ISO 27001
Norme internationale qui définit les exigences pour mettre en place, exploiter et améliorer en continu un Système de Management de la Sécurité de l'Information (SMSI). La certification est délivrée par un organisme accrédité après audit initial puis audits annuels de surveillance.
Ce qu’est ISO 27001
ISO/IEC 27001 est la norme de référence pour la gestion de la sécurité de l’information. Elle décrit les exigences d’un Système de Management de la Sécurité de l’Information (SMSI) — démarche risque, contrôles techniques et organisationnels, amélioration continue.
La version actuellement utilisée est ISO/IEC 27001:2022, qui a réorganisé l’annexe A (contrôles techniques) en quatre catégories — organisationnelle, humaine, physique, technologique.
Ce que demande la certification
- Politique de sécurité validée par la direction.
- Analyse de risque documentée (souvent via EBIOS ou ISO 27005).
- Déclaration d’applicabilité justifiant les contrôles retenus.
- Mesures techniques et organisationnelles déployées et auditables.
- Indicateurs de performance revus régulièrement.
- Audit interne annuel et revue de direction.
- Audit externe par un organisme accrédité (initial + surveillance).
Durée typique pour se faire certifier
Pour une PME de 50 à 200 collaborateurs partant d’un niveau de maturité moyen, comptez 9 à 12 mois entre démarrage et obtention du certificat. Pour une ETI, 12 à 18 mois. Le coût se répartit entre temps interne, accompagnement externe et audit officiel.
ISO 27001 chez Hexceos
Hexceos est certifié ISO 27001 et ISO 27005 sur l’ensemble de son périmètre, et accompagne ses clients de l’analyse d’écart à la certification. Voir services audit & conformité.
Termes liés
Dernière mise à jour : 19 mai 2026