ISO 27001 & SMSI Mis à jour : Juin 2026

Un Système de Management de la Sécurité de l'Information (SMSI) est un ensemble de politiques, processus et contrôles gérés de manière cohérente pour protéger les informations. Il suit le cycle PDCA (Plan-Do-Check-Act). ISO 27001 est la norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un SMSI.

La version 2022 restructure la norme en 11 clauses (4 à 10 sont les exigences, 1-3 sont introductives) et 4 thèmes de contrôles : Organisationnels (37 contrôles), Personnes (8 contrôles), Physiques (14 contrôles), Technologiques (34 contrôles). Total : 93 contrôles (contre 114 en 2013). Nouveaux contrôles : threat intelligence, cloud, DevSecOps.

ISO 27002 est le guide de bonnes pratiques pour implémenter les contrôles ISO 27001. Chaque contrôle a : un titre, un attribut (préventif/détectif/correctif), un objectif, des recommandations d'implémentation. Tous ne sont pas obligatoires : la déclaration d'applicabilité (SOA) documente les contrôles retenus et les justifications d'exclusion.

Étapes : (1) Périmètre (quelles activités, entités), (2) Analyse des risques, (3) Plan de traitement, (4) Implémentation des contrôles, (5) Audit interne, (6) Revue de direction, (7) Audit de certification (stage 1 : documentation, stage 2 : terrain). Durée : 12-24 mois pour une PME. Coût : 15 000-50 000€.

Après certification : audits de surveillance annuels (vérifier le maintien), renouvellement tous les 3 ans (audit complet). Les non-conformités majeures suspendent la certification. Les non-conformités mineures doivent être corrigées avant l'audit suivant. Maintenir un programme d'audits internes annuels.

Une PME n'a pas besoin de certifier d'emblée. Approche progressive : (1) Utiliser ISO 27001 comme référentiel sans viser la certification, (2) Implémenter les contrôles IG1 des CIS (compatibles), (3) Viser la certification si clients/partenaires l'exigent. Focus sur les 20% de contrôles qui couvrent 80% des risques.