SMI 2026 : pourquoi combiner ISO 27001, 9001, 14001 et 42001 dans les PME devient incontournable
Le Système de Management Intégré (SMI) sortait jusqu'ici des usages des grands groupes industriels. Trois publications normatives en 2026 changent la donne pour les PME : ISO 14001:2026 publiée en avril, ISO 9001:2026 attendue entre juillet et octobre, ISO 42001 (intelligence artificielle) déjà disponible depuis décembre 2023. Ajoutez l'application complète de l'EU AI Act le 2 août 2026 et la pression NIS2/CSRD : la fenêtre pour structurer un SMI cyber + qualité + environnement + IA s'ouvre maintenant.
Le SMI en chiffres
Pourquoi 2026 est le bon moment
La structure haute commune (HLS / Annex SL) atteint sa maturité. Depuis 2012, l'ISO impose à toutes ses normes de management une structure de chapitres identique (10 clauses, du contexte organisationnel à l'amélioration continue). Avec l'harmonisation 2026 d'ISO 9001 et 14001 sur cette structure, les 4 normes ISO 27001:2022, 9001:2026, 14001:2026 et 42001:2023 partagent maintenant le même squelette. Un audit combiné devient enfin opérationnellement réaliste.
Les exigences réglementaires convergent sur 18 mois. NIS2 transposé en droit français depuis octobre 2024, CSRD/ESRS pour la durabilité (déclaration 2025 sur exercice 2024 pour les grandes entreprises, extension PME en 2027), EU AI Act pleinement applicable au 2 août 2026, RGPD permanent depuis 2018. Quatre régulations qui demandent des preuves de gouvernance, des analyses de risques, des politiques signées, des audits. Mutualiser cette charge documentaire est la seule stratégie viable pour une PME de 50 à 250 salariés.
L'IA en production crée un nouveau périmètre à gouverner. Selon les déploiements observés en 2025-2026, la majorité des PME a intégré au moins un assistant IA dans leurs processus (génération de contenu, analyse documentaire, support client). ISO 42001 fournit le cadre de management pour cette IA en production, et couvre selon les organismes de certification environ 70 % des exigences documentaires de l'EU AI Act pour les systèmes haut risque. C'est aujourd'hui le chemin le plus court vers une conformité AI Act crédible.
Cadrer le périmètre et la gouvernance du SMI
Le SMI ne démarre pas dans le détail technique mais par une décision de direction : quel périmètre, quels processus, quels sites, quelles activités IA. Cette décision conditionne tout le reste — ISO 27001 clause 4.3 (périmètre du SMSI), ISO 9001 clause 4.3 (périmètre du SMQ), ISO 14001 clause 4.3 (périmètre du SME) et ISO 42001 clause 4.3 (périmètre du SMIA) demandent toutes la même formalisation.
Actions concrètes
- Définir le périmètre par site, activité et processus (un document partagé entre les 4 normes)
- Identifier la direction sponsor du SMI et son représentant opérationnel
- Cartographier les parties intéressées : clients, salariés, autorités, fournisseurs, riverains
- Faire signer une lettre d'engagement de la direction (commune ISO 27001, 9001, 14001, 42001)
- Construire un planning d'audit interne unique (mutualisation des coûts)
Analyser le contexte avec les 4 angles en parallèle
C'est là que le SMI diverge d'un système de management mono-norme : on regarde l'organisation par 4 angles simultanés. Une seule analyse SWOT, mais 4 colonnes de risques (cyber, qualité, environnement, IA). C'est aussi le moment de référencer les obligations légales applicables : NIS2, RGPD, CSRD, EU AI Act.
Actions concrètes
- Construire une analyse SWOT unique avec colonnes risques cyber / qualité / environnement / IA
- Lister les obligations légales : NIS2, RGPD, CSRD/ESRS, AI Act, code de l'environnement
- Identifier les enjeux internes (compétences, culture, dette technique) et externes (concurrence, climat, réglementation)
- Mapper les exigences clients par segment (B2B, secteur public, export)
- Documenter le tout dans un document de contexte unique (article 4.1 commun aux 4 normes)
Cartographier les risques sur les 4 dimensions
Quatre normes, quatre cartographies de risques distinctes mais cohérentes. ISO 27001 demande une analyse risques sur les actifs informationnels (méthode EBIOS RM en France). ISO 9001 sur les risques qualité. ISO 14001 sur les aspects environnementaux significatifs. ISO 42001 sur les risques liés aux systèmes IA (biais, dérive, hallucination, gouvernance des données d'entraînement).
Actions concrètes
- Mener une analyse EBIOS RM v1.5 sur les actifs informationnels (ISO 27001 clause 6.1.2)
- Construire une matrice risques qualité (FMEA, AMDEC ou matrice 5x5)
- Identifier les aspects environnementaux significatifs (analyse cycle de vie simplifiée)
- Documenter les risques IA par système (Annexe A ISO 42001, contrôles A.5 à A.10)
- Centraliser dans un registre des risques unique avec colonne 'norme' pour ne pas dupliquer les mesures
Rédiger des politiques mutualisées (un seul corpus documentaire)
L'erreur fréquente du SMI : 4 politiques distinctes par thème. La cible 2026 c'est un corpus de politiques transverses, et 1 ou 2 politiques spécifiques par norme. Concrètement : une politique gouvernance des données qui couvre RGPD + ISO 27001 A.5.34 + ISO 42001 A.7.2 (gouvernance des données IA) ; une politique fournisseurs qui couvre NIS2 article 21.2.d + ISO 27001 A.5.19 + ISO 9001 8.4.
Actions concrètes
- Rédiger une politique transverse 'Gouvernance des données' (RGPD + ISO 27001 + ISO 42001)
- Rédiger une politique transverse 'Fournisseurs critiques' (NIS2 + ISO 27001 + ISO 9001 + ISO 14001)
- Garder ISO 27001 A.5.1 PSSI, ISO 9001 5.2 politique qualité, ISO 14001 5.2 politique environnementale et ISO 42001 5.2 politique IA en politiques spécifiques courtes
- Faire signer chaque politique par la direction sponsor (preuve d'engagement)
- Stocker le tout dans un coffre-fort à preuves avec horodatage et version
Déployer les contrôles avec un mapping croisé (anti-doublon)
Beaucoup de contrôles se recoupent entre les 4 normes. Exemple : la formation des équipes est exigée par ISO 27001 clause 7.2 (compétences), ISO 9001 clause 7.2, ISO 14001 clause 7.2, ISO 42001 clause 7.2 et NIS2 article 21.2.g. Une seule action de formation, 5 boîtes cochées si on l'a documentée correctement. C'est là que le SMI fait gagner 30 à 40 % de temps par rapport à 4 systèmes silotés.
Actions concrètes
- Construire une matrice contrôles ↔ exigences avec colonnes ISO 27001 / 9001 / 14001 / 42001 / NIS2
- Identifier les 'super-contrôles' qui satisfont plusieurs exigences (formation, audit interne, revue direction, gestion des fournisseurs)
- Déployer la MFA sur 100 % des comptes à privilèges (ISO 27001 A.5.17 + NIS2 article 21.2.j)
- Mettre en place un PCA testé annuellement (ISO 27001 A.5.30 + ISO 9001 6.3 + ISO 14001 8.2 + NIS2 article 21.2.c)
- Documenter chaque contrôle dans le coffre-fort avec horodatage automatique
Mettre en place les indicateurs et le pilotage SMI
Sans indicateurs, le SMI n'existe que sur le papier. Les 4 normes demandent des KPI : ISO 27001 clause 9.1 (mesure efficacité SMSI), ISO 9001 clause 9.1.3 (analyse données qualité), ISO 14001 clause 9.1.2 (évaluation conformité environnementale), ISO 42001 clause 9.1 (mesure performance SMIA). Un tableau de bord unique pour la direction, avec 12 à 20 indicateurs maximum.
Actions concrètes
- Définir 3 à 5 KPI par norme (ex : taux MFA, taux NC client, kgCO2eq par produit, dérive modèle IA)
- Construire un tableau de bord mensuel pour le COMEX (max 20 indicateurs)
- Automatiser la collecte via les intégrations existantes (GitHub, Google Workspace, ERP, MES)
- Définir le processus de revue mensuelle et la revue de direction trimestrielle
- Préparer le format du rapport annuel intégré (utile pour CSRD à partir de 2027)
Auditer en interne le SMI (un seul audit, 4 normes)
C'est là que le SMI prouve sa valeur ROI. Un audit interne classique mono-norme prend 2 à 3 jours pour une PME. Un audit SMI bien préparé prend 4 à 5 jours pour les 4 normes — au lieu de 8 à 12 jours cumulés. Le mapping HLS Annex SL permet à un auditeur compétent de vérifier en parallèle les 4 systèmes.
Actions concrètes
- Former 1 ou 2 auditeurs internes au SMI (formation PECB ou IRCA cumulée 27001/9001/14001)
- Construire un plan d'audit annuel unique avec sections par processus (et non par norme)
- Préparer les check-lists par processus avec colonnes 27001/9001/14001/42001
- Mener l'audit sur 4 à 5 jours, en faisant participer les responsables opérationnels
- Produire un rapport d'audit unique avec NC consolidées (par processus, pas par norme)
Revue de direction unique et certification multi-normes
La revue de direction est l'aboutissement annuel du SMI : une seule réunion trimestrielle ou semestrielle, qui couvre les 4 normes (ISO 27001 clause 9.3, ISO 9001 clause 9.3, ISO 14001 clause 9.3, ISO 42001 clause 9.3). Pour la certification, choisir un organisme accrédité COFRAC qui pratique l'audit combiné (Bureau Veritas, AFNOR Certification, Socotec, LRQA, BSI). L'audit combiné est 30 à 40 % moins cher que 4 audits séparés.
Actions concrètes
- Préparer un rapport unique de revue de direction avec 4 sections normes
- Présenter à la direction : KPI atteints, NC majeures, plan d'action 2027
- Choisir un organisme accrédité COFRAC pratiquant l'audit combiné
- Programmer l'audit de certification (jour-jour 1 documentation, jour-jour 2 terrain)
- Anticiper les premières recertifications : durée 3 ans, audits de surveillance annuels
Les 4 pièges classiques du SMI mal calibré pour PME
- Le périmètre trop large. Tenter de couvrir tous les sites, tous les processus et toutes les filiales du premier coup. Cible réaliste pour une PME : 1 site, 3 à 5 processus critiques, 2 normes prioritaires en année 1, extension année 2-3.
- La duplication documentaire. Quatre PSSI, quatre politiques qualité, quatre politiques environnement. Le SMI demande l'inverse : un corpus de politiques transverses et 1 ou 2 politiques par norme. Sinon vous payez 4 fois la même charge documentaire.
- L'auditeur qui ne pratique pas le combiné. Choisir un organisme certifié pour les 4 normes ne suffit pas : il faut qu'il pratique l'audit combiné dans le même mandat. Sinon vous payez 4 audits successifs sans gain économique. Question à poser en amont : « combien d'audits combinés ISO 27001+9001+14001+42001 votre organisme a-t-il réalisé ces 12 derniers mois ? ».
- La revue de direction sectorisée. Faire 4 revues de direction distinctes pour les 4 normes annule l'intégration. La revue de direction SMI est unique : un comité, un ordre du jour, un compte rendu, mais des sections distinctes pour ne rien oublier des exigences spécifiques de chaque norme.
Matrice d'intersection : ce qui se mutualise vraiment
Voici les 8 thèmes qui se mutualisent à plus de 80 % entre les 4 normes — c'est sur ces thèmes que le SMI fait son ROI.
| Thème mutualisé | ISO 27001 | ISO 9001 | ISO 14001 | ISO 42001 |
|---|---|---|---|---|
| Périmètre & contexte | 4.1-4.4 | 4.1-4.4 | 4.1-4.4 | 4.1-4.4 |
| Engagement direction | 5.1 | 5.1 | 5.1 | 5.1 |
| Gestion des risques | 6.1 | 6.1 | 6.1 | 6.1 |
| Compétences & formation | 7.2 | 7.2 | 7.2 | 7.2 |
| Communication interne/externe | 7.4 | 7.4 | 7.4 | 7.4 |
| Audit interne | 9.2 | 9.2 | 9.2 | 9.2 |
| Revue de direction | 9.3 | 9.3 | 9.3 | 9.3 |
| Non-conformités & actions correctives | 10.1 | 10.2 | 10.2 | 10.2 |
Les numéros de clauses sont identiques par construction de la structure HLS Annex SL : un seul document peut satisfaire les 4 normes simultanément.
Comment Kyrionn accompagne un SMI 4 normes
- Trust Score™ multi-normes : score sur 100 par framework (ISO 27001, NIS2, RGPD, EBIOS RM aujourd'hui ; ISO 9001, 14001 et 42001 sur la roadmap), tableau de bord unifié.
- Mapping croisé déjà en production : ISO 27001 ↔ NIS2 ↔ RGPD ↔ EBIOS RM. Vous remplissez une fois, le mapping coche toutes les exigences applicables.
- Génération IA des politiques mutualisées : politique gouvernance des données, politique fournisseurs critiques, PSSI. Conformes par construction aux 4 normes cibles.
- Coffre-fort à preuves horodatées : tags ISO/NIS2/RGPD/EBIOS, expiration suivie, export pour auditeur COFRAC en un clic.
- Audit interne guidé : questions PECB par processus, checklist par clause, rapport de NC consolidé.
Démarrez par un diagnostic Trust Score™
25 questions, 15 minutes, sans carte bancaire. Vous obtenez un score multi-normes et un plan d'actions priorisé sur 12 mois.
Sources
- ISO/IEC 42001:2023 — Intelligence artificielle (page officielle)
- EUR-Lex : Règlement (UE) 2024/1689 (EU AI Act) texte intégral
- EUR-Lex : Directive (UE) 2022/2555 (NIS2)
- AFNOR : ISO 9001 et ISO 14001 dernière version
- AFNOR BiVi : SMI, structure HLS et nouvelles normes
- ANSSI : méthode EBIOS Risk Manager v1.5
- Bureau Veritas : certification ISO/IEC 42001
- COFRAC : organisme français d'accréditation
Patient Kotto
Ingénieur cybersécurité, 15 ans en gouvernance et conformité
Chef de projet sur des systèmes ferroviaires soumis à NIS2 et ISO 9001. RSSI externalisé via PK InfoSec. Questions sur votre SMI : · En savoir plus