NORME ISO/IEC 27001:2022 - SMSI

Préparez votre certification ISO 27001
sans y perdre 6 mois

ISO/IEC 27001 est la norme internationale de référence pour le Système de Management de la Sécurité de l'Information (SMSI). De plus en plus exigée par les donneurs d'ordre, dans les appels d'offres, par les assureurs cyber ou pour l'accès à certains marchés export, SYAGA vous accompagne du gap assessment jusqu'à la préparation de l'audit de certification.

93
Mesures Annexe A (éd. 2022)
4
Thèmes de sécurité
7
Clauses de management (4 à 10)
1
Déclaration d'Applicabilité livrée

Le contexte

ISO 27001 n'est pas une obligation légale générale, mais elle devient un prérequis commercial incontournable

📋

Une certification volontaire, mais de plus en plus demandée

ISO/IEC 27001 reste une démarche volontaire. Elle est néanmoins de plus en plus exigée dans les appels d'offres, par les grands donneurs d'ordre, par certains assureurs cyber, ou comme prérequis pour l'accès à certains marchés export.

🔒

Peu de PME ont formalisé leur SMSI

La majorité des PME et ETI n'ont engagé aucune démarche structurée de Système de Management de la Sécurité de l'Information. Le sujet est perçu comme complexe, technique et long.

💰

Des accompagnements longs et coûteux

Les missions de certification classiques mobilisent vos équipes sur plusieurs mois et représentent un investissement conséquent, souvent hors de portée d'une PME.

Vos équipes IT sont déjà surchargées

Mobiliser le DSI ou le responsable sécurité pendant des mois pour construire un SMSI n'est pas viable dans une PME où chacun porte déjà plusieurs casquettes.

La méthode ISO27001-Express

Une démarche structurée en 3 phases, appuyée sur la même méthodologie déjà éprouvée par SYAGA sur PSSI-Express

1
Phase 1 - Gap Assessment

Évaluation des 93 mesures de l'Annexe A

Entretien de cadrage avec la direction et le responsable SI, puis évaluation systématique de chacune des 93 mesures de sécurité de l'Annexe A (édition 2022), réparties sur les 4 thèmes organisationnel, humain, physique et technologique. Restitution d'un rapport d'écarts factuel.

2
Phase 2 - Documentation du SMSI

Politique de sécurité, DdA et plan de remédiation

Rédaction ou mise à jour de la politique de sécurité (SMSI), de la Déclaration d'Applicabilité (DdA) justifiant l'application ou l'exclusion de chacune des 93 mesures, et d'un plan de remédiation priorisé pour combler les écarts identifiés en phase 1.

3
Phase 3 - Accompagnement vers la certification

Préparation de l'audit par l'organisme certificateur

Suivi de la mise en oeuvre du plan de remédiation, revue documentaire, et préparation de votre équipe à l'audit réalisé par un organisme certificateur accrédité indépendant. SYAGA vous prépare à l'audit ; la certification elle-même est délivrée par cet organisme tiers.

Ce que vous recevez

Les documents structurants du dossier de certification ISO 27001

📊

Rapport de Gap Assessment

Évaluation factuelle de votre niveau de conformité par rapport à la norme.

  • Évaluation des 93 mesures Annexe A
  • Statut par mesure : conforme / partiel / non conforme
  • Synthèse par thème (organisationnel, humain, physique, technologique)
  • Constats factuels, sans jugement de valeur
🔐

Déclaration d'Applicabilité (DdA)

Document normatif central du dossier de certification ISO 27001.

  • Statut applicable/exclu pour chacune des 93 mesures
  • Justification de chaque exclusion
  • Référence vers les documents du SMSI
  • Prêt à être présenté à l'organisme certificateur
📝

Politique de sécurité (SMSI)

Le document de gouvernance exigé par les clauses 4 à 10 de la norme.

  • Périmètre et contexte du SMSI
  • Rôles et responsabilités sécurité
  • Processus de gestion des risques
  • Cycle d'amélioration continue (PDCA)
🎯

Plan de remédiation priorisé

La feuille de route pour combler les écarts identifiés.

  • Actions classées par priorité
  • Mesures organisationnelles et techniques
  • Suivi d'avancement
  • Préparation progressive à l'audit
📄

Procédures opérationnelles

Documents applicables directement par vos équipes.

  • Gestion des incidents de sécurité
  • Gestion des accès et des identités
  • Gestion des changements
  • Charte informatique
💻

Fichiers éditables

Tous les documents dans des formats que vous pouvez faire évoluer.

  • HTML autonome (ouvrable dans tout navigateur)
  • PDF haute qualité (impression A4)
  • DOCX éditable (Microsoft Word)
  • Mise à jour à chaque revue annuelle

Un socle documentaire mutualisable

Le SMSI ISO 27001 recoupe naturellement plusieurs référentiels

ISO

ISO/IEC 27001:2022

Référentiel central : clauses 4 à 10 (exigences de management) et Annexe A (93 mesures de sécurité réparties en 4 thèmes).

N2

Passerelle avec NIS2

Les mesures de gestion des risques cyber demandées par la directive NIS2 recoupent largement les mesures de l'Annexe A ISO 27001. Un SMSI ISO 27001 facilite la mise en conformité NIS2 pour les entités concernées.

AN

Guide ANSSI - Hygiène informatique

Les mesures du guide d'hygiène informatique de l'ANSSI recoupent une part significative des mesures de l'Annexe A ISO 27001. Correspondance documentée dans le plan de remédiation.

RG

RGPD (Art. 32)

Les mesures techniques et organisationnelles appropriées exigées par l'article 32 du RGPD s'appuient sur les mêmes bonnes pratiques que l'Annexe A ISO 27001 (contrôle d'accès, chiffrement, gestion des incidents).

Des offres adaptées à votre contexte

Chaque mission ISO 27001 est dimensionnée selon votre périmètre et votre maturité actuelle. Devis personnalisé systématique.

Gap Assessment

Photographie initiale de vos écarts

Sur devis
selon périmètre et effectifs
  • Évaluation des 93 mesures Annexe A
  • Rapport de constat factuel
  • Synthèse par thème de sécurité
  • Restitution à la direction
  • Formats HTML + PDF + DOCX
Demander un devis

Maintenance annuelle

Après certification ou en continu

Sur devis
selon périmètre et effectifs
  • Revue annuelle du SMSI
  • Mise à jour de la DdA
  • Actualisation du plan de remédiation
  • Préparation aux audits de surveillance
Demander un devis

Questions fréquentes

Les 8 questions qu'un dirigeant se pose vraiment avant de se lancer, avec à chaque fois la réponse simple et la source officielle vérifiable. Mis à jour le 18/07/2026.

Qu'est-ce que la norme ISO/IEC 27001 ?
ISO/IEC 27001 est la norme internationale de référence pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Dans son édition 2022, elle est structurée en clauses 4 à 10 (exigences de management : contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) et une Annexe A de 93 mesures de sécurité réparties en 4 thèmes : organisationnel, humain, physique et technologique. Le comité international qui l'a rédigée la décrit lui-même comme la norme de management de la sécurité de l'information la plus utilisée au monde.
Source : ISO, comité JTC1/SC27
Quelle est la différence entre ISO 27001 et ISO 27002 ?
C'est une confusion fréquente. ISO/IEC 27001 est la norme "certifiable" : elle fixe les exigences du système de management (ce que votre organisation doit mettre en place et prouver lors d'un audit). ISO/IEC 27002, elle, n'est pas certifiable en soi : c'est un guide détaillé qui explique comment mettre en œuvre concrètement chacune des 93 mesures de sécurité listées dans l'Annexe A de la 27001. En clair, 27001 dit "quoi faire et comment le prouver", 27002 dit "comment le faire". Le même comité ISO a aussi produit ISO/IEC 27005, dédiée à la gestion des risques.
Source : ISO, comité JTC1/SC27
ISO 27001 est-elle obligatoire pour mon entreprise ?
Non, ISO 27001 est une certification volontaire, contrairement à des textes réglementaires comme NIS2. La fiche méthode officielle de l'ANSSI le confirme noir sur blanc : pour ISO/IEC 27001, la case "Obligation" est cochée "Facultatif". En revanche, elle est de plus en plus demandée de facto : appels d'offres, exigences de grands donneurs d'ordre, conditions d'assurance cyber, ou accès à certains marchés export. C'est un choix stratégique plus qu'une obligation légale générale.
Source : ANSSI, fiche méthode v1.0 (mai 2025)
Qui délivre le certificat, et c'est quoi une "accréditation" ?
Jamais l'entreprise elle-même, ni un consultant comme SYAGA : seul un organisme certificateur (AFNOR Certification, Bureau Veritas, SGS...) peut délivrer le certificat, à l'issue d'un audit externe. Et pour être crédible, cet organisme certificateur doit lui-même être "accrédité" : contrôlé par une autorité indépendante qui vérifie sa compétence et son impartialité. En France, cette autorité est unique : le COFRAC, association créée en 1994, qui employait 179 salariés et s'appuyait sur plus de 1 800 évaluateurs externes pour accréditer 3 573 organismes en 2024. Sans cette accréditation, un "certificat ISO 27001" ne vaut rien.
Source : COFRAC (chiffres 2024)
Qu'est-ce que la Déclaration d'Applicabilité (DdA) ?
La DdA (ou SoA, "Statement of Applicability" en anglais) est un document normatif obligatoire du dossier de certification. Elle liste chacune des 93 mesures de l'Annexe A et précise si elle est appliquée ou exclue, avec la justification correspondante. C'est l'un des documents les plus scrutés lors de l'audit de certification.
Source : AFNOR Certification
Une fois certifié, c'est acquis pour toujours ?
Non, rien n'est figé une fois pour toutes. Le certificat est délivré pour 3 ans, mais un audit de surveillance a lieu chaque année pour vérifier que le système de management reste vivant et efficace. Au bout des 3 ans, un audit complet de renouvellement est nécessaire pour reconduire la certification. C'est une démarche d'amélioration continue, pas un diplôme qu'on encadre une fois obtenu.
Source : AFNOR Certification
La certification ISO 27001 me rend-elle automatiquement conforme au RGPD ?
Non, et c'est important de le savoir avant de s'engager : ce sont deux démarches complémentaires, pas équivalentes. Le RGPD lui-même pose le principe, dans son article 42, qu'"une certification en vertu du présent article ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement". Autrement dit, aucune certification sécurité, aussi sérieuse soit-elle, ne dispense l'entreprise de ses obligations RGPD propres (registre des traitements, base légale, droits des personnes...). ISO 27001 renforce la sécurité des données, ce qui aide indirectement le RGPD, mais ne le remplace pas.
Source : CNIL, RGPD article 42
SYAGA délivre-t-elle la certification ?
Non. La certification ISO 27001 est délivrée exclusivement par un organisme certificateur accrédité indépendant, à l'issue d'un audit externe. SYAGA vous accompagne dans la préparation (gap assessment, documentation du SMSI, plan de remédiation, préparation de vos équipes), mais ne délivre pas elle-même le certificat.
SYAGA vous accompagne dans la préparation de votre SMSI et de votre dossier de certification. La certification ISO/IEC 27001 elle-même est délivrée par un organisme certificateur accrédité indépendant, non affilié à SYAGA. Ce contenu est un outil d'accompagnement et ne constitue pas un avis juridique.

Prêt à structurer votre démarche ISO 27001 ?

Contactez-nous pour un devis personnalisé selon votre périmètre et votre maturité actuelle.

Veille réglementaire - sources officielles

Ce que dit vraiment ISO/IEC 27001, expliqué simplement. Chaque point renvoie à sa source officielle (ISO, AFNOR, COFRAC, ANSSI), mise à jour au 17/07/2026.

C'est quoi, concrètement ?

ISO/IEC 27001 est une méthode reconnue pour repérer les menaces qui pèsent sur vos données, maîtriser les risques et mettre en place les bonnes protections, pour que vos informations restent confidentielles, disponibles et fiables. Ce n'est pas un logiciel, c'est une organisation à mettre en place dans l'entreprise.

Source : AFNOR Certification

C'est un choix, pas une loi

Contrairement à d'autres démarches (comme l'homologation de sécurité imposée à certains systèmes de l'État), ISO 27001 est facultative : c'est une norme certifiante, pas une obligation réglementaire générale. Vous la choisissez pour rassurer clients, partenaires et assureurs.

Source : ANSSI (fiche méthode)

Qui délivre le certificat ?

Jamais l'entreprise elle-même, ni un consultant : seul un organisme certificateur indépendant et accrédité peut le délivrer (le COFRAC est l'unique instance française d'accréditation, créée en 1994). Le certificat obtenu est valable 3 ans.

Source : COFRAC

Le parcours, en 6 étapes

Évaluation préalable (optionnelle), préparation, revue des documents, audit sur site pour vérifier ce qui est vraiment en place, délivrance du certificat (3 ans), puis une visite de contrôle chaque année et un audit complet de renouvellement au bout de 3 ans. Rien n'est figé une fois pour toutes.

Source : AFNOR Certification

Est-ce que ça rapporte vraiment ?

Selon une étude AFNOR menée auprès d'entreprises certifiées : 89% ont constaté moins d'incidents de sécurité, 83% ont des processus de sécurité internes plus solides, et 88% ont gardé des clients qui auraient pu partir sans la certification.

Source : étude AFNOR 2019

Reconnue partout, pas seulement en France

C'est la norme de sécurité de l'information la plus utilisée au monde selon l'ISO elle-même. Et l'accréditation qui contrôle les organismes certificateurs (comme le COFRAC en France) est reconnue à l'international par des accords entre pays, ce qui facilite l'accès à des marchés en Europe et ailleurs.

Source : ISO (comité JTC1/SC27)

Qui est vraiment concerné par ISO 27001 ?

Pas besoin d'être une multinationale ni une entreprise du numérique. Voici, sources officielles à l'appui, qui peut (et parfois doit) s'y intéresser.

Tout le monde, sans exception de taille ni de secteur

La certification s'adresse à « toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données, physiques ou dématérialisées ». AFNOR précise elle-même qu'elle ne vise pas « uniquement les hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique » : cabinet comptable, garage, association, mairie, clinique... si vous avez des données, vous êtes dans le périmètre.

Source : AFNOR Certification (17/07/2026)

Un choix, jamais une obligation en tant que telle

La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc : pour ISO/IEC 27001, la case « Obligation » est cochée « Facultatif ». À l'inverse, l'homologation de sécurité (le régime vraiment obligatoire) ne s'applique qu'aux systèmes d'information de l'État et des opérateurs réglementés français (OIV/OSE). Deux mondes différents : ne confondez pas les deux si un prestataire vous parle d'obligation légale ISO 27001, ce n'est pas exact.

Source : ANSSI, fiche méthode v1.0 (mai 2025)

Le vrai déclencheur : la directive européenne NIS2

Le texte européen NIS2 (obligatoire, lui) cite explicitement la famille de normes ISO/IEC 27000, dont fait partie ISO 27001, comme référence de bonnes pratiques pour les mesures de cybersécurité à mettre en place. La Commission européenne demande aux États membres de « promouvoir l'utilisation des normes européennes et internationales pertinentes ». Concrètement : ISO 27001 devient le moyen le plus reconnu de prouver sa conformité NIS2 face à un régulateur.

Source : EUR-Lex, directive (UE) 2022/2555, considérants 79-80

NIS2, concrètement : 18 secteurs, dès 50 salariés

Selon la Commission européenne, NIS2 couvre 18 secteurs critiques : énergie, transport, santé, finance, gestion de l'eau, infrastructures numériques (déjà dans NIS1), plus désormais communications électroniques grand public, réseaux sociaux, gestion des déchets, fabrication de produits critiques, poste et courrier, administration publique, et le secteur spatial. La règle de taille : « les entités moyennes et grandes » de ces secteurs devront prendre des mesures de gestion des risques cyber et notifier les incidents significatifs.

Source : Commission européenne, digital-strategy.ec.europa.eu

« Moyenne entreprise », ça veut dire quoi exactement ?

La définition officielle européenne (Recommandation 2003/361/CE) fixe des seuils précis. Une entreprise franchit le seuil « moyenne » (et entre dans le champ probable de NIS2) dès qu'elle dépasse l'un de ces repères :

Catégorie Effectif Chiffre d'affaires
Micro-entreprise moins de 10 2 M€ ou moins
Petite entreprise moins de 50 10 M€ ou moins
Moyenne entreprise moins de 250 50 M€ ou moins
Source : Commission européenne, définition PME

Le périmètre s'élargit, y compris aux petites structures

La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour alléger la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. Preuve que le sujet ne concerne déjà plus seulement les grands groupes : des structures modestes se retrouvent, via leurs clients ou leur secteur, à devoir répondre aux mêmes exigences.

Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)

Les sanctions : ce qu'il faut vraiment craindre

Pas de panique inutile ici, juste les chiffres officiels. Ce que dit vraiment la loi sur les amendes, qui les applique, et pourquoi ISO 27001 reste votre meilleure protection contre elles.

ISO 27001 en elle-meme ne sanctionne rien

C'est le point le plus rassurant : ne pas etre certifie ISO 27001 n'entraine, en soi, aucune amende. La norme est facultative (« case Obligation cochee Facultatif », le confirme la fiche methode officielle de l'ANSSI). Une norme facultative n'a logiquement pas de mecanisme de sanction legale attache a son absence.

Source : ANSSI, fiche méthode v1.0 (mai 2025)

Le vrai risque financier : les amendes NIS2

Si votre activite tombe dans le champ de la directive europeenne NIS2 (obligatoire, elle), les amendes sont chiffrees noir sur blanc par la Commission europeenne : jusqu'a 10 000 000 EUR ou 2% du chiffre d'affaires mondial de l'exercice precedent pour une entite « essentielle » (le montant le plus eleve etant retenu), et jusqu'a 7 000 000 EUR ou 1,4% du chiffre d'affaires mondial pour une entite « importante ». C'est exactement pour eviter ce risque-la qu'ISO 27001 est recommandee comme preuve de conformite.

Source : Commission européenne, FAQ officielle NIS2

Qui decide du montant ?

Ce ne sont pas des amendes automatiques ni forfaitaires. L'autorite competente doit tenir compte de « la nature, la gravite et la duree de l'infraction, le dommage cause ou les pertes subies, [et] le caractere intentionnel ou negligent de l'infraction ». Une entreprise de bonne foi qui corrige vite un incident n'est pas traitee comme une entreprise negligente et recidiviste.

Source : Commission européenne, FAQ officielle NIS2

En France, c'est l'ANSSI qui controle

Chaque Etat membre designe sa propre autorite competente pour appliquer NIS2. En France, c'est l'ANSSI (Agence nationale de la securite des systemes d'information) qui est chargee de la mise en oeuvre et du controle. Elle a mis a disposition en mars 2026 un referentiel national (ReCyF, non obligatoire) pour aider les entreprises a s'y reperer et a comparer leurs demarches existantes, dont ISO 27001.

Source : cyber.gouv.fr (ANSSI)

Avant l'amende, des mesures correctives

Les autorites competentes disposent aussi d'outils non financiers : instructions contraignantes, ordre de mettre en oeuvre les recommandations d'un audit de securite, ou ordre de mise en conformite des mesures de securite. La directive prevoit egalement des dispositions sur la responsabilite des personnes occupant des fonctions de direction generale. L'amende n'est generalement pas la premiere reponse a un manquement.

Source : Commission européenne, FAQ officielle NIS2

Pas encore de cas chiffre publie a ce jour

Les Etats membres avaient jusqu'au 17 octobre 2024 pour transposer NIS2 en droit national. A la date de redaction, aucune source officielle ne publie de cas reel avec un montant de sanction effectivement applique en France ou en UE : les chiffres ci-dessus sont des plafonds legaux maximum, pas des montants moyennement constates. Nous mettrons cette page a jour des qu'un cas officiel sera publie.

Source : Commission européenne, digital-strategy.ec.europa.eu

Le calendrier ISO 27001, en clair

Quelles dates comptent vraiment ? Ce qui est déjà obligatoire, ce qui tourne déjà, et ce qui arrive. Sources officielles à l'appui, compris en 2 minutes, mis à jour au 18/07/2026.

2022 En vigueur

La version de référence aujourd'hui : ISO/IEC 27001:2022

Il existait une version 2013, aujourd'hui dépassée. La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc dans son tableau comparatif : « Dernière version : ISO27001 version 2022 ». Cette version couvre les domaines organisationnel, physique et technologique du périmètre à certifier. Concrètement : toute nouvelle certification, ou tout renouvellement, se fait désormais sur cette version.

Source : ANSSI, fiche méthode v1.0 (mai 2025)
17 oct. 2024 En vigueur

Le vrai coup d'envoi : NIS2 transposée dans toute l'UE

La directive européenne NIS2 est entrée en vigueur en janvier 2023, mais la date qui compte pour les entreprises, c'est le 17 octobre 2024 : la limite à laquelle chaque État membre devait avoir transposé le texte dans son droit national. Depuis cette date, NIS2 s'applique concrètement, et cite justement la famille de normes ISO/IEC 27000 (dont ISO 27001 fait partie) comme référence de bonnes pratiques pour s'y conformer.

Source : Commission européenne, digital-strategy.ec.europa.eu
18 oct. 2024 En vigueur

L'ancienne directive NIS1 a pris sa retraite

Le lendemain de la date limite de transposition de NIS2, l'ancienne directive NIS1 (celle de 2016) a été officiellement abrogée. Un seul texte de référence désormais en Europe pour la cybersécurité réglementaire des secteurs critiques : plus de doute sur quel cadre s'applique.

Source : Commission européenne, digital-strategy.ec.europa.eu
En continu Cycle de 3 ans

Une fois certifié, le rythme ne s'arrête jamais

Le certificat ISO 27001, une fois délivré par un organisme accrédité, est valable 3 ans. Mais ce n'est pas figé pour autant : AFNOR Certification prévoit une visite de contrôle chaque année, puis un audit complet de renouvellement à l'échéance des 3 ans. L'ANSSI confirme exactement la même mécanique dans sa fiche de mai 2025 : durée de 3 ans, revue annuelle de direction et audit de suivi. Deux sources officielles différentes, le même calendrier.

Source : AFNOR Certification, ANSSI (mai 2025)
20 janv. 2026 À venir

Ce qui bouge encore : un allègement de NIS2 à l'étude

La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour simplifier la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. À cette date, il s'agit d'une proposition, pas encore d'un texte adopté : le calendrier réglementaire qui entoure ISO 27001 peut donc encore bouger dans les prochains mois, sans remettre en cause l'intérêt de la norme elle-même.

Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)
2025 En vigueur

Côté français : un calendrier parallèle pour les systèmes de l'État

Pour les systèmes d'information de l'État et des opérateurs réglementés, l'ANSSI a sa propre procédure, l'homologation de sécurité, actuellement en version 2.1 (2025), avec elle aussi une durée maximale de 3 ans et une revue annuelle des systèmes conseillée. Ce n'est pas la même démarche qu'ISO 27001 (facultative), mais les deux avancent au même rythme de 3 ans, ce qui facilite la vie de ceux qui doivent gérer les deux à la fois.

Source : ANSSI, fiche méthode v1.0 (mai 2025)