ISO 27001:2022 : Certification SMSI et Conformité NIS2, RGPD, CRA

Cet article décrypte la norme ISO/IEC 27001:2022 en trois dimensions clés : la compréhension de son évolution et de ses nouveautés majeures (93 contrôles, intégration du cloud et renforcement de la sécurité des données) ; sa mise en œuvre opérationnelle via une démarche structurée allant de l’analyse de risques (EBIOS RM, ISO 27005) jusqu’au cycle PDCA ; et enfin son cadre de certification, incluant audits, délais de mise en conformité, et convergence avec les réglementations majeures (NIS2, RGPD, CRA). Il met également en avant les certifications complémentaires et l’échéance critique de transition fixée au 31 octobre 2025.

Qu’est-ce que la norme ISO/IEC 27001 ?

La norme ISO/IEC 27001 est la référence internationale pour les systèmes de management de la sécurité de l’information (SMSI). Elle définit les exigences qu’un SMSI doit respecter pour garantir la confidentialité, l’intégrité et la disponibilité des informations traitées par une organisation. Publiée dans sa troisième édition en octobre 2022, elle s’applique à tout type d’organisation, quel que soit son secteur d’activité ou sa taille.

Selon L’ISO (Organisation internationale de normalisation), la conformité à ISO/IEC 27001 signifie qu’une organisation a mis en place un système structuré pour gérer les risques liés à la sécurité de ses données et que ce système respecte les bonnes pratiques et principes énoncés dans la norme internationale.

Les trois piliers du SMSI : confidentialité, intégrité, disponibilité

Le SMSI au sens de l’ISO/IEC 27001 repose sur trois principes fondamentaux de la sécurité de l’information (confidentialité, intégrité et disponibilité), communément regroupés sous l’acronyme CID :

• Confidentialité : l’information n’est accessible qu’aux personnes autorisées à y accéder.
• Intégrité : l’information est exacte, complète et n’a pas été modifiée de façon non autorisée.
• Disponibilité : l’information est accessible et utilisable à la demande par les personnes habilitées.

Ces trois propriétés s’appliquent indifféremment aux actifs matériels, logiciels, informationnels et humains de l’organisation.

ISO/IEC 27001 : historique et évolution de la norme de 2005 à 2022

Depuis sa première édition en octobre 2005, la norme ISO 27001 a connu une évolution progressive. Le schéma ci-dessous retrace cette évolution dans le temps, en tenant compte des différentes corrections qu’elle a subies : l’ISO/IEC 27001:2013, ses deux corrigenda (ISO/IEC 27001:2013/Cor 1:2014 et ISO/IEC 27001:2013/Cor 2:2015), son adoption par le CEN (Comité Européen de Normalisation) en 2017, et enfin sa dernière version publiée en octobre 2022, accompagnée de l’amendement associé. La date limite de transition, fixée au 31 octobre 2025, est désormais échue.

ISO/IEC 27001 : quels changements entre la version 2017 et la version 2022 ?

La version ISO/IEC 27001:2022 introduit plusieurs évolutions majeures par rapport à l’édition 2017, en réponse à l’évolution du paysage cyber et aux nouvelles pratiques numériques.

• Nouveaux contrôles liés au cloud. La norme exige désormais la mise en place de processus formels pour l’acquisition, l’utilisation, la gestion et la sortie des services cloud, en conformité avec les exigences de sécurité de l’organisation. Cette exigence répond directement aux risques juridiques associés à des hébergeurs soumis à des législations extraterritoriales (Cloud Act, Patriot Act).
• Protection renforcée contre les fuites de données. Des exigences explicites ont été ajoutées pour implémenter des mesures de protection des données sensibles face aux techniques d’exfiltration discrètes, où les attaquants peuvent rester non détectés pendant plusieurs mois.
• Effacement sécurisé des données. La norme intègre désormais une exigence d’effacement des données lorsque leur conservation n’est plus nécessaire, en cohérence avec les obligations du RGPD.
• Restructuration de l’Annexe A. L’Annexe A passe de 114 contrôles répartis en 14 domaines à 93 contrôles organisés en 4 thèmes : organisationnels, humains, physiques et technologiques. Cette restructuration simplifie la rédaction de la déclaration d’applicabilité.

À qui s’adresse la certification ISO 27001 ?

La certification ISO 27001 s’adresse à toute organisation qui traite des informations sensibles qu’il s’agisse de données clients, de propriété intellectuelle, de données financières ou de données de santé. Elle ne se limite pas aux entreprises du secteur informatique.

D’après les données ISO (Étude ISO 2021), le secteur des technologies de l’information représente environ un cinquième de l’ensemble des certificats ISO/IEC 27001 valides dans le monde. Les quatre cinquièmes restants couvrent l’ensemble des secteurs économiques : industrie, services, santé, finance, administration publique et secteur primaire.

La norme ISO/IEC 27001 permet à chaque organisation d’adapter son SMSI à sa taille, à ses objectifs et à l’évolution de ses facteurs de risque sans imposer un modèle rigide unique.

Les avantages concrets de la certification ISO/IEC 27001 pour votre entreprise

La certification ISO/IEC 27001 offre des bénéfices tangibles pour votre entreprise : elle vous permet notamment de limiter votre vulnérabilité face à la menace croissante des cyberattaques, de répondre à l’évolution des risques en termes de sécurité, et d’assurer l’intégrité, la confidentialité et la disponibilité d’actifs tels que les états financiers, la propriété intellectuelle, les données des employés et les informations confiées par des tiers.

Plus largement, sa mise en œuvre vous aide à :

• Centraliser la gouvernance de la sécurité de l’information au sein d’un dispositif unique et cohérent
• Mobiliser l’ensemble des collaborateurs, processus et outils de l’organisation face aux cybermenaces
• Protéger l’information quelle que soit sa forme numérique, papier ou hébergée dans le cloud
• Réduire les coûts en rationalisant les investissements en cybersécurité et en éliminant les solutions peu efficaces

Le cas spécifique des environnements industriels et OT

Les systèmes de technologie opérationnelle (OT) automates, SCADA, systèmes de contrôle industriel (ICS) présentent des exigences de sécurité spécifiques que l’ISO 27001 seule ne couvre pas intégralement. Dans ces contextes, la norme constitue le socle de management, complété par des référentiels techniques dédiés.

• ISO 27001 + IEC 62443. La norme IEC 62443 définit les exigences de cybersécurité pour les systèmes de contrôle et d’automatisation industriels (IACS). ISO 27001 fournit le cadre de management (gouvernance, analyse de risques, amélioration continue) tandis que l’IEC 62443 précise les contrôles techniques applicables aux réseaux OT, aux composants et aux processus d’intégration.
• Convergence IT/OT. La numérisation croissante des environnements industriels (IIoT, industrie 4.0) efface progressivement la frontière entre réseaux IT et OT. Un SMSI conforme à l’ISO 27001 doit aujourd’hui intégrer explicitement les actifs OT dans son périmètre pour couvrir l’ensemble des vecteurs d’attaque.
• Disponibilité avant tout. Contrairement aux environnements IT où la confidentialité est souvent la priorité absolue, les environnements OT placent la disponibilité en premier : une interruption de production peut entraîner des conséquences physiques, financières et humaines immédiates. L’analyse de risques menée dans le cadre du SMSI doit refléter cette hiérarchie.

Les 5 étapes clés pour mettre en œuvre un SMSI conforme à l’ISO 27001

La mise en œuvre d’un SMSI conforme à l’ISO 27001 suit une démarche structurée en cinq étapes.

Étape 1 : Définir le périmètre du SMSI : une décision stratégique Point d’attention : Une fois le périmètre défini, la politique de sécurité de l’information formalisera les engagements et orientations de l’organisation en matière de protection de ce périmètre.	Le périmètre du SMSI définit les activités, sites, systèmes et actifs couverts par la certification. Sa délimitation tient compte des enjeux internes et externes de l’organisation, ainsi que des exigences des parties concernées (clients, régulateurs, prestataires…) en matière de sécurité de l’information. Un périmètre trop large alourdit la complexité et les coûts ; trop restreint, il affaiblit la valeur perçue de la certification. C’est donc une décision stratégique qui engage directement la direction.
Étape 2 : Réaliser l’analyse des risques Point d’attention : Une fois l’analyse de risques effectuée, l’organisation passe à l’étape de la planification du traitement de chaque risque : réduction, transfert, évitement ou acceptation, en fonction de son appétit au risque et de ses ressources disponibles.	L’analyse des risques identifie les actifs à protéger (données, systèmes, infrastructures, personnes), les menaces qui pèsent sur ces actifs et les vulnérabilités exploitables. Chaque risque est évalué selon son impact potentiel et sa probabilité d’occurrence, puis classé de faible à critique. Trois méthodes d’analyse sont reconnues et compatibles avec l’ISO 27001 : EBIOS Risk Manager (approche par scénarios, recommandée par l’autorité nationale de cybersécurité française) ; ISO 27005 (norme internationale de gestion des risques liés à la sécurité de l’information, directement alignée sur ISO 27001) ; MEHARI (approche quantitative et qualitative adaptée aux grandes organisations).
Étape 3 : Sélectionner et appliquer les contrôles de l’Annexe A	Sur la base de l’analyse des risques, l’organisation sélectionne les mesures de sécurité appropriées parmi les 93 contrôles de l’Annexe A de la norme ISO 27001 :2022. Ces contrôles couvrent quatre domaines : organisationnels (37 contrôles), humains (8), physiques (14) et technologiques (34). L’organisation peut justifier l’exclusion de certains contrôles si leur application n’est pas pertinente au regard de son périmètre et de ses risques. Ces exclusions doivent être documentées et arguées.
Étape 4 : Rédiger la déclaration d’applicabilité	La déclaration d’applicabilité (Statement of Applicability ou SoA) est le document central du SMSI. Elle liste l’ensemble des 93 contrôles de l’Annexe A, indique pour chacun s’il est applicable ou exclu, et justifie les choix retenus. La SoA est un document contractuellement requis pour l’obtention de la certification.
Étape 5 : Mettre en place la boucle d’amélioration continue	Un SMSI conforme à l’ISO 27001 n’est pas un projet ponctuel : c’est un système vivant soumis à la boucle PDCA (Plan–Do–Check–Act). Cette boucle comprend des audits internes réguliers, des revues de direction, des actions correctives et un rebouclage systématique sur l’analyse de risques à chaque évolution significative du contexte ou des actifs.

Comment se déroule le processus de certification ISO 27001 ?

La certification ISO 27001 est délivrée par un organisme de certification accrédité, pour une durée maximale de trois ans, avec des audits de surveillance annuels obligatoires. Le LNE accompagne les organisations industrielles, les institutions et les opérateurs d’importance vitale dans cette démarche depuis de nombreuses années cette prestation étant désormais assurée par BYCYB, entité 100 % dédiée à la cybersécurité créée par le LNE en association avec CRYPT.ON IT.

Les étapes de la certification ISO 27001

• Planification : définition du périmètre, de la durée et de l’équipe d’auditeurs avec l’organisation.
• Audit sur site : revue complète du SMSI selon une approche technique et opérationnelle.
• Restitution : présentation des constats écarts, observations, points forts.
• Comité de lecture : examen du dossier par le comité de certification interne.
• Décision : notification de la certification (accordée, suspendue ou refusée).
• Surveillance :  Après la certification initiale ISO 27001, l’organisme certificateur réalise généralement des audits de surveillance annuels pendant la période de validité de trois ans du certificat (ces audits peuvent être menés à distance, en présentiel ou de manière mixte).

Un pré-audit peut être réalisé en amont pour évaluer l’état de préparation et identifier les écarts à corriger avant l’engagement officiel.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

La durée de préparation varie significativement selon l’état de maturité initial de l’organisation en matière de sécurité de l’information. À titre indicatif :

• Organisation sans démarche préexistante : 12 à 18 mois sont généralement nécessaires pour déployer un SMSI, former les équipes, conduire une analyse de risques complète et effectuer un premier cycle d’amélioration avant l’audit.
• Organisation avec des processus de sécurité déjà formalisés : 6 à 12 mois suffisent souvent pour structurer et documenter l’existant selon les exigences de la norme.
• Organisation certifiée ISO 27001 :2017 en transition vers 2022 : la migration requiert principalement la mise à jour de la déclaration d’applicabilité selon la nouvelle structure de l’Annexe A et l’intégration des nouveaux contrôles pertinents.

Les certificats ISO/IEC 27001 :2022 sont reconnus au niveau international. Un organisme accrédité comme BYCYB peut intervenir dans tous les pays pour cette certification.

Point d’attention : les organisations certifiées ISO/IEC 27001:2017 avaient jusqu’au 31 octobre 2025 pour migrer vers ISO/IEC 27001:2022. Passé, cette échéance, les certificats basés sur l’ancienne version n’étaient plus valides.

ISO 27001 et la convergence réglementaire

La norme ISO 27001 n’existe pas en isolation : elle s’articule avec un ensemble de réglementations et de référentiels dont la portée s’est considérablement renforcée avec l’entrée en vigueur progressive de NIS 2 et du Cyber Resilience Act. Comprendre ces articulations est essentiel pour les RSSI et DSI qui pilotent une stratégie de conformité cohérente.

Tableau comparatif : ISO 27001, NIS 2, CRA, RGPD, SecNumCloud

Référentiel	Nature	Périmètre	Lien avec ISO 27001
ISO 27001:2022	Norme internationale volontaire	Toute organisation	Socle de management
Directive NIS 2	Réglementation UE obligatoire	Entités essentielles et importantes	ISO 27001 répond à la majorité des mesures de sécurité exigées par NIS 2
Cyber Resilience Act (CRA)	Réglementation UE obligatoire	Fabricants de produits connectés	ISO 27001 couvre les processus internes ; le CRA exige en plus la sécurité par conception des produits
RGPD	Réglementation UE obligatoire	Tout traiteur de données personnelles	ISO 27001 constitue un socle technique et organisationnel reconnu pour démontrer la conformité RGPD
SecNumCloud	Référentiel ANSSI	Prestataires cloud à usage souverain	ISO 27001 est une condition nécessaire mais non suffisante ; SecNumCloud impose des exigences supplémentaires de souveraineté

ISO 27001 et NIS 2 : complémentaires, non redondants

La directive NIS 2, transposée en droit français, impose aux entités essentielles et importantes des mesures de cybersécurité proportionnées à leur niveau de risque. ISO 27001 n’est pas explicitement requise par NIS 2, mais une organisation certifiée dispose d’un SMSI structuré qui répond à la grande majorité des obligations de gouvernance, de gestion des risques et de continuité d’activité exigées par la directive.

La différence principale : NIS 2 impose une obligation de résultat (sécuriser les systèmes critiques), tandis qu’ISO 27001 fournit le cadre de management pour y parvenir de façon systématique et auditée.

ISO 27001 comme socle pour le RGPD

Le RGPD exige des responsables de traitement et sous-traitants qu’ils mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. ISO 27001, en couvrant la confidentialité, l’intégrité et la disponibilité des données, fournit précisément ce cadre de mesures documentées et auditables.

La certification ISO 27001 ne remplace pas la conformité RGPD, elle en constitue le socle technique démontrable face à une autorité de contrôle comme la CNIL.

ISO 27001, IEC 62443 et le Cyber Resilience Act en environnement OT

Pour les fabricants de produits connectés et les opérateurs d’environnements industriels, la convergence des trois référentiels est désormais incontournable :

• ISO 27001 structure la gouvernance de la sécurité de l’information à l’échelle de l’organisation.
• IEC 62443 définit les niveaux de sécurité (SL1 à SL4) applicables aux composants, systèmes et processus OT/ICS.
• Le Cyber Resilience Act impose aux fabricants de produits comportant des éléments numériques (connected devices) des obligations de sécurité par conception, de gestion des vulnérabilités et de notification des incidents obligations qui s’appliquent tout au long du cycle de vie du produit.

Une organisation qui déploie ISO 27001 en couvrant ses actifs OT dans le périmètre du SMSI pose les fondations d’une conformité au CRA et à l’IEC 62443, sans duplication inutile des efforts.

Les certifications complémentaires à l’ISO 27001

La certification ISO 27001 constitue le point d’entrée d’un écosystème de référentiels spécialisés. BYCYB, filiale du groupe LNE ayant repris cette activité, propose la possibilité de combiner plusieurs certifications afin d’optimiser les audits et de réduire les coûts.

ISO/IEC 27701 : Extension pour la protection des données personnelles

ISO 27701 est une extension directe d’ISO 27001 qui ajoute des exigences spécifiques à la gestion des données personnelles identifiables (PII). Elle est conçue pour les responsables de traitement et les sous-traitants au sens du RGPD. Depuis ISO/IEC 27701 :2025, la certification peut être obtenue de manière autonome, sans prérequis obligatoire de certification ISO/IEC 27001.

ISO/IEC 27017 et 27018 : Sécurité des services cloud

• ISO 27017 : code de bonnes pratiques pour les mesures de sécurité spécifiques aux services d’informatique en nuage, applicable aux fournisseurs et aux clients cloud.
• ISO 27018 : code de bonnes pratiques pour la protection des informations personnelles identifiables dans les clouds publics agissant comme sous-traitants de traitement.

HDS : Hébergement de données de santé

La certification HDS (Hébergement de Données de Santé) est une certification réglementaire française obligatoire pour tout hébergeur de données de santé à caractère personnel. Elle est délivrée pour deux portées : hébergeur d’infrastructure physique et hébergeur infogéreur. ISO 27001 constitue l’une des bases de cette certification.

 SecNumCloud

Le référentiel SecNumCloud de l’ANSSI qualifie les prestataires de services cloud offrant un niveau de sécurité et de souveraineté adapté aux données sensibles de l’État et des organisations critiques. ISO 27001 est une condition d’entrée ; SecNumCloud impose des exigences supplémentaires notamment en matière de droit applicable et de localisation des données.

Certification conjointe

La certification ISO 27001 se combine efficacement avec les certifications ISO 9001 (management de la qualité) et ISO 14001 (management environnemental). La mutualisation des audits permet de réduire les coûts et la charge administrative tout en maintenant le niveau d’exigence de chaque référentiel.

Conclusion

La certification ISO 27001 est aujourd’hui bien plus qu’un gage de conformité : c’est un outil de management stratégique qui structure la gestion des risques de l’information, renforce la confiance des parties prenantes et prépare l’organisation aux exigences réglementaires à venir. En environnement industriel, son association avec l’IEC 62443 et sa convergence avec NIS 2 et le Cyber Resilience Act en font le socle incontournable d’une stratégie de cybersécurité cohérente et durable.

BYCYB, filiale du groupe LNE dédiée à la cybersécurité, accompagne les entreprises et organisations dans toutes les étapes de leur certification ISO 27001 du pré-audit à la surveillance annuelle.

FAQ : ISO 27001