Cybersécurité : ces certifications ISO méconnues qui rassurent les clients
Les normes produites par l'organisation internationale de normalisation (ISO) sont souvent des référentiels reconnus par l'ensemble des acteurs qu'elles concernent. "Elles favorisent un certain niveau international de confiance entre ceux qui les adoptent", résume Roland Atoui, directeur général de Red Alert Labs, laboratoire de cybersécurité. Certaines normes ISO portent spécifiquement sur la cybersécurité. Il en va ainsi de la norme ISO 27001, la plus connue de toutes tant elle rassure les clients sur ceux qui l'obtiennent. Connaissant actuellement "une croissance à deux chiffres en termes d'obtention", précise Julien Bruant, directeur général de LSTI, un organisme d'évaluation à la conformité en cybersécurité, cette norme publiée en 2005 définit des mesures qui garantissent un niveau élevé de protection d'un système d'information. Toutefois, d'autres normes ISO certifiantes concernent aussi la cybersécurité. Moins connues, elles sont néanmoins utiles à obtenir pour rassurer les clients.
20000, 22301, 27701… Il n'y a pas que l'ISO 27001
"La norme ISO 27001 est centrique : c'est le soleil autour duquel gravitent d'autres normes ISO certifiantes. Celles-ci apportent un certain nombre de spécificités qui précisent certaines exigences de la norme 27001, qui est assez généraliste. Elles sont intéressantes à obtenir car elles démontrent à des clients et prospects que certaines exigences ont été approfondies", considère Olivier Lavaux, responsable de la sécurité des systèmes d'information de Numspot. Ces normes ISO certifiantes, qui peuvent donc aboutir à la délivrance d'une certification quand elles sont respectées, sont la 20000, la 22301 et la 27701, selon Julien Bruant.
La norme certifiante ISO 20000, dont la première version a été publiée en 2005, définit les exigences pour la mise en œuvre d'un système de management des services (SMS). Un SMS est l'ensemble des processus documentés mis en place pour planifier, exploiter, contrôler et améliorer les services informatiques d'une organisation. Elle contient quinze exigences dont plusieurs sont relatives à la cybersécurité. Elle impose la protection de la confidentialité, l'intégrité et la disponibilité des informations au sein du SMS. Pour cela, ses exigences couvrent notamment la gestion des incidents de sécurité, la continuité des services, la maîtrise des changements pour éviter l'introduction de vulnérabilités, ou encore le contrôle des fournisseurs pour sécuriser de la supply chain numérique. Elle s'adresse autant aux entreprises désireuses de prouver la gestion efficace de leurs services informatiques qu'aux fournisseurs de ces services comme les infogérants.
De son côté, la norme certifiante 22301, dont la première version a été publiée en 2012, définit des exigences pour mettre en œuvre un système de management de la continuité d'activité (SMCA). Son objectif est d'aider les organisations à préparer, maintenir et restaurer leurs activités critiques face à tout type d'incident. Le SMCA comprend donc une politique de continuité d'activité, une évaluation des risques, des plans de continuité et de reprise d'activité ou encore des tests réguliers de ces dispositifs. Il intègre pleinement le risque cyber dans la continuité d'activité : les scénarios de cyberattaques doivent être évalués, la gestion de crise cyber doit être testée, etc.
"En ce moment, cette norme est intéressante car on parle de plus en plus de cyber-résilience. La continuité d'activité est donc centrale dans les organisations. C'est le sujet de demain : il y a désormais beaucoup d'équipes, dans les entreprises, qui se sont spécialisées dans la gestion de crise et la continuité d'activité", précise Florence Exmelin, consultante en gouvernance, risques et conformité chez Almond, société de conseil en cybersécurité. Les organisations visées par la directive NIS 2 et le règlement Dora ont donc tout intérêt à obtenir cette certification tant ces textes érigent la continuité d'activité en obligation.
Quant à la norme certifiante 27701, publiée en août 2019, elle définit les exigences pour mettre en œuvre un système de management de la protection de la vie privée (PIMS). Le PIMS indique plusieurs processus à respecter comme le contrôle de la gestion des accès, le chiffrement et la sauvegarde des données, la journalisation des événements, la protection de la vie privée dès la conception et par défaut, la désignation d'un délégué à la protection des données, etc. Inspirée du Règlement général de la protection des données, elle contient aussi de nombreux principes issus de ce texte comme la minimisation qui prévoit que le traitement des données personnelles doit être adéquat, pertinent et limité à ce qui est nécessaire au regard de sa finalité. Toutefois, l'organisation qui souhaite l'obtenir doit posséder un SMSI et être conforme à la norme ISO 27001.
De plus en plus d'organisations adoptent cette norme, selon Matthieu Guilpin, responsable de la sécurité des systèmes d'information de Jus Mundi, une société qui propose un agent IA spécialisé en droit international. Celles-ci doivent souvent démontrer qu'elles respectent la confidentialité des données comme les cabinets d'avocat, les banques, assurances, cliniques, laboratoires, etc.
L'ISO 42001, la future norme pour l'IA ?
Première norme internationale relative à la gestion de l'IA et publiée en 2023, la norme certifiante ISO 42001 définit la manière de mettre en place un système de gestion de l'IA pour maîtriser ses risques. Ceux-ci peuvent être éthiques, comme les biais algorithmiques, ou relatifs à la sécurité, comme la fuite de données ou les problèmes de confidentialité. Cette norme prescrit aussi des mesures pour effectuer des analyses des risques de l'IA, une documentation pour la surveiller, etc.
La certification est destinée aux organisations qui conçoivent, développent ou utilisent de manière importante l'IA et qui doivent démontrer à leurs clients que leur gestion de celle-ci est sécurisée. Jus Mundi est la première organisation française à l'avoir obtenue, en juillet 2025. Cependant, Matthieu Guilpin estime que de plus en plus d'organisations vont l'adopter : "On pense que cette certification va devenir un indispensable comme la norme ISO 27001, mais pour la gestion de l'IA. En tout cas, c'est notre vision du marché actuel et futur. Et pour cause, on sent une inquiétude des clients vis-à-vis de l'IA. Cette certification nous permet donc d'être précurseur en la matière, de démontrer que l'on possède une IA responsable, et d'en faire un argument commercial."
Comment obtenir ces certifications ?
L'organisation qui souhaite obtenir l'une de ces certifications doit en faire la demande auprès d'un organisme certificateur comme LSTI ou l'Afnor. En France, cet organisme doit être accrédité par le Comité français d'accréditation. "Quand on reçoit la demande d'une entreprise, on l'analyse, on cherche à comprendre le périmètre qu'elle souhaite certifier et on vérifie qu'on a bien la compétence pour y répondre. Cette analyse est très normée car elle fait l'objet de la norme ISO 27006 qui définit la manière de mener un audit. Ensuite, on audite en fonction des critères de la norme certifiante voulue. Un rapport est établi qui dresse une liste de non-conformités majeures et mineures. Une non-conformité majeure empêche d'obtenir la certification. Ce n'est pas le cas des non-conformités mineures. Toutefois, elles doivent être corrigées car si elles sont de nouveau repérées un an après, lors de la surveillance, alors elles peuvent être requalifiées en non-conformité majeure. La durée de l'évaluation peut aller de quelques jours à quelques dizaines de jours pour les plus grandes entreprises", précise Julien Bruant.
Une certification dure trois ans. Toutefois, l'organisme certificateur qui l'a délivrée vérifie chaque année que l'entreprise qui l'a obtenue y est toujours conforme, "dans une logique d'amélioration continue", précise Julien Bruant. Quant au prix de l'audit, il est très variable selon la taille de l'entreprise et le périmètre qu'elle souhaite certifier. "Dans une entreprise de 100 personnes, si le périmètre à certifier ne concerne que 10 salariés, l'audit durera quelques jours et coûtera peut-être 8 000 euros".