Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

ISO 27001

ISO 27001 est la norme internationale de référence pour la mise en place d'un système de management de la sécurité de l'information (SMSI). Elle définit une approche par le risque, des exigences de gouvernance et un ensemble de mesures de sécurité, et permet une certification par un organisme accrédité.

Mis à jour le 2 juillet 2026

Qu'est-ce qu'ISO 27001 ?

ISO 27001 est la norme internationale qui décrit les exigences d'un système de management de la sécurité de l'information (SMSI). Publiée par l'ISO et révisée en 2022, elle ne se limite pas à une liste de contrôles techniques : elle impose une démarche complète de gouvernance, d'analyse de risques et d'amélioration continue.

L'idée centrale est qu'on ne sécurise pas tout de la même manière : on identifie les risques, on décide comment les traiter, et on documente ces choix de façon défendable.

Pourquoi c'est important pour votre organisation

ISO 27001 est reconnue mondialement, ce qui en fait un langage commun avec les clients, les partenaires et les régulateurs. La certification apporte une preuve indépendante que la sécurité est gérée de façon structurée, un argument fort dans les appels d'offres et les évaluations fournisseurs.

Au-delà du certificat, la démarche installe une discipline durable : rôles définis, risques suivis, incidents traités, mesures revues périodiquement.

Les éléments clés de la norme

  • Contexte et périmètre : définir ce que couvre le SMSI et les parties prenantes concernées.
  • Leadership : engagement documenté de la direction et politique de sécurité.
  • Appréciation des risques : identifier, analyser et traiter les risques de sécurité.
  • Déclaration d'applicabilité (SoA) : justifier l'inclusion ou l'exclusion de chaque mesure de l'annexe A.
  • Amélioration continue : audits internes, revues de direction et actions correctives.

Où les organisations pèchent le plus souvent

Le piège le plus courant est de bâtir un SMSI « pour le certificat » : une documentation abondante mais déconnectée des opérations réelles. L'analyse de risques est parfois traitée comme une formalité, alors qu'elle est le cœur de la norme. Un SMSI qui vit vraiment relie chaque mesure à un risque identifié et à une preuve à jour.

Questions fréquentes

Quelle différence entre ISO 27001 et ISO 27002 ?

ISO 27001 contient les exigences certifiables du système de management, c'est-à-dire ce que vous devez faire. ISO 27002 est un guide de bonnes pratiques qui détaille comment mettre en œuvre les mesures de sécurité listées en annexe de la 27001. On se certifie sur la 27001, on s'appuie sur la 27002 pour l'implémentation.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Pour une organisation partant de zéro, il faut généralement compter de six à douze mois pour construire le SMSI, réunir les preuves et le faire fonctionner assez longtemps pour l'audit. La certification se déroule en deux étapes, puis des audits de surveillance annuels et un renouvellement tous les trois ans.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.