Pourquoi viser l'ISO 27001 ?
La norme ISO/IEC 27001:2022 est la reference internationale pour les Systemes de Management de la Securite de l'Information (SMSI). Pour une PME, la certification apporte des avantages concrets :
- Avantage commercial : de plus en plus de grands comptes exigent la certification ISO 27001 de leurs fournisseurs
- Conformite reglementaire : la certification facilite la mise en conformite NIS2, RGPD et DORA
- Reduction des primes d'assurance : les assureurs cyber offrent des conditions preferentielles aux entreprises certifiees
- Confiance client : la certification demontre un engagement mesurable en matiere de securite
- Amelioration continue : le SMSI installe une culture de la securite qui perdure au-dela de l'audit
Chiffre cle : 78% des entreprises certifiees ISO 27001 declarent avoir gagne de nouveaux contrats grace a leur certification (source : BSI Group 2025).
Prerequis et perimetre
Bonne nouvelle : il n'y a pas de prerequis formel pour demarrer un projet ISO 27001. Toute entreprise, quelle que soit sa taille, peut viser la certification. Le choix du perimetre est cependant crucial :
- Vous pouvez certifier l'ensemble de l'entreprise ou un perimetre restreint (un service, un produit, un processus)
- Pour une PME, commencer par un perimetre limite permet de reduire le cout et la complexite
- Le perimetre peut etre elargi progressivement lors des audits de surveillance
Etape 1 : Engagement de la direction
C'est le point de depart non negociable. La direction doit porter le projet, allouer les ressources et montrer l'exemple. La norme ISO 27001 exige explicitement l'engagement de la direction (clause 5.1).
Concretement : nomination d'un responsable du projet (souvent le RSSI, meme externalise), allocation d'un budget, et communication interne sur l'importance du projet.
Etape 2 : Definir le perimetre du SMSI
Delimitez clairement ce que le SMSI couvre : quels systemes, quels processus, quels sites, quelles donnees. Le perimetre doit etre coherent avec les enjeux business et documentable.
Etape 3 : Analyse de risques
L'analyse de risques est le coeur de la demarche ISO 27001. Vous devez identifier les risques pesant sur la confidentialite, l'integrite et la disponibilite de vos informations, les evaluer et definir un plan de traitement.
Methodes reconnues : EBIOS RM (recommandee par l'ANSSI), ISO 27005, MEHARI. Pour une PME, EBIOS RM est un excellent choix car il est adapte au contexte francais et reconnu par les auditeurs.
Etape 4 : Declaration d'applicabilite (SoA)
La SoA (Statement of Applicability) est le document qui liste les 114 mesures de l'annexe A de la norme et justifie lesquelles sont applicables, lesquelles sont exclues et pourquoi. C'est un document cle que l'auditeur examinera en detail.
Etape 5 : Politiques et procedures
Redigez les documents exiges par la norme :
- Politique de securite de l'information
- Politique de gestion des risques
- Procedures de gestion des incidents
- Politique de controle des acces
- Politique de sauvegarde et de continuite
- Politique de gestion des actifs
L'essentiel est que ces documents soient adaptes a votre taille et appliques au quotidien — pas des copies generiques qui dorment dans un tiroir.
Etapes 6-10 : De la mise en oeuvre a la certification
Etape 6 : Mise en oeuvre des mesures
Deployez les mesures de securite techniques et organisationnelles definies dans votre plan de traitement des risques. Cela peut inclure le deploiement d'un EDR/XDR, la mise en place du MFA, la microsegmentation, etc.
Etape 7 : Sensibilisation et formation
Formez tous les collaborateurs du perimetre. La norme exige que chaque personne comprenne ses responsabilites en matiere de securite.
Etape 8 : Audit interne
Avant l'audit de certification, realisez un audit interne pour identifier les non-conformites et les corriger. C'est une repetition generale indispensable.
Etape 9 : Revue de direction
La direction passe en revue le SMSI : efficacite des mesures, incidents survenus, resultats des audits, ameliorations a apporter. Cette revue est une exigence de la norme.
Etape 10 : Audit de certification
L'audit se deroule en deux phases :
- Phase 1 (revue documentaire) : l'auditeur examine vos documents et evalue si vous etes pret pour la phase 2
- Phase 2 (audit sur site) : verification de la mise en oeuvre effective des mesures, entretiens avec les equipes, examen des preuves
Si l'audit est concluant, le certificat est delivre pour 3 ans, avec des audits de surveillance annuels.
Budget et duree pour une PME
- Duree du projet : 6 a 12 mois selon la maturite existante
- Budget accompagnement : 20 000 a 60 000 EUR (consultant + RSSI externalise)
- Budget audit de certification : 5 000 a 15 000 EUR (selon le perimetre et l'organisme)
- Budget annuel de maintien : 10 000 a 25 000 EUR (audits de surveillance, amelioration continue)
Conseil : Ne sous-estimez pas le temps necessaire. Les PME qui reussissent leur certification du premier coup y consacrent en moyenne 2 a 3 jours par semaine de travail en interne pendant 6 mois.
Se faire accompagner
My Trust Partner accompagne les PME de A a Z dans leur projet de certification ISO 27001 :
- Diagnostic initial et definition du perimetre
- Analyse de risques EBIOS RM
- Redaction de la documentation SMSI
- RSSI externalise pour piloter le projet
- Deploiement des mesures techniques (audit, SOC, EDR)
- Preparation a l'audit et accompagnement le jour J
Lancez votre projet ISO 27001
Nos experts evaluent votre maturite et vous proposent une feuille de route personnalisee vers la certification.
Demander un diagnostic ISO 27001Reponse sous 24h ouvrables — 100% confidentiel