Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY9 min

Certification ISO 27001 en France : transition 2022, organismes COFRAC et écosystème ANSSI

Se certifier ISO 27001 en France en 2026 : pourquoi tout certificat est désormais ISO 27001:2022 (l’édition 2013 a expiré le 31 octobre 2025), comment fonctionne la certification accréditée COFRAC, et comment la norme s’articule avec le ReCyF de l’ANSSI, HDS et SecNumCloud.

Tout certificat valide est désormais ISO 27001:2022

La transition de trois ans depuis ISO 27001:2013 s’est achevée le 31 octobre 2025 : depuis cette date, les certificats en édition 2013 sont invalides. Toute organisation qui se certifie aujourd’hui le fait sur ISO/IEC 27001:2022 et ses 93 mesures de l’Annexe A — y compris les ajouts 2022 comme le renseignement sur les menaces, la sécurité du cloud et la prévention des fuites de données. Si un fournisseur vous présente un certificat 2013 en 2026, il est caduc.

Comment se passe la certification en France

La certification est délivrée par des organismes certificateurs accrédités — en France, l’accréditation relève du COFRAC (ou d’un accréditeur européen équivalent). Le processus est le même partout : un audit d’étape 1 (revue documentaire), un audit d’étape 2 (vérification sur site que le SMSI fonctionne réellement), puis un certificat valable trois ans avec audits de surveillance annuels et cycle de recertification. Ce que les auditeurs demandent en premier : le socle documentaire — périmètre, politique de sécurité, appréciation et traitement des risques, Déclaration d’Applicabilité, et les politiques thématiques que votre DdA déclare.

La place d’ISO 27001 dans l’écosystème français

La France superpose ses propres schémas à ISO 27001, ou les fait coexister :

SchémaLien avec ISO 27001Pour qui
ISO 27001La certification de système de management de baseToute organisation vendant aux grands comptes ou construisant la confiance
HDSS’appuie sur ISO 27001 (plus ISO 20000-1 et exigences santé)Hébergeurs de données de santé françaises
SecNumCloudQualification ANSSI distincte, exigences propresFournisseurs cloud visant le secteur public et les OIV/OSE
ReCyF (NIS2)Référentiel ANSSI ; un SMSI ISO 27001 couvre l’essentiel de ses 20 objectifsEntités préparant NIS2

Deux conséquences pratiques. D’abord, ISO 27001 est le meilleur dénominateur commun : le même SMSI alimente HDS, la préparation NIS2/ReCyF et la due diligence des grands comptes. Ensuite, les publications gratuites de l’ANSSI (guide d’hygiène, ReCyF) sont d’excellentes références francophones pour mettre en œuvre les mesures de l’Annexe A.

Un chemin réaliste pour une PME française

  1. Cadrez serré — un produit, une équipe plateforme ; vous étendrez plus tard.
  2. Menez l’appréciation des risques et déduisez-en votre Déclaration d’Applicabilité.
  3. Générez puis adaptez le socle documentaire — la partie compressible du projet.
  4. Faites vivre le SMSI quelques semaines (revues d’accès, exercice incident, audit interne, revue de direction) pour produire des preuves.
  5. Choisissez un organisme accrédité COFRAC et planifiez les étapes 1 et 2.

Sources de référence

Comment PolicyForge vous aide

PolicyForge génère le socle documentaire aligné ISO 27001:2022 — la politique de haut niveau et les politiques thématiques que votre DdA déclare — bilingue, versionné, avec blocs d’approbation. Commencer gratuitement → · Voir le générateur ISO 27001

Questions fréquentes

ISO 27001:2013 est-elle encore valable en 2026 ?

Non. La période de transition s’est terminée le 31 octobre 2025 ; depuis, les certificats délivrés sur l’édition 2013 sont invalides. Toute certification nouvelle ou maintenue référence ISO/IEC 27001:2022 et ses 93 mesures de l’Annexe A.

Qui délivre la certification ISO 27001 en France ?

Des organismes certificateurs accrédités — en France par le COFRAC, ou par un accréditeur européen équivalent. Le certificat suit un audit d’étape 1 (documentation) puis d’étape 2 (sur site), est valable trois ans et se maintient par des audits de surveillance annuels.

ISO 27001 couvre-t-elle NIS2 en France ?

En grande partie. Un SMSI ISO 27001 couvre l’essentiel des mesures attendues par l’article 21 de NIS2 et par le référentiel ReCyF de l’ANSSI, qui suit la même logique gouvernance-risques-mesures. Une entité certifiée doit surtout ajouter les éléments propres à NIS2, comme la notification d’incident 24 h/72 h et l’enregistrement auprès de l’ANSSI.

Quelle différence entre ISO 27001, HDS et SecNumCloud ?

ISO 27001 est la norme internationale certifiable de SMSI. HDS est la certification française obligatoire pour héberger des données de santé, bâtie sur ISO 27001 plus ISO 20000-1 et des exigences sectorielles. SecNumCloud est la qualification cloud de l’ANSSI, aux exigences propres et plus strictes, destinée aux fournisseurs visant le secteur public français et les opérateurs critiques.