Le blog  cybersécurité des PME

  • Blog
  • L'ISO 27001 : tellement accessible
L'ISO 27001 : tellement accessible

L'ISO 27001 : tellement accessible

Lundi, Janvier 5, 2026 Conformité

Aller au delà des idées fausses sur ISO 27001 ...

Il m'arrive de plus en plus de pousser la démarche de certification ISO 27001 auprès d'organisations qui ne l'avaient pas en tête initialement. Parce qu'elle est la réponse qui s'impose dans leur contexte, tout simplement (voir un exemple ici).

Je vous rassure de suite, en temps normal j'ai suffisamment préparé le terrain pour que ça semble être une évidence pour la majorité, mais il y a toujours cette personne qui prend le sujet en cours et qui ne peut pas cacher une petite grimace ou rentre la tête dans ses épaules en se disant que ça va lui tomber dessus.

C'est peut-être votre cas aussi et je ne peux pas vous en vouloir si vous avez cette vision de l'ISO 27001 comme d'une sorte d'Everest administratif réservé aux grands groupes du CAC 40, nécessitant des armées de consultants et des tonnes de papier. On va voir que c'est une idée fausse.

Plus exactement, elle est fausse si on s'y prend bien !

Sur la complexité

La complexité de la norme est souvent celle qu'on veut bien lui donner. En réalité, mettre en place un Système de Management de la Sécurité de l'Information (SMSI) est un exercice de logique, pas de torture. Et si vous faites déjà de la qualité avec de l'ISO 9001 ou 14001, vous avez d'ailleurs intégré cette logique.

Le véritable frein n'est presque jamais la complexité technique ou organisationnelle. Le vrai frein, c'est la volonté.

L'importance du périmètre

L'erreur classique ? Vouloir tout certifier, tout de suite. "On certifie toute l'entreprise". Si vous choisissez cette approche sans une très bonne raison alors félicitations, vous venez de trouver le meilleur moyen de souffrir inutilement.

L'ISO 27001 permet de définir un périmètre. Vous n'êtes pas obligé de protéger la machine à café ou le serveur de test déconnecté avec la même rigueur que votre base de données clients.

Avant de plonger trop profondément dans le projet, il est donc essentiel de bien cibler le cœur de votre activité, là où se trouvent vos données critiques ou vos engagements clients (C'est d'ailleurs aussi la logique de la directive NIS 2 : protéger l'essentiel, pas l'accessoire).

En réduisant le périmètre à l'essentiel, vous réduisez mécaniquement la complexité et l'effort. Vous pourrez toujours étendre ce périmètre plus tard. 

Il faut donc que votre étude d'opportunité (aller ou pas vers l'ISO 27001) commence par une définition de ce qui est nécessaire et suffisant dans ce périmètre : n'en faites pas trop, mais n'excluez pas les joyaux de la couronne.

Vous seriez d'ailleurs surpris de découvrir le périmètre de la certification de certaines entités qui affichent un logo ISO 27001. Non pas parce qu'elles ne sont pas au niveau attendu, bien au contraire, mais parce qu'elles ont parfaitement compris l'importance de bien définir les limites du terrain de jeu.

L'approche par les risques

On touche ici au cœur du sujet : ISO 27001 ne vous demande pas d'être une forteresse imprenable. Elle vous demande d'être cohérent avec vos risques.

Relisez bien la phrase précédente si nécessaire, elle est hyper importante.

Au lieu d'appliquer aveuglément les 93 mesures de sécurité de la norme, vous devez vous concentrer sur ce qui compte vraiment dans votre contexte.

  • Vous n'avez pas de développement en interne ? Inutile de rédiger des procédures complexes de codage sécurisé.
  • Vos activités sont réalisées à 100% en télétravail ? La sécurité physique des locaux sera traitée très rapidement mais on mettra l'accent sur la sécurisation des postes nomades.

Il suffit de bien le justifier.

Ne cherchez pas la perfection théorique. Cherchez la couverture de vos risques réels. C'est plus simple, et c'est surtout beaucoup plus utile. L'essence de la norme, c'est le pragmatisme. Pour utiliser une image parlante : On ne met pas des portes blindées partout, mais seulement là où est stocké l'or.

Là encore, il n'est pas question de mettre des risques forts sous le tapis (l'auditeur ne sera pas dupe, et surtout vous risquez de rater l'essentiel), mais de traiter ce qui est vraiment important pour votre organisation et vos clients.

Vous faites de la prose sans le savoir

C'est un constat que je fais régulièrement : les entreprises pensent partir de zéro, alors qu'elles ont souvent déjà de nombreuses mesures en place.

  • Vous faites des sauvegardes et vous le faites correctement ?
  • Vous avez un antivirus, un chiffrement des postes ?
  • Vous avez mis en place l'authentification multifacteur ?
  • Vous donnez des droits d'accès quand un salarié arrive et vous les coupez quand il part (pas 2 ans après) ?
  • Vous faites un minimum de veille en cybersécurité ?

Bravo, vous faites déjà de l'ISO 27001. C'est rassurant, non ?

La complexité perçue vient du fait qu'il faut le documenter. C'est souvent là que le système en place atteint ses limites et qu'il faut relever son niveau d'exigence.

Pour autant, pas besoin d'écrire des romans. Mieux vaut une procédure d'une page lue et appliquée, qu'un document de 50 pages que personne n'a ouvert depuis 2022. L'objectif n'est pas d'inventer de nouveaux processus lourds mais d'écrire ce que vous faites déjà bien, puis s'assurer que ce sera toujours fait ainsi demain, ou mis à jour si nécessaire. 

Pour le dire différemment, la sécurité ne doit pas reposer sur l'oral ou les habitudes. Elle doit être (d)écrite et connue.

Traiter les écarts, pas la recherche d'un absolu

Une fois que vous avez identifié vos risques et documenté l'existant, le projet se concentre sur une liste de tâches : le Plan de Traitement des Risques.

C'est ici qu'on doit absolument rationaliser. On regarde l'écart entre ce qu'on fait et ce qu'on devrait faire. Et on priorise.

Vous n'avez pas besoin de combler tous les trous le premier jour. L'ISO est une démarche d'amélioration continue. Vous avez parfaitement le droit de dire : "Je sais que ce point est faible, j'ai prévu de le traiter dans 6 mois car ce n'est pas critique aujourd'hui". Et personne ne vous le reprochera, bien au contraire !

Utilisez, par exemple, une priorisation de type "MoSCoW" :

  • Must : on doit le faire (c'est vital)
  • Should : on doit le faire si c'est possible (c'est essentiel)
  • Could : on le fait si ce n'est pas trop impactant (c'est du confort)
  • Would : on le fera plus tard (c'est du luxe)

Tout le talent de l'animateur du projet, c'est de ne pas tout rendre vital mais de catégoriser avec réalisme. On traite d'abord ce qui est vital en prenant en compte les coûts. Ensuite on priorise le reste.

L'auditeur (en tout cas celui que je suis) ne vous sanctionnera pas parce que vous avez une vision claire et un plan. Ce qu'on ne laisse pas passer, c'est le fait d'ignorer sciemment les problèmes.

Le vrai sujet : l'engagement de la direction

Si ce n'est pas techniquement si dur, pourquoi certains projets s'enlisent-ils ?

Parce que la direction n'y croit pas vraiment. Si le projet est vu comme une corvée refilée au responsable informatique pour "avoir le logo", ça sera effectivement pénible et complexe. Pour le responsable informatique en particulier :-)

En revanche, si la direction comprend que c'est un outil de pilotage, qu'elle arbitre les risques et qu'elle donne l'impulsion (la fameuse volonté du premier encadré, si vous suivez), alors les barrières tombent. Les équipes s'alignent, les décisions se prennent vite, et la complexité disparaît au profit de l'efficacité.

L'enjeu pour les dirigeants est d'incarner la démarche. Si la direction contourne les règles, personne ne les respectera.

Le rôle de la direction n'est pas d'écrire les procédures techniques. Son rôle est d'effectuer des arbitrages :

  1. Qu'est-ce qu'on protège ?
  2. Quels risques on accepte ?
  3. Quels moyens on se donne pour traiter le reste ?
L'ISO 27001, c'est simplement l'outil qui permet de documenter et de prouver que ces arbitrages sont faits et suivis.

En conclusion

Ne laissez pas le mythe de la complexité vous priver d'un atout concurrentiel majeur. Parce que oui, afficher une certification ISO 27001, c'est aujourd'hui plus que jamais un véritable atout pour l'entreprise.

Mettre en place ISO 27001, c'est avant tout mettre de l'ordre dans la maison. C'est faire preuve de méthode, de bon sens, et d'un peu de courage managérial (dire "on y va, et on va vraiment ").

Et entre nous, naviguer à vue dans le contexte actuel des cybermenaces est bien plus complexe et stressant que de suivre une norme qui a fait ses preuves depuis plus de 20 ans.

J'accompagne aujourd'hui des structures en région Bourgogne-Franche-Comté qui me disent "finalement, ce n'est pas aussi compliqué qu'on le pensait au départ". Ça fait plaisir, mais surtout elles ont tellement raison !

C'est toute la beauté de l'approche ISO : on commence simplement puis on améliore.

Si je ne devais donner qu'un dernier conseil, ce serait de ne pas rester seul si vous étudiez ce sujet. En quelques jours, on peut obtenir une très bonne visibilité sur son niveau de maturité et disposer d'un contenu suffisant pour nourrir une étude d'opportunité ISO 27001. Donc pouvoir décider sereinement.

N'hésitez pas à me contacter pour en savoir plus. Mon métier est de simplifier la conformité en prenant en compte vos spécificités. Avec en bonus le regard de l'auditeur qui connait parfaitement les attentes des organismes de certification (ce qui fait la différence).

Prendre rendez-vous pour un échange sur le sujet ISO 27001 (ou encore NIS 2).

Laissez-vous aussi tenter par une (re)lecture de cet article qui montre l’intérêt de la démarche ISO dans un contexte d'inflation règlementaire en cybersécurité.

Recherche
Ce site peut utiliser des cookies et des scripts externes. Plus d'informations