 avril 2025 transposant la directive NIS2, le renforcement des exigences de l’ANSSI et la pression croissante des clients et partenaires pour ne travailler qu’avec des prestataires certifiés, de plus en plus d’entreprises françaises envisagent d’obtenir la certification ISO 27001.

Dans cet article, nous vous expliquons en quoi consiste précisément cette norme, à quoi elle sert, comment elle s’articule et pourquoi elle est devenue la référence pour gérer la sécurité de l’information dans toute organisation, quelle que soit sa taille ou son secteur d’activité.

Qu’est-ce que la norme ISO 27001 ?

L’ISO 27001, officiellement ISO/IEC 27001, est la norme internationale qui définit les exigences pour mettre en place, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI) au sein d’une entreprise. Autrement dit, elle précise comment organiser tout ce que votre entreprise met en œuvre pour protéger ses informations : depuis qui peut accéder à quels documents jusqu’à la gestion des mots de passe, en passant par la marche à suivre lorsqu’un collaborateur perd son ordinateur portable professionnel. Le double sigle s’explique par le fait qu’elle est élaborée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).

Dans la pratique, son objectif est de protéger les trois piliers de l’information face aux menaces internes et externes :

  • Confidentialité : seules les personnes autorisées accèdent à chaque donnée.
  • Intégrité : l’information n’est ni altérée ni supprimée sans autorisation.
  • Disponibilité : elle reste accessible lorsque l’on en a besoin.

Pour y parvenir, la norme ne se contente pas de recommander des mesures techniques comme l’antivirus ou les sauvegardes. Elle propose un cadre de gestion complet qui englobe politiques, processus, personnes et technologie. La sécurité cesse ainsi de reposer sur l’effort ponctuel d’une seule personne pour s’intégrer véritablement dans le quotidien de l’entreprise.

Bien qu’elle soit d’application volontaire, dans des secteurs comme la technologie, la finance ou la santé — et tout particulièrement lorsqu’on travaille avec le secteur public —, la certification est devenue un sésame quasi incontournable.

Origines et évolution de l’ISO 27001

L’ISO 27001 n’est pas née de nulle part. Ses racines remontent à la BS 7799, une norme britannique publiée par le BSI en 1995 qui compilait les bonnes pratiques en matière de sécurité de l’information. En 2005, l’ISO a repris cette base pour publier la première version officielle de la norme. Depuis, elle a connu deux mises à jour majeures :

  • ISO 27001:2005 : première version internationale.
  • ISO 27001:2013 : réorganisation complète de la structure et des mesures de sécurité.
  • ISO 27001:2022 : version en vigueur, adaptée aux nouveaux risques numériques tels que le cloud, le télétravail, la chaîne d’approvisionnement ou l’intelligence artificielle.

Chaque révision reflète l’évolution du paysage de la cybersécurité. La version 2022 introduit, par exemple, des mesures spécifiques pour les environnements cloud, la surveillance continue et la gestion des menaces dans la chaîne d’approvisionnement — autant de scénarios qui n’en étaient qu’à leurs débuts en 2013.

Principales différences entre l’ISO 27001:2013 et l’ISO 27001:2022

La version 2022 conserve la structure générale de la norme, mais revoit en profondeur l’Annexe A, qui regroupe la liste officielle des mesures de sécurité concrètes que la norme propose pour protéger l’information. Chacune de ces mesures s’appelle une « mesure de sécurité » ou « contrôle » (par exemple, imposer des mots de passe robustes ou chiffrer les disques durs des ordinateurs portables). Voici les changements les plus marquants :

  • Le nombre total de mesures diminue : on passe de 114 à 93, sans pour autant baisser le niveau d’exigence. Beaucoup ont été fusionnées ou réécrites, et 11 nouvelles ont été ajoutées pour couvrir des menaces qui n’existaient pas auparavant.
  • Le mode de regroupement évolue : les 14 anciens groupes thématiques (appelés « domaines ») sont réorganisés en 4 catégories plus claires : mesures organisationnelles (politiques, procédures, rôles), liées aux personnes (formation, responsabilités, gestion du personnel), physiques (accès aux locaux, protection des équipements) et technologiques (chiffrement, sauvegardes, gestion des accès).
  • De nouvelles mesures modernes font leur apparition : renseignement sur les menaces (collecter et analyser des informations sur les attaques en cours), sécurité du cloud, prévention de la fuite de données et développement sécurisé de logiciels figurent parmi les plus notables.
  • Chaque mesure est étiquetée par attributs : ce nouveau système permet de filtrer les mesures selon leur nature (préventives, de détection ou correctives), le domaine concerné ou la propriété qu’elles protègent (confidentialité, intégrité ou disponibilité). En pratique, cela aide à identifier les mesures pertinentes pour chaque situation.

La période de transition depuis la version 2013 s’est achevée le 31 octobre 2025. Depuis cette date, les certificats délivrés sous l’ancienne version ne sont plus valides et toutes les entreprises certifiées doivent être alignées sur l’ISO 27001:2022.

À quoi sert l’ISO 27001 ?

Les entreprises qui se certifient le font sous l’effet conjugué de pressions externes et d’opportunités internes. Voici les motivations les plus fréquentes :

  • Accès aux grands comptes et aux appels d’offres : de plus en plus de grandes entreprises et d’administrations publiques exigent l’ISO 27001 comme prérequis pour contractualiser, en particulier dans la finance, la santé et la tech. Sans certificat, vous êtes écarté du processus commercial avant même la première réunion.
  • Différenciation face à la concurrence : dans des secteurs où tout le monde affirme « prendre la sécurité au sérieux », le certificat transforme une promesse en un fait audité par un organisme externe.
  • Mise en conformité avec des réglementations qui s’appuient dessus : NIS2, RGPD et le RGS partagent une partie significative des exigences de l’ISO 27001. Avoir la norme déjà en place raccourcit considérablement le chemin vers les autres, au lieu de dupliquer le travail.
  • Expansion à l’international : au Royaume-Uni, en Allemagne, aux Pays-Bas ou auprès des grands comptes américains, la certification est considérée comme acquise dès l’évaluation des fournisseurs. Ne pas l’avoir ferme des portes qui ne sont même pas évoquées dans la discussion.
  • Analyse de risques réelle : la démarche oblige à inventorier les actifs, évaluer les menaces et prioriser les mesures. Beaucoup d’entreprises découvrent à cette occasion des vulnérabilités majeures qu’elles n’avaient jamais quantifiées, tout simplement parce que personne n’avait jusque-là eu la mission de les examiner.
  • Réponse aux incidents documentée : quand quelque chose dysfonctionne, les procédures sont écrites, les responsables désignés et les délais définis. Cela réduit l’impact économique et opérationnel de chaque incident et facilite aussi les négociations avec les assureurs cyber, qui récompensent les entreprises certifiées par de meilleures primes et garanties.

Quelles entreprises sont concernées par l’ISO 27001 ?

L’ISO 27001 est une norme volontaire pensée comme un standard universel. Elle s’applique à toute entreprise qui manipule des informations sensibles, quels que soient sa taille et son secteur. Aucune loi n’impose de se certifier, mais certains contextes l’ont fait passer du statut de bonne pratique à celui d’exigence de fait.

Toutes les tailles et tous les secteurs

La norme n’impose pas de taille minimale d’entreprise et n’exclut aucun secteur. Une start-up de cinq personnes comme une multinationale peuvent obtenir la certification, parce que chaque organisation définit le périmètre de son SMSI en fonction de sa taille, de ses risques et de ses ressources. Une PME ne déploie pas les mêmes mesures, ni avec le même niveau de détail, qu’une entreprise de plusieurs milliers de salariés, mais toutes deux peuvent être conformes à la norme.

Voilà pourquoi la certification s’est répandue dans des secteurs très variés. Toute entreprise qui dépend de son information — données clients, propriété intellectuelle, code source, contrats, dossiers médicaux — a intérêt à la mettre en place. Et comme aujourd’hui pratiquement toutes les entreprises reposent sur l’information numérique, le périmètre potentiel est immense.

Les secteurs où elle est devenue quasi obligatoire

Dans certains secteurs, opérer sans certification devient de plus en plus difficile :

  • Tech : les éditeurs SaaS, hébergeurs, prestataires de cybersécurité, MSP et éditeurs de logiciels font face à des clients qui exigent l’ISO 27001 avant même de signer.
  • Banque, finance et assurance : banques, fintechs et assureurs gèrent des données critiques sous la supervision d’organismes comme l’ACPR ou l’AMF.
  • Santé : hôpitaux, cliniques, laboratoires et plateformes de santé numérique manipulent des dossiers médicaux soumis au RGPD et à des réglementations sectorielles spécifiques (HDS, certification Hébergeur de Données de Santé).
  • Secteur public et ses prestataires : les exigences de l’ANSSI et le RGS recoupent une bonne partie de ce que couvre l’ISO 27001, et la certification est valorisée — voire directement exigée — dans les marchés publics.
  • Infrastructures critiques et télécommunications : les entreprises de l’énergie, des transports, de l’eau ou des télécoms entrent dans le périmètre de NIS2 et doivent démontrer un haut niveau de maturité en matière de sécurité.

Au-delà de ces secteurs, il est également courant que les entreprises qui travaillent avec de grands comptes internationaux envisagent la certification comme un prérequis commercial. Toute société ayant des clients aux États-Unis, en Allemagne ou au Royaume-Uni se voit poser tôt ou tard la question : « Êtes-vous certifiés ISO 27001 ? ».

Les bénéfices de la mise en place de l’ISO 27001

Mettre en place l’ISO 27001 apporte des bénéfices qui vont bien au-delà du certificat accroché au mur. Certains sont immédiats, comme l’accès à certains processus commerciaux. D’autres se font sentir à moyen terme, sous forme de moins d’incidents, de moins d’audits parallèles et d’une organisation plus mature dans sa gestion de l’information.

  • Elle renforce la confiance des clients, partenaires et collaborateurs : le certificat fait office de gage objectif sur la manière dont votre entreprise gère l’information sensible, sans avoir à détailler chaque mesure de sécurité.
  • Elle ouvre la porte aux marchés publics, aux grands comptes et à l’international : de plus en plus d’entreprises et d’administrations exigent l’ISO 27001 comme critère d’homologation, en particulier dans les secteurs régulés et auprès de clients aux États-Unis, en Allemagne ou au Royaume-Uni.
  • Elle réduit la probabilité et l’impact des incidents de sécurité : les mesures préventives stoppent des attaques qui, en d’autres circonstances, se concrétiseraient, et les plans de réponse et de continuité raccourcissent le délai de reprise lorsque quelque chose dysfonctionne.
  • Elle accélère la conformité à NIS2, au RGS et au RGPD : l’ISO 27001 couvre une bonne partie des exigences de ces textes, ce qui permet aux équipes juridiques et sécurité de réutiliser politiques, preuves et mesures plutôt que de les dupliquer.
  • Elle crée une culture de la sécurité transversale : la formation obligatoire des équipes et la répartition claire des responsabilités font que la sécurité cesse d’être « l’affaire du service IT » pour s’inviter dans le quotidien de tous les départements.
  • Elle facilite l’intégration avec d’autres systèmes de management : l’ISO 27001 partage la même structure que d’autres normes ISO populaires comme l’ISO 9001 (qualité) ou l’ISO 22301 (continuité d’activité), ce qui aide à unifier politiques, audits et documentation si l’entreprise détient déjà d’autres certifications.
  • Elle peut réduire les primes des assurances cyber : de plus en plus d’assureurs prennent en compte la certification dans le calcul des primes ou les conditions de couverture, car elle traduit un haut niveau de maturité dans la gestion des risques.

La structure de la norme ISO 27001

L’ISO 27001 s’articule autour d’un corps normatif composé de onze chapitres (de 0 à 10) et d’une Annexe A regroupant 93 mesures de sécurité concrètes que l’entreprise peut appliquer. Les quatre premiers sont introductifs, et l’audit se concentre sur les sept suivants (du 4 au 10), qui rassemblent les exigences obligatoires du SMSI :

  • 0 : Introduction. Présente l’objectif de la norme, son approche par les risques et sa compatibilité avec d’autres systèmes de management.
  • 1 : Domaine d’application. Explique à quoi sert la norme et à quel type d’organisations elle s’adresse.
  • 2 : Références normatives. Liste les documents à consulter en complément de l’ISO 27001, principalement l’ISO/IEC 27000.
  • 3 : Termes et définitions. Glossaire officiel des notions employées dans la norme.
  • 4 : Contexte de l’organisation. Oblige à comprendre ce que fait l’entreprise, qui sont ses parties prenantes (clients, salariés, fournisseurs, régulateurs) et quelles informations elle protège. C’est ici que se définit le périmètre du SMSI.
  • 5 : Leadership. La direction générale doit s’engager pour la sécurité, attribuer les rôles et approuver la politique de sécurité. Sans cet engagement, l’ISO 27001 ne fonctionne pas.
  • 6 : Planification. C’est là que se fait l’analyse de risques, que sont définis les objectifs de sécurité et planifiés les changements.
  • 7 : Support. Couvre les ressources (personnes, budget, infrastructure), la formation, la communication et la documentation du SMSI.
  • 8 : Fonctionnement. C’est le quotidien : appliquer les mesures définies, gérer les risques identifiés et traiter les incidents qui surviennent.
  • 9 : Évaluation des performances. Audits internes, indicateurs et revue de direction. Permet de vérifier que le SMSI fonctionne comme prévu.
  • 10 : Amélioration. Traiter les non-conformités, mettre en place des actions correctives et déployer une amélioration continue.

Les sept chapitres obligatoires suivent la logique du cycle PDCA (Planifier, Faire, Vérifier, Agir), socle de toutes les normes de management modernes et ce qui permet au SMSI d’évoluer en même temps que l’entreprise. Les 93 mesures de l’Annexe A, que nous détaillons dans la section suivante, sont celles que l’entreprise choisit d’appliquer en fonction des risques identifiés lors du chapitre 6.

L’Annexe A de l’ISO 27001

L’Annexe A de l’ISO 27001 est la section de la norme qui regroupe la liste officielle des mesures de sécurité qu’une entreprise peut appliquer pour protéger ses informations. Dans la version 2022, elles sont au nombre de 93, réparties en quatre grandes catégories selon le type de mesure. Il n’est pas nécessaire de toutes les mettre en place : chaque entreprise sélectionne celles qui correspondent aux risques identifiés lors de la planification du SMSI et justifie les exclusions dans un document appelé Déclaration d’applicabilité (DdA, ou SoA en anglais).

  • Mesures organisationnelles (37 mesures) : c’est le groupe le plus important. Il couvre tout ce qui touche aux politiques, aux processus, aux rôles et aux relations avec les tiers. On y trouve la politique générale de sécurité, la classification de l’information, la gestion des fournisseurs, la réponse aux incidents, le renseignement sur les menaces ou encore la continuité d’activité.
  • Mesures liées aux personnes (8 mesures) : elles portent sur le facteur humain, c’est-à-dire la manière dont on recrute, forme et encadre les collaborateurs qui ont accès à des informations sensibles. Elles couvrent les vérifications préalables à l’embauche, les clauses de confidentialité, la formation à la sécurité, les responsabilités à la fin du contrat ou les sanctions disciplinaires en cas de manquement.
  • Mesures physiques (14 mesures) : elles protègent les actifs matériels et l’environnement dans lequel l’information est traitée. Elles couvrent le contrôle d’accès aux bureaux et aux datacenters, la protection contre le vol ou les catastrophes naturelles, la sécurité du câblage, la maintenance des équipements ou la gestion des supports amovibles.
  • Mesures technologiques (34 mesures) : ce sont les mesures techniques appliquées aux systèmes, aux réseaux et aux terminaux. On y trouve la gestion des accès, le chiffrement, l’authentification, les sauvegardes, la prévention de la fuite de données (DLP), le filtrage web, la supervision de l’activité ou le développement sécurisé de logiciels.

Comment mettre en place l’ISO 27001 étape par étape ?

Déployer un SMSI conforme à l’ISO 27001 prend entre six mois et deux ans, selon la taille de l’entreprise, le périmètre retenu et la maturité préalable en matière de sécurité. La démarche complète se découpe en six étapes.

1. Engagement de la direction et définition du périmètre

Sans soutien explicite de la direction, aucun SMSI ne tient debout. La direction générale doit valider le projet, allouer un budget et nommer un référent interne (généralement un CISO, un responsable sécurité ou un coordinateur du SMSI).

Il faut en parallèle délimiter le périmètre, c’est-à-dire les parties de l’entreprise auxquelles la norme va s’appliquer. Quelques options courantes :

  • L’ensemble de l’organisation.
  • Une unité business précise.
  • Un produit ou un service (par exemple, uniquement la plateforme SaaS de l’entreprise).
  • Un site ou une filiale spécifique.

Plus le périmètre est large, plus la mise en place est exigeante et plus le coût de l’audit grimpe.

2. Inventorier et classifier les actifs informationnels

Avant de protéger quoi que ce soit, il faut savoir ce qu’on protège. À ce stade, on dresse un inventaire détaillé de tous les actifs informationnels de l’entreprise et on leur attribue un niveau de criticité. Il peut s’agir :

  • De données : bases clients, propriété intellectuelle, contrats, code source.
  • De logiciels : applications, systèmes d’exploitation, outils SaaS.
  • De matériel : serveurs, ordinateurs portables, mobiles, équipements réseau.
  • De services : cloud, hébergement, connectivité.
  • De personnes : collaborateurs disposant d’accès privilégiés, administrateurs systèmes.

Chaque actif est généralement classé en trois ou quatre niveaux (public, interne, confidentiel, restreint) selon l’impact qu’aurait sa perte ou sa divulgation.

3. Analyser et évaluer les risques

C’est probablement l’étape la plus technique. Pour chaque actif identifié, il faut étudier les menaces qui pèsent sur lui (une attaque, une erreur humaine, une panne), les vulnérabilités susceptibles d’être exploitées et l’impact qu’un incident aurait sur l’entreprise. La combinaison probabilité × impact donne le niveau de risque.

À partir de ce niveau, l’entreprise décide comment traiter chaque risque. Quatre options sont possibles : l’atténuer en appliquant des mesures, le transférer (par exemple en souscrivant une assurance cyber), l’accepter s’il se situe dans le seuil de tolérance, ou l’éviter en supprimant l’activité qui le génère. Cette décision est consignée dans le plan de traitement des risques.

4. Sélectionner et mettre en place les mesures de sécurité

Une fois le plan de traitement validé, vient le moment de choisir les mesures de l’Annexe A à appliquer. Chaque mesure sélectionnée doit être justifiée et reliée à un ou plusieurs risques identifiés à l’étape précédente. Les exclusions aussi.

Le résultat est consigné dans la Déclaration d’applicabilité (DdA), un document qui, pour chacune des 93 mesures, indique si elle s’applique, comment elle a été mise en œuvre et, en cas d’exclusion, pour quelle raison. C’est l’un des documents les plus scrutés lors de l’audit externe.

Une fois la DdA approuvée, la théorie passe à la pratique. On rédige les politiques de sécurité, on configure les mesures techniques (chiffrement des disques, MFA, gestion des accès, supervision), on signe les engagements de confidentialité avec les salariés et les fournisseurs, et on lance les processus opérationnels du SMSI.

5. Former et sensibiliser les équipes

La plupart des failles de sécurité partent d’un simple clic. C’est pourquoi la formation n’est pas optionnelle, mais une pièce obligatoire du SMSI. Chaque collaborateur doit comprendre quelles informations il manipule, comment les protéger et à qui signaler une anomalie. Les sessions abordent généralement les bonnes pratiques en matière de mots de passe, l’identification du phishing, l’usage responsable des terminaux professionnels et la procédure de réponse aux incidents.

6. Réaliser l’audit interne et passer la certification

Avant de se présenter à la certification, l’entreprise doit s’auditer elle-même. L’audit interne est réalisé par du personnel qualifié (interne ou externe, mais indépendant du SMSI) et vérifie que :

  • La documentation est complète et à jour.
  • Les mesures fonctionnent telles qu’elles sont décrites.
  • Les preuves sont traçables et vérifiables.
  • Les non-conformités détectées ont été traitées.

Ensuite, la direction générale passe en revue l’état général du SMSI, examine les indicateurs et valide les actions d’amélioration.

Vient ensuite l’audit externe, mené par un organisme certificateur accrédité indépendant (en France, on retrouve le plus souvent AFNOR Certification, Bureau Veritas Certification, LRQA, SGS, BSI Group ou Apave Certification, entre autres). Il se déroule en deux phases. Lors de la phase 1, l’auditeur examine la documentation du SMSI, vérifie que le périmètre est bien défini et prépare l’audit terrain. Lors de la phase 2, il évalue la mise en œuvre réelle des mesures par des entretiens, l’examen des preuves et des tests sur les systèmes.

Si tout est en ordre, le certificat est délivré, avec une validité de trois ans. Pendant cette période, des audits de surveillance ont lieu chaque année et, au bout de trois ans, un audit de renouvellement complet est réalisé.

Les erreurs les plus fréquentes lors de la mise en place de l’ISO 27001

La plupart des projets qui s’enlisent le doivent à des erreurs d’approche. Voici les six écueils qui reviennent le plus souvent.

  • Traiter la norme comme un projet ponctuel : l’ISO 27001 ne se valide pas comme un examen, elle s’entretient. Les entreprises qui relâchent l’effort après la certification arrivent à l’audit suivant avec la moitié de leur SMSI obsolète.
  • Définir un périmètre trop restreint : limiter le périmètre au service le mieux préparé allège le coût de l’audit, mais le certificat ne reflète que cette partie. N’importe quel client attentif le repère à la première lecture.
  • Documenter pour l’auditeur plutôt que pour le quotidien : une politique que personne n’applique au jour le jour ne sert qu’à passer l’audit. Lorsque l’incident suivant surviendra, elle n’aidera personne.
  • Sous-estimer la gestion du parc informatique : sans inventaire à jour ni mesures homogènes sur les ordinateurs portables et les mobiles, plusieurs mesures de l’Annexe A tombent en même temps lors de l’audit. Un endpoint non géré reste l’une des portes d’entrée les plus simples pour un attaquant.
  • Tout externaliser à un cabinet : un consultant accompagne, il ne remplace pas l’équipe interne. Si la connaissance reste à l’extérieur, le premier départ du prestataire laisse l’entreprise aveugle.
  • Considérer la formation comme une formalité : une session de 30 minutes une fois par an ne sensibilise personne. Il faut des formations adaptées à chaque profil, des piqûres de rappel régulières et des simulations grandeur nature (phishing, réponse à incident).

Comment Factorial IT vous aide à obtenir l’ISO 27001

Factorial IT couvre depuis une seule plateforme les fronts techniques les plus scrutés lors d’un audit ISO 27001 (identités, terminaux, accès SaaS, antivirus et collaborateurs), de sorte que les preuves attendues par l’auditeur se génèrent toutes seules au fil de l’activité quotidienne, sans avoir à tout reconstruire le jour J. Voici les six blocs qu’il automatise :

plateforme factorial it

  • Inventaire des actifs IT : catalogue automatique des terminaux, logiciels et accès de l’entreprise, toujours à jour et exportable pour l’audit.
  • Contrôle des accès : gestion centralisée des accès aux outils SaaS, avec attribution et révocation automatiques des droits selon le rôle de chaque collaborateur.
  • Sécurité des terminaux : chiffrement, mots de passe et verrouillage appliqués automatiquement à chaque équipement. Compatible avec Mac, iOS, Windows et Linux.
  • Offboarding sécurisé : dès qu’un départ est enregistré dans le SIRH, tous les accès du collaborateur sont coupés sans intervention manuelle et sans comptes résiduels.
  • Protection contre les malwares : antivirus avancé déployé sur chaque terminal, avec détection des malwares, rançongiciels et menaces zero-day.
  • Preuves d’audit : registres et rapports de conformité générés automatiquement, prêts à être exportés et présentés à l’auditeur à tout moment.