Accueil · Journal · ISO 27001
N° 220 — Article · Niveau RSSI / direction

ISO 27001 — guide complet de la certification cloud-native.

L'ISO 27001 est devenue un standard de fait pour les ventes B2B grands comptes et les levées Série B/C. Cette norme internationale impose un Système de Management de la Sécurité de l'Information (SMSI) couvrant 93 contrôles de l'Annexe A.

Auteur
Thibaud Laurent, associé · cellule FinOps
Publié
5 mars 2026
Lecture
20 minutes
Niveau
RSSI / direction

01 — Qu'est-ce que la norme ISO 27001 ?

L’ISO 27001 est une norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management de la Sécurité de l’Information (SMSI). Publiée par l’ISO en 2005, révisée en 2013 puis en 2022, elle est aujourd’hui à sa version 27001:2022.

Contrairement aux croyances, ISO 27001 n’est pas un document de checklist technique. C’est un cadre de management qui exige une approche par les risques. Les contrôles techniques (chiffrement, MFA, audit logs) sont dans l’Annexe A et sont sélectionnés en fonction de l’analyse des risques propre à l’organisation.

02 — Pourquoi se faire certifier ISO 27001 ?

Trois raisons principales selon les missions de notre cabinet :

  1. Ouverture aux ventes B2B grands comptes — la certification est souvent requise dans les RFP (Carrefour, BNP, Orange, etc.). Multiplication par 2 à 3 du pipeline B2B grands comptes documentée chez nos clients.
  2. Préparation aux levées Série B/C — exigée par certains VCs européens tier-1. Elément différenciant en data room.
  3. Cadre structurant qui réduit le risque cyber. Au-delà du commercial, l’ISO 27001 force la maturité des processes internes.

03 — Les 93 contrôles de l'Annexe A

L’Annexe A de la version 2022 liste 93 contrôles répartis en 4 thèmes :

  • Organizational (37 contrôles) — politiques, procédures, gouvernance
  • People (8 contrôles) — formation, RH, sensibilisation
  • Physical (14 contrôles) — sécurité physique des locaux et matériels
  • Technological (34 contrôles) — chiffrement, contrôle d’accès, logging, audit

Tous les contrôles ne sont pas obligatoires : on choisit ceux applicables via la Statement of Applicability (SoA). C’est ce document qui justifie pourquoi tel contrôle est inclus ou exclu.

04 — Le SMSI : Système de Management de la Sécurité

Le SMSI est le cœur d’ISO 27001. Il comprend :

  • Politique de sécurité — document signé direction
  • Analyse des risques — méthodologie reconnue (EBIOS RM, ISO 27005)
  • Traitement des risques — décisions d’acceptation, transfert, réduction
  • Déclaration d’applicabilité (SoA) — quels contrôles, pourquoi
  • Plan de traitement — séquencement des actions
  • Indicateurs — mesure de l’efficacité
  • Revues de direction — au moins annuelles
  • Audits internes — au moins annuels

05 — Calendrier de certification cloud-native (4 mois)

Notre cabinet certifie en 4 mois grâce à la méthodologie cloud-native. Voici le planning type :

Mois 1 — Analyse écarts + politique

Audit initial vs 93 contrôles, analyse des risques, traitement des risques, rédaction politique sécurité, désignation RSSI / Risk Manager.

Mois 2 — Déploiement contrôles techniques

Contrôles cloud-native : IAM, encryption KMS, MFA, audit logs CloudTrail/Cloud Audit, secrets Vault, network policies Kubernetes.

Mois 3 — Documentation + audit blanc

Finalisation documentation, runbooks, SoA. Audit blanc interne par notre cabinet, identification écarts résiduels, corrections.

Mois 4 — Audit officiel + obtention

Audit officiel par organisme certificateur (Bureau Veritas, AFNOR, LSTI, DEKRA). Accompagnement présence aux interviews. Obtention du certificat valide 3 ans.

06 — Coût d'une certification ISO 27001

Variable selon taille et maturité initiale :

  • Accompagnement cabinet : 50 à 150 K€ HT (4 mois)
  • Audit officiel organisme certificateur : 8 à 25 K€ HT
  • Audits annuels de surveillance : ~30% du coût initial

Total 3 ans typique : 80 à 200 K€ HT pour scale-up 50-200 employés.

07 — ISO 27001 vs SOC 2 : différences clés

  • ISO 27001 = norme internationale certifiable, durée 3 ans
  • SOC 2 = rapport d’audit américain (AICPA), durée 1 an
  • SOC 2 Type I = à un instant T, Type II = sur 6-12 mois

Pour une scale-up B2B Europe : ISO 27001. B2B USA : SOC 2 Type II. International : les deux (mutualisation 30-40% car gros chevauchement).

08 — Approche cloud-native vs traditionnelle

Une certification ISO 27001 cloud-native s’appuie sur les contrôles natifs AWS/GCP plutôt que sur des outils tiers :

  • IAM natif (AWS IAM, GCP IAM) plutôt que solution PAM tierce
  • KMS natif (AWS KMS, GCP Cloud KMS) plutôt que HSM physique
  • Audit logs natifs (CloudTrail, Cloud Audit Logs) plutôt que SIEM dédié
  • Vault HashiCorp ou Secrets Manager natif plutôt que CyberArk

Méthodologie 30% plus rapide et 40% moins coûteuse que l’approche traditionnelle. Toutes les certifications de notre cabinet sont cloud-native.

09 — Questions fréquentes

Quel taux d'obtention sur vos missions ?

100% des certifications obtenues du premier coup. L’audit blanc interne avant l’organisme certificateur identifie tous les écarts résiduels.

Quels organismes certificateurs choisir ?

Bureau Veritas, AFNOR, LSTI, DEKRA. Notre cabinet a accompagné des certifications avec ces 4 organismes. Choix selon votre marché cible.

Compatible avec HDS v2.0 (santé) ?

Oui. Le SMSI ISO 27001 est utilisable comme socle pour la certification HDS v2.0 (obligatoire mai 2026). Mission complémentaire 30-40% moins coûteuse.

Pouvez-vous nous accompagner sur SOC 2 Type II ensuite ?

Oui. Le SMSI couvre 70-80% des exigences SOC 2. Mission complémentaire 6-12 mois. Économie de 30-40% vs partir de zéro.

10 — Pour aller plus loin

N° 221 — Conversation préalable

Discuter de ce sujet avec son auteur. En une heure.

Si cet article résonne avec votre contexte, son auteur peut en discuter avec vous lors de la conversation préalable d'une heure offerte. Pas un appel commercial. Un cadrage technique avec un associé.

Délai de réponse
Sous 24 heures ouvrées
Confidentialité
NDA fourni sur demande
Format
1 h · visio ou présentiel
Interlocuteur
Associé fondateur
Retour en haut