Tout certificat valide est désormais ISO 27001:2022
La transition de trois ans depuis ISO 27001:2013 s’est achevée le 31 octobre 2025 : depuis cette date, les certificats en édition 2013 sont invalides. Toute organisation qui se certifie aujourd’hui le fait sur ISO/IEC 27001:2022 et ses 93 mesures de l’Annexe A — y compris les ajouts 2022 comme le renseignement sur les menaces, la sécurité du cloud et la prévention des fuites de données. Si un fournisseur vous présente un certificat 2013 en 2026, il est caduc.
Comment se passe la certification en France
La certification est délivrée par des organismes certificateurs accrédités — en France, l’accréditation relève du COFRAC (ou d’un accréditeur européen équivalent). Le processus est le même partout : un audit d’étape 1 (revue documentaire), un audit d’étape 2 (vérification sur site que le SMSI fonctionne réellement), puis un certificat valable trois ans avec audits de surveillance annuels et cycle de recertification. Ce que les auditeurs demandent en premier : le socle documentaire — périmètre, politique de sécurité, appréciation et traitement des risques, Déclaration d’Applicabilité, et les politiques thématiques que votre DdA déclare.
La place d’ISO 27001 dans l’écosystème français
La France superpose ses propres schémas à ISO 27001, ou les fait coexister :
| Schéma | Lien avec ISO 27001 | Pour qui |
|---|---|---|
| ISO 27001 | La certification de système de management de base | Toute organisation vendant aux grands comptes ou construisant la confiance |
| HDS | S’appuie sur ISO 27001 (plus ISO 20000-1 et exigences santé) | Hébergeurs de données de santé françaises |
| SecNumCloud | Qualification ANSSI distincte, exigences propres | Fournisseurs cloud visant le secteur public et les OIV/OSE |
| ReCyF (NIS2) | Référentiel ANSSI ; un SMSI ISO 27001 couvre l’essentiel de ses 20 objectifs | Entités préparant NIS2 |
Deux conséquences pratiques. D’abord, ISO 27001 est le meilleur dénominateur commun : le même SMSI alimente HDS, la préparation NIS2/ReCyF et la due diligence des grands comptes. Ensuite, les publications gratuites de l’ANSSI (guide d’hygiène, ReCyF) sont d’excellentes références francophones pour mettre en œuvre les mesures de l’Annexe A.
Un chemin réaliste pour une PME française
- Cadrez serré — un produit, une équipe plateforme ; vous étendrez plus tard.
- Menez l’appréciation des risques et déduisez-en votre Déclaration d’Applicabilité.
- Générez puis adaptez le socle documentaire — la partie compressible du projet.
- Faites vivre le SMSI quelques semaines (revues d’accès, exercice incident, audit interne, revue de direction) pour produire des preuves.
- Choisissez un organisme accrédité COFRAC et planifiez les étapes 1 et 2.
Sources de référence
- ISO — page officielle ISO/IEC 27001 (iso.org/standard/27001).
- ANSSI — guides et ReCyF (cyber.gouv.fr).
- Agence du Numérique en Santé — certification HDS (esante.gouv.fr).
Comment PolicyForge vous aide
PolicyForge génère le socle documentaire aligné ISO 27001:2022 — la politique de haut niveau et les politiques thématiques que votre DdA déclare — bilingue, versionné, avec blocs d’approbation. Commencer gratuitement → · Voir le générateur ISO 27001