PK
PK InfoSec
Retour au blog
ISO 27001Conformité

ISO 27001 : faut-il se certifier ou simplement s'aligner ?

PK
Patient Kotto
··6 min de lecture

ISO 27001 est devenu le standard de référence mondial pour la sécurité de l'information. Mais la question que posent la plupart des DSI et RSSI n'est pas "faut-il le faire ?" — c'est "jusqu'où aller ?".

La différence fondamentale

S'aligner signifie adopter le cadre des 93 contrôles de l'Annexe A, mettre en place un SMSI (Système de Management de la Sécurité de l'Information) et documenter vos pratiques — sans faire appel à un organisme de certification accrédité.

Se certifier signifie faire auditer votre SMSI par un organisme tiers (Bureau Veritas, SGS, BSI…) qui délivre un certificat valide 3 ans, avec des audits de surveillance annuels.

Les avantages de chaque approche

L'alignement sans certification

  • Coût : 15 000 à 50 000 € (accompagnement + temps interne) vs 80 000 à 200 000€ pour la certification
  • Délai : 6 à 12 mois vs 12 à 24 mois
  • Flexibilité : vous adaptez le SMSI à votre contexte sans contrainte d'auditeur externe
  • Suffisant pour la plupart des obligations NIS2 et RGPD

La certification

  • Preuve tierce indépendante — indispensable pour certains appels d'offres publics ou clients grands comptes
  • Différenciation commerciale réelle (notamment export, secteur financier, défense)
  • Signal fort pour les assureurs cyber (impact positif sur les primes)
  • Obligation contractuelle pour certains secteurs (NIS2 Annex I, certains clients bancaires)

Quand choisir la certification

La certification s'impose clairement dans ces situations :

  • Vous répondez à des appels d'offres qui l'exigent explicitement
  • Vous traitez des données de santé, données financières ou données classifiées
  • Vous êtes fournisseur d'un grand compte qui la requiert contractuellement
  • Vous préparez une levée de fonds internationale ou un exit vers un acheteur anglo-saxon

Quand l'alignement suffit

Pour la majorité des PME et ETI françaises, l'alignement ISO 27001 sans certification couvre :

  • Les obligations NIS2 (Article 21 ne mentionne pas la certification, seulement l'adoption de mesures appropriées)
  • Les exigences RGPD (sécurité des données personnelles)
  • Les questionnaires fournisseurs de clients grands comptes (80% des questionnaires acceptent un alignement documenté)
  • Le dialogue avec votre assureur cyber

L'approche pragmatique

La stratégie que je recommande le plus souvent : s'aligner d'abord, certifier ensuite si le besoin commercial se confirme. Un SMSI bien construit est directement certifiable — l'alignement n'est pas du travail perdu, c'est la fondation.

Comptez 6 à 12 mois pour un alignement solide, puis 6 à 12 mois supplémentaires pour la certification si l'opportunité se présente.

Avant de vous lancer, une question simple : un de vos 3 plus gros clients ou prospects vous demande-t-il ISO 27001 certifié ? Si non, commencez par l'alignement.

Cet article s'applique à votre situation ?

Diagnostic gratuit de 30 min pour évaluer votre niveau actuel et identifier les priorités.

Réserver un diagnostic gratuit

Recevoir la veille cyber mensuelle

1 email par mois — NIS2, ISO 27001, CVE critiques. Pas de spam.

Articles connexes

NIS2Réglementation

NIS2 : ce qui change vraiment pour les PME en 2026

8 min

RSSI aaSConseil

Les 5 critères pour choisir son RSSI externalisé

5 min