Qu'est-ce que l'ISO 27001 ?

L'ISO/IEC 27001 est la norme internationale de reference pour les Systemes de Management de la Securite de l'Information (SMSI). Publiee par l'ISO et la CEI, elle definit un cadre rigoureux pour proteger les actifs informationnels d'une organisation.

La version actuelle ISO 27001:2022 integre les evolutions technologiques recentes : cloud, teletravail, threat intelligence. Elle compte 93 mesures de securite organisees en 4 themes (organisationnels, humains, physiques, technologiques).

Chiffre cle

Plus de 70 000 organisations sont certifiees ISO 27001 dans le monde. En France, ce nombre a double en 5 ans, porte par les exigences clients et reglementaires.

Pourquoi se Certifier ISO 27001 ?

La certification n'est pas obligatoire, mais elle devient un differenciateur commercial majeur et parfois un prerequis pour travailler avec certains clients.

Avantage commercial

Repondre aux appels d'offres exigeant ISO 27001. Rassurer vos clients B2B sur votre maturite securite.

Conformite facilitee

Alignement avec RGPD, NIS2, DORA. La certification couvre 80% des exigences de ces reglementations.

Reduction des risques

Approche structuree de la gestion des risques cyber. Moins d'incidents, moins de couts.

Assurabilite amelioree

Primes d'assurance cyber reduites. Conditions de couverture optimisees grace a la maturite demontree.

Culture securite

Sensibilisation de tous les collaborateurs. La securite devient l'affaire de chacun.

Amelioration continue

Cadre PDCA (Plan-Do-Check-Act) pour une evolution permanente de votre posture securite.

La certification ISO 27001, un atout strategique

Nos experts vous guident vers la certification ISO 27001 avec une approche pragmatique et adaptee.

Parler a un expert
Securite de l'information et certification ISO 27001

Notre Methodologie d'Accompagnement

Un accompagnement structure en 5 phases pour une certification reussie, adapte a votre contexte et vos ressources.

1

Gap Analysis

2-4 semaines

  • Audit de l'existant vs exigences ISO 27001
  • Cartographie des 93 mesures de l'Annexe A
  • Identification des ecarts et risques
  • Rapport de gap analysis avec priorites
  • Estimation budget et planning
2

Conception du SMSI

4-8 semaines

  • Definition du perimetre de certification
  • Politique de securite (PSSI)
  • Methodologie d'analyse de risques (EBIOS RM)
  • Declaration d'applicabilite (SoA)
  • Plan de traitement des risques
3

Implementation

8-16 semaines

  • Deploiement des mesures de securite
  • Redaction des procedures obligatoires
  • Formation et sensibilisation equipes
  • Mise en place des indicateurs (KPI)
  • Configuration outils (SIEM, EDR...)
4

Audit Interne

2-3 semaines

  • Audit interne complet du SMSI
  • Identification des non-conformites
  • Plan d'actions correctives
  • Revue de direction
  • Preparation audit certification
5

Certification

2-4 semaines

  • Accompagnement choix organisme certificateur
  • Preparation audit Stage 1 (documentaire)
  • Preparation audit Stage 2 (terrain)
  • Support pendant les audits
  • Traitement des remarques

Les 93 Mesures de l'Annexe A

La version 2022 reorganise les mesures en 4 themes au lieu de 14 domaines precedemment.

37 mesures

Organisationnelles

  • Politiques de securite
  • Gestion des actifs
  • Controle d'acces
  • Gestion des fournisseurs
  • Gestion des incidents
  • Continuite d'activite
8 mesures

Humaines

  • Verification des antecedents
  • Sensibilisation securite
  • Responsabilites termination
  • Teletravail
  • Signalement evenements
14 mesures

Physiques

  • Perimetres de securite
  • Controles d'entree
  • Protection equipements
  • Supports amovibles
  • Mise au rebut
34 mesures

Technologiques

  • Authentification
  • Chiffrement
  • Protection malware
  • Gestion vulnerabilites
  • Journalisation
  • Securite reseaux

Nouveautes 2022

11 nouvelles mesures integrees : threat intelligence, securite cloud, filtrage web, codage securise, masquage donnees, prevention fuite donnees (DLP), monitoring, securite configuration...

Pourquoi MTP pour votre Certification ?

Consultants certifies Lead Auditor

Nos experts sont certifies ISO 27001 Lead Auditor et Lead Implementer. Ils ont accompagne plus de 50 certifications.

Approche pragmatique

Pas de sur-documentation inutile. Des mesures adaptees a votre contexte, pas de copier-coller generique.

Integration assurance cyber

Nous valorisons votre certification aupres des assureurs pour obtenir les meilleures conditions de couverture.

Outils et templates

Acces a notre bibliotheque de templates (PSSI, procedures, registres) pour accelerer votre implementation.

Infrastructure IT securisee et gestion des risques

Questions Frequentes ISO 27001

ISO 27001 est la norme internationale de reference pour les systemes de management de la securite de l'information (SMSI). Elle definit les exigences pour etablir, mettre en oeuvre, maintenir et ameliorer continuellement un SMSI au sein d'une organisation.

Le delai typique est de 6 a 18 mois selon la taille de l'organisation, la maturite initiale et le perimetre de certification. Une PME peut viser 6-9 mois avec un accompagnement structure, tandis qu'une grande entreprise necessitera 12-18 mois.

Le cout total inclut l'accompagnement conseil (15 000 a 80 000 euros selon la taille), l'audit de certification par l'organisme accredite (5 000 a 20 000 euros), et les couts internes (temps des equipes, outils). Un budget de 30 000 a 100 000 euros est realiste pour une PME.

ISO 27001 est la norme certifiable qui definit les exigences du SMSI. ISO 27002 est un guide de bonnes pratiques qui detaille les 93 mesures de securite (controles) de l'Annexe A. On se certifie ISO 27001, pas ISO 27002.

La certification n'est pas legalement obligatoire, mais elle devient un prerequis commercial pour les prestataires IT, editeurs SaaS, et sous-traitants de secteurs reglementes. NIS2 et DORA imposent des exigences qui s'alignent sur ISO 27001.