Conformité

ISO 27001 pour SaaS B2B : roadmap 12 mois

Une certification ISO 27001 ouvre des portes commerciales et conforme à NIS2/DORA/AI Act partiellement. Voici la roadmap honnête sur 12 mois pour une scale-up de 30-150 personnes.

Aroua Biri 10 min

ISO/IEC 27001 reste en 2026 la référence internationale en matière de management de la sécurité de l'information. Pour un SaaS B2B européen qui vise des clients enterprise, c'est souvent le différenciant commercial. Pour les organisations soumises à NIS2 ou DORA, c'est aussi l'accélérateur de conformité (70-80% du chemin fait). Voici la roadmap honnête sur 12 mois pour atteindre la certification.

Pourquoi ISO 27001 en 2026

1. Différenciation commerciale

Les acheteurs enterprise européens demandent désormais ISO 27001 dans leurs DDQ comme condition d'achat. Pour un SaaS B2B vendant à des grands comptes EU : c'est devenu non-négociable.

2. Accélérateur de conformité

  • NIS2 : 70-80% du chemin fait grâce au socle ISO 27001.
  • DORA : 70% du chemin pour les SaaS soumis à DORA.
  • AI Act : 50% pour les exigences de sécurité.
  • CRA : 40% pour les exigences sécurité produit.

Investir dans ISO 27001, c'est démultiplier le ROI conformité.

3. Posture sécurité réelle

Bien menée, une démarche ISO 27001 produit une vraie amélioration sécurité. Mal menée, elle produit du papier sans changement opérationnel.

La structure d'ISO 27001:2022

Le système de management (clauses 4-10)

  • Contexte de l'organisation.
  • Leadership.
  • Planification (gestion des risques).
  • Support (ressources, compétences, communication, documentation).
  • Opérations (mise en œuvre).
  • Évaluation des performances (audit interne, revue de direction).
  • Amélioration continue.

L'Annexe A (93 contrôles en 4 thèmes)

  • A.5 Contrôles organisationnels (37 contrôles).
  • A.6 Contrôles humains (8).
  • A.7 Contrôles physiques (14).
  • A.8 Contrôles technologiques (34).

L'Annexe A 2022 a remplacé les 114 contrôles de l'édition 2013 par 93, avec 11 nouveaux contrôles spécifiquement modernes (threat intelligence, cloud security, secure coding, ICT readiness, etc.).

Roadmap 12 mois

Mois 1 — Diagnostic et planification

Activités

  • Diagnostic d'écart (gap analysis) : où en êtes-vous sur les 93 contrôles ?
  • Désignation du sponsor exécutif (DG ou COO).
  • Désignation du responsable ISMS (CTO, RSSI, ou dédié).
  • Pre-budget : 60-150 k€ selon taille et maturité initiale.
  • Choix d'un cabinet d'accompagnement vs. faire en interne.

Livrable

Plan détaillé sur 12 mois avec milestones, responsabilités, charge.

Mois 2-3 — Cadrage et politiques

Activités

  • Définition du périmètre de l'ISMS (Information Security Management System).
  • Politique sécurité maître validée par la direction.
  • Procédure d'analyse des risques.
  • Première analyse des risques sur le périmètre.
  • Statement of Applicability (SoA) : justifier l'inclusion ou exclusion de chaque contrôle Annexe A.

Livrable

Documentation de niveau 1 : politique sécurité, procédure de gestion des risques, SoA.

Mois 4-6 — Mise en place des contrôles techniques et organisationnels

Chantiers prioritaires (typiquement les écarts identifiés au diagnostic) :

  • Identité et accès : SSO, MFA phishing-resistant (passkeys), revue d'accès trimestrielle.
  • Endpoint : EDR généralisé, patch management, MDM mobile.
  • Réseau : segmentation, VPN/ZTNA, pare-feu géo.
  • Sauvegardes : immuables, testées, RTO/RPO mesurés.
  • Logs et SIEM : centralisation, alerting, conservation.
  • Sécurité applicative : SAST, SCA, secret detection (DevSecOps quality gates).
  • Gestion des incidents : runbook, tests de table-top.
  • Sécurité fournisseurs : DDQ, contrats, audit annuel des prestataires critiques.

Livrable

Contrôles opérationnels en place, documentation associée (procédures, runbooks).

Mois 7-9 — Documentation et culture

Activités

  • Procédures détaillées pour chaque contrôle Annexe A applicable.
  • Charte sécurité signée par tous les employés.
  • Formation sécurité initiale + sensibilisation continue.
  • Communications internes régulières.
  • Déploiement d'un outil continuous compliance (Vanta, Drata, Tugboat).

Livrable

Niveau de documentation conforme à un audit ISO 27001.

Mois 10 — Audit interne

Activités

  • Audit interne complet de l'ISMS, idéalement par un consultant externe.
  • Identification des non-conformités (NC).
  • Plan d'action de remédiation.

Livrable

Rapport d'audit interne, plan d'action.

Mois 11 — Remédiation et revue de direction

Activités

  • Closure des NC majeures identifiées.
  • Revue de direction formelle : la direction valide le système.
  • Préparation des éléments pour l'auditeur de certification.

Mois 12 — Audit de certification

Étape 1 (audit documentaire)

  • L'auditeur (BSI, AFNOR Certification, Bureau Veritas, DNV, LRQA, SGS, autres) examine la documentation.
  • Durée : 1-2 jours.
  • Identification de NC potentielles à corriger avant l'étape 2.

Étape 2 (audit sur site)

  • L'auditeur vient sur site (ou en visio depuis 2021), interviewe les équipes, vérifie la mise en œuvre réelle.
  • Durée : 3-5 jours selon taille.
  • Décision de certification.

Livrable

Certificat ISO 27001 valide 3 ans avec audits de surveillance annuels.

Coûts réalistes

Pour une scale-up de 50-150 personnes :

| Poste | Coût | |---|---| | Conseil et accompagnement | 60-120 k€ | | Outillage continuous compliance | 8-25 k€/an | | Audit certification (étape 1 + 2) | 15-30 k€ | | Audits de surveillance annuels (×2) | 8-15 k€/an | | Audit de renouvellement (3 ans) | 15-25 k€ | | Charge interne (1-2 ETP partiels sur 12 mois) | équivalent 100-200 k€ |

Total premier cycle (3 ans) : 200-400 k€ tout compris.

À comparer au ROI commercial : un seul deal grand compte qui passe (ou ne passe pas) couvre généralement plusieurs années.

ISO 27001 vs SOC 2 Type II

Question récurrente. Lecture rapide :

| Critère | ISO 27001 | SOC 2 Type II | |---|---|---| | Origine | International (ISO) | États-Unis (AICPA) | | Reconnaissance | Forte EU/Asie | Forte US/CA | | Cycle | 3 ans (audits surveillance) | Annuel | | Format | Certificat | Rapport | | Coût initial | 80-150 k€ | 50-100 k€ | | Périmètre | Système de management complet | Trust Criteria sélectionnés |

Vendre EU + UK + Asie : ISO 27001 prioritaire. Vendre US + Canada : SOC 2 Type II prioritaire. Vendre les deux : viser les deux. Le coût ajouté pour SOC 2 quand vous êtes ISO 27001 est de 30-40%, pas 100% — la majorité des contrôles sont mutualisables.

Voir SOC 2 Type II : ce que les acheteurs vérifient pour le complément.

Les pièges classiques

"On fait la doc d'abord"

Faux. La documentation doit décrire ce que vous faites réellement. Si vous documentez avant de mettre en place, vous écrivez de la fiction. Les auditeurs détectent immédiatement.

"Le SOA, on coche tout"

Le Statement of Applicability doit justifier l'inclusion ou l'exclusion de chaque contrôle. Cocher tout sans justifier mène à un audit qui pose des questions sur les contrôles que vous n'opérez pas vraiment.

"On peut faire ça en 6 mois"

Possible avec un budget important et une organisation déjà mature. Pour la majorité des SaaS, 12 mois est réaliste. 18 mois est plus confortable.

"L'outil va tout faire"

Vanta/Drata vous aident énormément sur la collecte de preuves et l'instrumentation continue. Mais ils ne définissent ni votre périmètre, ni vos processus, ni vos politiques. Ces décisions restent humaines.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéSOC 2 Type II ConformitéISO 42001 ConformitéNIS2 transposition France

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt