ISO 27001 n'est jamais seule.
Voici sa famille.
La norme ISO 27001 fait partie d'une famille de plus de 60 normes. Tous les guides essaient de vous les vendre. La vérité : vous avez besoin de 2 à 3 normes maximum. Ce chapitre vous dit lesquelles, à quel prix, et comment les utiliser.
« OK je vais acheter la norme. Je tape ISO 27001 sur le site AFNOR. 47 résultats. ISO/IEC 27001, 27002, 27003, 27004, 27005, 27006, 27007, 27008, 27009, 27010, 27011, 27013, 27014, 27017, 27018, 27019... Chacune coûte entre 100 € et 350 €. Le panier est à 5 600 € et je n'ai même pas commencé. Je dois vraiment toutes les acheter ? »
Réponse : non, surtout pas. Vous avez besoin de 2 normes. Optionnellement de 3. Le reste est pour les certificateurs et les chercheurs.
1. Les 5 normes à connaître (par ordre d'importance)
Sur les 60+ normes de la famille ISO 27000, seules 5 sont utiles à 95 % des PME et ETI françaises. Voici lesquelles, classées par ordre de criticité.
Ce que c'est : Le glossaire officiel de la famille. Définit "actif", "menace", "vulnérabilité", "risque", "SMSI", etc. C'est la seule norme ISO entièrement gratuite (téléchargement légal sur iso.org).
Quand l'acheter : À avoir sous la main pendant tout le projet. Sert de référence pour le vocabulaire dans vos documents.
Ce que c'est : Définit les exigences (clauses 4 à 10) et liste les 93 contrôles de l'Annexe A. C'est LA norme contre laquelle vous serez audité. Format : 19 pages.
Quand l'acheter : Achetez-la dès le démarrage. Vous la consulterez 50+ fois pendant le projet.
Ce que c'est : Pour CHAQUE des 93 contrôles, donne le détail : objectif, lignes directrices, exemples de mise en œuvre. C'est le manuel pratique qui complète ISO 27001. Format : 152 pages.
Quand l'acheter : Achetez-la avec ISO 27001. Sans elle, vous bricolez les contrôles en aveugle.
Ce que c'est : Méthode pour identifier, évaluer et traiter les risques de sécurité. Alternative à EBIOS RM (méthode ANSSI). Plus pragmatique que EBIOS RM, suffisante pour 90 % des PME. Format : 50 pages.
Quand l'acheter : Achetez-la si vous choisissez ISO 27005. Skip si vous utilisez EBIOS RM (méthode française gratuite).
Ce que c'est : Code de bonnes pratiques pour les fournisseurs cloud qui traitent des données personnelles. Complète RGPD. Format : 26 pages.
Quand l'acheter : Si vous êtes hébergeur cloud (PaaS/SaaS), exigée par certains clients RGPD-sensibles. Skip si vous êtes utilisateur final de cloud (ex: vous utilisez M365 mais ne vendez pas de cloud).
2. Quelle norme utilise-t-on à quel moment ?
Cette matrice résume comment vous utiliserez chaque norme dans votre projet. Affichez-la dans votre bureau pendant 6 mois.
| Étape projet | Norme(s) consultée(s) | Pour faire quoi |
|---|---|---|
| Cadrage (S1-S2) | 27000 | Vérifier le vocabulaire (engagement, périmètre, partie prenante) |
| Analyse de risques (S7-S10) | 27005 ou EBIOS RM | Identifier les couples actif × menace, évaluer probabilité × impact |
| Plan de traitement (S11-S14) | 27001 §6.1.3, 27002 | Choisir les contrôles, voir leur description détaillée |
| SOA (S11-S14) | 27001 Annexe A, 27002 | Justifier inclusion/exclusion de chaque contrôle |
| Implémentation (S15-S20) | 27002 | Comprendre comment implémenter chaque contrôle (lignes directrices) |
| Audit interne (S21-S22) | 27001 §9.2 | Vérifier la conformité, vérifier que les exigences sont respectées |
| Revue de direction (S23) | 27001 §9.3 | Préparer l'ordre du jour des 9 points obligatoires |
| Audit COFRAC Stage 1-2 (S24-S26) | 27001 | L'auditeur la lit. Vous la lisez aussi pour comprendre ses questions. |
3. Comment acheter (sans payer le prix fort)
Les normes ISO sont vendues par les organismes nationaux (AFNOR en France, BSI au UK, DIN en Allemagne). Voici les 3 chemins, du moins cher au plus cher.
En anglais. Format PDF.
Quand : Si votre équipe est à l'aise en anglais
Voir le site officielEn français + format PDF + format papier optionnel
Quand : Recommandé pour PME française
Voir le site officielAccès illimité aux normes ISO 27xxx (et autres familles)
Quand : Si vous prévoyez ISO 9001 + 27001 + 14001 + ...
Voir le site officiel4. Les normes 27xxx que vous N'AVEZ PAS BESOIN d'acheter
Voici les autres normes 27xxx que les marchands vous proposeront. Pour 95 % des PME, elles sont complètement inutiles. Économisez votre argent.
Inutile : ISO 27002 fait le job en mieux. Skip.
Inutile pour PME : vous mesurerez vos KPIs sans cette norme.
Pour les certificateurs, pas pour vous.
Pour les auditeurs internes/externes seniors. Skip si vous démarrez.
Inutile pour PME unique. Skip.
Skip sauf si vous êtes opérateur télécom.
Inutile sauf si vous êtes aussi certifié ISO 20000 (gestion de services IT).
Concept fourre-tout. Vous êtes couvert par les clauses 4-6 d'ISO 27001.
Utile si vous êtes hébergeur cloud, sinon ISO 27018 suffit.
Pour secteur énergie uniquement.
Optionnelle si vous voulez une certif RGPD avancée. Pas nécessaire pour ISO 27001.
5. Les 4 vérités tacites sur l'écosystème normatif
Récapitulatif du chapitre 2
- 3 normes essentielles : ISO 27000 (gratuite), 27001 (143 €), 27002 (198 €).
- EBIOS RM (gratuit, ANSSI) remplace souvent ISO 27005 pour les PME françaises.
- Acheter chez AFNOR (en français) : panier d'entrée 341 €.
- Ignorer les autres 60+ normes 27xxx pour 95 % des PME.
- Pas de PDF pirate : motif de NC en audit COFRAC.
Vérifiez votre compréhension
3 questions rapides. Si vous les avez justes, vous êtes prêt pour le chapitre 3 (Définir VOTRE périmètre).