NORME ISO/IEC 27001:2022 - SMSI

Préparez votre certification ISO 27001
sans y perdre 6 mois

ISO/IEC 27001 est la norme internationale de référence pour le Système de Management de la Sécurité de l'Information (SMSI). De plus en plus exigée par les donneurs d'ordre, dans les appels d'offres, par les assureurs cyber ou pour l'accès à certains marchés export, SYAGA vous accompagne du gap assessment jusqu'à la préparation de l'audit de certification.

93
Mesures Annexe A (éd. 2022)
4
Thèmes de sécurité
7
Clauses de management (4 à 10)
1
Déclaration d'Applicabilité livrée

Le contexte

ISO 27001 n'est pas une obligation légale générale, mais elle devient un prérequis commercial incontournable

📋

Une certification volontaire, mais de plus en plus demandée

ISO/IEC 27001 reste une démarche volontaire. Elle est néanmoins de plus en plus exigée dans les appels d'offres, par les grands donneurs d'ordre, par certains assureurs cyber, ou comme prérequis pour l'accès à certains marchés export.

🔒

Peu de PME ont formalisé leur SMSI

La majorité des PME et ETI n'ont engagé aucune démarche structurée de Système de Management de la Sécurité de l'Information. Le sujet est perçu comme complexe, technique et long.

💰

Des accompagnements longs et coûteux

Les missions de certification classiques mobilisent vos équipes sur plusieurs mois et représentent un investissement conséquent, souvent hors de portée d'une PME.

Vos équipes IT sont déjà surchargées

Mobiliser le DSI ou le responsable sécurité pendant des mois pour construire un SMSI n'est pas viable dans une PME où chacun porte déjà plusieurs casquettes.

La méthode ISO27001-Express

Une démarche structurée en 3 phases, appuyée sur la même méthodologie déjà éprouvée par SYAGA sur PSSI-Express

1
Phase 1 - Gap Assessment

Évaluation des 93 mesures de l'Annexe A

Entretien de cadrage avec la direction et le responsable SI, puis évaluation systématique de chacune des 93 mesures de sécurité de l'Annexe A (édition 2022), réparties sur les 4 thèmes organisationnel, humain, physique et technologique. Restitution d'un rapport d'écarts factuel.

2
Phase 2 - Documentation du SMSI

Politique de sécurité, DdA et plan de remédiation

Rédaction ou mise à jour de la politique de sécurité (SMSI), de la Déclaration d'Applicabilité (DdA) justifiant l'application ou l'exclusion de chacune des 93 mesures, et d'un plan de remédiation priorisé pour combler les écarts identifiés en phase 1.

3
Phase 3 - Accompagnement vers la certification

Préparation de l'audit par l'organisme certificateur

Suivi de la mise en oeuvre du plan de remédiation, revue documentaire, et préparation de votre équipe à l'audit réalisé par un organisme certificateur accrédité indépendant. SYAGA vous prépare à l'audit ; la certification elle-même est délivrée par cet organisme tiers.

Ce que vous recevez

Les documents structurants du dossier de certification ISO 27001

📊

Rapport de Gap Assessment

Évaluation factuelle de votre niveau de conformité par rapport à la norme.

  • Évaluation des 93 mesures Annexe A
  • Statut par mesure : conforme / partiel / non conforme
  • Synthèse par thème (organisationnel, humain, physique, technologique)
  • Constats factuels, sans jugement de valeur
🔐

Déclaration d'Applicabilité (DdA)

Document normatif central du dossier de certification ISO 27001.

  • Statut applicable/exclu pour chacune des 93 mesures
  • Justification de chaque exclusion
  • Référence vers les documents du SMSI
  • Prêt à être présenté à l'organisme certificateur
📝

Politique de sécurité (SMSI)

Le document de gouvernance exigé par les clauses 4 à 10 de la norme.

  • Périmètre et contexte du SMSI
  • Rôles et responsabilités sécurité
  • Processus de gestion des risques
  • Cycle d'amélioration continue (PDCA)
🎯

Plan de remédiation priorisé

La feuille de route pour combler les écarts identifiés.

  • Actions classées par priorité
  • Mesures organisationnelles et techniques
  • Suivi d'avancement
  • Préparation progressive à l'audit
📄

Procédures opérationnelles

Documents applicables directement par vos équipes.

  • Gestion des incidents de sécurité
  • Gestion des accès et des identités
  • Gestion des changements
  • Charte informatique
💻

Fichiers éditables

Tous les documents dans des formats que vous pouvez faire évoluer.

  • HTML autonome (ouvrable dans tout navigateur)
  • PDF haute qualité (impression A4)
  • DOCX éditable (Microsoft Word)
  • Mise à jour à chaque revue annuelle

Un socle documentaire mutualisable

Le SMSI ISO 27001 recoupe naturellement plusieurs référentiels

ISO

ISO/IEC 27001:2022

Référentiel central : clauses 4 à 10 (exigences de management) et Annexe A (93 mesures de sécurité réparties en 4 thèmes).

N2

Passerelle avec NIS2

Les mesures de gestion des risques cyber demandées par la directive NIS2 recoupent largement les mesures de l'Annexe A ISO 27001. Un SMSI ISO 27001 facilite la mise en conformité NIS2 pour les entités concernées.

AN

Guide ANSSI - Hygiène informatique

Les mesures du guide d'hygiène informatique de l'ANSSI recoupent une part significative des mesures de l'Annexe A ISO 27001. Correspondance documentée dans le plan de remédiation.

RG

RGPD (Art. 32)

Les mesures techniques et organisationnelles appropriées exigées par l'article 32 du RGPD s'appuient sur les mêmes bonnes pratiques que l'Annexe A ISO 27001 (contrôle d'accès, chiffrement, gestion des incidents).

Des offres adaptées à votre contexte

Chaque mission ISO 27001 est dimensionnée selon votre périmètre et votre maturité actuelle. Devis personnalisé systématique.

Gap Assessment

Photographie initiale de vos écarts

Sur devis
selon périmètre et effectifs
  • Évaluation des 93 mesures Annexe A
  • Rapport de constat factuel
  • Synthèse par thème de sécurité
  • Restitution à la direction
  • Formats HTML + PDF + DOCX
Demander un devis

Maintenance annuelle

Après certification ou en continu

Sur devis
selon périmètre et effectifs
  • Revue annuelle du SMSI
  • Mise à jour de la DdA
  • Actualisation du plan de remédiation
  • Préparation aux audits de surveillance
Demander un devis

Questions fréquentes

Qu'est-ce que la norme ISO/IEC 27001 ?
ISO/IEC 27001 est la norme internationale de référence pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Dans son édition 2022, elle est structurée en clauses 4 à 10 (exigences de management : contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) et une Annexe A de 93 mesures de sécurité réparties en 4 thèmes : organisationnel, humain, physique et technologique.
ISO 27001 est-elle obligatoire pour mon entreprise ?
Non, ISO 27001 est une certification volontaire, contrairement à des textes réglementaires comme NIS2. En revanche, elle est de plus en plus demandée de facto : appels d'offres, exigences de grands donneurs d'ordre, conditions d'assurance cyber, ou accès à certains marchés export. C'est un choix stratégique plus qu'une obligation légale générale.
SYAGA délivre-t-elle la certification ?
Non. La certification ISO 27001 est délivrée exclusivement par un organisme certificateur accrédité indépendant, à l'issue d'un audit externe. SYAGA vous accompagne dans la préparation (gap assessment, documentation du SMSI, plan de remédiation, préparation de vos équipes), mais ne délivre pas elle-même le certificat.
Qu'est-ce que la Déclaration d'Applicabilité (DdA) ?
La DdA est un document normatif obligatoire du dossier de certification. Elle liste chacune des 93 mesures de l'Annexe A et précise si elle est appliquée ou exclue, avec la justification correspondante. C'est l'un des documents les plus scrutés lors de l'audit de certification.
Combien de temps dois-je mobiliser mes équipes ?
L'essentiel du travail (évaluation, rédaction documentaire, plan de remédiation) est réalisé par nos auditeurs. Vos équipes sont sollicitées principalement lors de l'entretien de cadrage initial et des points de restitution. La durée totale d'une démarche de certification dépend fortement de votre périmètre et de votre maturité de départ ; elle est estimée au cas par cas dans le devis.
En quoi SYAGA est légitime pour m'accompagner ?
SYAGA Consulting réalise des audits de sécurité des systèmes d'information depuis 2009. Nos auditeurs interviennent auprès de clients de tailles variées dans plusieurs secteurs. La méthodologie de gap assessment et de génération documentaire utilisée pour ISO27001-Express s'appuie sur le même moteur déjà utilisé sur nos autres accompagnements de conformité (PSSI-Express).
SYAGA vous accompagne dans la préparation de votre SMSI et de votre dossier de certification. La certification ISO/IEC 27001 elle-même est délivrée par un organisme certificateur accrédité indépendant, non affilié à SYAGA. Ce contenu est un outil d'accompagnement et ne constitue pas un avis juridique.

Prêt à structurer votre démarche ISO 27001 ?

Contactez-nous pour un devis personnalisé selon votre périmètre et votre maturité actuelle.

Veille réglementaire - sources officielles

Ce que dit vraiment ISO/IEC 27001, expliqué simplement. Chaque point renvoie à sa source officielle (ISO, AFNOR, COFRAC, ANSSI), mise à jour au 17/07/2026.

C'est quoi, concrètement ?

ISO/IEC 27001 est une méthode reconnue pour repérer les menaces qui pèsent sur vos données, maîtriser les risques et mettre en place les bonnes protections, pour que vos informations restent confidentielles, disponibles et fiables. Ce n'est pas un logiciel, c'est une organisation à mettre en place dans l'entreprise.

Source : AFNOR Certification

C'est un choix, pas une loi

Contrairement à d'autres démarches (comme l'homologation de sécurité imposée à certains systèmes de l'État), ISO 27001 est facultative : c'est une norme certifiante, pas une obligation réglementaire générale. Vous la choisissez pour rassurer clients, partenaires et assureurs.

Source : ANSSI (fiche méthode)

Qui délivre le certificat ?

Jamais l'entreprise elle-même, ni un consultant : seul un organisme certificateur indépendant et accrédité peut le délivrer (le COFRAC est l'unique instance française d'accréditation, créée en 1994). Le certificat obtenu est valable 3 ans.

Source : COFRAC

Le parcours, en 6 étapes

Évaluation préalable (optionnelle), préparation, revue des documents, audit sur site pour vérifier ce qui est vraiment en place, délivrance du certificat (3 ans), puis une visite de contrôle chaque année et un audit complet de renouvellement au bout de 3 ans. Rien n'est figé une fois pour toutes.

Source : AFNOR Certification

Est-ce que ça rapporte vraiment ?

Selon une étude AFNOR menée auprès d'entreprises certifiées : 89% ont constaté moins d'incidents de sécurité, 83% ont des processus de sécurité internes plus solides, et 88% ont gardé des clients qui auraient pu partir sans la certification.

Source : étude AFNOR 2019

Reconnue partout, pas seulement en France

C'est la norme de sécurité de l'information la plus utilisée au monde selon l'ISO elle-même. Et l'accréditation qui contrôle les organismes certificateurs (comme le COFRAC en France) est reconnue à l'international par des accords entre pays, ce qui facilite l'accès à des marchés en Europe et ailleurs.

Source : ISO (comité JTC1/SC27)

Qui est vraiment concerné par ISO 27001 ?

Pas besoin d'être une multinationale ni une entreprise du numérique. Voici, sources officielles à l'appui, qui peut (et parfois doit) s'y intéresser.

Tout le monde, sans exception de taille ni de secteur

La certification s'adresse à « toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données, physiques ou dématérialisées ». AFNOR précise elle-même qu'elle ne vise pas « uniquement les hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique » : cabinet comptable, garage, association, mairie, clinique... si vous avez des données, vous êtes dans le périmètre.

Source : AFNOR Certification (17/07/2026)

Un choix, jamais une obligation en tant que telle

La fiche méthode officielle de l'ANSSI (mai 2025) le confirme noir sur blanc : pour ISO/IEC 27001, la case « Obligation » est cochée « Facultatif ». À l'inverse, l'homologation de sécurité (le régime vraiment obligatoire) ne s'applique qu'aux systèmes d'information de l'État et des opérateurs réglementés français (OIV/OSE). Deux mondes différents : ne confondez pas les deux si un prestataire vous parle d'obligation légale ISO 27001, ce n'est pas exact.

Source : ANSSI, fiche méthode v1.0 (mai 2025)

Le vrai déclencheur : la directive européenne NIS2

Le texte européen NIS2 (obligatoire, lui) cite explicitement la famille de normes ISO/IEC 27000, dont fait partie ISO 27001, comme référence de bonnes pratiques pour les mesures de cybersécurité à mettre en place. La Commission européenne demande aux États membres de « promouvoir l'utilisation des normes européennes et internationales pertinentes ». Concrètement : ISO 27001 devient le moyen le plus reconnu de prouver sa conformité NIS2 face à un régulateur.

Source : EUR-Lex, directive (UE) 2022/2555, considérants 79-80

NIS2, concrètement : 18 secteurs, dès 50 salariés

Selon la Commission européenne, NIS2 couvre 18 secteurs critiques : énergie, transport, santé, finance, gestion de l'eau, infrastructures numériques (déjà dans NIS1), plus désormais communications électroniques grand public, réseaux sociaux, gestion des déchets, fabrication de produits critiques, poste et courrier, administration publique, et le secteur spatial. La règle de taille : « les entités moyennes et grandes » de ces secteurs devront prendre des mesures de gestion des risques cyber et notifier les incidents significatifs.

Source : Commission européenne, digital-strategy.ec.europa.eu

« Moyenne entreprise », ça veut dire quoi exactement ?

La définition officielle européenne (Recommandation 2003/361/CE) fixe des seuils précis. Une entreprise franchit le seuil « moyenne » (et entre dans le champ probable de NIS2) dès qu'elle dépasse l'un de ces repères :

Catégorie Effectif Chiffre d'affaires
Micro-entreprise moins de 10 2 M€ ou moins
Petite entreprise moins de 50 10 M€ ou moins
Moyenne entreprise moins de 250 50 M€ ou moins
Source : Commission européenne, définition PME

Le périmètre s'élargit, y compris aux petites structures

La Commission européenne a proposé le 20 janvier 2026 un amendement ciblé pour alléger la mise en conformité de 28 700 entreprises, dont 6 200 micro et petites entreprises. Preuve que le sujet ne concerne déjà plus seulement les grands groupes : des structures modestes se retrouvent, via leurs clients ou leur secteur, à devoir répondre aux mêmes exigences.

Source : Commission européenne, digital-strategy.ec.europa.eu (20/01/2026)