ISO/IEC 27001 : le management de la sécurité de l'information

ISO/IEC 27001 est la norme internationale du système de management de la sécurité de l'information (SMSI). Sa version courante est 27001:2022 Édition 2022. Elle ne dicte pas une liste figée de contrôles : elle impose une démarche par le risque, documentée et améliorée en continu, qu'un organisme accrédité vient certifier. Cette page explique comment fonctionne le SMSI, le rôle de l'Annexe A, le déroulé d'une certification, et comment SOCLE apporte les preuves techniques côté chaîne logicielle. Public visé : RSSI, responsables conformité et équipes engagées dans une certification.

En bref

ISO/IEC 27001 est la norme internationale du management de la sécurité de l'information (SMSI). Édition 2022, elle impose une démarche par le risque, documentée et certifiée par un organisme accrédité, avec 93 mesures de référence en Annexe A.

Ce que vous allez apprendre

• Comprendre ce qu'est un SMSI et l'approche par le risque
• Situer l'Annexe A et ses 93 mesures
• Suivre les grandes étapes d'une certification
• Relier les mesures techniques aux exigences SOCLE

Qu'est-ce qu'ISO/IEC 27001

ISO/IEC 27001 définit les exigences pour établir, mettre en oeuvre, maintenir et améliorer un SMSI. L'idée centrale : la sécurité n'est pas un projet ponctuel mais un cycle de gestion (planifier, déployer, contrôler, corriger). L'organisation identifie ses risques, choisit des mesures de traitement, les documente, et prouve qu'elles fonctionnent.

C'est cette logique de management qui en fait le socle de gouvernance repris par de nombreuses autres normes : HDS et SecNumCloud s'appuient largement sur 27001, et les réglementations NIS2 et DORA en partagent les principes.

Comment fonctionne la certification

La certification ne récompense pas un état figé mais une démarche vivante.

La déclaration d'applicabilité (SoA)

Pièce maîtresse du SMSI, la SoA liste les mesures retenues, justifie les exclusions et relie chaque mesure à un risque. C'est le document que l'auditeur examine en premier.

Le déroulé type :

1. Cadrage : définir le périmètre du SMSI et la politique de sécurité.

2. Analyse de risque : identifier, évaluer et traiter les risques.

3. Mise en oeuvre : déployer les mesures, former, documenter.

4. Audit de certification : un organisme accrédité vérifie le SMSI (étape 1 documentaire, étape 2 sur site).

5. Maintien : audits de surveillance annuels et recertification au bout de trois ans.

L'Annexe A : 93 mesures, quatre thèmes

L'Annexe A de la version 2022 propose un catalogue de 93 mesures de référence, réorganisées en quatre thèmes. L'organisation y pioche selon son analyse de risque.

Thème	Exemples de mesures
Organisationnel	Politiques, gestion des fournisseurs, réponse aux incidents
Humain	Sensibilisation, télétravail, filtrage
Physique	Contrôle d'accès aux locaux, sécurité des équipements
Technologique	Chiffrement, journalisation, gestion des vulnérabilités, développement sécurisé

Glissez pour voir

Le thème technologique est précisément celui où SOCLE apporte le plus de valeur.

Combien de temps et quel budget prévoir ?

La certification ne s'improvise pas. Comptez en général 6 à 12 mois de préparation selon votre maturité initiale et le périmètre retenu : c'est le temps de construire le SMSI, mener l'analyse de risque, déployer les mesures et accumuler les preuves que l'auditeur exigera.

Côté budget, deux postes se cumulent : l'audit par l'organisme accrédité (facturé en jours-homme, donc proportionnel à la taille et au nombre de sites) et l'effort interne de mise en conformité, souvent le plus lourd, parfois complété par du conseil. À titre indicatif, l'enveloppe va de quelques milliers d'euros pour une très petite structure à plusieurs dizaines de milliers pour un périmètre large. La certification est valable trois ans, avec des audits de surveillance annuels à budgéter.

Les bénéfices concrets

Au-delà du tampon, une démarche 27001 bien menée apporte des gains réels :

• Accès aux marchés : de plus en plus d'appels d'offres et de grands comptes l'exigent comme prérequis.
• Confiance client : un signal reconnu mondialement qui raccourcit les questionnaires sécurité à répétition.
• Réduction du risque : l'analyse de risque force à traiter les vraies expositions plutôt que de réagir après incident.
• Effet de levier : rôles, procédures et preuves explicites fluidifient les autres conformités (HDS, SecNumCloud, DORA), toutes adossées aux mêmes fondations.

Comment SOCLE vous aide

ISO/IEC 27001 demande de prouver que les mesures techniques sont en place et efficaces. SOCLE fournit ces preuves au plus près du cycle de développement :

• Développement sécurisé : la famille Sécurité applicative et l'intégration des dépendances.
• Chiffrement et journalisation : les exigences chiffrement et clés et journalisation et audit.
• Gestion des secrets : la section dédiée à la gestion des secrets.
• Relation fournisseurs : la gouvernance contractuelle des tiers.

Vous reliez chaque mesure de l'Annexe A à des exigences traçables via la cartographie SOCLE, au lieu de réécrire des preuves à chaque audit.

À retenir

• ISO/IEC 27001 certifie une démarche de management du risque, pas une liste figée de contrôles.
• La SoA et l'analyse de risque sont au coeur du dispositif.
• L'Annexe A 2022 propose 93 mesures en quatre thèmes ; le volet technologique est le terrain de SOCLE.
• 27001 sert de socle à HDS, SecNumCloud et aux réglementations cyber.

FAQ : questions fréquentes

ISO/IEC 27001, c'est quoi ?

ISO/IEC 27001 est la norme internationale du système de management de la sécurité de l'information (SMSI). Sa version 2022 impose une démarche par le risque, documentée et améliorée en continu, certifiée par un organisme accrédité.

Quelle différence entre ISO 27001 et ISO 27002 ?

ISO 27001 contient les exigences certifiables du SMSI et l'Annexe A des mesures. ISO 27002 est le guide d'implémentation détaillé de ces mesures. On se certifie sur 27001, on s'appuie sur 27002 pour la mise en oeuvre.

Combien de mesures contient l'Annexe A 2022 ?

La version 2022 propose un catalogue de 93 mesures de référence, réorganisées en quatre thèmes : organisationnel, humain, physique et technologique. L'organisation y pioche selon son analyse de risque.

La certification ISO 27001 est-elle obligatoire ?

Non, ISO 27001 est volontaire. Mais elle est souvent exigée par contrat, en appel d'offres ou par un client grand compte, ce qui la rend incontournable en pratique pour de nombreux prestataires.

Qui délivre la certification ISO 27001 ?

Un organisme de certification accrédité (en France, sous accréditation Cofrac), indépendant de l'entreprise auditée. Il vérifie le SMSI lors d'un audit en deux étapes, puis par des audits de surveillance annuels.

Prochaines étapes

Le référentiel SOCLELes preuves techniques de vos mesures Certification HDSLe cas santé, bâti sur ISO 27001 ANSSI SecNumCloudLa qualification cloud, bâtie sur la même base Toutes les conformitésPanorama des normes et leur mapping SOCLE

Ressources officielles

• ISO/IEC 27001 (ISO), la page officielle de la norme

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →