ISO 27001 est la norme internationale de référence pour la sécurité de l'information. Ce n'est pas une loi : personne ne vous obligera jamais à vous certifier. Et pourtant, c'est peut-être le cadre qui pèsera le plus vite sur votre chiffre d'affaires : dans de plus en plus d'appels d'offres et de questionnaires fournisseurs, la question « Êtes-vous certifié ISO 27001 ? » décide de la suite de la conversation.
Ce que la certification atteste réellement
ISO 27001 ne certifie pas que vous êtes « inpiratable » - personne ne l'est. Elle atteste que vous disposez d'un SMSI (système de management de la sécurité de l'information) : une organisation documentée qui identifie vos risques, décide comment les traiter, applique des contrôles et s'améliore en continu, le tout vérifié par un auditeur indépendant.
La version 2022 de la norme s'appuie sur 93 contrôles de référence (Annexe A), couvrant l'organisationnel, l'humain, le physique et le technologique : gestion des accès, chiffrement, sécurité des fournisseurs, continuité, et - point souvent découvert tardivement - la sensibilisation du personnel (contrôle 6.3), sans laquelle aucun auditeur ne délivre le certificat.
Le parcours de certification, sans enjoliver
- Définir le périmètre - toute l'entreprise ou une activité précise. Un périmètre restreint et honnête vaut mieux qu'un périmètre large et intenable.
- Analyser les risques - la pièce maîtresse : identifier ce qui peut arriver à vos informations et décider quoi faire pour chaque risque.
- Déployer les contrôles et la documentation - politiques, procédures, preuves. C'est la phase la plus longue.
- Auditer en interne, puis corriger - obligatoire avant de convoquer le certificateur.
- Audit de certification - en deux étapes (revue documentaire, puis audit sur site), par un organisme accrédité (COFRAC en France).
- Tenir dans la durée - audit de surveillance chaque année, recertification tous les 3 ans. Le certificat se conserve, il ne s'obtient pas une fois pour toutes.
Budget réaliste pour une PME : comptez 6 à 18 mois de démarche et un budget total (accompagnement + audit) de l'ordre de 15 000 à 50 000 € selon la taille et le périmètre. Ce n'est pas rien - à mettre en face des marchés que l'absence de certification vous ferme.
Les 3 erreurs classiques
- Acheter une « documentation clé en main » et la ranger dans un dossier : les auditeurs le repèrent immédiatement, car rien ne relie les documents à votre réalité.
- Traiter la sensibilisation à la fin : le contrôle 6.3 exige un programme régulier avec des preuves (participation, dates, contenus). Une réunion annuelle sans trace ne passe pas l'audit.
- Sous-estimer l'après-certification : sans routine (revues, indicateurs, formation continue), l'audit de surveillance de l'année suivante devient douloureux.
Réflexe Cyvio : commencez par ce qui sert à la fois l'audit et la sécurité réelle - MFA, sauvegardes testées, sensibilisation mesurée. La conformité doit être un sous-produit d'une vraie démarche de sécurité, pas l'inverse.
Le volet humain, sans usine à gaz
Pour le contrôle 6.3 précisément, Cyvio Business fournit ce que demande l'auditeur : des parcours de sensibilisation suivis par collaborateur, des taux de complétion exportables, des attestations horodatées et des simulations de phishing qui documentent la progression. Pour situer ISO 27001 face à NIS2, DORA et au RGPD, voir notre panorama conformité.