ISO 27001, a partner for CIOs for twenty years

The voluntary ISO 27001 standard is the benchmark for IT Departments in their efforts to protect themselves against cyber risk, and is celebrating its twentieth anniversary. Updated on a regular basis, it is positioned as a practical tool in a landscape made cluttered by regulations.

Listen to this article :

Published on 16/10/2025 Reading time : 10 minutes

Regulating the cyber world is no mean feat! And above all, it’s not just a matter of regulation! Alongside the European NIS and NIS 2 directives (NIS stands for Network Information Security), the DMA (Digital Markets Act) and the DSA (Digital Services Act), there are also voluntary standards. The word “standards” is also used to refer to laws, decrees and other regulations, but these are voluntary, made by market players. The more Anglophile among us will speak of “standards”.

When it comes to information security, it’s an international standard that sets the pace: ISO 27001. The “001” wording means that the standard addresses the subject as a management system: for information systems departments (ISDs), and more broadly for the teams involved in this issue throughout the company (for example, the quality manager), it provides instructions on how to organize oneself to prevent cyber-attacks, know what to do and how to respond on the day they occur. It therefore includes an important section on risk identification and analysis. All in a spirit of continuous improvement: each failure provides feedback that enables us to be better prepared the next time. Compared with its ISO 9001 and ISO 14001 sisters, ISO 27001 is unique in that it also provides technical recommendations.

Schéma de l'ISO 27001, au milieu des autres normes

The fact that ISO 27001 is a management standard makes it certifiable: as with ISO 9001 for a quality approach or ISO 14001 for an environmental policy, you can ask to be audited to show that you are applying it correctly, and thus signal that you are virtuous. This signal is highly sought-after in calls for tender, sometimes to the point of becoming a prerequisite! On this point, the evidence is clear: the number of certified organizations, both public and private, is steadily increasing worldwide. Even if we’re a long way from the figures for quality or environmental management, by the end of 2023 France had just over a thousand ISO 27001-certified organizations, three times more than in 2019, according to the ISO Survey. It should be noted that one certificate very often covers several sites, on average two to three.

Afficher la transcription de la vidéo

La norme 27001, c'est une norme sur la sécurité de l'information. Donc c'est une norme de management de sécurité un peu comme la 9001 est à la qualité et aussi qui comprend des mesures de sécurité, un socle de mesures à mettre en œuvre. Donc elle a à la fois le côté management et à la fois le côté mesure technique. La 27001, c'est une norme, en fait, de cybersécurité. Et gouverner la sécurité, c'est holistique. Donc on s'occupe de la partie management, de la partie sécurité physique, de la partie sécurité informatique, de la partie sécurité industrielle, de la conformité bien sûr et tout ce qui est sensibilisation et formation. Ça représente quand même le consensus international sur la bonne manière de gérer la sécurité de l'information au sein d'une organisation. Si les données disparaissent, sont modifiées ou sont vues par des personnes qui ne sont pas censées les voir, ça va avoir des impact sur différentes choses, sur l'organisation elle-même, son fonctionnement, ça peut la bloquer juridiquement, toujours sur l'entreprise, financièrement, ça peut avoir des impacts sur le les droits et libertés des personnes concernées. C'est le cas de la protection de la vie privée, ça peut avoir des impacts sur l'environnement, etc. J'avais toujours cette crainte que l'on puisse tomber en fait sur des données confidentielles et j'ai cherché à avoir une solution pour sécuriser non seulement nos PC, nos clés USB et notre manière de faire donc au niveau gouvernance et j'ai eu connaissance de la sortie de l'ISO 27001 2005. Nous avons regardé toutes les exigences et nous sommes fait auditer pour nos clients. La norme a toujours été volontaire et quand on fait en fait de la 27001, quand on fait de la gouvernance, la première chose que l'on fait c'est de cartographier. Cartographier ce que l'on fait. Mais quand on cartographie ce que l'on fait, on peut aller beaucoup plus loin en regardant aussi quel est mon impact aussi bien au niveau humain qu'au niveau de mon environnement et qu'au niveau finalement de l'écosystème. L'avantage d'une norme qui est plutôt volontaire en fait, ça permet à des entreprises qui ne sont pas réglementées, de savoir comment avoir une approche pour mettre en place un certain nombre de mesures de sécurité pour avoir un certain niveau. Quasi toutes les entreprises se servent au moins des idées de l'ISO 27001 pour structurer leur travail en matière de sécurité de l'information. Le fait d'être volontaire, ça permet de mettre des bonnes pratiques en œuvre et les services de l'État multiplient un certain nombre de guides de bonnes pratiques que ce soit cybermalveillance.gouv, que ce soit l'ENCI ou autres pour que les TPE PME puissent s'en inspirer et les mettre en œuvre. jusqu'en 2010, on parlait de de quelques dizaines de sociétés certifiées en France. Aujourd'hui, ça a grossi. On voit des pays qui en ont beaucoup plus d'ailleurs et je pense qu'aujourd'hui on a vraiment cette connaissance des normes qui est devenu un vocabulaire connu dans le monde de la cybersécurité. En fait, derrière l'ISO 27001 qui a donc été révisé entre 2009 et 2013 environ, on a vu petit à petit un regain d'intérêt pour la normalisation en matière de sécurité de l'information. Ces sujets sont devenus assez rassembleurs et ont permis en parallèle de créer beaucoup d'autres normes. En fait, l'ISO 27001, c'est un peu le tronc d'un arbre dont petit à petit, on a bâti des branches et des feuilles. Ce qu'on peut voir, c'est que la norme a évolué parce qu'en 20 ans, on a quand même eu deux nouvelles versions. On a eu donc 2005 au tout début. Après, on a eu la 2013 puis tout récemment en 2022, on a eu une nouvelle évolution de cette norme avec d'autres approches et on voit bien qu'en plus elle évolue, c'est pas 20 ans inscrit dans le marbre parce que la cyber évolue, les risques évoluent et c'est important de prendre en compte dans les mesures des sujets sur les thématiques d'aujourd'hui.

In October 2025, ISO 27001 celebrates its twentieth anniversary! In the video above, listen in as three key figures tell the story: Emmanuel Garnier, President of Club 27001 and CIO of Orano, Marie-Christine Moretti, auditor and trainer, and Matthieu Grall, information security consultant. For twenty years, ISO 27001 has been known by a name that is in fact a diminutive: as it was developed jointly with the International Commission on Electrotechnologies (IEC), its real name is ISO/IEC 27001. It’s even NF EN ISO/IEC 27001, to reflect the fact that the international standard has been adopted as a European and French standard, available here in the AFNOR collection . You may object that in twenty years, cyber risk has evolved enormously: new threats, new players and new tools have emerged. You’d be right: 2005 is prehistory on the scale of information security! Not to mention that, like all voluntary standards, the text has been regularly updated. A 2013 version and then a 2022 version have appeared, ensuring that the recommendations set out remain relevant. In 2024, an amendment concerning climate change was even included.

ISO/IEC 27001:2005

The first version to be published, it sets out the requirements for an ISMS and introduced the concept of risk management.

It is based on the British work on BS 7799.

ISO/IEC 27001:2013

A major revision, this version has made significant changes, including:

the integration of the High Level Structure (HLS) to facilitate integration with other management system standards, an update on security measures, a strengthening of the consideration of context and interested parties.

ISO/IEC 27001:2022

A major revision, this version has introduced significant changes, including:

updated security measures to reflect new threats and technologies

clarified requirements for risk management and ISMS performance assessment.

ISO/IEC 27001:2024/Amd 1

Added requirements for organizations to consider the impacts of climate change on their ISMS.

The best proof that the ISO 27001 standard is perfectly in tune with the times is the fact that it has been invited into the debates on the transposition of the European NIS 2 directive in the French Parliament, in the second half of 2025. During its examination by the French Senate, in particular, the Resilience bill made it a reference element, positioning the standard as a first level of requirement to enable the players concerned to comply with regulatory provisions.

In October 2025, an AFNOR – Club 27001 study compiling over 600 certification audit reports, which can be downloaded free of charge here , shows that more and more business sectors are adopting the ISO 27001 standard. It is no longer confined to information systems and cybersecurity companies: the bancassurance sector accounts for 6.6% of AFNOR Certification 2022 certifications, and the manufacturing industry for 4.7%. Below, you’ll find the top 3 themes that generated the most non-conformities (NC) and sensitive points (PS), excluding appendix A, as well as the top 3 themes that generated the most strong points (PF).

ISO 27001, a partner for CIOs for twenty years

Business sites

Useful links

For security reasons, our emails are hidden.
To display them, complete the captcha below

ISO 27001, a partner for CIOs for twenty years

Business sites

Useful links

For security reasons, our emails are hidden. To display them, complete the captcha below

For security reasons, our emails are hidden.
To display them, complete the captcha below