{"id":192830,"date":"2026-06-19T13:07:23","date_gmt":"2026-06-19T11:07:23","guid":{"rendered":"https:\/\/factorialhr.com\/blog\/?p=192830"},"modified":"2026-06-19T14:11:32","modified_gmt":"2026-06-19T12:11:32","slug":"iso-27001-vs-iso-27002","status":"publish","type":"post","link":"https:\/\/factorial.fr\/blog\/iso-27001-vs-iso-27002\/","title":{"rendered":"ISO 27001 vs ISO 27002 : quelles diff\u00e9rences ?"},"content":{"rendered":"

Si votre entreprise fait ses premiers pas dans l’univers de la s\u00e9curit\u00e9 de l’information, vous avez tr\u00e8s probablement d\u00e9j\u00e0 entendu parler de la norme ISO 27001<\/strong>. Et, presque dans la foul\u00e9e, une autre norme au nom \u00e9tonnamment proche a d\u00fb croiser votre route : l’ISO 27002<\/strong>. S’agit-il de la m\u00eame chose ? L’une remplace-t-elle l’autre ? Faut-il mettre en \u0153uvre les deux ?<\/p>\n

La confusion est bien compr\u00e9hensible. Toutes deux appartiennent \u00e0 la m\u00eame famille ISO\/IEC 27000, poursuivent le m\u00eame objectif g\u00e9n\u00e9ral \u2014 prot\u00e9ger l’information de l’organisation \u2014 et leurs mesures partagent jusqu’\u00e0 la num\u00e9rotation. Pourtant, ce ne sont ni des normes \u00e9quivalentes ni interchangeables : chacune joue un r\u00f4le bien distinct au sein d’un Syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI).<\/p>\n

Dans cet article, nous vous expliquons ce qu’est chacune d’elles, en quoi elles diff\u00e8rent et comment elles s’articulent entre elles<\/strong>, afin que vous sachiez pr\u00e9cis\u00e9ment quel r\u00f4le joue chaque norme dans votre strat\u00e9gie de conformit\u00e9.<\/p>\n

Qu’est-ce que l’ISO 27001 ?<\/h2>\n

L’ISO 27001<\/a> (officiellement ISO\/IEC 27001) est la norme internationale qui fixe les exigences pour mettre en place, maintenir et am\u00e9liorer un Syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI)<\/strong>. Sa premi\u00e8re version remonte \u00e0 2005 et sa derni\u00e8re mise \u00e0 jour date d’octobre 2022. C’est la r\u00e9f\u00e9rence la plus reconnue au monde en la mati\u00e8re, pr\u00e9sente dans plus de 150 pays.<\/p>\n

Ce qui la distingue fondamentalement des autres normes de la famille, c’est qu’elle est certifiable. Toute organisation, quels que soient sa taille ou son secteur, peut se soumettre \u00e0 un audit externe men\u00e9 par un organisme accr\u00e9dit\u00e9 et obtenir un certificat officiel reconnu \u00e0 l’international<\/strong>. Ce certificat est valable trois ans, assorti d’audits de suivi annuels.<\/p>\n

La norme s’articule autour de deux blocs. D’un c\u00f4t\u00e9, les clauses obligatoires<\/strong> (de la 4 \u00e0 la 10), qui d\u00e9finissent comment construire et faire vivre le SMSI. De l’autre, l’Annexe A<\/strong>, qui recense 93 mesures de s\u00e9curit\u00e9 r\u00e9parties en quatre cat\u00e9gories. Ces mesures ne s’appliquent pas toutes de fa\u00e7on syst\u00e9matique : chaque organisation justifie celles qui la concernent et celles qui ne la concernent pas dans sa D\u00e9claration d’applicabilit\u00e9 (DdA).<\/p>\n

C’est par ailleurs le point de d\u00e9part habituel pour aborder d’autres cadres r\u00e9glementaires comme la directive NIS2<\/a> \u2014 transpos\u00e9e en France par la loi du 30 avril 2025 \u2014 ou les r\u00e9f\u00e9rentiels de l’ANSSI, avec lesquels elle partage une bonne part des principes de gestion des risques et de s\u00e9curit\u00e9.<\/p>\n

Points cl\u00e9s de l’ISO 27001<\/h3>\n