La norme ISO 27001, partenaire des DSI depuis vingt ans

Réguler l’univers de la cyber, ce n’est pas une mince affaire ! Et surtout, ce n’est pas qu’une affaire réglementaire ! Aux côtés des directives européennes NIS et NIS 2 (NIS pour Network Information Security), aux côtés du DMA (Digital Markets Act) ou encore du DSA (Digital Services Act), il existe aussi les normes volontaires. On utilise également le mot « normes », comme pour évoquer les lois, décrets et autres règlements, mais celles-ci sont volontaires, faites par les acteurs du marché. Les plus anglophiles d’entre nous parlerons de « standards ».

En matière de sécurité de l’information, c’est une norme internationale qui donne le la : l’ISO 27001. Le libellé en « 001 » signifie que la norme aborde le sujet en tant que système de management : aux directions des systèmes d’information (DSI), et plus largement aux équipes impliquées dans cet enjeu partout dans l’entreprise (par exemple au responsable qualité), elle fournit un mode d’emploi pour bien s’organiser dans le but de prévenir les cyberattaques, savoir que faire et comment répondre le jour où elle survient. Elle comporte donc une partie importante sur l’identification et l’analyse des risques. Le tout, dans un esprit d’amélioration continue : chaque défaillance fournit un retour d’expérience qui permet d’être mieux préparé la fois d’après. Par rapport à ses grandes sœurs ISO 9001 ou ISO 14001, la particularité de l’ISO 27001 est de fournir, en plus, des recommandations techniques.

Le fait que l’ISO 27001 soit une norme de management fait d’elle une norme certifiable : comme avec l’ISO 9001 pour une démarche qualité ou l’ISO 14001 pour une politique environnement, on peut demander à se faire auditer pour montrer qu’on l’applique correctement, et ainsi signaler qu’on est vertueux. Ce signalement est très regardé dans les appels d’offres, au point parfois de devenir un prérequis ! Sur ce point, le constat est clair : le nombre d’organisations certifiées, publiques comme privées, augmente régulièrement dans le monde. Même si on est loin des chiffres de la qualité ou du management environnemental, la France en comptait fin 2023 un peu plus d’un millier d’organisations certifiées ISO 27001, soit trois fois plus qu’en 2019, selon l’ISO Survey. A noter qu’un certificat couvre très souvent plusieurs sites, en moyenne deux à trois.

En octobre 2025, l’ISO 27001 fête ses vingt ans ! Dans la vidéo ci-dessus, écoutez trois grands témoins raconter son histoire : Emmanuel Garnier, président du Club 27001 et DSI d’Orano, Marie-Christine Moretti, auditrice et formatrice, et Matthieu Grall, consultant en sécurité de l’information. Vingt ans, d’ailleurs, que l’ISO 27001 porte un nom qui est en fait un diminutif : comme elle a été élaborée conjointement avec la Commission internationale des électrotechnologies (IEC), son vrai nom est ISO/IEC 27001. C’est même NF EN ISO/IEC 27001, si on veut refléter que la norme internationale a été reprise comme norme européenne et norme française, disponible dans la collection AFNOR . Vous pourrez objecter qu’en vingt ans, le risque cyber a été énormément évolué : de nouvelles menaces, de nouveaux acteurs, de nouveaux outils sont apparus. Vous auriez raison : 2005, c’est la préhistoire à l’échelle de la sécurité de l’information ! C’est sans compter que, comme toutes les normes volontaires, le texte a été régulièrement mis à jour. Une version 2013, puis une version 2022 sont apparues, de sorte que les recommandations énoncées restent pertinentes. En 2024, un amendement  concernant le changement climatique a même été intégré.

Liste des normes concernées

ISO/IEC 27001:2005

Première version publiée, elle établit les exigences pour un SMSI et a introduit le concept de gestion des risques.

Elle s’appuie sur les travaux britanniques sur la norme BS 7799

ISO/IEC 27001:2013

Révision majeure, cette version a apporté des modifications significatives, notamment :

• l’intégration de la structure de haut niveau (HLS) pour faciliter l’intégration avec d’autres normes de systèmes de management,
• une mise à jour des mesures de sécurité,
• un renforcement de la prise en compte du contexte et des parties intéressées.

ISO/IEC 27001:2022

Révision majeure, cette version a apporté des modifications significatives, notamment :

• mise à jour des mesures de sécurité pour refléter les nouvelles menaces et technologies
• clarification des exigences relatives à la gestion des risques et à l’évaluation des performances du SMSI.

ISO/IEC 27001:2024/Amd 1

Ajout des exigences pour que les organisations prennent en compte les impacts des changements climatiques sur leurs SMSI.

La meilleure preuve que la norme ISO 27001 vit parfaitement avec son temps, c’est le fait qu’elle se soit invitée dans les débats sur la transposition de la directive européenne NIS 2 au Parlement français, au deuxième semestre 2025. Lors de son examen au Sénat, tout particulièrement, le projet de loi Résilience en fait un élément de référence, positionnant la norme comme un premier niveau d’exigence pour permettre aux acteurs concernés de se conformer aux dispositions réglementaires.

En octobre 2025, une étude AFNOR – Club 27001 compilant plus de 600 rapports d’audits de certification, et téléchargeable gratuitement, indique que de plus en plus de secteurs d’activité s’emparent de la norme ISO 27001. Celle-ci n’est plus circonscrite aux entreprises du monde des systèmes d’information et de la cybersécurité : le secteur bancassurance représente 6,6 % des certifiés version 2022 par AFNOR Certification, l’industrie manufacturière 4,7 %. Ci-dessous, vous trouverez le top 3 des thématiques ayant généré le plus de non-conformités (NC) et points sensibles (PS), hors annexe A, ainsi que le top 3 des thématiques ayant généré le plus de points forts (PF).