Logo AlgoSecure
  • EN
Logo AlgoSecure
  • EN

ISO 27001 : définition et historique de cette norme

Logo norme ISO 27001

ISO 27001 : définition

ISO 27001 (ou ISO/IEC 27001) est la norme de management de la sécurité de l’information faisant partie de la famille des normes ISO/IEC 27000, dont elle est la plus connue. Concrètement, elle fixe les exigences relatives aux SMSI (Systèmes de Management de la Sécurité des Informations) pour tous les types d’organisation, qu’il s’agisse de management de la sécurité des informations confiées par les tiers, des données du personnel, des documents de propriété intellectuelle ou des données financières.

Logo norme ISO 27001

Norme ISO 27001 : historique et objectif

Reprenant les bases de la BS 7799-2, la norme ISO 27001 a été publiée pour la première fois en novembre 2005, et révisée en 2013. Posant les bases du management de la sécurité de l’information dans une organisation, elle intègre également les principes du management de la norme ISO 9001 et du PDCA (Plan, Do, Check et Act) de l’amélioration continue. Parce que ses exigences sont d’ordre générique, la norme ISO 27001 peut s’appliquer à tous les types d’organisation, quelle que soit sa taille ou sa nature (commerciale ou non).

L’objectif de la norme ISO 27001 est donc de gérer les risques en protégeant la confidentialité et la disponibilité des informations dans une organisation. Elle œuvre à mettre en place les bonnes pratiques en matière de protection des données par des mesures aussi bien organisationnelles que techniques. Par ailleurs, la norme ISO 27001 n'impose pas une méthode spécifique d’appréciation des risques mais des critères de reproductibilité. Ainsi, les organisations ont le choix entre adapter l'ISO 27005 à leurs besoins, ou opter pour l’une des méthodes connues comme EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise en place par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Mise à jour de la norme ISO 27001 : passage de la version 2013 à ISO 27001:2022

La norme ISO 27001 a fait l’objet d’une mise à jour majeure avec la publication de la version ISO/IEC 27001:2022, afin de répondre à l’évolution rapide des risques liés à la transformation numérique des organisations. Dans sa nouvelle version, la norme prend notamment en compte la généralisation du cloud computing, l’essor du télétravail et l’intensification des menaces cyber, qui ont profondément modifié les environnements de travail et les systèmes d’information.

Depuis octobre 2023, il n’était plus possible d’obtenir une certification en version 2013. Les organisations déjà certifiées disposaient toutefois d’une période de transition de trois ans, avec une échéance fixée à octobre 2025, pour faire évoluer leur Système de Management de la Sécurité de l’Information (SMSI) vers la version 2022.

La version 2022 renforce par ailleurs l’intégration de la cybersécurité et de la protection de la vie privée, comme en témoigne l’intitulé élargi de la norme : « Sécurité de l'information, cybersécurité et protection de la vie privée – Mesures de sécurité de l'information ». Elle introduit des ajustements significatifs dans le corps de la norme, notamment un accent accru sur la surveillance des objectifs de sécurité, la planification des changements du SMSI, le renforcement de la communication et l’élargissement de la revue de direction aux attentes des parties prenantes.

Annexe A

L’annexe A a également été profondément réorganisée, avec des mesures de sécurité désormais structurées autour de quatre grands thèmes (organisationnels, humains, physiques et technologiques) et enrichies de nouveaux contrôles, tels que l’intelligence des menaces, la prévention des fuites de données ou encore la surveillance de la sécurité physique.

Lien entre la norme ISO 27001 et la réglementation DORA

La norme ISO/IEC 27001 pose le socle de la gouvernance sécurité et est orientée SMSI. Elle repose sur une démarche volontaire pour toutes les organisations.

La réglementation européenne DORA (Digital Operational Resilience Act) s’appuie sur la norme ISO 27001 et impose des exigences réglementaires contraignantes en matière de résilience opérationnelle numérique pour les acteurs concernés (secteur de la Finance).

Les deux cadres s’appuient sur une approche basée sur les risques, encouragent la mise en place de contrôles de sécurité adaptés, structurent la gestion des incidents et des fournisseurs, et s’inscrivent dans une logique d’amélioration continue. À ce titre, une organisation disposant déjà d’un SMSI conforme à ISO 27001 bénéficie d’une base solide pour répondre aux exigences de DORA.

La conformité à DORA exige d’aller plus loin sur certains aspects réglementaires spécifiques, tels que la notification des incidents aux autorités compétentes ou l’encadrement formel des relations avec les prestataires de services critiques.

Visitez notre page sur l'ISO 27001

Contact : 04 26 78 24 86 | Suivez-nous sur LinkedIn logo

© AlgoSecure 2026 -
Mentions légales -
Politique de confidentialité -
Démarche RSE -
Glossaire

Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.

Nous utilisons des cookies afin de suivre votre visite sur notre site,
en accord avec les recommandations de la CNIL.
Vous pouvez consulter notre politique de confidentialité pour plus d'informations.