Pilier · Certification

ISO 27001 — guide complet pour SaaS B2B européens

Certification ISO 27001 (édition 2022) en 2026 : roadmap 12 mois, Annexe A 93 contrôles, audit, articulation avec SOC 2, NIS2, DORA, AI Act. Le guide opérationnel pour décrocher la certification sans noyer l'équipe.

TL;DR — l'essentiel en 5 points

  • ISO/IEC 27001:2022 est la référence internationale du système de management de la sécurité de l'information (ISMS).
  • Annexe A 2022 : 93 contrôles en 4 thèmes (organisationnels, humains, physiques, technologiques), avec 11 nouveaux contrôles vs 2013.
  • Différenciant commercial en 2026 pour vendre à des grands comptes européens et accélérateur de conformité (NIS2, DORA, AI Act, CRA).
  • Roadmap 12 mois réaliste pour une scale-up de 30-150 personnes.
  • Coût total 3 ans : 200-400 k€ tout compris pour une scale-up.

Le contexte 2026

ISO 27001 est en 2026 le standard de fait pour démontrer la maturité sécurité d'une organisation. Plusieurs facteurs convergent :

Demande commerciale. Les acheteurs grands comptes EU demandent ISO 27001 dans leurs DDQ comme condition d'achat. Pour les SaaS B2B vendant en finance, santé, secteur public, défense — c'est devenu non-négociable.

Articulation réglementaire. NIS2, DORA, AI Act, CRA — tous ces règlements exigent un système de management de la sécurité. ISO 27001 fournit ce socle de manière reconnue. Investir dans ISO 27001 démultiplie le ROI conformité.

Maturité du marché. Les outils continuous compliance (Vanta, Drata, Tugboat) ont rendu la certification 30-40% moins coûteuse qu'en 2020. C'est plus accessible que jamais.

La structure d'ISO 27001:2022

Le système de management (clauses 4-10)

  • Contexte de l'organisation, périmètre.
  • Leadership et engagement de la direction.
  • Planification : analyse des risques, plan de traitement.
  • Support : ressources, compétences, sensibilisation, communication, documentation.
  • Opérations : mise en œuvre, gestion des changements.
  • Évaluation : monitoring, audit interne, revue de direction.
  • Amélioration continue.

L'Annexe A — 93 contrôles

L'Annexe A 2022 organise les contrôles en 4 thèmes (vs 14 domaines en 2013) :

  • A.5 Organisationnels (37 contrôles).
  • A.6 Humains (8).
  • A.7 Physiques (14).
  • A.8 Technologiques (34).

ISO 27002:2022 est le guide d'implémentation détaillé qui accompagne. C'est le document à lire en priorité.

Les 11 nouveaux contrôles 2022

Spécifiquement adaptés aux pratiques 2024-2026 :

  1. A.5.7 Threat intelligence : collecte et analyse de threat intel, transformation en actions.
  2. A.5.23 Information security for use of cloud services : politique cloud, DDQ fournisseurs.
  3. A.5.30 ICT readiness for business continuity : plans TIC, tests de bascule.
  4. A.7.4 Physical security monitoring : surveillance physique active.
  5. A.8.9 Configuration management : IaC, baselines, drift detection.
  6. A.8.10 Information deletion : suppression sécurisée et certifiée.
  7. A.8.11 Data masking : anonymisation en environnements non-prod.
  8. A.8.12 Data leakage prevention : DLP email/endpoint, classification.
  9. A.8.16 Monitoring activities : SIEM, alerting, threat hunting.
  10. A.8.23 Web filtering : DNS/proxy filtering.
  11. A.8.28 Secure coding : standards, formation, SAST en CI/CD.

Voir ISO 27001 Annexe A 2022 pour le détail.

Roadmap 12 mois pour une scale-up

Mois 1 — Diagnostic et planification

  • Diagnostic d'écart (gap analysis) sur les 93 contrôles.
  • Désignation du sponsor exécutif (DG, COO).
  • Désignation du responsable ISMS.
  • Pre-budget : 60-150 k€ selon taille et maturité.
  • Choix conseil externe vs interne uniquement.

Mois 2-3 — Cadrage et politiques

  • Définition du périmètre ISMS.
  • Politique sécurité maître signée par la direction.
  • Procédure d'analyse des risques.
  • Première analyse des risques sur le périmètre.
  • Statement of Applicability (SoA) avec justification de chaque contrôle.

Mois 4-6 — Mise en place des contrôles

Chantiers prioritaires (typiquement les écarts identifiés) :

  • Identité et accès : SSO, MFA phishing-resistant (passkeys), revue d'accès trimestrielle.
  • Endpoint : EDR, patch management, MDM mobile.
  • Réseau : segmentation, VPN/ZTNA.
  • Sauvegardes : immuables, testées.
  • Logs et SIEM : centralisation, alerting, conservation.
  • Sécurité applicative : SAST, SCA, secret detection (DevSecOps quality gates).
  • Gestion des incidents : runbook, tests.
  • Sécurité fournisseurs : DDQ, contrats, audit.

Mois 7-9 — Documentation et culture

  • Procédures détaillées par contrôle Annexe A applicable.
  • Charte sécurité signée par tous.
  • Formation initiale + sensibilisation continue.
  • Outil continuous compliance (Vanta, Drata, etc.).

Mois 10 — Audit interne

  • Audit complet de l'ISMS.
  • Identification des non-conformités.
  • Plan de remédiation.

Mois 11 — Remédiation et revue de direction

  • Closure des NC majeures.
  • Revue de direction formelle.
  • Préparation des éléments pour l'audit.

Mois 12 — Audit de certification

  • Étape 1 : audit documentaire (1-2 jours).
  • Étape 2 : audit sur site (3-5 jours).
  • Décision de certification.

Voir ISO 27001 SaaS B2B roadmap pour les détails.

Ce que vérifient vraiment les auditeurs

Stage 1 — documentaire

  • Politique sécurité signée et récente (<12 mois).
  • Procédures alignées avec les pratiques réelles.
  • Statement of Applicability cohérent.
  • Analyse des risques opérationnelle.
  • Plan de traitement avec propriétaires et délais.

Stage 2 — sur site

Méthode interview + preuves :

  • Direction : engagement, sponsoring, allocation de ressources.
  • Responsable ISMS : vue d'ensemble.
  • Opérateurs : application au quotidien.
  • Échantillon d'employés : sensibilisation.

Pour chaque contrôle, l'auditeur demande l'évidence concrète (ticket, log, dossier, capture). Voir ISO 27001 audit.

ISO 27001 vs SOC 2 Type II

| Critère | ISO 27001 | SOC 2 Type II | |---|---|---| | Origine | International (ISO) | États-Unis (AICPA) | | Reconnaissance | Forte EU/Asie | Forte US/CA | | Cycle | 3 ans avec audits surveillance | Annuel | | Format | Certificat | Rapport | | Coût initial | 80-150 k€ | 50-100 k€ | | Périmètre | Système management complet | Trust Criteria sélectionnés |

Pour un éditeur visant US + EU : viser les deux. Mutualisation possible de 60-70%. Voir SOC 2 Type II.

Articulation avec les règlements européens

ISO 27001 fait :

  • 70-80% du chemin NIS2 : la majorité des mesures article 21 sont couvertes par l'Annexe A.
  • 70% du chemin DORA : exigences sur gouvernance, gestion incidents, prestataires.
  • 50% du chemin AI Act : pour la partie sécurité des systèmes IA. ISO 42001 vient compléter.
  • 40-50% du chemin CRA : socle sécurité, mais CRA exige des spécificités produit (SBOM, VDP, signature).

Le bon ordre 2026 : ISO 27001 d'abord comme socle, puis adressage des spécificités sectorielles.

Coût total réaliste

Pour une scale-up de 50-150 personnes :

| Poste | Coût | |---|---| | Conseil et accompagnement (12 mois) | 60-120 k€ | | Outillage continuous compliance | 8-25 k€/an | | Audit certification initial | 15-30 k€ | | Audits de surveillance annuels (×2 sur 3 ans) | 16-30 k€ | | Audit de renouvellement (an 3) | 15-25 k€ | | Charge interne (1-2 ETP partiels sur 12 mois) | 100-200 k€ équivalent |

Total premier cycle (3 ans) : 200-400 k€ tout compris.

ROI commercial : 1 deal grand compte couvre généralement plusieurs années.

Les pièges en mission

Documentation décorrélée des pratiques

La politique dit "MFA partout", l'audit révèle 10% de comptes sans MFA. La cause : politique copiée-collée d'un template sans adaptation à la réalité opérationnelle.

"On fait la doc d'abord"

La documentation doit décrire ce que vous faites réellement. Documenter avant de mettre en place produit de la fiction. Auditeurs détectent immédiatement.

Statement of Applicability "tout coché"

Cocher tous les contrôles sans justifier mène à un audit qui pose des questions sur ceux que vous ne maîtrisez pas. Justifier inclusion ET exclusion de chaque contrôle.

Trop de cabinets impliqués

Cabinet conseil + cabinet outils + cabinet audit + cabinet juridique. Résultat : recommandations contradictoires, équipe perdue. Un partenaire principal qui orchestre.

Articles de référence sur ce sujet

ISO 27001 ISO 27001 pour SaaS B2B : roadmap 12 mois ISO 27001 ISO 27001 Annexe A 2022 : ce que les nouveaux contrôles changent ISO 27001 ISO 27001 audit : ce que les auditeurs vérifient vraiment ISO 27001 SOC 2 Type II : ce que vos clients enterprise vont vraiment auditer ISO 27001 ISO 42001 : la première norme de management de l'IA ISO 27001 NIS2 : transposition française, qui est concerné ISO 27001 DORA : ce que les éditeurs SaaS financiers doivent préparer ISO 27001 DevSecOps en CI/CD : quality gates qui bloquent vraiment
FAQ · ISO 27001

Questions fréquentes.

Pourquoi ISO 27001 en 2026 ?

ISO 27001 reste la référence internationale pour la certification de sécurité de l'information. En 2026, c'est devenu un différenciant commercial obligatoire pour vendre à des grands comptes européens, et un accélérateur de conformité (NIS2 : 70-80% du chemin fait, DORA : 70%, AI Act : 50%, CRA : 40%).

Quelle est la différence entre ISO 27001 et SOC 2 Type II ?

ISO 27001 est une certification internationale (3 ans avec audits annuels). SOC 2 Type II est un rapport AICPA américain (annuel). ISO 27001 est privilégiée en EU, Asie, gouvernement. SOC 2 est privilégiée en US, Canada, SaaS B2B. Pour un éditeur visant les deux marchés : viser les deux, mutualisation 60-70%.

Combien de temps prend une certification ISO 27001 ?

12 à 18 mois entre la décision et le certificat pour une scale-up de 30-150 personnes. Diagnostic et planification : 1-2 mois. Mise en place : 6-9 mois. Période de fonctionnement : 3-6 mois. Audit étape 1 puis étape 2 : 2-3 mois.

Combien coûte une certification ISO 27001 ?

Pour une scale-up de 50-150 personnes : conseil et accompagnement 60-120 k€, outillage continuous compliance 8-25 k€/an (Drata, Vanta), audit certification initial 15-30 k€, audits de surveillance annuels 8-15 k€/an, audit de renouvellement (3 ans) 15-25 k€. Coût total premier cycle (3 ans) : 200-400 k€ tout compris.

Qu'est-ce que l'Annexe A 2022 d'ISO 27001 ?

L'Annexe A 2022 a remplacé les 114 contrôles de l'édition 2013 par 93 contrôles répartis en 4 thèmes : organisationnels (37), humains (8), physiques (14), technologiques (34). 11 nouveaux contrôles : threat intelligence, cloud security, ICT readiness for BC, physical security monitoring, configuration management, information deletion, data masking, DLP, monitoring activities, web filtering, secure coding.

Que vérifient les auditeurs ISO 27001 en stage 2 ?

Méthode interview + preuves. Pour chaque contrôle : politique documentée, procédure opérationnelle, preuve d'application réelle (logs, tickets, captures, dossiers d'incidents traités). Auditeurs interviewent direction, responsable ISMS, opérateurs, échantillon d'employés. Vérifient l'écart entre dit et fait.

Faut-il un outil de continuous compliance comme Vanta ou Drata ?

Recommandé fortement à partir de 30-50 personnes. Vanta, Drata, Tugboat Logic, Secureframe automatisent la collecte de preuves (intégration cloud, IdP, repos), permettent un dashboard temps réel des contrôles, et génèrent les rapports demandés par les auditeurs. ROI rapide vs. la collecte manuelle qui prend 1-2 ETP.

ISO 27001 vous prépare-t-elle à NIS2, DORA, CRA, AI Act ?

Largement. ISO 27001 fait 70-80% du chemin NIS2, 70% pour DORA, 40-50% pour CRA et AI Act. C'est l'investissement avec le meilleur ROI conformité. Le bon ordre : ISO 27001 d'abord (socle), puis adressage des spécificités sectorielles.

Un sujet iso 27001 chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly