NagaShield Security
ISO/IEC 27001

Certification ISO 27001 : le guide complet et notre accompagnement

L'ISO 27001 est la norme de référence pour prouver que votre organisation maîtrise la sécurité de l'information. De plus en plus exigée par les clients grands comptes et les investisseurs, elle devient un avantage commercial. Voici comment l'obtenir — et comment je vous y accompagne.

En résumé

L'ISO/IEC 27001 est la norme internationale de référence pour le management de la sécurité de l'information (SMSI). Une organisation certifiée démontre qu'elle identifie et gère ses risques de sécurité de façon structurée et continue. Obtenir la certification ISO 27001 se fait en plusieurs étapes : définir le périmètre, réaliser une analyse de risques, déployer les mesures de sécurité (Annexe A, 93 mesures dans la version 2022), documenter le SMSI, puis passer un audit de certification en deux étapes (revue documentaire puis audit sur site) mené par un organisme accrédité. Le délai typique est de 6 à 12 mois et la certification est valable 3 ans, avec des audits de surveillance annuels.

Qu'est-ce que l'ISO 27001 ?

L'ISO/IEC 27001 est une norme internationale publiée par l'ISO et l'IEC. Elle définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI, ou ISMS en anglais) : un cadre organisationnel permettant de protéger la confidentialité, l'intégrité et la disponibilité de l'information par une démarche d'amélioration continue.

La version en vigueur est l'ISO/IEC 27001:2022, qui s'accompagne d'une Annexe A regroupant 93 mesures de sécurité réparties en 4 thèmes (organisationnel, humain, physique, technologique). La certification est délivrée par un organisme accrédité indépendant, et non par l'ISO elle-même.

Pourquoi viser la certification ISO 27001 ?

  • Répondre aux exigences de clients grands comptes qui l'imposent dans leurs appels d'offres
  • Se démarquer commercialement et raccourcir les cycles de vente (moins de questionnaires sécurité)
  • Rassurer investisseurs, partenaires et assureurs cyber
  • Structurer durablement la sécurité plutôt que de réagir au coup par coup
  • Faciliter la conformité à d'autres cadres (NIS2, RGPD, SOC 2) qui partagent de nombreuses exigences
  • Réduire concrètement la probabilité et l'impact des incidents de sécurité

Les étapes pour obtenir l'ISO 27001

La démarche suit une logique claire, du cadrage à la certification :

1. Définir le périmètre et le contexte

Déterminer quels services, sites et systèmes entrent dans le SMSI, identifier les parties intéressées et leurs exigences.

2. Réaliser l'analyse de risques

Cartographier les actifs, identifier les menaces et vulnérabilités, évaluer les risques (méthode EBIOS Risk Manager ou approche par scénarios) et définir les critères d'acceptation.

3. Construire le plan de traitement des risques

Sélectionner les mesures de l'Annexe A pertinentes, rédiger la Déclaration d'Applicabilité (SoA) et planifier le traitement des risques résiduels.

4. Déployer le SMSI

Mettre en place les politiques, procédures et mesures techniques et organisationnelles : gestion des accès, sauvegardes, gestion des incidents, sensibilisation, etc.

5. Faire vivre le système (audits internes, revue de direction)

Conduire des audits internes, traiter les non-conformités et tenir une revue de direction — l'amélioration continue est au cœur de la norme.

6. Passer l'audit de certification

L'organisme certificateur réalise un audit en deux étapes : revue documentaire (étape 1) puis audit de mise en œuvre sur site (étape 2). En cas de succès, la certification est délivrée pour 3 ans.

Combien de temps et combien ça coûte ?

Le délai dépend de votre maturité de départ : comptez généralement 6 à 12 mois pour une première certification, parfois plus pour un périmètre large ou une organisation peu structurée.

Le coût se compose de deux volets : l'accompagnement (analyse de risques, construction du SMSI, préparation) et l'audit de certification facturé par l'organisme accrédité (variable selon la taille et le périmètre). La certification est valable 3 ans, avec des audits de surveillance annuels et un audit de renouvellement la 3e année. Un accompagnement bien mené réduit fortement le risque d'échec à l'audit et donc le coût total.

ISO 27001 pour les PME et startups : est-ce réaliste ?

Oui. La norme est volontairement adaptable à la taille et au contexte de l'organisation : le périmètre, le niveau de formalisme et les mesures retenues sont proportionnés à vos risques réels. Une PME ou une startup SaaS peut tout à fait se certifier, à condition d'un accompagnement pragmatique qui évite la sur-documentation.

L'erreur la plus fréquente est de vouloir tout documenter d'un coup. Une démarche efficace commence par un périmètre maîtrisé, une analyse de risques honnête et des mesures réellement appliquées — pas une bibliothèque de politiques que personne ne lit.

Mon accompagnement ISO 27001

NagaShield vous accompagne de bout en bout, en tant que RSSI externalisé ou en mission dédiée. Je suis certifié ISO 27001 Lead Implementer et j'ai piloté des démarches SMSI sur des environnements grands comptes.

  • Diagnostic d'écart (gap analysis) par rapport aux exigences de la norme
  • Analyse de risques EBIOS et plan de traitement priorisé
  • Construction du SMSI : politiques, procédures, Déclaration d'Applicabilité
  • Préparation aux audits internes et à l'audit de certification
  • Documentation proportionnée, pensée pour être réellement utilisée

Questions fréquentes

Visez la certification ISO 27001

Discutons de votre point de départ et construisons une feuille de route réaliste vers la certification. Échange de cadrage gratuit.

Demander un devis gratuit Réserver un échange

À lire aussi

RSSI externaliséConformité NIS2Audit & PentestTous nos servicesComprendre la GRC