Qu’est-ce que ISO 27001 ?
ISO 27001 est une norme publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de la sécurité de l’information — le SMSI.
Le SMSI n’est pas un logiciel. C’est un cadre de gestion qui couvre les politiques, les processus, les responsabilités et les contrôles techniques qu’une organisation met en place pour protéger ses informations. La norme adopte une approche basée sur les risques : au lieu de prescrire une liste fixe de mesures, elle demande à chaque organisation d’identifier ses propres risques et de choisir les contrôles adaptés.
Le cycle Plan-Do-Check-Act
ISO 27001 s’appuie sur le cycle PDCA, un modèle d’amélioration continue :
- Plan : identifier les risques, définir la politique de sécurité, sélectionner les contrôles
- Do : mettre en œuvre les contrôles, former le personnel, appliquer les processus
- Check : auditer, mesurer l’efficacité des contrôles, analyser les incidents
- Act : corriger les non-conformités, ajuster les contrôles, améliorer le système
Ce cycle impose une logique de progression : chaque audit interne révèle des écarts, chaque écart génère une action corrective, et le SMSI s’améliore d’un cycle à l’autre.
La version 2022
La version actuelle, ISO/IEC 27001:2022, a restructuré les contrôles de l’annexe A. Les 114 contrôles de la version 2013 ont été réorganisés en 93 contrôles répartis en quatre thèmes : organisationnels, liés aux personnes, physiques et technologiques. Onze contrôles nouveaux ont été ajoutés, dont plusieurs concernent directement la veille sur les menaces et la sensibilisation.
La clause 7.3 : sensibilisation obligatoire
La clause 7.3 d’ISO 27001 porte sur la « sensibilisation » (awareness). Elle exige que les personnes effectuant un travail sous le contrôle de l’organisation soient sensibilisées à trois éléments :
- La politique de sécurité de l’information — les collaborateurs doivent connaître la politique et comprendre ce qu’elle attend d’eux
- Leur contribution à l’efficacité du SMSI — chaque employé doit comprendre comment ses actions quotidiennes affectent la sécurité de l’organisation
- Les conséquences du non-respect — les implications d’un manquement aux exigences du SMSI doivent être communiquées
Ce que la clause 7.3 signifie concrètement
La clause ne demande pas un e-learning annuel coché et oublié. Elle demande une sensibilisation vérifiable et continue. L’auditeur posera des questions aux employés lors de l’audit de stage 2 pour évaluer si la sensibilisation a réellement eu lieu.
Le phishing est le vecteur d’attaque le plus fréquent contre les PME. Former les collaborateurs à reconnaître un email de phishing, à signaler une tentative suspecte et à comprendre les conséquences d’un clic sur un lien malveillant couvre les trois exigences de la clause 7.3 simultanément :
- Ils connaissent la politique (ne pas cliquer sur des liens suspects, signaler les emails douteux)
- Ils comprennent leur contribution (un signalement rapide permet de bloquer une campagne avant qu’elle n’atteigne d’autres collègues)
- Ils connaissent les conséquences (un clic peut mener à un ransomware, une fuite de données, une violation RGPD)
L’annexe A et les contrôles pertinents
L’annexe A d’ISO 27001:2022 liste les contrôles de sécurité que l’organisation peut sélectionner en fonction de son analyse de risques. Trois contrôles sont directement liés à la sensibilisation anti-phishing.
A.6.3 — Sensibilisation, éducation et formation à la sécurité de l’information
Ce contrôle exige que le personnel de l’organisation et les parties intéressées reçoivent une sensibilisation, une éducation et une formation appropriées en matière de sécurité de l’information, et des mises à jour régulières de la politique de sécurité et des procédures applicables à leur fonction.
En pratique : des campagnes de simulation de phishing régulières, des micro-formations contextuelles après un clic sur un email simulé, et un suivi individuel de la progression de chaque collaborateur.
A.5.7 — Veille sur les menaces (Threat Intelligence)
Ce contrôle demande à l’organisation de collecter et analyser des informations sur les menaces de sécurité. Pour une PME, cela signifie surveiller les types de phishing qui ciblent son secteur, les campagnes en cours signalées par l’ANSSI ou le CERT-FR, et adapter les scénarios de simulation en conséquence.
A.8.7 — Protection contre les programmes malveillants
Ce contrôle couvre la protection contre les malwares et exige une combinaison de mesures techniques et de sensibilisation des utilisateurs. Les simulations de phishing avec des pièces jointes simulées (macros désactivées, fichiers exécutables déguisés) testent directement la capacité des collaborateurs à éviter les vecteurs d’infection par malware.
ISO 27001 vs SOC 2
Les entreprises qui travaillent avec des clients internationaux, en particulier dans le secteur tech et SaaS, se posent souvent la question : ISO 27001 ou SOC 2 ? Les deux cadres couvrent la sécurité de l’information, mais avec des approches différentes.
| Critère | ISO 27001 | SOC 2 |
|---|---|---|
| Origine | ISO/IEC (international) | AICPA (États-Unis) |
| Type | Norme avec certification formelle | Cadre d’audit avec rapport d’attestation |
| Validité | 3 ans (avec audits de surveillance annuels) | Rapport annuel (Type II couvre 6-12 mois) |
| Périmètre | SMSI complet — politiques, risques, contrôles | Cinq Trust Services Criteria (sécurité, disponibilité, intégrité, confidentialité, vie privée) |
| Reconnaissance | Mondiale, forte en Europe et en Asie | Principalement Amérique du Nord |
| Auditeur | Organisme de certification accrédité | Cabinet CPA indépendant |
| Sensibilisation requise | Oui — clause 7.3 et contrôle A.6.3 | Oui — critère CC1.4 (awareness) |
Quelle certification choisir ?
Pour une PME française : ISO 27001 est le choix par défaut. La norme est reconnue par les régulateurs européens, elle s’articule avec NIS2 et DORA, et les clients européens la demandent systématiquement dans les appels d’offres.
SOC 2 devient pertinent si vos clients sont américains ou si vous vendez un produit SaaS sur le marché nord-américain. Certaines entreprises obtiennent les deux.
Dans les deux cas, un programme de sensibilisation au phishing documenté et mesurable satisfait les exigences de chaque cadre.
Certification ISO 27001 pour une PME
Les étapes du processus
1. Analyse des écarts (gap analysis) — Un consultant ou une équipe interne évalue l’état actuel de la sécurité par rapport aux exigences d’ISO 27001. Cette étape produit un plan de remédiation avec les actions à mener avant l’audit.
2. Mise en place du SMSI — Rédaction de la politique de sécurité, réalisation de l’analyse de risques, sélection des contrôles de l’annexe A, mise en œuvre des mesures techniques et organisationnelles, démarrage du programme de sensibilisation.
3. Audit interne — Avant de passer l’audit de certification, l’organisation réalise un audit interne pour vérifier que le SMSI fonctionne et identifier les dernières non-conformités. L’audit interne ISO 27001 couvre l’ensemble du périmètre : documentation, processus, preuves de mise en œuvre.
4. Audit de certification — Stage 1 — L’organisme de certification (Bureau Veritas, BSI, AFNOR Certification, SGS) examine la documentation du SMSI : politique de sécurité, analyse de risques, déclaration d’applicabilité (SoA), procédures, registres de formation. Si la documentation est conforme, le stage 2 est planifié.
5. Audit de certification — Stage 2 — L’auditeur vérifie que le SMSI est effectivement mis en œuvre. Il interroge les employés, examine les preuves (logs, rapports de simulation, registres de formation, comptes rendus de revue de direction) et observe les processus en fonctionnement. C’est à ce stade que la sensibilisation est testée concrètement.
6. Audits de surveillance — Après la certification (valide 3 ans), des audits de surveillance ont lieu chaque année pour vérifier que le SMSI continue de fonctionner et de s’améliorer.
Coûts et délai pour une PME
| Poste | Fourchette (PME 20-100 salariés) |
|---|---|
| Consultant accompagnement | 8 000 - 25 000 € |
| Outils (gestion des risques, sensibilisation, documentation) | 2 000 - 10 000 €/an |
| Audit de certification (stage 1 + stage 2) | 5 000 - 15 000 € |
| Audits de surveillance annuels | 3 000 - 8 000 €/an |
| Total première année | 15 000 - 50 000 € |
Le délai moyen pour une PME sans SMSI existant est de 6 à 18 mois entre le lancement du projet et l’obtention du certificat. Les entreprises qui disposent déjà de politiques de sécurité formalisées et d’outils en place (antivirus, MFA, sauvegardes) réduisent ce délai.
Prouver la sensibilisation lors de l’audit
L’audit de stage 2 est le moment où l’auditeur vérifie que la sensibilisation n’existe pas que sur le papier. Voici ce qu’il cherche.
Les preuves attendues par l’auditeur
Registres de formation — Pour chaque collaborateur : date de la formation, contenu abordé, signature ou confirmation de participation. Les plateformes de formation en ligne qui horodatent automatiquement la complétion des modules produisent cette preuve sans effort administratif.
Résultats des simulations de phishing — Les auditeurs considèrent les campagnes de simulation comme une preuve directe que la sensibilisation est testée en conditions réelles. Les métriques attendues :
- Taux de clic par campagne (et sa progression dans le temps)
- Taux de signalement des emails suspects
- Couverture : pourcentage des collaborateurs inclus dans les simulations
Indicateurs d’amélioration — ISO 27001 repose sur l’amélioration continue. L’auditeur vérifie que les résultats progressent entre les périodes. Un taux de clic qui passe de 35 % à 12 % sur six campagnes démontre que le programme fonctionne. Un taux stagnant à 30 % signale un problème.
Intégration des nouveaux arrivants — La preuve que chaque nouvel employé reçoit une sensibilisation à la sécurité dès son arrivée (onboarding). Un processus documenté avec une date de complétion pour chaque recrue.
Revue de direction — Le compte rendu de revue de direction doit mentionner les résultats du programme de sensibilisation et les décisions prises pour l’améliorer. L’auditeur vérifie que la direction est informée et impliquée.
Les erreurs qui mènent à une non-conformité
- Aucune preuve de sensibilisation pour les 6 derniers mois
- Des employés interrogés qui ne connaissent pas la politique de sécurité
- Un programme de formation sans suivi de complétion (impossible de prouver qui a été formé)
- Pas de mesure d’efficacité — la formation existe mais personne ne sait si elle produit des résultats
Se préparer à ISO 27001 avec nophi.sh
Les simulations de phishing et la formation contextuelle couvrent directement les exigences de la clause 7.3 et des contrôles A.6.3, A.5.7 et A.8.7 de l’annexe A.
Clause 7.3 — Sensibilisation vérifiable
Chaque campagne de simulation produit un rapport daté avec les résultats par collaborateur : qui a cliqué, qui a signalé, qui a suivi le module de formation contextuel après un clic. Ces rapports constituent la preuve de sensibilisation que l’auditeur attend.
Contrôle A.6.3 — Formation continue
Les campagnes régulières (mensuelles ou trimestrielles) démontrent que la sensibilisation n’est pas un événement ponctuel mais un processus continu. Les scénarios adaptés au secteur et au niveau de maturité des équipes répondent à l’exigence de formation « appropriée à la fonction ».
Contrôle A.5.7 — Veille sur les menaces
Les scénarios de simulation sont basés sur les menaces réelles observées : spear-phishing, BEC, vishing, quishing. Cette approche démontre que l’organisation surveille les menaces actuelles et adapte sa sensibilisation en conséquence.
Documentation prête pour l’audit
Les rapports exportables contiennent les données dont l’auditeur a besoin : taux de clic par campagne, évolution dans le temps, couverture des effectifs, résultats par département, complétion des formations post-simulation. Plus besoin de compiler manuellement des tableurs — les preuves sont générées automatiquement.
Pour les entreprises soumises à NIS2 ou DORA, ces mêmes rapports servent également à démontrer la conformité aux exigences de sensibilisation de ces réglementations. Consultez notre page conformité pour le détail.
Vérifiez la configuration de sécurité de votre domaine email avant de lancer votre projet ISO 27001 — un DMARC mal configuré est une non-conformité facile à éviter. Testez avec notre vérificateur de sécurité email.
Questions fréquentes
Qu'est-ce que la norme ISO 27001 ?
ISO 27001 est la norme internationale publiée par l'ISO (Organisation internationale de normalisation) qui spécifie les exigences d'un système de management de la sécurité de l'information (SMSI). Elle définit comment une organisation doit identifier ses risques informationnels, mettre en place des contrôles de sécurité adaptés, et vérifier leur efficacité dans le temps. La version actuelle est ISO/IEC 27001:2022.
La clause 7.3 d'ISO 27001 impose-t-elle la sensibilisation au phishing ?
La clause 7.3 exige que toutes les personnes travaillant sous le contrôle de l'organisation soient sensibilisées à la politique de sécurité, à leur contribution à l'efficacité du SMSI, et aux conséquences du non-respect des exigences. Le phishing étant le premier vecteur d'attaque, la sensibilisation anti-phishing répond directement à ces trois exigences. Les auditeurs attendent des preuves concrètes de cette sensibilisation.
Combien coûte la certification ISO 27001 pour une PME ?
Pour une PME de 20 à 100 salariés, le budget total se situe entre 15 000 et 50 000 euros. Cela comprend l'accompagnement par un consultant (8 000-25 000 euros), les audits de certification par un organisme accrédité (5 000-15 000 euros), et les outils nécessaires (gestion des risques, sensibilisation, documentation). Le délai moyen est de 6 à 18 mois selon la maturité existante.
Quelle est la différence entre ISO 27001 et SOC 2 ?
ISO 27001 est une norme internationale avec certification formelle délivrée par un organisme accrédité. SOC 2 est un cadre d'audit américain de l'AICPA qui produit un rapport d'attestation (pas une certification). ISO 27001 est reconnu en Europe et à l'international. SOC 2 est demandé principalement par les clients américains. Les deux exigent des programmes de sensibilisation du personnel.
Comment prouver la sensibilisation lors d'un audit ISO 27001 ?
L'auditeur vérifie quatre éléments : les registres de formation signés ou horodatés, les résultats des campagnes de simulation de phishing (taux de clic, progression), les preuves que les nouveaux arrivants sont formés dès leur intégration, et les indicateurs d'amélioration sur plusieurs périodes. Les rapports de simulation de phishing constituent une preuve directe de conformité à la clause 7.3.