ISO/IEC 27001:2022 est le standard international de référence pour la sécurité de l'information. En Belgique, sa demande explose. Voici tout ce qu'il faut savoir avant de se lancer.
ISO/IEC 27001:2022 est la dernière version majeure de la norme. Elle remplace la version 2013 et toutes les certifications doivent être migrées vers la 2022 d'ici fin octobre 2025.
Le changement principal porte sur l'Annexe A : les contrôles passent de 114 (organisés en 14 domaines) à 93 contrôles (organisés en 4 thèmes). Onze nouveaux contrôles font leur apparition, notamment sur la threat intelligence, la sécurité du cloud, la prévention des fuites de données et les pratiques de codage sécurisé.
La structure de la norme principale (clauses 4 à 10) reste largement inchangée. C'est l'Annexe A qui modernise le référentiel pour refléter le paysage cyber actuel.
ISO 27001 est devenue de facto un standard pour vendre à des grands comptes B2B en Europe et dans le monde. De nombreux donneurs d'ordre publics et privés exigent désormais cette certification dans leurs appels d'offres, ou la considèrent comme un avantage déterminant.
Au-delà de l'aspect commercial, ISO 27001 structure durablement votre organisation. La mise en place d'un SMSI (Système de Management de la Sécurité de l'Information) impose des processus, des indicateurs, des revues de direction. La sécurité passe d'un sujet IT à un sujet d'entreprise piloté.
ISO 27001 facilite également la conformité à d'autres référentiels : NIS2, RGPD, DORA, SOC2 partagent une grande partie de leurs exigences avec ISO 27001. Une certification 27001 démontre une grande partie de la conformité aux autres cadres.
La certification ISO 27001 est délivrée par des organismes accrédités, eux-mêmes audités par BELAC (l'organisme belge d'accréditation). Plusieurs organismes interviennent en Belgique : BSI, AIB-Vinçotte, SGS, TÜV Rheinland, Bureau Veritas, DEKRA, LRQA et d'autres.
Le choix de l'organisme dépend de plusieurs facteurs : reconnaissance internationale, secteur d'activité, langue de l'audit, tarifs. Les organismes britanniques et germaniques (BSI, TÜV) sont souvent privilégiés pour leur reconnaissance dans les appels d'offres internationaux.
Le coût de la certification (audits initial, surveillance annuelle, recertification triennale) représente typiquement entre 15 000 et 40 000 euros sur trois ans pour une PME, hors préparation interne et accompagnement.
La certification se déroule en deux étapes. L'audit étape 1 est principalement documentaire : l'auditeur évalue votre documentation (politique, registre des risques, déclaration d'applicabilité, procédures) et confirme que votre SMSI est suffisamment mature pour passer en étape 2.
L'audit étape 2, deux à six semaines plus tard, est l'audit de certification proprement dit. L'auditeur passe deux à dix jours sur site (selon la taille de l'organisation) pour vérifier la mise en œuvre effective du SMSI : entretiens, observation des processus, revue des preuves, échantillonnage des contrôles.
Si l'audit étape 2 identifie des non-conformités majeures, la certification est suspendue jusqu'à leur résolution. Les non-conformités mineures permettent la certification sous réserve d'un plan d'action documenté.
Une fois certifiée, l'organisation est auditée chaque année (audit de surveillance) et procède à un audit de recertification complet tous les trois ans.
Pour une PME de 30 à 100 collaborateurs partant d'une maturité moyenne, la mise en place du SMSI et la préparation à la certification prennent typiquement 9 à 15 mois. L'effort représente 30 à 60 jours-homme côté consultant et 60 à 120 jours-homme côté équipe interne.
Le coût total (consultant + organisme certificateur + outillage) se situe généralement entre 50 000 et 120 000 euros pour la première certification. Les coûts annuels récurrents (audit de surveillance, maintien du SMSI) sont de l'ordre de 15 000 à 30 000 euros.
Cet investissement s'amortit typiquement en 18 à 36 mois par les nouveaux contrats remportés grâce à la certification, par la baisse des incidents de sécurité et par les économies sur les questionnaires fournisseurs (qui peuvent représenter plusieurs jours de travail par client grand compte).
Échange gratuit de 30 minutes avec un consultant senior pour cadrer votre projet.
—