Chapitre 18 min de lecture

Vous allez lire « ISO 27001 »
200 fois cette année.
Voici ce que ça veut dire.

Ce chapitre est le seul que vous lirez si vous n'avez jamais touché à un sujet de cybersécurité formelle. Il n'y a pas de prérequis. À la fin, vous saurez ce qu'on vous demande, pourquoi, et combien ça coûte. Pas de bla-bla, pas de jargon.

Sandra · Jour 0 · 9 h 14·DSI PME tech, 30 personnes

« Je viens d'ouvrir l'email du client. Il dit : "Pour renouveler le contrat, nous exigeons votre certification ISO 27001 d'ici 6 mois." J'ai googlé. J'ai trouvé un PDF de 33 pages en anglais, des cabinets qui demandent 35 000 €, et 14 acronymes différents. Je ne sais même pas par où commencer. Le contrat fait 280 000 € par an. »

Si cette situation vous parle, ce chapitre est exactement pour vous. Sandra va vous accompagner sur les 14 chapitres. Suivez-la.

1. ISO 27001, c'est quoi exactement ? (en français normal)

ISO 27001 est une norme internationale. Une norme, c'est une recette. Pas une loi : personne ne peut vous mettre une amende si vous ne la suivez pas. Par contre, des clients, des banques, des assureurs, des appels d'offres peuvent exiger que vous la suiviez. C'est ce qui se passe avec Sandra.

Cette recette concerne la sécurité de l'information. Pas seulement la cybersécurité technique (firewalls, antivirus). Aussi : le papier dans les armoires, les conversations en open space, le téléphone perdu dans le métro, l'employé qui part chez le concurrent avec un disque dur. Toute l'information de l'entreprise.

La version actuelle de la norme est ISO 27001:2022 (publiée en octobre 2022). L'ancienne version, ISO 27001:2013, est obsolète depuis octobre 2025. Si quelqu'un vous propose un certificat 2013 aujourd'hui, c'est une arnaque. Toutes les entreprises certifiées 2013 ont dû basculer vers 2022 fin 2025.

2. Pourquoi ce sujet atterrit sur votre bureau (les 4 vraies raisons)

Personne ne se réveille un matin en se disant « je vais faire de l'ISO 27001 pour le plaisir ». Ça arrive toujours à cause de l'une de ces 4 raisons. Identifiez la vôtre : votre stratégie en dépend.

Un client (ou un appel d'offres) l'exige

Profil typique

Le cas le plus fréquent en B2B SaaS / ESN / tech

Exemple terrain

Sandra : son plus gros client demande la certif pour renouveler. C'est ça ou perdre 280 k€.

Urgence typique : 6 à 12 mois selon le contrat

Une réglementation l'exige (NIS2, DORA, HDS...)

Profil typique

OSE, secteurs régulés (santé, finance, énergie, transport)

Exemple terrain

Une PME logiciel critique pour un OIV se retrouve « entité importante » NIS2. Sa direction veut prouver sa maturité.

Urgence typique : 12 à 24 mois

L'assureur cyber le réclame (ou propose une grosse remise)

Profil typique

PME ayant subi un incident, ou prime annuelle qui explose

Exemple terrain

Cabinet d'avocats à 50 personnes après une tentative de ransomware. L'assureur passe la prime de 8 k€ à 22 k€... sauf si certif ISO 27001.

Urgence typique : À la prochaine échéance assurance

La direction veut différencier l'entreprise

Profil typique

Stratégie commerciale offensive (souvent levée de fonds en vue)

Exemple terrain

Startup B2B SaaS 25p qui veut entrer chez les grands comptes. La certif ouvre 60 % des appels d'offres ETI.

Urgence typique : 6 à 9 mois (calage avec un événement)

3. Démystification : 6 idées fausses qui font perdre 6 mois

Avant d'avancer, il faut désinstaller ce que vous croyez savoir. Ces 6 idées sont fausses, et elles font perdre du temps à 80 % des PME que nous accompagnons.

« ISO 27001, c'est pour les grandes entreprises. »

La vérité : Faux. Une PME de 8 personnes peut être certifiée. La norme s'adapte au périmètre. Le record en France : 3 personnes, dont le gérant. Ce qui compte, ce n'est pas la taille mais la cohérence.

« C'est un sujet IT, je vais le déléguer à mon DSI. »

La vérité : Faux. ISO 27001 est un sujet de DIRECTION, pas d'IT. La norme exige explicitement (clause 5) un engagement de la direction générale. Si la DG ne s'implique pas, l'audit échoue. Le DSI exécute, mais la DG porte.

« Une fois certifié, c'est fini. »

La vérité : Faux. Le certificat dure 3 ans. Audits annuels de surveillance, re-certification complète tous les 3 ans. Si vous arrêtez de faire vivre votre SMSI, vous perdez le certificat avant 3 ans.

« Il faut acheter un logiciel ISO 27001. »

La vérité : Faux. Vous pouvez être certifié avec Word, Excel et un dossier partagé. Aucune norme n'impose d'outil. Mais sans outil, le maintien dans le temps est très douloureux : c'est pour ça que les outils existent.

« Il faut implémenter les 93 contrôles. »

La vérité : Faux et même contre-productif. Vous arbitrez chaque contrôle (Inclus / Exclu) avec justification. Une PME de 30 personnes inclut typiquement 65-75 contrôles. Inclure les 93 sans réfléchir = signal de panique en audit (cf. chapitre 7).

« On ne peut pas être certifié sans cabinet de conseil. »

La vérité : Faux. Vous pouvez préparer la certification en interne ou avec un outil. Le seul intervenant obligatoire est l'organisme certificateur (ex : LRQA, AFNOR, BSI). Le cabinet de conseil est OPTIONNEL et coûte 15 à 50 k€.

4. Les 5 mots à retenir (vous allez les voir partout)

Si vous mémorisez ces 5 mots, vous comprendrez 90 % des conversations sur le sujet. Le reste du guide repose sur eux.

SMSISystème de Management de la Sécurité de l'InformationISMS — Information Security Management System

C'est l'équivalent de votre comptabilité, mais pour la sécurité. Un ensemble organisé de politiques, procédures, registres et revues qui prouvent que vous gérez la sécurité comme une activité continue, pas un sujet ponctuel.

Exemple : Avoir un SMSI, c'est comme tenir un livre de comptes : peu importe l'outil (Excel, Word, Notion, Kyrionn), tant que c'est cohérent et tenu à jour.

PérimètreScope (en anglais)Scope of the ISMS

Le contour de votre SMSI. Quels sites, quels produits, quelles équipes, quels systèmes sont DEDANS et lesquels sont DEHORS. C'est la première décision à prendre, et la plus stratégique.

Exemple : Sandra peut certifier "tout le service support hébergement de SaaS Kyrionn-like" sans certifier sa filiale R&D en Pologne. Le périmètre se choisit. Il se justifie. Voir chapitre 3.

Annexe A93 contrôles de sécurité standardisésAnnex A — 93 controls (organisé en 4 thèmes : 5/6/7/8)

Une liste de 93 mesures de sécurité que la norme propose. Vous arbitrez chacune (Inclus / Exclu) selon vos risques et votre périmètre. C'est l'inventaire de référence.

Exemple : A.5.15 = "Contrôle d'accès" (qui peut accéder à quoi). A.8.5 = "Authentification sécurisée" (MFA, complexité mots de passe). Voir la fiche A.5.15 dans l'Annexe A.

SOAStatement of Applicability — Déclaration d'applicabilitéSOA

Le document qui liste les 93 contrôles, dit pour chacun "Inclus" ou "Exclu", justifie chaque choix, et précise l'état d'implémentation. C'est le document central de l'audit. L'auditeur passe 70 % de son temps dessus.

Exemple : Le chapitre 7 y est entièrement consacré. C'est la pièce maîtresse.

COFRACComité Français d'Accréditation(France only — équivalent : UKAS au UK, DAkkS en Allemagne)

L'organisme français qui accrédite les organismes certificateurs. Pour qu'un certificat ISO 27001 ait de la valeur en France, il doit être délivré par un organisme accrédité COFRAC. Vous ne payez pas COFRAC : vous payez l'organisme certificateur (LRQA, AFNOR, BSI, Bureau Veritas...).

Exemple : Demandez toujours à votre certificateur : "Êtes-vous accrédité COFRAC pour ISO 27001 ?" Si non, fuyez. 7 organismes en France sont accrédités. Liste à demander à votre futur organisme certificateur.

5. Combien ça coûte vraiment (les 3 chemins, prix public 2026)

Aucun guide ne donne de chiffres clairs. Voici les chiffres réels constatés en France en 2026, pour une PME de 30 personnes (le profil de Sandra). Les variations selon votre taille et secteur sont indiquées.

Chemin 1 : DIY (Do It Yourself)

5 à 8 k€

300 à 500 h en interne

Détail

Formation ISO 27001 LA / IA1 500 €
Achat normes (ISO 27001 + 27002)350 €
Audit de certification (organisme)4 500 - 6 500 €
Outils (Excel, Word, Notion)0 €

Pour

Le moins cher
Vous maîtrisez tout

Contre

Coût caché en temps interne
Risque de rater des points en audit
Maintien dans le temps douloureux

Pour qui : PME avec un RSSI/DSI compétent et 6 mois devant lui

Recommandé

Chemin 2 : avec Kyrionn

7 à 12 k€

100 à 150 h en interne

Détail

Kyrionn Conformité (12 mois)2 388 €
Formation 1 jour optionnelle600 €
Audit de certification (organisme)4 500 - 6 500 €
Coût interne (≈100 h)inclus si DG/DSI

Pour

SOA pré-remplie par profil
Toutes les preuves liées automatiquement
Maintien outillé

Contre

Abonnement annuel à renouveler

Pour qui : PME 10 à 250 personnes qui veulent garder la main

Chemin 3 : avec un cabinet

25 à 50 k€

40 à 80 h en interne

Détail

Cabinet (audit blanc + accompagnement)20 000 - 40 000 €
Audit de certification (organisme)5 000 - 8 000 €
Formation interne post-projet2 000 - 3 000 €

Pour

Externalisation
Expertise auditeur senior

Contre

Vous ne maîtrisez pas le contenu
Mise à jour = re-facturation
Audit suivant : tout à refaire

Pour qui : ETI > 250 personnes, ou PME sans aucune ressource interne

6. Combien de temps ça prend (timeline réaliste 6 mois)

Le record en France est de 4 mois (PME 8 personnes, 100 % cloud, équipe technique très mature). La moyenne PME 10-50 personnes est de 6 à 9 mois. Au-delà de 12 mois, il y a un problème de pilotage. Voici la timeline réaliste.

Semaines 1-2

Cadrage

Décider du périmètre. Engagement direction signé. Désigner le RSSI/pilote.

Semaines 3-6

Inventaire

Lister les actifs (matériels, logiciels, données, personnes). Identifier les parties intéressées (clients, fournisseurs, régulateurs).

Semaines 7-10

Analyse de risques

Méthode EBIOS RM ou ISO 27005. Identifier les scénarios de menace. Évaluer probabilité × impact.

Semaines 11-14

Plan de traitement + SOA

Décider du traitement de chaque risque (réduire / accepter / transférer / éviter). Construire la SOA en parallèle.

Semaines 15-20

Implémentation

Rédiger les politiques, déployer les outils, former l'équipe. La phase la plus chronophage.

Semaines 21-22

Audit interne

Un auditeur interne (peut être externe rémunéré) passe vérifier que tout est en place. Trouve typiquement 4-8 NC mineures.

Semaine 23

Revue de direction

1 réunion 2 h. La DG examine la posture, valide les actions, signe le PV. Obligatoire (clause 9.3).

Semaine 24

Audit Stage 1

L'organisme certificateur (LRQA, AFNOR, BSI...) lit vos documents. Vous donne ses observations.

Semaines 25-26

Audit Stage 2

Visite sur site, interviews. Vous obtenez le certificat (ou des NC à lever en 90 jours max).

7. Les 4 vérités tacites que personne ne dit en formation

Récapitulatif du chapitre 1

ISO 27001 = recette internationale pour sécuriser l'information (pas que la cybersécurité technique).
Version actuelle : 2022. La version 2013 est morte.
5 mots à retenir : SMSI, périmètre, Annexe A, SOA, COFRAC.
Coût réaliste pour une PME 30p : 7 à 12 k€ avec un outil, 25 à 50 k€ avec un cabinet.
Délai réaliste : 6 à 9 mois.
Première décision à prendre dans le chapitre suivant : le périmètre.

Vérifiez votre compréhension

3 questions rapides. Si vous les avez justes, vous êtes prêt pour le chapitre 3 (le chapitre 2 sur l'écosystème ISO 27000 est à venir).

Lancer le quiz (3 min) — bientôt Sauter au chapitre 3 : définir VOTRE périmètre →

Chapitre précédent

Sommaire du guide

Chapitre suivant

L'écosystème (27000, 27002, 27005)