ISO 27001 RSSI : Guide Opérationnel 2026 pour Réussir Votre Projet de Certification

Dans ce guide ISO 27001 RSSI, nous allons voir comment piloter efficacement un projet de certification sans tomber dans les pièges classiques.

ISO 27001:2022 est le socle de management qui répond simultanément à NIS2, DORA et l’article 32 du RGPD.
Pour une ETI de 200 à 500 collaborateurs : compter 12 à 18 mois et 80 à 150 K€ de coûts externes pour une première certification.
Trois écueils font dérailler 80 % des projets : sponsorship CODIR faible, SoA cosmétique, sous-estimation de la conduite du changement.
Le RSSI est PILOTE du SMSI, pas implementer en chef — chaque owner métier doit porter ses contrôles.
La vraie difficulté commence APRÈS la certification : maintenir le SMSI vivant entre les audits annuels.

Par Mohamed Ali Ksouri, Directeur Associé i-lead Consulting

Introduction

NIS2 transposée en France, DORA en application depuis janvier 2025, clients qui ajoutent des clauses de sécurité à chaque renouvellement contractuel : la pression converge vers le bureau du RSSI. Selon l’ANSSI, environ 15 000 entités françaises sont désormais concernées par NIS2.

La question n’est plus tellement « faut-il s’intéresser à l’ISO 27001 » mais « comment on s’y prend sans transformer le projet en marathon documentaire qui s’essouffle au bout de neuf mois ».

J’ai vu beaucoup de projets ISO 27001 démarrer et un certain nombre se planter — pas par manque de compétence technique, mais parce que personne n’avait clairement répondu à trois questions en amont : qu’est-ce qu’on cherche vraiment à obtenir, qui pilote quoi, et qu’est-ce qu’on est prêt à arbitrer quand le calendrier dérape. Ce guide est écrit pour le RSSI qui veut anticiper ces sujets, pas pour celui qui découvre l’existence de la norme.

Sommaire

Pourquoi le sujet revient sur ton bureau en 2026

Trois mouvements se cumulent et expliquent la ré-accélération du marché ISO 27001 ces derniers mois.

NIS2 d’abord

La directive a élargi le périmètre des entités concernées (essentielles et importantes), avec des obligations plus dures qu’NIS1 sur la gouvernance du risque, la chaîne d’approvisionnement et le reporting d’incidents. ISO 27001 ne te rend pas automatiquement conforme NIS2 — soyons clairs là-dessus — mais elle constitue le socle de management qui rend la conformité crédible et auditable. Selon plusieurs analyses croisées des cabinets de conformité européens, une organisation certifiée ISO 27001 couvre déjà 70 à 80 % des exigences NIS2.

DORA ensuite

pour ceux dont l’organisation tombe dans le périmètre financier. Là encore, ISO 27001 n’est pas équivalent à DORA, mais quand un régulateur te demande de démontrer une gouvernance des risques TIC, présenter un SMSI certifié change la conversation.

Et le marché

De plus en plus d’appels d’offres, en particulier dans la banque, l’assurance, l’industrie pharma et le secteur public, listent ISO 27001 en exigence ou en critère pondéré. Pas certifié, c’est de moins en moins une absence neutre — c’est un désavantage compétitif chiffrable. Côté RSSI, ces trois mouvements créent une fenêtre de tir qu’il faut savoir utiliser pour obtenir le sponsorship CODIR. Si la décision d’engager une démarche ISO 27001 traîne dans les limbes depuis deux ans, 2026 est probablement l’année où elle bascule.

ISO 27001 vs NIS2 vs DORA vs RGPD : le tableau comparatif

Question récurrente en CODIR : qu’est-ce qui se cumule, qu’est-ce qui se substitue ? Voici la cartographie pratique.

Critère	ISO 27001	NIS2	DORA	RGPD
Statut juridique	Norme volontaire	Directive UE contraignante	Règlement UE contraignant	Règlement UE contraignant
Périmètre	Toute organisation	Entités essentielles & importantes	Secteur financier	Données personnelles
Approche	Système de management	Obligations de résultat	Résilience opérationnelle TIC	Protection de la personne
Certifiable	Oui	Non	Non	Non
Couverture par ISO 27001	100 %	70-80 %	60-70 %	Article 32 uniquement
Sanctions	N/A	Jusqu’à 10 M€ ou 2 % CA	Jusqu’à 1 % CA quotidien	Jusqu’à 20 M€ ou 4 % CA

Le bon angle pour le RSSI : présenter ISO 27001 comme un accélérateur multi-conformité, pas comme une réponse unique. C’est plus honnête, plus défendable face à un auditeur, et ça pose la base d’une roadmap conformité cohérente.

ISO 27001:2022 : ce qu’il faut savoir pour piloter (pas pour réviser)

La version 2022 de la norme a remplacé la 2013 et la transition est désormais terminée pour les organismes déjà certifiés (échéance d’octobre 2025 dépassée). Pour un RSSI qui démarre, oublie la 2013, tu travailles directement sur la 2022 publiée par l’ISO.

Trois choses à retenir si tu n’as pas le temps de relire la norme.

Un, l’Annex A a été restructurée

On est passé de 14 domaines et 114 contrôles à 4 thèmes et 93 contrôles. Les thèmes : organisationnel (A.5, 37 contrôles), personnes (A.6, 8), physique (A.7, 14), technologique (A.8, 34). Cette restructuration n’est pas qu’esthétique : elle reflète une vision plus proche de la réalité opérationnelle, où la sécurité se joue autant sur la gouvernance et les processus que sur les pare-feux.

Deux, onze nouveaux contrôles ont été ajoutés

Et c’est là que se concentre la vraie modernisation. Threat intelligence (A.5.7), sécurité des services cloud (A.5.23), préparation TIC pour la continuité d’activité (A.5.30), prévention de fuite de données (A.8.12), surveillance des activités (A.8.16), filtrage web (A.8.23), codage sécurisé (A.8.28). Ces contrôles vont structurer ce que tu pilotes déjà sur le terrain et leur intégration dans la SoA est un point d’audit récurrent.

Trois, chaque contrôle dispose désormais de cinq attributs

(type, propriété de sécurité, concept cybersécurité aligné NIST CSF, capacité opérationnelle, domaine). Cette grille facilite le mapping avec d’autres référentiels. Côté clauses 4 à 10 — celles qui contiennent les vraies exigences certifiables — la 2022 ajoute la clause 6.3 (planification des changements). L’ensemble s’appuie sur le cycle d’amélioration continue PDCA (Plan-Do-Check-Act, ou roue de Deming) et sur la triade fondatrice CIA — Confidentialité, Intégrité, Disponibilité de l’information.

Vous démarrez votre démarche ISO 27001 ?
i-lead Sentinel accompagne les RSSI ETI sur l’ensemble du cycle ISO 27001 — gap analysis, SMSI, EBIOS RM, audit blanc, préparation à la certification. [CTA] Échangez 30 minutes avec un de nos experts — sans engagement.

Le business case : comment vendre ISO 27001 au CODIR en cinq minutes

Le RSSI qui arrive en CODIR avec un slide « la norme demande X, Y, Z » a déjà perdu. Le bon angle, c’est trois leviers business présentés en moins de cinq minutes.

Conformité réglementaire qui se cumule.

Pas la peine d’empiler les directives une à une. Tu présentes ISO 27001 comme le socle qui sert plusieurs obligations à la fois : NIS2, DORA si pertinent, article 32 RGPD pour la sécurité des traitements. Le coût marginal d’une démarche unifiée est très inférieur à la somme des démarches séparées, et c’est ce chiffre que ton DAF veut entendre.

Levier commercial chiffrable.

Identifie deux ou trois appels d’offres récents perdus ou complexifiés par l’absence de certification. Mets un montant en face. Beaucoup de directions générales découvrent à cette étape que l’impact business est concret et que l’arbitrage n’est pas « investir en sécurité ou pas » mais « investir 200 K€ pour récupérer 2 M€ de pipeline débloqué ».

Réduction du risque cyber objectivable.

Pas le risque abstrait, le risque chiffré. Une cyberattaque coûte en moyenne plusieurs centaines de milliers d’euros pour une ETI, et les assureurs ajustent désormais leurs primes en fonction du niveau de maturité SMSI. Avoir une certification réduit la prime cyber de 10 à 30 % selon les courtiers — c’est un retour direct, mesurable, qui parle au DAF mieux que n’importe quel discours technique. Le piège classique du RSSI à éviter, c’est de présenter ISO 27001 comme un projet sécurité. Le CODIR n’arbitre pas un projet sécurité, il arbitre un investissement à ROI démontré. Recadre dès la première slide.

Le périmètre du SMSI : la décision la plus structurante du projet

Le périmètre, c’est ce qui détermine l’effort, le budget, et le sens même de la certification. Et c’est là que je vois le plus de projets se compliquer inutilement.

L’erreur la plus fréquente : vouloir certifier toute l’organisation d’un coup. Pour un groupe de 800 collaborateurs avec quatre sites et deux filiales, partir sur un périmètre exhaustif, c’est se condamner à un projet de trois ans qui s’essouffle au bout de dix-huit mois.

Trois approches éprouvées selon ton contexte.

Périmètre par activité critique.

Tu certifies l’activité qui porte le risque le plus élevé ou qui répond à l’exigence client la plus pressante. C’est l’approche la plus rapide pour obtenir un premier certificat (8 à 12 mois sur une ETI bien outillée).

Périmètre par site ou entité juridique.

Pertinent quand l’organisation est multi-sites avec une autonomie opérationnelle marquée.

Périmètre par service IT.

Approche fréquente pour les éditeurs ou les ESN qui certifient leur SI de production / DevOps / hébergement. Quel que soit le choix, documente précisément les interfaces avec ce qui est hors périmètre. C’est un point d’audit systématique.

Le calendrier réaliste : 12 à 18 mois pour une ETI

Les délais affichés par certains prestataires (« certification en 6 mois ») sont possibles dans deux cas seulement : organisation déjà très mature qui formalise un dispositif existant, ou périmètre extrêmement réduit. Pour une ETI qui démarre une vraie démarche, table sur 12 à 18 mois entre le go projet et l’émission du certificat. Ces étapes sont à intégrer dans un Schema HowTo (cf. annexe technique).

Phase	Mois	Livrables clés
Cadrage & gap analysis	1-2	Périmètre, état des lieux clauses 4-10, écarts Annex A
Politique, gouvernance, analyse risques	3-5	Politique SMSI, RACI, méthodologie risques, première analyse
Implémentation contrôles & SoA	5-10	Procédures, formation, gestion documentaire, SoA
Audits internes & revue direction	11-13	Rapport d’audit interne complet, revue formalisée
Audit de certification Stage 1+2	14-16	Stage 1 documentaire, Stage 2 sur site, émission certificat

Budget : ce que coûte vraiment ISO 27001

Les chiffres qui suivent valent pour une ETI de 200 à 500 collaborateurs, périmètre IT cœur, première certification.

Poste	Fourchette	Détail
Cabinet d’accompagnement	60-100 K€	12-18 mois de prestation
Audit blanc pré-certification	10-20 K€	Une session
Audit de certification Stage 1+2	15-30 K€	Organisme accrédité
Formations Lead Implementer / Risk Manager	5-10 K€	2-3 personnes pilotes
TOTAL externe	80-150 K€	Sur la durée projet
Mobilisation interne RSSI	0,5 à 1 ETP	Sur 12-18 mois
Outillage (SIEM, DLP, IAM si manquants)	50-200 K€	Investissement 2 ans
Maintien annuel post-certification	25-50 K€	Audit de surveillance + ETP partiel

Le poste budgétaire le plus régulièrement oublié, c’est l’outillage. Si tu pars d’un dispositif technique léger, ISO 27001 va exiger un upgrade. La mobilisation transverse interne (RH, achats, juridique) est le second coût sous-estimé.

Les 5 écueils qui font dérailler le projet

Voici ce qui revient le plus souvent dans les projets que je vois rebondir, indépendamment du secteur ou de la taille.

Sponsorship CODIR faible ou décoratif.

La direction a dit oui en COMEX mais s’est vite désintéressée. Le RSSI se retrouve seul à porter une transformation transverse. Sans sponsor exécutif visible et engagé, le projet s’essouffle vers le mois 9.

SoA cosmétique.

La déclaration d’applicabilité, c’est l’épine dorsale auditée. Quand elle est construite par recopie depuis un template trouvé en ligne, l’auditeur le repère en moins de deux heures. Justifications génériques, contrôles cochés « implémenté » sans preuves, exclusions non motivées : autant de non-conformités garanties.

Audit interne mené par les implementers eux-mêmes.

La norme exige indépendance et impartialité. Concrètement, la personne qui a piloté la mise en place d’un contrôle ne peut pas l’auditer.

Sous-estimation de la conduite du changement.

ISO 27001 n’est pas qu’une affaire technique. Une politique de mots de passe rigoureuse, une classification des données déployée, une procédure de départ d’un collaborateur tracée : tout cela suppose une adhésion des équipes que la communication descendante ne suffit jamais à obtenir.

Choix de l’organisme certificateur trop tard.

LSTI, Bureau Veritas, AFNOR Certification, BSI, DNV : ce sont les principaux acteurs en France. Choisis ton organisme dès le mois 6 du projet, pas au mois 13

Retour d’expérience : un projet ISO 27001 dans une ETI industrielle de 320 collaborateurs (NOUVEAU v3)

Cas représentatif observé en mission, anonymisé. Il illustre concrètement les écueils décrits plus haut — moins parce que ce projet a été exceptionnellement difficile que parce qu’il a été suffisamment normal pour être instructif.

Le contexte

Une ETI industrielle française, 320 collaborateurs sur trois sites, fournisseur de rang 2 d’un grand donneur d’ordre du secteur défense. Le déclencheur n’est pas réglementaire mais commercial : le donneur d’ordre annonce qu’il fera de l’ISO 27001 un critère éliminatoire pour le renouvellement du contrat-cadre 2027. Le contrat représente 18 % du CA. La direction n’a pas le choix, elle valide le projet en moins de trois semaines. Le RSSI à temps partagé (deux jours par semaine) hérite du dossier.

Le périmètre : la décision qui sauvera le projet

Première erreur évitée : le RSSI propose de certifier uniquement le site de production qui livre le donneur d’ordre — pas les trois sites, pas le SI corporate, pas le R&D. Le DG pousse pour un périmètre groupe (« autant tout faire d’un coup »). Le RSSI tient bon, sponsoring du DAF qui voit le différentiel de coût (estimé à 3x sur un périmètre groupe). Périmètre validé : un site, une activité, environ 90 collaborateurs dans le scope. Décision qui sauvera le projet six mois plus tard.

Le calendrier réel

Cadrage et gap analysis sur les mois 1 et 2, sans surprise. Le diagnostic remonte 47 écarts dont 12 majeurs, principalement sur la gestion documentaire (inexistante au sens ISO), les contrôles fournisseurs (aucune clause sécurité dans les contrats actifs) et la gestion des accès (revue annuelle non formalisée).

Mois 3 à 6, mise en place de la gouvernance et première analyse de risques EBIOS RM. C’est là que le projet a failli capoter : les ateliers EBIOS prennent trois mois au lieu d’un, parce que les métiers ne voient pas l’intérêt, sèchent les sessions, fournissent des informations approximatives. Le RSSI escalade au DG en mois 5, décision de rendre la participation aux ateliers obligatoire avec passage en CODIR mensuel des absents. Plus aucun no-show les trois mois suivants. Leçon retenue : l’analyse de risques sans engagement métier formalisé est un sable mouvant.

L’écueil majeur : la preuve avant la procédure

Mois 8, audit interne. Les contrôles techniques sont OK, les politiques sont écrites, la SoA est à jour. Mais l’auditeur externe mobilisé identifie une faille critique : les preuves d’application des procédures sont manquantes.

Le RSSI a écrit la procédure de revue trimestrielle des accès — mais aucune revue n’a effectivement eu lieu depuis sa publication. Idem pour la gestion des incidents : politique formalisée, processus défini, mais zéro ticket tracé dans l’outil prévu (les équipes continuent à gérer par mail). Quatre mois pour rattraper, avec sensibilisation hebdomadaire, dashboard de suivi, contrôle aléatoire. La leçon : une politique sans preuve d’exécution est une non-conformité automatique.

Le Stage 1 et le Stage 2

Stage 1 mois 13, six écarts mineurs identifiés, aucun majeur. Le RSSI traite les écarts en quatre semaines. Stage 2 mois 15, audit sur site sur trois jours, 14 collaborateurs interviewés. Trois constats mineurs supplémentaires, validés en correction immédiate. Certificat émis quatre semaines après le Stage 2.

Les chiffres réels

Coût externe total : 137 K€ (cabinet d’accompagnement 92 K€, audit blanc 18 K€, audit de certification 27 K€). Mobilisation interne : 0,8 ETP RSSI sur la durée, plus environ 110 jours-homme cumulés sur les autres fonctions (IT, RH, achats, juridique). Outillage : 65 K€ d’upgrade SIEM et solution de gestion des accès. Durée totale du projet : 16 mois de la décision CODIR à l’émission du certificat.

Les trois leçons à retenir

Premièrement, la lutte pour le périmètre est la première bataille à gagner et elle se gagne en interne contre son propre DG, pas contre l’auditeur.

Deuxièmement, l’analyse de risques rate si elle n’est pas portée explicitement par la direction — les métiers ne se mobilisent pas spontanément. Troisièmement, et c’est le piège le plus subtil, la rédaction d’une procédure ne crée pas son exécution : il faut prévoir dès le départ comment on prouvera que la procédure tourne.

Les 13 documents obligatoires de l’ISO 27001:2022

La norme exige treize informations documentées qui doivent être disponibles le jour de l’audit. C’est la check-list à connaître par cœur.

Périmètre du SMSI (clause 4.3)
Politique de sécurité de l’information (clause 5.2)
Méthodologie d’appréciation et de traitement des risques (clause 6.1.2)
Déclaration d’applicabilité — SoA (clause 6.1.3)
Plan de traitement des risques (clause 6.1.3)
Objectifs de sécurité (clause 6.2)
Compétences — preuves de qualification (clause 7.2)
Résultats des appréciations de risques (clause 8.2)
Résultats du traitement des risques (clause 8.3)
Résultats de surveillance et mesures (clause 9.1)
Programme et résultats des audits internes (clause 9.2)
Résultats des revues de direction (clause 9.3)
Non-conformités et actions correctives (clause 10.2)

Le rôle du RSSI : pilote et garant, mais pas implementer en chef

Une confusion fréquente : le RSSI doit-il porter lui-même toute l’implémentation du SMSI ?

Non. Et c’est même contre-productif. Le RSSI est pilote du dispositif, garant de la cohérence et porteur du sponsoring auprès du CODIR. Mais l’implémentation des contrôles techniques relève de l’IT, l’implémentation des contrôles RH relève des RH, les contrôles fournisseurs relèvent des achats et du juridique. La SoA n’est pas le document du RSSI, c’est le document de l’organisation.

Cette distinction n’est pas qu’une posture. Elle a un effet structurant sur la durabilité du SMSI. Quand le RSSI a tout porté seul, son départ ou sa surcharge fait s’effondrer le dispositif. Quand chaque owner de contrôle est clairement identifié et tient son périmètre, le SMSI continue à vivre. Concrètement : matrice RACI sur les 93 contrôles dès le mois 3, formation des owners métier à leurs obligations, comité SMSI mensuel piloté par le RSSI mais avec présence active des métiers.

Maintenir la certification : le vrai défi vient APRÈS

Obtenir la certification, c’est un projet. La maintenir, c’est un mode de fonctionnement permanent. Le cycle de certification dure trois ans : audit initial année 1, audit de surveillance année 2, audit de surveillance année 3, recertification au début de l’année 4.

Trois pratiques font qu’on perd la certification. Le SMSI dort entre les audits (pas d’activité de surveillance, indicateurs non suivis). Les analyses de risques deviennent statiques (non actualisées malgré des changements majeurs du SI). L’amélioration continue est cosmétique (actions correctives non tracées, closes sans preuve d’efficacité).

Faire ou faire faire : trois modèles à arbitrer

Accompagnement par un cabinet spécialisé.

60 à 100 K€ sur 12-18 mois. Modèle dominant pour les ETI.

RSSI externalisé à temps partagé.

4 000 à 8 000 € par mois. Pertinent pour les organisations sans RSSI ou dont le RSSI actuel est saturé.

Démarche autonome.

Possible en cas de maturité élevée. Plus rare en première certification.

Glossaire ISO 27001 : les termes à maîtriser

Terme	Définition
SMSI	Système de Management de la Sécurité de l’Information — ensemble de politiques, procédures et processus structurés
SoA	Statement of Applicability — Déclaration d’Applicabilité — document listant les 93 contrôles Annex A et leur applicabilité
PDCA	Plan-Do-Check-Act — cycle d’amélioration continue de Deming
CIA / DIC	Confidentialité, Intégrité, Disponibilité — triade fondatrice de la sécurité de l’information
EBIOS RM	Méthode d’analyse de risques recommandée par l’ANSSI
ISO 27005	Norme internationale de gestion des risques en sécurité de l’information
ISO 27002	Guide d’implémentation des contrôles Annex A (non certifiable)
Stage 1 / Stage 2	Étapes de l’audit de certification : revue documentaire puis audit sur site
RTO / RPO	Recovery Time Objective / Recovery Point Objective — indicateurs de continuité
NIS2	Directive UE sur la sécurité des réseaux et systèmes d’information (2e version)
DORA	Digital Operational Resilience Act — règlement UE pour le secteur financier
PECB	Organisme international certifiant les personnes (Lead Implementer, Lead Auditor)

FAQ ENRICHIE (12 QUESTIONS)

La FAQ est un levier majeur pour les featured snippets et le « People Also Ask ». 12 questions structurées, chaque réponse sous les 60 mots pour optimiser l’extraction.

Combien coûte une certification ISO 27001 pour une ETI ?

Pour une ETI de 200 à 500 collaborateurs en première certification, prévoir 80 à 150 K€ de coûts externes (cabinet d’accompagnement, audits, formations) sur la durée du projet, plus 0,5 à 1 ETP RSSI mobilisé pendant 12 à 18 mois. Le maintien annuel coûte 25 à 50 K€. Les investissements outils (SIEM, DLP, IAM) peuvent ajouter 50 à 200 K€ selon le point de départ.

Combien de temps faut-il pour se certifier ISO 27001 ?

12 à 18 mois pour une première certification d’ETI sur un périmètre cohérent. Les délais plus courts (6-9 mois) ne sont possibles que pour des organisations déjà très matures ou sur des périmètres très réduits.

L’ISO 27001 est-elle obligatoire ?

Non, ISO 27001 n’est pas obligatoire en soi. C’est une norme volontaire. En revanche, elle est de plus en plus exigée par les clients dans les appels d’offres, et constitue un excellent socle pour démontrer la conformité à des obligations qui, elles, le sont (NIS2, DORA, article 32 RGPD).

Quelle différence entre ISO 27001 et NIS2 ?

ISO 27001 est une norme volontaire qui définit un système de management de la sécurité. NIS2 est une directive européenne contraignante qui impose des obligations à environ 15 000 entités françaises. ISO 27001 facilite la conformité NIS2 (couverture estimée 70-80 %) mais ne s’y substitue pas.

Quelle différence entre ISO 27001 et ISO 27002 ?

ISO 27001 est la norme certifiable qui définit les exigences d’un SMSI. ISO 27002 est le guide de bonnes pratiques associé qui détaille comment mettre en œuvre les 93 mesures de l’Annex A. ISO 27002 n’est pas certifiable mais constitue un outil de travail essentiel.

Faut-il un RSSI à temps plein pour piloter ISO 27001 ?

Pas nécessairement. Beaucoup de PME et ETI passent par un RSSI externalisé à temps partagé (4 000 à 8 000 € par mois). Pour les organisations en environnement réglementé fort, un RSSI interne à temps plein devient nécessaire.

Quel organisme certificateur ISO 27001 choisir ?

Les principaux organismes accrédités en France sont LSTI, Bureau Veritas, AFNOR Certification, BSI et DNV. Critères de choix : spécialisation sectorielle, disponibilité (les délais Stage 1 peuvent dépasser 4 mois), tarification, qualité de la relation auditeur. Choisir l’organisme dès le mois 6 du projet.

Combien de contrôles compte ISO 27001:2022 ?

ISO 27001:2022 compte 93 contrôles dans l’Annex A, répartis en 4 thèmes : organisationnel (A.5, 37 contrôles), personnes (A.6, 8), physique (A.7, 14), technologique (A.8, 34). 11 nouveaux contrôles ajoutés en 2022.

Qu’est-ce que la SoA / Déclaration d’Applicabilité ?

La SoA (Statement of Applicability) est le document qui liste les 93 contrôles de l’Annex A et indique pour chacun s’il est applicable, sa justification d’inclusion ou d’exclusion, son statut d’implémentation et ses références aux documents internes. C’est l’épine dorsale de l’audit de certification.

Quelle méthode d’analyse de risques utiliser pour ISO 27001 ?

ISO 27001 ne prescrit pas de méthode mais exige une approche systématique, reproductible et documentée. Les deux références majeures en France sont ISO 27005 (international) et EBIOS Risk Manager (méthode ANSSI).

Quel ROI attendre d’une certification ISO 27001 ?

Trois leviers : déblocage de pipeline commercial sur les appels d’offres exigeant la certification (souvent supérieur à 2-5 fois l’investissement annuel), réduction de prime cyber-assurance (10 à 30 % selon courtiers), et accélération de la conformité NIS2/DORA/RGPD avec mutualisation des coûts.

Que faire après l’obtention de la certification ?

La certification est valable 3 ans avec audits de surveillance annuels (10 à 15 K€ chacun). Maintenir un SMSI vivant entre les audits exige : revue de direction annuelle, actualisation de l’analyse de risques, suivi des KPI sécurité, traitement effectif des actions correctives.

Pour aller plus loin : sources autoritaires

ANSSI — Guide EBIOS Risk Manager (cyber.gouv.fr)
ISO — Norme ISO/IEC 27001:2022 (iso.org)
AFNOR Certification — Page certification ISO 27001 (afnor.org)
Club EBIOS — Référence méthode et accréditations (club-ebios.org)
PECB — Certifications individuelles ISO 27001 (pecb.com)

Autres sources

Qui sommes nous ?

Découvrez nos domaines d’expertise

Tous

Nos domaines d’expertises

Comprendre nos implications