Conformité

ISO 42001 vs ISO 27001 : différences, articulation, plan d'attaque

ISO 42001 est-elle un substitut, un complément ou un doublon d'ISO 27001 ? Réponse pratique pour les organisations qui doivent décider en 2026 où investir leur effort de certification.

9 min

ISO/IEC 42001:2023 est sortie en décembre 2023. Première norme internationale de management dédiée à l'IA, elle remplit un vide réel dans le paysage normatif. Du coup, beaucoup d'organisations se demandent : faut-il faire 42001 en plus ? À la place ? Avant ? Après ISO 27001 ?

Réponse pratique selon trois profils typiques.

Ce que chaque norme couvre

ISO/IEC 27001:2022 est la norme historique du management de la sécurité de l'information. Elle définit les exigences d'un Information Security Management System (ISMS), avec 93 contrôles dans l'Annexe A 2022 répartis en 4 thèmes (Organizational, People, Physical, Technological). Certificat valable 3 ans avec audits annuels.

ISO/IEC 42001:2023 est la norme du management de l'IA. Elle définit un Artificial Intelligence Management System (AIMS), avec des contrôles spécifiques aux systèmes IA dans son Annexe A. Calquée sur la structure ISO 27001 (Annex SL — clauses 4 à 10 communes), elle est conçue pour s'intégrer dans un ISMS existant.

Différence fondamentale : ISO 27001 protège l'information dans l'organisation. ISO 42001 gouverne le cycle de vie des systèmes IA développés ou déployés par l'organisation. Pas le même périmètre, pas le même angle.

Les zones de recouvrement

Sur les clauses 4 à 10 (le squelette de toute norme ISO Annex SL), les deux normes partagent à peu près 60-70% du contenu :

  • Clause 4 — Contexte de l'organisation, parties intéressées, périmètre.
  • Clause 5 — Leadership, politique, rôles.
  • Clause 6 — Planification, gestion du risque, objectifs.
  • Clause 7 — Support, ressources, compétences, communication, documentation.
  • Clause 8 — Opérations.
  • Clause 9 — Évaluation des performances, audit interne, revue de direction.
  • Clause 10 — Amélioration, non-conformités.

Pour une organisation déjà certifiée ISO 27001, ces clauses sont déjà documentées et opérationnelles. Du coup, l'ajout d'ISO 42001 réutilise 60-70% de l'existant. C'est une efficience structurelle voulue par l'ISO.

Les zones spécifiques à 42001

Ce que 42001 ajoute par rapport à 27001 :

  • Analyse d'impact IA (AI Impact Assessment) — analogue à un PIA RGPD mais sur les enjeux IA (équité, transparence, sûreté).
  • Cycle de vie des systèmes IA — gouvernance de la conception, développement, déploiement, surveillance, retrait des modèles.
  • Gouvernance des données d'entraînement — qualité, lineage, biais, droit d'auteur, licences.
  • Transparence pour les utilisateurs — information sur la nature IA, capacités, limites.
  • Surveillance humaine — mécanismes de contrôle humain, possibilité d'intervention.
  • Tests adversariaux — robustesse, prompt injection, jailbreak (en miroir de l'AI Act Article 15).

Pour les organisations qui développent ou déploient des systèmes IA en production, c'est précisément ce qui manque dans 27001.

Trois profils, trois recommandations

Profil 1 : SaaS B2B classique sans IA centrale

Vous utilisez peut-être ChatGPT en interne, Copilot pour le code, mais l'IA n'est pas centrale dans votre produit. Recommandation : ISO 27001 seule.

ISO 42001 serait surdimensionnée et difficile à justifier en audit (peu de systèmes IA à gouverner). Une politique IA interne et des contrôles ISO 27001 sur l'usage IA professionnel suffisent.

Profil 2 : SaaS B2B avec IA en production (LLM, RAG, agents)

Votre produit intègre un ou plusieurs LLM, agents, ou architectures IA. Recommandation : ISO 27001 + ISO 42001 en deux temps.

Séquence type :

  • Mois 0-12 : ISO 27001 d'abord. Foundation ISMS solide, certification.
  • Mois 12-18 : ISO 42001 en intégration sur l'ISMS existant. Effort additionnel : 30-60 K€ (vs 80-150 K€ en partant de zéro).

L'inverse (42001 d'abord) est techniquement possible mais commercialement moins efficient — peu de clients enterprise demandent 42001 sans 27001 préalable.

Profil 3 : Fournisseur ou déployeur de système IA haut risque (AI Act Annexe III)

Vous êtes dans un cas d'usage Annexe III (recrutement, scoring crédit, biométrie, infrastructures critiques, justice, éducation, services publics). Recommandation : ISO 27001 + ISO 42001 prioritaires, démarrage simultané ou très rapproché.

Justification : ISO 42001 est explicitement reconnue par l'AI Act comme moyen de présomption de conformité partielle pour le système qualité (Article 17) et la gestion du risque (Article 9). Un système haut risque doit démontrer sa conformité au 2 août 2026. ISO 42001 facilite drastiquement cette démonstration.

Effort total : 100-180 K€ sur 18 mois pour les deux certifications + alignement AI Act.

Erreur classique à éviter

Beaucoup d'organisations en 2025-2026 se sont précipitées sur ISO 42001 sans avoir ISO 27001. Du coup, deux problèmes :

  1. Audit certificateur difficile : l'auditeur 42001 trouve des manques sur les clauses 4-10 (qui sont aussi des prérequis 27001). Les findings sont nombreux.
  2. Crédibilité commerciale réduite : un client enterprise voit "ISO 42001" mais pas "ISO 27001" et se demande pourquoi. C'est un signal contre-productif.

Recommandation : ne pas faire 42001 sans 27001, sauf cas très particulier (AI-only company sans données client classiques).

Le calendrier 2026

Si vous démarrez aujourd'hui :

  • ISO 27001 seule : certification atteignable en 9-12 mois.
  • ISO 27001 + 42001 sur 18 mois : double certification atteignable.
  • AI Act haut risque : application 2 août 2026 — sans 42001, charge de conformité plus lourde mais pas bloquante.

Pour les organisations qui démarrent en 2026 et qui ont des ambitions clients enterprise + IA centrale, le bundle 27001 + 42001 sur 18 mois est l'investissement le plus efficient.

Le coût d'opportunité de l'attentisme augmente vite à mesure que les concurrents certifiés deviennent visibles.

Questions fréquentes

Faut-il faire ISO 42001 avant ou après ISO 27001 ?

Recommandation forte : ISO 27001 d'abord, puis ISO 42001. ISO 42001 réutilise 60-70% des clauses ISO 27001 (Annex SL clauses 4-10). Faire 42001 sans 27001 produit des audits certificateurs difficiles et une crédibilité commerciale réduite (un client enterprise voit '42001 sans 27001' comme un signal contre-productif).

Combien coûte ISO 42001 si on a déjà ISO 27001 ?

Pour une organisation déjà certifiée ISO 27001 : 30-60 K€ d'effort additionnel sur 6-9 mois (consulting, audit certificateur, temps interne). En partant de zéro : 80-150 K€ sur 9-12 mois. Bundle ISO 27001 + 42001 sur 18 mois économise 30-40% vs deux démarches séparées.

ISO 42001 dispense-t-elle de l'AI Act ?

Non, mais elle facilite considérablement la conformité. ISO 42001 est explicitement reconnue par l'AI Act comme moyen de présomption de conformité partielle pour le système qualité (Article 17) et la gestion du risque (Article 9). Une organisation certifiée 42001 a déjà 30-50% du chemin pour la conformité AI Act système haut risque.

Mon SaaS sans IA centrale doit-il faire ISO 42001 ?

Probablement non. Si vous utilisez ChatGPT en interne ou Copilot pour le code mais que l'IA n'est pas centrale dans votre produit, ISO 42001 serait surdimensionnée. Une politique IA interne et des contrôles ISO 27001 sur l'usage IA professionnel suffisent. ISO 42001 devient pertinente quand l'IA est dans votre produit en production.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéISO 42001 : norme management de l'IA ConformitéISO 27001 SaaS B2B : roadmap ConformitéAI Act haut risque

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt