ISO/IEC 27001 est la norme internationale de référence pour le Système de Management de la Sécurité de l'Information (SMSI). De plus en plus exigée par les donneurs d'ordre, dans les appels d'offres, par les assureurs cyber ou pour l'accès à certains marchés export, SYAGA vous accompagne du gap assessment jusqu'à la préparation de l'audit de certification.
ISO 27001 n'est pas une obligation légale générale, mais elle devient un prérequis commercial incontournable
ISO/IEC 27001 reste une démarche volontaire. Elle est néanmoins de plus en plus exigée dans les appels d'offres, par les grands donneurs d'ordre, par certains assureurs cyber, ou comme prérequis pour l'accès à certains marchés export.
La majorité des PME et ETI n'ont engagé aucune démarche structurée de Système de Management de la Sécurité de l'Information. Le sujet est perçu comme complexe, technique et long.
Les missions de certification classiques mobilisent vos équipes sur plusieurs mois et représentent un investissement conséquent, souvent hors de portée d'une PME.
Mobiliser le DSI ou le responsable sécurité pendant des mois pour construire un SMSI n'est pas viable dans une PME où chacun porte déjà plusieurs casquettes.
Une démarche structurée en 3 phases, appuyée sur la même méthodologie déjà éprouvée par SYAGA sur PSSI-Express
Entretien de cadrage avec la direction et le responsable SI, puis évaluation systématique de chacune des 93 mesures de sécurité de l'Annexe A (édition 2022), réparties sur les 4 thèmes organisationnel, humain, physique et technologique. Restitution d'un rapport d'écarts factuel.
Rédaction ou mise à jour de la politique de sécurité (SMSI), de la Déclaration d'Applicabilité (DdA) justifiant l'application ou l'exclusion de chacune des 93 mesures, et d'un plan de remédiation priorisé pour combler les écarts identifiés en phase 1.
Suivi de la mise en oeuvre du plan de remédiation, revue documentaire, et préparation de votre équipe à l'audit réalisé par un organisme certificateur accrédité indépendant. SYAGA vous prépare à l'audit ; la certification elle-même est délivrée par cet organisme tiers.
Les documents structurants du dossier de certification ISO 27001
Évaluation factuelle de votre niveau de conformité par rapport à la norme.
Document normatif central du dossier de certification ISO 27001.
Le document de gouvernance exigé par les clauses 4 à 10 de la norme.
La feuille de route pour combler les écarts identifiés.
Documents applicables directement par vos équipes.
Tous les documents dans des formats que vous pouvez faire évoluer.
Le SMSI ISO 27001 recoupe naturellement plusieurs référentiels
Référentiel central : clauses 4 à 10 (exigences de management) et Annexe A (93 mesures de sécurité réparties en 4 thèmes).
Les mesures de gestion des risques cyber demandées par la directive NIS2 recoupent largement les mesures de l'Annexe A ISO 27001. Un SMSI ISO 27001 facilite la mise en conformité NIS2 pour les entités concernées.
Les mesures du guide d'hygiène informatique de l'ANSSI recoupent une part significative des mesures de l'Annexe A ISO 27001. Correspondance documentée dans le plan de remédiation.
Les mesures techniques et organisationnelles appropriées exigées par l'article 32 du RGPD s'appuient sur les mêmes bonnes pratiques que l'Annexe A ISO 27001 (contrôle d'accès, chiffrement, gestion des incidents).
Chaque mission ISO 27001 est dimensionnée selon votre périmètre et votre maturité actuelle. Devis personnalisé systématique.
Photographie initiale de vos écarts
Du gap assessment à la préparation de l'audit
Après certification ou en continu
Les 8 questions qu'un dirigeant se pose vraiment avant de se lancer, avec à chaque fois la réponse simple et la source officielle vérifiable. Mis à jour le 18/07/2026.
Contactez-nous pour un devis personnalisé selon votre périmètre et votre maturité actuelle.
Ce que dit vraiment ISO/IEC 27001, expliqué simplement. Chaque point renvoie à sa source officielle (ISO, AFNOR, COFRAC, ANSSI), mise à jour au 17/07/2026.
ISO/IEC 27001 est une méthode reconnue pour repérer les menaces qui pèsent sur vos données, maîtriser les risques et mettre en place les bonnes protections, pour que vos informations restent confidentielles, disponibles et fiables. Ce n'est pas un logiciel, c'est une organisation à mettre en place dans l'entreprise.
Source : AFNOR CertificationContrairement à d'autres démarches (comme l'homologation de sécurité imposée à certains systèmes de l'État), ISO 27001 est facultative : c'est une norme certifiante, pas une obligation réglementaire générale. Vous la choisissez pour rassurer clients, partenaires et assureurs.
Source : ANSSI (fiche méthode)Jamais l'entreprise elle-même, ni un consultant : seul un organisme certificateur indépendant et accrédité peut le délivrer (le COFRAC est l'unique instance française d'accréditation, créée en 1994). Le certificat obtenu est valable 3 ans.
Source : COFRACÉvaluation préalable (optionnelle), préparation, revue des documents, audit sur site pour vérifier ce qui est vraiment en place, délivrance du certificat (3 ans), puis une visite de contrôle chaque année et un audit complet de renouvellement au bout de 3 ans. Rien n'est figé une fois pour toutes.
Source : AFNOR CertificationSelon une étude AFNOR menée auprès d'entreprises certifiées : 89% ont constaté moins d'incidents de sécurité, 83% ont des processus de sécurité internes plus solides, et 88% ont gardé des clients qui auraient pu partir sans la certification.
Source : étude AFNOR 2019C'est la norme de sécurité de l'information la plus utilisée au monde selon l'ISO elle-même. Et l'accréditation qui contrôle les organismes certificateurs (comme le COFRAC en France) est reconnue à l'international par des accords entre pays, ce qui facilite l'accès à des marchés en Europe et ailleurs.
Source : ISO (comité JTC1/SC27)Pas besoin d'être une multinationale ni une entreprise du numérique. Voici, sources officielles à l'appui, qui peut (et parfois doit) s'y intéresser.
La certification s'adresse à « toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données, physiques ou dématérialisées ». AFNOR précise elle-même qu'elle ne vise pas « uniquement les hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique » : cabinet comptable, garage, association, mairie, clinique... si vous avez des données, vous êtes dans le périmètre.
Source : AFNOR Certification (17/07/2026)La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc : pour ISO/IEC 27001, la case « Obligation » est cochée « Facultatif ». À l'inverse, l'homologation de sécurité (le régime vraiment obligatoire) ne s'applique qu'aux systèmes d'information de l'État et des opérateurs réglementés français (OIV/OSE). Deux mondes différents : ne confondez pas les deux si un prestataire vous parle d'obligation légale ISO 27001, ce n'est pas exact.
Source : ANSSI, fiche méthode v1.0 (mai 2025)Le texte européen NIS2 (obligatoire, lui) cite explicitement la famille de normes ISO/IEC 27000, dont fait partie ISO 27001, comme référence de bonnes pratiques pour les mesures de cybersécurité à mettre en place. La Commission européenne demande aux États membres de « promouvoir l'utilisation des normes européennes et internationales pertinentes ». Concrètement : ISO 27001 devient le moyen le plus reconnu de prouver sa conformité NIS2 face à un régulateur.
Source : EUR-Lex, directive (UE) 2022/2555, considérants 79-80Selon la Commission européenne, NIS2 couvre 18 secteurs critiques : énergie, transport, santé, finance, gestion de l'eau, infrastructures numériques (déjà dans NIS1), plus désormais communications électroniques grand public, réseaux sociaux, gestion des déchets, fabrication de produits critiques, poste et courrier, administration publique, et le secteur spatial. La règle de taille : « les entités moyennes et grandes » de ces secteurs devront prendre des mesures de gestion des risques cyber et notifier les incidents significatifs.
Source : Commission européenne, digital-strategy.ec.europa.euLa définition officielle européenne (Recommandation 2003/361/CE) fixe des seuils précis. Une entreprise franchit le seuil « moyenne » (et entre dans le champ probable de NIS2) dès qu'elle dépasse l'un de ces repères :
| Catégorie | Effectif | Chiffre d'affaires |
|---|---|---|
| Micro-entreprise | moins de 10 | 2 M€ ou moins |
| Petite entreprise | moins de 50 | 10 M€ ou moins |
| Moyenne entreprise | moins de 250 | 50 M€ ou moins |
La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour alléger la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. Preuve que le sujet ne concerne déjà plus seulement les grands groupes : des structures modestes se retrouvent, via leurs clients ou leur secteur, à devoir répondre aux mêmes exigences.
Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)Pas de panique inutile ici, juste les chiffres officiels. Ce que dit vraiment la loi sur les amendes, qui les applique, et pourquoi ISO 27001 reste votre meilleure protection contre elles.
C'est le point le plus rassurant : ne pas etre certifie ISO 27001 n'entraine, en soi, aucune amende. La norme est facultative (« case Obligation cochee Facultatif », le confirme la fiche methode officielle de l'ANSSI). Une norme facultative n'a logiquement pas de mecanisme de sanction legale attache a son absence.
Source : ANSSI, fiche méthode v1.0 (mai 2025)Si votre activite tombe dans le champ de la directive europeenne NIS2 (obligatoire, elle), les amendes sont chiffrees noir sur blanc par la Commission europeenne : jusqu'a 10 000 000 EUR ou 2% du chiffre d'affaires mondial de l'exercice precedent pour une entite « essentielle » (le montant le plus eleve etant retenu), et jusqu'a 7 000 000 EUR ou 1,4% du chiffre d'affaires mondial pour une entite « importante ». C'est exactement pour eviter ce risque-la qu'ISO 27001 est recommandee comme preuve de conformite.
Source : Commission européenne, FAQ officielle NIS2Ce ne sont pas des amendes automatiques ni forfaitaires. L'autorite competente doit tenir compte de « la nature, la gravite et la duree de l'infraction, le dommage cause ou les pertes subies, [et] le caractere intentionnel ou negligent de l'infraction ». Une entreprise de bonne foi qui corrige vite un incident n'est pas traitee comme une entreprise negligente et recidiviste.
Source : Commission européenne, FAQ officielle NIS2Chaque Etat membre designe sa propre autorite competente pour appliquer NIS2. En France, c'est l'ANSSI (Agence nationale de la securite des systemes d'information) qui est chargee de la mise en oeuvre et du controle. Elle a mis a disposition en mars 2026 un referentiel national (ReCyF, non obligatoire) pour aider les entreprises a s'y reperer et a comparer leurs demarches existantes, dont ISO 27001.
Source : cyber.gouv.fr (ANSSI)Les autorites competentes disposent aussi d'outils non financiers : instructions contraignantes, ordre de mettre en oeuvre les recommandations d'un audit de securite, ou ordre de mise en conformite des mesures de securite. La directive prevoit egalement des dispositions sur la responsabilite des personnes occupant des fonctions de direction generale. L'amende n'est generalement pas la premiere reponse a un manquement.
Source : Commission européenne, FAQ officielle NIS2Les Etats membres avaient jusqu'au 17 octobre 2024 pour transposer NIS2 en droit national. A la date de redaction, aucune source officielle ne publie de cas reel avec un montant de sanction effectivement applique en France ou en UE : les chiffres ci-dessus sont des plafonds legaux maximum, pas des montants moyennement constates. Nous mettrons cette page a jour des qu'un cas officiel sera publie.
Source : Commission européenne, digital-strategy.ec.europa.euQuelles dates comptent vraiment ? Ce qui est déjà obligatoire, ce qui tourne déjà, et ce qui arrive. Sources officielles à l'appui, compris en 2 minutes, mis à jour au 18/07/2026.
Il existait une version 2013, aujourd'hui dépassée. La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc dans son tableau comparatif : « Dernière version : ISO27001 version 2022 ». Cette version couvre les domaines organisationnel, physique et technologique du périmètre à certifier. Concrètement : toute nouvelle certification, ou tout renouvellement, se fait désormais sur cette version.
Source : ANSSI, fiche méthode v1.0 (mai 2025)La directive européenne NIS2 est entrée en vigueur en janvier 2023, mais la date qui compte pour les entreprises, c'est le 17 octobre 2024 : la limite à laquelle chaque État membre devait avoir transposé le texte dans son droit national. Depuis cette date, NIS2 s'applique concrètement, et cite justement la famille de normes ISO/IEC 27000 (dont ISO 27001 fait partie) comme référence de bonnes pratiques pour s'y conformer.
Source : Commission européenne, digital-strategy.ec.europa.euLe lendemain de la date limite de transposition de NIS2, l'ancienne directive NIS1 (celle de 2016) a été officiellement abrogée. Un seul texte de référence désormais en Europe pour la cybersécurité réglementaire des secteurs critiques : plus de doute sur quel cadre s'applique.
Source : Commission européenne, digital-strategy.ec.europa.euLe certificat ISO 27001, une fois délivré par un organisme accrédité, est valable 3 ans. Mais ce n'est pas figé pour autant : AFNOR Certification prévoit une visite de contrôle chaque année, puis un audit complet de renouvellement à l'échéance des 3 ans. L'ANSSI confirme exactement la même mécanique dans sa fiche de mai 2025 : durée de 3 ans, revue annuelle de direction et audit de suivi. Deux sources officielles différentes, le même calendrier.
Source : AFNOR Certification, ANSSI (mai 2025)La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour simplifier la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. À cette date, il s'agit d'une proposition, pas encore d'un texte adopté : le calendrier réglementaire qui entoure ISO 27001 peut donc encore bouger dans les prochains mois, sans remettre en cause l'intérêt de la norme elle-même.
Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)Pour les systèmes d'information de l'État et des opérateurs réglementés, l'ANSSI a sa propre procédure, l'homologation de sécurité, actuellement en version 2.1 (2025), avec elle aussi une durée maximale de 3 ans et une revue annuelle des systèmes conseillée. Ce n'est pas la même démarche qu'ISO 27001 (facultative), mais les deux avancent au même rythme de 3 ans, ce qui facilite la vie de ceux qui doivent gérer les deux à la fois.
Source : ANSSI, fiche méthode v1.0 (mai 2025)