ISO 27001 au Maroc : Guide de Certification 2026
Certification ISO 27001 au Maroc : étapes détaillées, coûts en DH, délais, organismes accrédités et retours d'expérience. Guide 2026 pour PME marocaines.
Pourquoi les entreprises marocaines se certifient ISO 27001 en 2026
En avril 2025, la cyberattaque contre la CNSS a exposé les données personnelles de près de deux millions d'employés marocains (noms, RIB, salaires) et les dossiers de 499 881 entreprises. L'incident a remis la question de la sécurité des systèmes d'information au centre des préoccupations des dirigeants, bien au-delà du secteur public.
Ce contexte n'est pas anodin pour la certification ISO 27001. Parmi les leçons tirées publiquement de l'incident : des achats de prestations de cybersécurité ne suffisent pas si le système de management de la sécurité de l'information n'est pas structuré. C'est exactement ce que l'ISO 27001 vient formaliser.
Aujourd'hui, seules environ 40 organisations sont certifiées ISO 27001 au Maroc. C'est peu pour un marché de cette taille. À titre de comparaison, la Turquie en compte plusieurs milliers. Cette rareté est à double tranchant : elle signale que l'adoption est encore faible, mais elle confère aussi un avantage concurrentiel réel aux pionniers.
Les raisons concrètes qui poussent à la certification
Les entreprises marocaines qui engagent une démarche ISO 27001 en 2026 le font rarement pour des raisons philosophiques. Les motivations sont pragmatiques :
Les exigences clients. Les multinationales européennes et américaines imposent de plus en plus à leurs sous-traitants et fournisseurs de services une certification ISO 27001 ou une déclaration de conformité équivalente. Pour les sociétés de services informatiques, de BPO et de nearshore installées à Casanearshore, c'est devenu un prérequis de fait pour accéder aux donneurs d'ordre européens.
Les appels d'offres publics et para-publics. OCP, Renault Maroc et plusieurs établissements publics incluent désormais la certification ISO 27001 ou des exigences de sécurité équivalentes dans leurs cahiers des charges pour les prestataires IT. Ne pas être certifié revient à se disqualifier avant même de soumissionner.
La conformité DNSSI et la loi 05-20. La DNSSI (Directive Nationale de la Sécurité des Systèmes d'Information) est explicitement basée sur la norme NM ISO/IEC 27002, qui est le catalogue de contrôles de l'ISO 27001. Un projet de certification ISO 27001 bien conduit couvre la grande majorité des exigences de la DNSSI. Pour les opérateurs d'infrastructures vitales soumis à la loi 05-20, c'est le chemin le plus direct vers la conformité réglementaire. Vous pouvez lire notre analyse détaillée dans le guide sur la conformité DGSSI.
La protection des données personnelles. Depuis février 2025, la CNDP a renforcé son activité de contrôle en application de la loi 09-08. ISO 27001 est la démonstration la plus crédible qu'une organisation applique des mesures de sécurité adéquates pour protéger les données personnelles qu'elle traite.
L'effet différenciateur. Être parmi les 40 organisations certifiées au Maroc, c'est appartenir à un groupe restreint. Dans un marché où la confiance est un actif rare, ce signal est puissant.
Ce que la certification ISO 27001 implique concrètement
Avant de parler de processus et de coûts, il faut clarifier ce que la norme exige, et ce qu'elle n'exige pas.
Le SMSI : un système de management, pas une liste de cases à cocher
L'ISO 27001 exige la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Ce mot "système" est important. Il ne s'agit pas d'installer un antivirus et de rédiger une charte informatique. Un SMSI est une structure de gouvernance qui couvre :
- L'identification et la classification des actifs informationnels (données, logiciels, matériels, personnes)
- L'évaluation systématique des risques liés à ces actifs
- La sélection et la mise en oeuvre des mesures de protection adaptées
- La surveillance, la mesure et l'amélioration continue de l'ensemble
La norme impose également un engagement formel de la direction. Ce n'est pas une clause de style : les auditeurs vérifient concrètement que le comité de direction a approuvé la politique de sécurité, alloue des ressources, et participe aux revues du SMSI.
Les 93 contrôles de l'annexe A
La version actuelle, ISO/IEC 27001:2022, inclut 93 contrôles de sécurité répartis en 4 thèmes :
| Thème | Nombre de contrôles | Exemples |
|---|---|---|
| Contrôles organisationnels | 37 | Politique de sécurité, gestion des actifs, classification de l'information, relations fournisseurs |
| Contrôles liés aux personnes | 8 | Vérification des antécédents, sensibilisation, responsabilités au départ |
| Contrôles physiques | 14 | Périmètre de sécurité physique, protection des équipements, sécurité des supports |
| Contrôles technologiques | 34 | Contrôle d'accès, chiffrement, journalisation, sauvegarde, gestion des vulnérabilités |
Un point souvent mal compris : vous n'êtes pas obligé d'appliquer les 93 contrôles. La norme exige que vous justifiiez les exclusions dans un document appelé Déclaration d'Applicabilité (Statement of Applicability, SoA). C'est un document stratégique que les auditeurs examinent attentivement pour vérifier la cohérence entre votre analyse des risques et vos choix de contrôles.
Ce que les auditeurs regardent vraiment
Les auditeurs de certification ne cherchent pas des politiques parfaites sur le papier. Ils cherchent des preuves que le système fonctionne vraiment : des logs d'accès qui montrent que les droits sont gérés, des comptes-rendus de revues de direction qui existent et ont été actés, des résultats d'audits internes avec des actions correctives tracées.
La formule qui résume l'état d'esprit attendu : simple et vécu vaut mieux qu'exhaustif et ignoré.
Les étapes de la certification : de l'analyse d'écarts à l'audit
Le parcours de certification se décompose en plusieurs phases. Les durées ci-dessous correspondent à une organisation qui part de zéro. Les organisations disposant déjà d'une maturité SSI peuvent compresser certaines phases.
| Phase | Durée typique | Description |
|---|---|---|
| Analyse d'écarts (Gap Analysis) | 2 à 4 semaines | Évaluation de l'écart entre la situation actuelle et les exigences ISO 27001 |
| Évaluation des risques | 3 à 4 semaines | Identification, analyse et traitement des risques (ISO 27005 ou EBIOS RM) |
| Documentation et politiques | 4 à 8 semaines | Rédaction de la politique SMSI, procédures, SoA, plan de traitement des risques |
| Mise en oeuvre des contrôles | 8 à 16 semaines | Déploiement technique et organisationnel des contrôles sélectionnés |
| Audit interne | 2 à 3 semaines | Vérification interne avant l'audit de certification |
| Audit Stage 1 (documentaire) | 1 à 2 jours | Revue documentaire par l'organisme de certification |
| Correction des non-conformités Stage 1 | 2 à 4 semaines | Traitement des écarts identifiés avant l'audit sur site |
| Audit Stage 2 (sur site) | 3 à 5 jours | Évaluation complète sur site par l'organisme de certification |
| Total parcours standard | 6 à 12 mois | |
| Total fast-track | 3 à 6 mois | Possible avec une maturité SSI existante et un accompagnement dédié |
~40
Organisations certifiées au Maroc
6-12 mois
Durée du parcours standard
70%
Financement BERD possible
93
Contrôles Annexe A (ISO 27001:2022)
Phase 1 : L'analyse d'écarts
La gap analysis est le premier travail concret. Elle compare votre situation actuelle (politiques existantes, contrôles en place, pratiques réelles) aux 93 contrôles de l'annexe A et aux exigences des clauses 4 à 10 de la norme.
Le résultat est un tableau de bord qui donne, pour chaque exigence, un statut (conforme, partiellement conforme, non conforme) et une cotation de priorité. Ce document oriente toute la suite du projet.
Une erreur fréquente à ce stade : évaluer la conformité sur la base des documents existants plutôt que sur les pratiques réelles. Un auditeur de certification ne se contentera pas de lire vos procédures. Il interrogera vos équipes pour vérifier qu'elles les appliquent.
Pour démarrer la phase d'analyse d'écarts, notre évaluateur de conformité DGSSI couvre des domaines très proches de l'annexe A d'ISO 27001 et donne une première vue d'ensemble en 5 minutes.
Phase 2 : L'évaluation des risques
L'évaluation des risques est le coeur méthodologique de l'ISO 27001. Deux méthodes sont couramment utilisées au Maroc :
- ISO 27005 : méthode d'évaluation des risques liés à la sécurité de l'information, recommandée par la norme pour son alignement direct.
- EBIOS Risk Manager : méthode développée par l'ANSSI française, largement adoptée par les consultants francophones et compatible avec l'ISO 27001.
L'évaluation doit couvrir tous les actifs dans le périmètre du SMSI, identifier les menaces et vulnérabilités associées, et produire un Plan de Traitement des Risques (PTR) qui justifie chaque décision de traitement. Notre service d'évaluation des risques s'appuie sur ces deux méthodes selon le contexte de chaque organisation.
Phase 3 : Documentation et politiques
La documentation du SMSI comprend au minimum :
- La politique de sécurité de l'information (approuvée par la direction)
- La Déclaration d'Applicabilité (SoA)
- Le Plan de Traitement des Risques (PTR)
- Les procédures obligatoires (gestion des incidents, audit interne, non-conformités, actions correctives)
- Les enregistrements de preuves (logs, comptes-rendus, résultats d'audits)
Le piège classique est de produire des politiques copiées-collées depuis des modèles téléchargés sur Internet. Les auditeurs expérimentés reconnaissent immédiatement ces templates. S'ils ne correspondent pas à la réalité de votre organisation, c'est une non-conformité majeure assurée.
Phase 4 : Mise en oeuvre des contrôles
C'est la phase la plus longue. Elle couvre des actions très concrètes : configurer des règles de contrôle d'accès, mettre en place une procédure de revue des droits, déployer un système de journalisation, former les équipes à la gestion des incidents, mettre à jour les contrats avec les prestataires critiques.
La surveillance continue des événements de sécurité fait partie intégrante des contrôles technologiques requis. Un système de monitoring de sécurité en place avant l'audit Stage 2 est non seulement utile pour la conformité, mais fournit aussi les preuves d'exploitation que les auditeurs demanderont.
Phase 5 : Audit interne
L'ISO 27001 exige un audit interne du SMSI. Cet audit ne peut pas être réalisé par les personnes responsables des zones auditées. Une indépendance minimum est requise. Pour les PME qui n'ont pas d'auditeur interne qualifié, faire appel à un prestataire extérieur est la solution habituelle. Notre pratique d'audits de sécurité couvre cette étape.
Phases 6 et 7 : Les audits de certification
L'audit Stage 1 est un audit documentaire. L'auditeur de l'organisme de certification examine vos documents (SoA, PTR, politique SMSI, résultats d'audit interne) pour vérifier que le SMSI est suffisamment documenté pour passer à l'étape suivante. Il dure 1 à 2 jours selon la taille de l'organisation.
L'audit Stage 2 est l'audit complet sur site. L'auditeur interroge vos équipes, examine vos preuves d'exploitation, et teste la réalité de votre SMSI. Il dure 3 à 5 jours. À l'issue, il rend un rapport avec des constats classés en non-conformités majeures, mineures, et points d'amélioration. Les non-conformités majeures doivent être traitées avant l'émission du certificat.
Combien coûte une certification ISO 27001 au Maroc
La question revient systématiquement, et la réponse honnête est : "ça dépend". Mais voici des ordres de grandeur réels pour le marché marocain.
Les frais d'audit de l'organisme de certification
Ces coûts correspondent uniquement aux honoraires de l'organisme de certification (Bureau Veritas, SGS, TÜV, IMANOR, etc.) pour réaliser les audits Stage 1 et Stage 2, puis les audits de surveillance annuels. Ils ne couvrent pas l'accompagnement.
| Taille de l'organisation | Certification initiale (Stage 1 + Stage 2) | Audit de surveillance annuel |
|---|---|---|
| PME (moins de 50 employés) | 60 000 à 120 000 MAD | 30 000 à 50 000 MAD |
| Taille moyenne (50 à 250 employés) | 120 000 à 250 000 MAD | 50 000 à 80 000 MAD |
| Grande organisation (250+ employés) | 250 000 MAD et plus | 80 000 MAD et plus |
Estimation basée sur les données du marché marocain. Les tarifs varient selon l'organisme, le périmètre de certification et la complexité des activités.
Le certificat ISO 27001 est valide 3 ans. Durant cette période, l'organisme de certification réalise un audit de surveillance annuel (années 1 et 2), puis un audit de renouvellement complet à l'année 3.
Le coût d'accompagnement (consulting)
Le coût de l'accompagnement par un cabinet conseil dépend de la taille de votre organisation, du périmètre choisi, et surtout de votre niveau de maturité SSI existant. Une organisation qui dispose déjà d'une politique de sécurité, d'un inventaire des actifs et d'outils de contrôle d'accès bien configurés aura besoin de beaucoup moins de travail qu'une organisation qui part de zéro.
Pour cette raison, nous ne publions pas de tarif fixe. Contactez-nous pour un diagnostic initial gratuit qui permettra d'estimer précisément le volume de travail nécessaire.
Le financement BERD : jusqu'à 70 % des coûts d'accompagnement subventionnés
C'est le point que beaucoup d'entreprises marocaines ignorent : la Banque Européenne pour la Reconstruction et le Développement (BERD) dispose d'un programme d'accompagnement des PME marocaines éligibles qui peut financer jusqu'à 70 % du coût des prestations de conseil, y compris pour des projets de certification ISO 27001.
Le programme BERD au Maroc est actif depuis 2012 et a accompagné plus de 533 entreprises. Les PME marocaines éligibles bénéficient d'une subvention directe sur les honoraires du consultant, à condition de faire appel à un prestataire référencé dans le réseau BERD.
Ce financement change fondamentalement l'équation : un projet d'accompagnement qui coûterait par exemple 200 000 MAD peut revenir à 60 000 MAD après subvention BERD. Notre équipe peut vous orienter dans le processus de demande et vérifier votre éligibilité lors du diagnostic initial.
Besoin d'un accompagnement ?
Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.
ISO 27001 et DNSSI : comment les deux se complètent
La DNSSI (Directive Nationale de la Sécurité des Systèmes d'Information, version janvier 2023) est explicitement inspirée de la norme marocaine NM ISO/IEC 27002, qui est le catalogue de contrôles de l'ISO 27001. La correspondance entre les deux référentiels est très étroite.
Tableau de correspondance ISO 27001 / DNSSI
| Domaine DNSSI | Thème ISO 27001:2022 correspondant | Contrôles couverts |
|---|---|---|
| Politique de sécurité | Contrôles organisationnels | A.5.1 Politiques de sécurité |
| Organisation de la sécurité | Contrôles organisationnels | A.5.2 Rôles et responsabilités |
| Gestion des actifs | Contrôles organisationnels | A.5.9 à 5.12 Inventaire et classification |
| Sécurité des ressources humaines | Contrôles liés aux personnes | A.6.1 à 6.8 |
| Sécurité physique | Contrôles physiques | A.7.1 à 7.14 |
| Gestion des opérations | Contrôles technologiques | A.8.1 à 8.12 |
| Contrôle d'accès | Contrôles technologiques | A.8.2 à 8.5 |
| Gestion des incidents | Contrôles organisationnels | A.5.24 à 5.28 |
| Continuité d'activité | Contrôles organisationnels | A.5.29 à 5.30 |
| Conformité légale | Contrôles organisationnels | A.5.31 à 5.36 |
Un projet ISO 27001 bien conduit satisfait la grande majorité des exigences de la DNSSI. En pratique, si vous êtes soumis à la fois à la DNSSI (parce que vous êtes un établissement public, une infrastructure vitale, ou un opérateur numérique) et que vous souhaitez obtenir la certification ISO 27001, les deux démarches partagent 80 à 85 % de leur travail.
Ce que la DNSSI exige en plus
La conformité DNSSI comporte des spécificités marocaines que l'ISO 27001 seul ne couvre pas automatiquement :
- La classification des systèmes d'information en classes A, B et C définie conjointement avec la DGSSI
- L'homologation obligatoire avant tout déploiement de système d'information sensible (Classe A)
- La notification d'incidents au maCERT dans les délais réglementaires
- Le recours obligatoire à des PASSI qualifiés par la DGSSI pour les audits des systèmes sensibles
La stratégie optimale pour les organisations soumises aux deux cadres : utiliser le projet ISO 27001 comme socle du programme de conformité DGSSI, puis ajouter les spécificités marocaines en complément. Cette approche évite de dupliquer les efforts documentaires et réduit le coût global des deux projets menés séparément.
Notre service de conformité réglementaire intègre ces spécificités marocaines dans chaque programme ISO 27001 que nous conduisons.
Comment choisir son organisme de certification
Le choix de l'organisme de certification est une décision qui mérite réflexion. Tous les organismes accrédités délivrent un certificat ISO 27001 valide au niveau international, mais ils se différencient sur plusieurs points.
Les principaux organismes actifs au Maroc
| Organisme | Origine | Points forts | À considérer |
|---|---|---|---|
| IMANOR | Maroc (national) | Organisme national, tarifs potentiellement plus accessibles, certification NM ISO/IEC 27001 | Réseau international plus limité |
| Bureau Veritas | France | Très forte notoriété internationale, reconnu par les donneurs d'ordre européens, présence locale établie | Tarifs en ligne avec les standards internationaux |
| SGS | Suisse | Réseau mondial, forte reconnaissance dans les secteurs industriel et agroalimentaire | Moins spécialisé sur la cybersécurité |
| TÜV Rheinland | Allemagne | Excellente reconnaissance en Allemagne et Europe centrale, fort sur les secteurs technologiques | Présence locale moins dense au Maroc |
| Vigicert | Maroc | Acteur local avec expertise régionale, accrédité par le COFRAC | Notoriété internationale inférieure aux grands groupes |
| DNV | Norvège | Fort sur les secteurs énergie, maritime, industrie | Moins présent sur le marché marocain |
Les critères de sélection
La reconnaissance par vos clients cibles. Si votre objectif principal est d'accéder au marché européen, un certificat Bureau Veritas ou TÜV Rheinland sera généralement mieux reconnu par les donneurs d'ordre qu'un organisme inconnu hors du Maroc. Si votre objectif est la conformité DGSSI ou les marchés publics marocains, IMANOR est parfaitement adapté.
L'accréditation. Vérifiez que l'organisme est accrédité par un membre de l'IAF (International Accreditation Forum). En France, c'est le COFRAC. Au Maroc, c'est le SEMAC. Un certificat délivré par un organisme non accrédité n'a aucune valeur légale.
L'indépendance. Il est fortement déconseillé de choisir le même organisme pour le conseil et la certification. La norme ISO 27006 encadre cette indépendance, et les bons organismes de certification refusent d'auditer des systèmes qu'ils ont eux-mêmes aidé à construire. Choisissez votre consultant et votre certificateur séparément.
La disponibilité et les délais. Les agendas des auditeurs peuvent être chargés. Planifiez votre audit Stage 2 au moins 2 à 3 mois à l'avance.
Les erreurs qui font échouer la certification
Sur les projets qui n'aboutissent pas, ou qui aboutissent avec de lourdes non-conformités, cinq erreurs reviennent régulièrement.
Erreur 1 : L'absence d'engagement réel de la direction
C'est la cause d'échec numéro un, sans discussion. L'ISO 27001 exige formellement que la direction "démontre son leadership et son engagement envers le SMSI" (clause 5.1 de la norme). En pratique, ça signifie que le RSSI ou le chef de projet sécurité ne peut pas porter ce projet seul. Si le PDG n'a pas approuvé la politique de sécurité, ne participe pas aux revues de direction, et ne peut pas expliquer les enjeux du SMSI quand l'auditeur lui pose la question, c'est une non-conformité majeure.
La solution : impliquer la direction dès la phase de gap analysis, avec une présentation des enjeux business (pas techniques) et un engagement formel documenté.
Erreur 2 : Les modèles copiés-collés
De nombreuses organisations téléchargent des templates de politiques ISO 27001 depuis Internet et les adaptent minimalement. Les auditeurs expérimentés reconnaissent ces documents en quelques minutes. Pire : si un contrôle de votre SoA dit "applicable" mais que votre politique correspondante ne décrit pas comment il s'applique à votre contexte spécifique, c'est une non-conformité.
Chaque document doit refléter la réalité de votre organisation : vos actifs réels, vos risques réels, vos procédures réelles. Un document de 3 pages qui correspond à votre fonctionnement réel vaut mieux qu'un manuel de 50 pages copié-collé.
Erreur 3 : Un périmètre trop large
Certifier "toute l'entreprise" d'un coup est une erreur fréquente, surtout pour les premières certifications. Plus le périmètre est large, plus le projet est complexe, coûteux, et risqué.
La stratégie recommandée : commencer par certifier un périmètre limité mais significatif, par exemple le service informatique, ou la branche "développement logiciel", ou le centre de données. Une fois le SMSI rodé sur ce périmètre, l'extension à d'autres activités est beaucoup plus fluide.
Erreur 4 : Négliger les preuves d'exploitation
ISO 27001 exige non seulement que des contrôles soient en place, mais aussi que leur application soit prouvée. Si votre procédure de revue des droits d'accès prévoit une revue trimestrielle, l'auditeur demandera à voir les 4 derniers rapports. S'ils n'existent pas, c'est une non-conformité, même si la revue a bien eu lieu mais n'a pas été documentée.
Commencez à constituer vos preuves d'exploitation dès le début de la phase de mise en oeuvre, pas 3 semaines avant l'audit.
Erreur 5 : Négliger la surveillance post-certification
Le certificat ISO 27001 est valide 3 ans, mais des audits de surveillance ont lieu chaque année. Des organisations obtiennent leur certificat puis relâchent leurs efforts, pensant que l'auditeur annuel sera indulgent. Ce n'est pas le cas. Si le SMSI s'est dégradé depuis la certification initiale (plus de revues de direction, incidents non tracés, droits d'accès non revus), l'auditeur de surveillance peut suspendre ou retirer le certificat.
La surveillance continue fait partie intégrante du SMSI. Le maintien opérationnel du SMSI entre les audits annuels est aussi important que la certification initiale.
L'approche RMG Solutions
De l'audit initial a la certification, sans changer de prestataire. La plupart des cabinets GRC s'arretent au conseil : ils evaluent votre maturite, redigent un rapport, et vous laissent implementer les controles avec d'autres prestataires. RMG Solutions conduit l'ensemble du parcours certification ISO 27001 de bout en bout : gap analysis, construction du SMSI, redaction des politiques adaptees a votre realite, deploiement des controles techniques (journalisation, controle d'acces, chiffrement), preparation a l'audit interne, puis coordination avec l'organisme de certification pour les audits Stage 1 et Stage 2. Nous pouvons implementer les controles techniques nous-memes parce que nous sommes aussi prestataire cybersecurite et infrastructure -- le SIEM, le monitoring et la gestion des acces ne sont pas sous-traites a un tiers. Pour les organisations soumises a la loi 05-20, notre programme integre d'emblee les specificites DNSSI (classification A/B/C, notification maCERT, preparation PASSI) dans le meme projet. Bases a Hay Riad (Rabat), nous intervenons sur site pour chaque phase critique.
Contactez-nous pour une evaluation initiale gratuite de 30 minutes.
Questions Fréquentes
La certification ISO 27001 est-elle obligatoire au Maroc ?
Non, la certification ISO 27001 n'est pas imposée par la loi comme obligation générale pour les entreprises privées marocaines. En revanche, la loi 05-20 impose un cadre de sécurité des systèmes d'information aux administrations publiques, établissements publics et opérateurs d'infrastructures vitales. ISO 27001 est le mécanisme reconnu pour satisfaire ces exigences. Par ailleurs, dans certains secteurs (IT, BPO, nearshore, fournisseurs d'OCP ou de Renault Maroc), la certification est devenue une condition contractuelle de fait.
Combien de temps faut-il pour se certifier ISO 27001 au Maroc ?
Le parcours standard dure entre 6 et 12 mois, depuis la gap analysis jusqu'à la réception du certificat. Un fast-track de 3 à 6 mois est possible pour les organisations qui disposent déjà d'une maturité SSI existante : politique de sécurité formalisée, outils de contrôle d'accès en place, pratiques de gestion des incidents documentées. Les organisations qui partent de zéro ont besoin du délai complet. Le facteur limitant est souvent la mise en oeuvre des contrôles et la constitution des preuves d'exploitation.
La certification ISO 27001 aide-t-elle pour la conformité DGSSI ?
Oui, de façon substantielle. La DNSSI est directement inspirée de la norme ISO/IEC 27002, qui est le référentiel de contrôles de l'ISO 27001. Un projet ISO 27001 bien conduit couvre 80 à 85 % des exigences de la DNSSI. Les éléments spécifiques que l'ISO 27001 ne couvre pas automatiquement sont la classification A/B/C des systèmes d'information selon la nomenclature DGSSI, l'homologation obligatoire des systèmes sensibles, et la notification d'incidents au maCERT. Ces compléments s'ajoutent sans difficulté à un SMSI ISO 27001 existant.
Une PME de 30 personnes peut-elle se certifier ISO 27001 ?
Oui, sans réserve. La norme ne fixe pas de seuil minimum de taille. Des PME de 10 à 15 personnes sont certifiées ISO 27001 en France, en Belgique et dans d'autres pays francophones. La clé est de définir un périmètre adapté (les activités de développement logiciel ou les services gérés, plutôt que "toute l'entreprise") et d'avoir un niveau de documentation proportionnel à la taille réelle de l'organisation. Pour une PME de 30 personnes, le projet est tout à fait gérable en 6 à 9 mois avec un accompagnement adapté. Le financement BERD, qui couvre jusqu'à 70 % des coûts de consulting pour les PME éligibles, rend le projet financièrement accessible.
Que se passe-t-il après l'obtention de la certification ?
Le certificat ISO 27001 est valide 3 ans, mais des audits de surveillance sont réalisés chaque année (généralement à 12 et 24 mois). Ces audits vérifient que le SMSI continue de fonctionner et s'améliore. À l'issue de la 3e année, un audit de renouvellement complet est nécessaire pour maintenir la certification. Entre ces audits, l'organisation doit maintenir ses pratiques SMSI : revues de direction régulières, gestion des incidents, revue des droits d'accès, audits internes annuels. Un SMSI bien structuré dès le départ rend cette maintenance relativement légère.
Par RMG Solutions
Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC
Dernière mise à jour : 30 avril 2026