ISO/IEC 27001 est la norme internationale de référence pour le Système de Management de la Sécurité de l'Information (SMSI). De plus en plus exigée par les donneurs d'ordre, dans les appels d'offres, par les assureurs cyber ou pour l'accès à certains marchés export, SYAGA vous accompagne du gap assessment jusqu'à la préparation de l'audit de certification.
ISO 27001 n'est pas une obligation légale générale, mais elle devient un prérequis commercial incontournable
ISO/IEC 27001 reste une démarche volontaire. Elle est néanmoins de plus en plus exigée dans les appels d'offres, par les grands donneurs d'ordre, par certains assureurs cyber, ou comme prérequis pour l'accès à certains marchés export.
La majorité des PME et ETI n'ont engagé aucune démarche structurée de Système de Management de la Sécurité de l'Information. Le sujet est perçu comme complexe, technique et long.
Les missions de certification classiques mobilisent vos équipes sur plusieurs mois et représentent un investissement conséquent, souvent hors de portée d'une PME.
Mobiliser le DSI ou le responsable sécurité pendant des mois pour construire un SMSI n'est pas viable dans une PME où chacun porte déjà plusieurs casquettes.
Une démarche structurée en 3 phases, appuyée sur la même méthodologie déjà éprouvée par SYAGA sur PSSI-Express
Entretien de cadrage avec la direction et le responsable SI, puis évaluation systématique de chacune des 93 mesures de sécurité de l'Annexe A (édition 2022), réparties sur les 4 thèmes organisationnel, humain, physique et technologique. Restitution d'un rapport d'écarts factuel.
Rédaction ou mise à jour de la politique de sécurité (SMSI), de la Déclaration d'Applicabilité (DdA) justifiant l'application ou l'exclusion de chacune des 93 mesures, et d'un plan de remédiation priorisé pour combler les écarts identifiés en phase 1.
Suivi de la mise en oeuvre du plan de remédiation, revue documentaire, et préparation de votre équipe à l'audit réalisé par un organisme certificateur accrédité indépendant. SYAGA vous prépare à l'audit ; la certification elle-même est délivrée par cet organisme tiers.
Les documents structurants du dossier de certification ISO 27001
Évaluation factuelle de votre niveau de conformité par rapport à la norme.
Document normatif central du dossier de certification ISO 27001.
Le document de gouvernance exigé par les clauses 4 à 10 de la norme.
La feuille de route pour combler les écarts identifiés.
Documents applicables directement par vos équipes.
Tous les documents dans des formats que vous pouvez faire évoluer.
Le SMSI ISO 27001 recoupe naturellement plusieurs référentiels
Référentiel central : clauses 4 à 10 (exigences de management) et Annexe A (93 mesures de sécurité réparties en 4 thèmes).
Les mesures de gestion des risques cyber demandées par la directive NIS2 recoupent largement les mesures de l'Annexe A ISO 27001. Un SMSI ISO 27001 facilite la mise en conformité NIS2 pour les entités concernées.
Les mesures du guide d'hygiène informatique de l'ANSSI recoupent une part significative des mesures de l'Annexe A ISO 27001. Correspondance documentée dans le plan de remédiation.
Les mesures techniques et organisationnelles appropriées exigées par l'article 32 du RGPD s'appuient sur les mêmes bonnes pratiques que l'Annexe A ISO 27001 (contrôle d'accès, chiffrement, gestion des incidents).
Chaque mission ISO 27001 est dimensionnée selon votre périmètre et votre maturité actuelle. Devis personnalisé systématique.
Photographie initiale de vos écarts
Du gap assessment à la préparation de l'audit
Après certification ou en continu
Contactez-nous pour un devis personnalisé selon votre périmètre et votre maturité actuelle.
Ce que dit vraiment ISO/IEC 27001, expliqué simplement. Chaque point renvoie à sa source officielle (ISO, AFNOR, COFRAC, ANSSI), mise à jour au 17/07/2026.
ISO/IEC 27001 est une méthode reconnue pour repérer les menaces qui pèsent sur vos données, maîtriser les risques et mettre en place les bonnes protections, pour que vos informations restent confidentielles, disponibles et fiables. Ce n'est pas un logiciel, c'est une organisation à mettre en place dans l'entreprise.
Source : AFNOR CertificationContrairement à d'autres démarches (comme l'homologation de sécurité imposée à certains systèmes de l'État), ISO 27001 est facultative : c'est une norme certifiante, pas une obligation réglementaire générale. Vous la choisissez pour rassurer clients, partenaires et assureurs.
Source : ANSSI (fiche méthode)Jamais l'entreprise elle-même, ni un consultant : seul un organisme certificateur indépendant et accrédité peut le délivrer (le COFRAC est l'unique instance française d'accréditation, créée en 1994). Le certificat obtenu est valable 3 ans.
Source : COFRACÉvaluation préalable (optionnelle), préparation, revue des documents, audit sur site pour vérifier ce qui est vraiment en place, délivrance du certificat (3 ans), puis une visite de contrôle chaque année et un audit complet de renouvellement au bout de 3 ans. Rien n'est figé une fois pour toutes.
Source : AFNOR CertificationSelon une étude AFNOR menée auprès d'entreprises certifiées : 89% ont constaté moins d'incidents de sécurité, 83% ont des processus de sécurité internes plus solides, et 88% ont gardé des clients qui auraient pu partir sans la certification.
Source : étude AFNOR 2019C'est la norme de sécurité de l'information la plus utilisée au monde selon l'ISO elle-même. Et l'accréditation qui contrôle les organismes certificateurs (comme le COFRAC en France) est reconnue à l'international par des accords entre pays, ce qui facilite l'accès à des marchés en Europe et ailleurs.
Source : ISO (comité JTC1/SC27)Pas besoin d'être une multinationale ni une entreprise du numérique. Voici, sources officielles à l'appui, qui peut (et parfois doit) s'y intéresser.
La certification s'adresse à « toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données, physiques ou dématérialisées ». AFNOR précise elle-même qu'elle ne vise pas « uniquement les hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique » : cabinet comptable, garage, association, mairie, clinique... si vous avez des données, vous êtes dans le périmètre.
Source : AFNOR Certification (17/07/2026)La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc : pour ISO/IEC 27001, la case « Obligation » est cochée « Facultatif ». À l'inverse, l'homologation de sécurité (le régime vraiment obligatoire) ne s'applique qu'aux systèmes d'information de l'État et des opérateurs réglementés français (OIV/OSE). Deux mondes différents : ne confondez pas les deux si un prestataire vous parle d'obligation légale ISO 27001, ce n'est pas exact.
Source : ANSSI, fiche méthode v1.0 (mai 2025)Le texte européen NIS2 (obligatoire, lui) cite explicitement la famille de normes ISO/IEC 27000, dont fait partie ISO 27001, comme référence de bonnes pratiques pour les mesures de cybersécurité à mettre en place. La Commission européenne demande aux États membres de « promouvoir l'utilisation des normes européennes et internationales pertinentes ». Concrètement : ISO 27001 devient le moyen le plus reconnu de prouver sa conformité NIS2 face à un régulateur.
Source : EUR-Lex, directive (UE) 2022/2555, considérants 79-80Selon la Commission européenne, NIS2 couvre 18 secteurs critiques : énergie, transport, santé, finance, gestion de l'eau, infrastructures numériques (déjà dans NIS1), plus désormais communications électroniques grand public, réseaux sociaux, gestion des déchets, fabrication de produits critiques, poste et courrier, administration publique, et le secteur spatial. La règle de taille : « les entités moyennes et grandes » de ces secteurs devront prendre des mesures de gestion des risques cyber et notifier les incidents significatifs.
Source : Commission européenne, digital-strategy.ec.europa.euLa définition officielle européenne (Recommandation 2003/361/CE) fixe des seuils précis. Une entreprise franchit le seuil « moyenne » (et entre dans le champ probable de NIS2) dès qu'elle dépasse l'un de ces repères :
| Catégorie | Effectif | Chiffre d'affaires |
|---|---|---|
| Micro-entreprise | moins de 10 | 2 M€ ou moins |
| Petite entreprise | moins de 50 | 10 M€ ou moins |
| Moyenne entreprise | moins de 250 | 50 M€ ou moins |
La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour alléger la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. Preuve que le sujet ne concerne déjà plus seulement les grands groupes : des structures modestes se retrouvent, via leurs clients ou leur secteur, à devoir répondre aux mêmes exigences.
Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)