La certification ISO 27001 est devenue un prérequis commercial pour beaucoup d'entreprises : sans elle, certains appels d'offres se ferment, et de grands comptes refusent d'intégrer un fournisseur non certifié à leur chaîne. Dans le cloud, la démarche change de nature. Une partie des exigences est déjà couverte par Azure ou AWS, mais l'essentiel du travail, la configuration, la gouvernance et la preuve, reste de votre côté. Cette page explique ce que certifie réellement l'ISO 27001, comment le référentiel 2022 s'applique à une infrastructure Azure ou AWS, la démarche étape par étape, et le budget indicatif à prévoir.
- ISO/IEC 27001:2022
- SMSI / ISMS
- Annexe A : 93 mesures
- Déclaration d'applicabilité
- Organisme accrédité COFRAC
- ISO 27001 certifie un système de management de la sécurité de l'information (SMSI), pas un simple outil technique.
- Dans le cloud, la responsabilité est partagée : Azure et AWS sont déjà certifiés pour leur infrastructure, votre périmètre applicatif reste à sécuriser et à prouver.
- La version 2022 compte 93 mesures en Annexe A, réparties en 4 thèmes.
- La certification est délivrée par un organisme accrédité (COFRAC en France), au terme d'un audit en deux étapes, sur un cycle de 3 ans.
- Prévoyez un accompagnement de préparation du périmètre cloud de 3 à 10 jours (budget indicatif 7 000 à 18 000 €, selon le périmètre).
Qu'est-ce que la certification ISO 27001 dans le cloud ?
ISO/IEC 27001 est la norme internationale de référence pour le management de la sécurité de l'information. Elle ne décrit pas une technologie : elle définit les exigences d'un SMSI (Système de Management de la Sécurité de l'Information), c'est-à-dire un dispositif organisé, documenté et amélioré en continu, qui identifie les risques pesant sur vos informations et met en place les mesures pour les réduire à un niveau acceptable.
La certification atteste qu'un organisme accrédité indépendant a vérifié que ce dispositif existe, fonctionne et est réellement appliqué sur un périmètre défini. C'est cette preuve par un tiers qui a de la valeur commerciale, bien plus que la simple présence de mesures techniques.
Dans un contexte cloud, un malentendu revient constamment : croire que « héberger chez un fournisseur certifié ISO 27001 » rend automatiquement conforme. C'est faux. La certification d'Azure ou d'AWS couvre leur part du service, pas la vôtre. Votre SMSI doit couvrir la façon dont vous configurez, exploitez et gouvernez votre environnement.
L'erreur la plus fréquente. « Notre cloud est chez AWS, donc nous sommes ISO 27001. » Non : la certification du fournisseur porte sur ses datacenters et ses services managés. Vos comptes, vos identités, vos configurations et vos procédures forment un périmètre distinct, qui doit être audité séparément.
ISO 27001 et cloud : le partage des responsabilités
Le modèle de responsabilité partagée est la clé de lecture de toute conformité cloud. Il répartit les obligations entre le fournisseur et le client, et cette frontière se déplace selon le type de service (IaaS, PaaS, SaaS).
-
Le fournisseur cloud
Azure et AWS sont certifiés ISO 27001 pour leurs datacenters et services managés : sécurité physique, redondance, maintenance et exploitation de la plateforme.
-
Vous, le client
Configuration, gestion des identités et des accès, chiffrement, journalisation, sauvegardes, gouvernance et procédures : votre périmètre reste sous votre responsabilité et votre preuve.
-
Notre réseau
Nous cadrons votre besoin et vous mettons en relation avec des prestataires qualifiés qui outillent ce périmètre et préparent les preuves attendues par l'auditeur.
Concrètement, le fait que l'infrastructure soit certifiée vous fait gagner du temps : vous pouvez réutiliser les attestations du fournisseur (disponibles dans le portail de confiance d'Azure ou dans AWS Artifact) comme éléments d'entrée de votre propre analyse de risques. Mais elles ne remplacent jamais votre SMSI.
L'Annexe A 2022 : 93 mesures, 4 thèmes
La révision 2022 de la norme a réorganisé les mesures de sécurité de l'Annexe A. On passe de 114 mesures en 14 domaines (version 2013) à 93 mesures réparties en 4 thèmes. Cette structure est plus lisible et se projette bien sur une architecture cloud.
- 93mesures de sécurité (Annexe A 2022)
- 4thèmes : organisationnel, humain, physique, technologique
- 3 anscycle de certification, audits de surveillance annuels
- 2étapes d'audit initial : revue documentaire puis audit approfondi
La répartition des 93 mesures montre où se concentre l'effort. Le poids des mesures organisationnelles et technologiques est déterminant dans le cloud, où presque tout se gouverne par la configuration et la politique plutôt que par le matériel.
Quelques exemples de mesures projetées sur Azure et AWS :
- Gestion des identités et des accès : rôles au moindre privilège via Entra ID (Azure) ou IAM Identity Center (AWS), authentification multifacteur systématique, revue périodique des droits.
- Journalisation et surveillance : centralisation des journaux (Azure Monitor, AWS CloudTrail), conservation, alertes et détection via Microsoft Defender for Cloud ou Amazon GuardDuty.
- Chiffrement : chiffrement au repos et en transit, gestion des clés (Azure Key Vault, AWS KMS).
- Continuité : sauvegardes testées, plan de reprise, redondance multi-zones. Le sujet est traité en détail sur notre page PRA cloud.
- Sécurité du développement : intégration des contrôles dans la chaîne CI/CD, sujet développé sur DevSecOps cloud.
La démarche de mise en conformité, étape par étape
Une certification ISO 27001 ne s'improvise pas. Elle suit une trajectoire structurée, dont voici les grandes étapes appliquées à un périmètre cloud.
- Cadrage du périmètre (scope) Définir ce que couvre le SMSI : quelles applications, quelles données, quels comptes cloud et quelles équipes. Un périmètre trop large alourdit l'effort, un périmètre trop étroit perd sa valeur commerciale.
- Analyse des risques Identifier les menaces sur le périmètre, évaluer leur probabilité et leur impact, puis décider du traitement (réduire, accepter, transférer, éviter).
- Déclaration d'applicabilité (SoA) Justifier, mesure par mesure, l'inclusion ou l'exclusion de chacune des 93 mesures de l'Annexe A. C'est le document central de l'audit.
- Mise en œuvre Déployer les mesures techniques et organisationnelles retenues sur l'environnement Azure ou AWS, en versionnant les configurations en Infrastructure as Code pour la traçabilité.
- Audit interne et revue de direction Vérifier en interne l'efficacité du SMSI et lever les écarts avant l'audit externe.
- Audit de certification (étapes 1 et 2) Un organisme accrédité examine la documentation (étape 1) puis l'application réelle sur site (étape 2), avant de délivrer le certificat, suivi d'audits de surveillance annuels sur un cycle de 3 ans.
Le bon réflexe cloud. Décrivez votre infrastructure en Infrastructure as Code (Terraform, Bicep) dès le départ. Une configuration versionnée est auto-documentée, reproductible et bien plus simple à prouver devant un auditeur qu'un environnement modifié à la main.
ISO 27001 face aux autres référentiels
ISO 27001 n'est pas la seule exigence que rencontrent les entreprises. Selon votre secteur et vos marchés, d'autres référentiels s'ajoutent ou se substituent. Voici comment les situer.
| Référentiel | Nature | Qui le demande | Portée |
|---|---|---|---|
| ISO 27001 | Certification internationale d'un SMSI | Grands comptes, appels d'offres, international | Management de la sécurité, tous secteurs |
| SOC 2 | Rapport d'attestation (Trust Services) | Clients nord-américains, éditeurs SaaS | Contrôles opérationnels sur une période |
| HDS | Certification d'hébergement | Données de santé en France | Hébergeur de données de santé |
| RGPD | Règlement européen | Toute donnée personnelle | Protection des données, obligations légales |
| DORA | Règlement européen | Finance et assurance | Résilience opérationnelle numérique |
| NIS2 | Directive européenne | Entités essentielles et importantes | Cybersécurité, gouvernance du risque |
ISO 27001 sert souvent de socle : une bonne partie des mesures attendues par SOC 2, HDS ou DORA se recoupe avec l'Annexe A. Construire un SMSI solide facilite ensuite les autres démarches. Le panorama complet est traité sur notre page conformité cloud, et la sécurisation technique du socle sur sécurisation d'infrastructure cloud.
Budget, durée et livrables
Le coût d'une mise en conformité dépend surtout du périmètre et de la maturité de départ. Une startup qui structure son cloud tôt avancera plus vite qu'une organisation dont l'environnement s'est construit sans gouvernance. Les repères ci-dessous concernent la préparation du périmètre cloud et l'outillage des preuves, hors coût de l'organisme certificateur.
- 3 à 10 jpréparation du périmètre cloud (selon maturité)
- 7 à 18 k€budget indicatif, sur devis selon le périmètre
- SoAdéclaration d'applicabilité, pièce maîtresse de l'audit
- IaCconfigurations versionnées, réutilisables comme preuves
Ces montants sont un budget indicatif, présentés en fourchette et confirmés sur devis selon votre périmètre. Ils ne constituent pas un prix ferme. Le coût de l'audit de certification lui-même est facturé séparément par l'organisme accrédité que vous retenez.
Notre rôle : vous mettre en relation, pas délivrer le certificat
Architecte Cloud est un intermédiaire indépendant. Nous ne délivrons pas la certification, qui relève d'un organisme accrédité, et nous ne réalisons pas nous-mêmes les prestations techniques. Nous cadrons votre besoin, clarifions le périmètre, et vous mettons en relation avec des prestataires et experts qualifiés de notre réseau qui préparent votre environnement Azure ou AWS et outillent les preuves attendues. Vous restez pleinement propriétaire de votre infrastructure et de votre documentation.
FAQ : ISO 27001 dans le cloud
Héberger chez un fournisseur certifié ISO 27001 suffit-il ?
Non. La certification d'Azure ou d'AWS couvre leur infrastructure et leurs services managés, pas votre usage. Vous devez disposer de votre propre SMSI couvrant vos comptes, vos configurations, vos accès et vos procédures. Les attestations du fournisseur sont un élément d'entrée utile, jamais une conformité automatique.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est la norme certifiable : elle définit les exigences du SMSI. ISO 27002 est un guide de bonnes pratiques qui détaille la mise en œuvre des mesures de l'Annexe A. On ne se certifie pas ISO 27002 ; on s'en sert pour appliquer ISO 27001.
Combien de temps faut-il pour être certifié ?
De la décision à l'obtention du certificat, il faut généralement plusieurs mois, le temps de construire le SMSI, de le faire vivre puis de passer l'audit. La préparation du périmètre cloud proprement dit représente un accompagnement de l'ordre de 3 à 10 jours, mais la maturité du SMSI se démontre sur la durée.
Qu'est-ce que la déclaration d'applicabilité (SoA) ?
C'est le document qui liste les 93 mesures de l'Annexe A et justifie, pour chacune, si elle s'applique ou non à votre périmètre, et comment elle est mise en œuvre. C'est la pièce centrale examinée par l'auditeur.
Quelle version de la norme viser aujourd'hui ?
La version en vigueur est ISO/IEC 27001:2022, avec ses 93 mesures en 4 thèmes. Les organisations certifiées sur la version 2013 disposent d'une période de transition pour migrer. Toute nouvelle démarche doit viser la version 2022.
Azure et AWS sont-ils tous les deux certifiés ISO 27001 ?
Oui, les deux fournisseurs publient des certificats ISO 27001 pour leurs services. Vous pouvez récupérer ces attestations dans leurs portails de confiance respectifs et les intégrer à votre dossier comme preuve de la part fournisseur du modèle de responsabilité partagée.
ISO 27001 remplace-t-il le RGPD ?
Non. Ce sont deux logiques différentes : ISO 27001 est une démarche de management de la sécurité, le RGPD est une obligation légale de protection des données personnelles. Elles se complètent, et un bon SMSI facilite la conformité RGPD sans s'y substituer.
Faut-il un organisme accrédité pour être certifié ?
Oui. Seul un organisme de certification accrédité (en France, sous accréditation COFRAC) peut délivrer un certificat ISO 27001 reconnu. Un accompagnement de préparation, comme celui que coordonnent les prestataires de notre réseau, est distinct de l'audit de certification lui-même, pour préserver l'indépendance de l'auditeur.
Peut-on certifier seulement une partie de son SI ?
Oui. Le périmètre du SMSI se définit librement : une plateforme, un service, une entité. Un périmètre bien choisi couvre ce qui a de la valeur pour vos clients tout en restant maîtrisable. Trop large, il devient coûteux ; trop étroit, il perd sa portée commerciale.
Comment le cloud facilite-t-il la certification ?
Bien gouverné, le cloud est un atout : l'Infrastructure as Code rend les configurations traçables et reproductibles, la journalisation centralisée fournit des preuves, et les services de sécurité managés couvrent nativement plusieurs mesures. Mal gouverné, il ajoute au contraire du risque. Tout dépend de la configuration, précisément le point sur lequel se concentre la préparation.
Vous visez une certification ISO 27001 sur un périmètre Azure ou AWS ? Faites le point en 2 minutes avec notre diagnostic en ligne, ou échangez avec notre équipe : nous vous orientons vers des prestataires disposant des certifications requises.