En une phrase. Obtenir la certification ISO/IEC 27001 en France prend généralement 6 à 18 mois et coûte 30 000 à 80 000 € la première année pour une PME/ETI (audit de certification par un organisme accrédité COFRAC comme AFNOR Certification, LNE ou Bureau Veritas, plus accompagnement et outillage), pour un certificat valable 3 ans avec audits de surveillance annuels.
ISO 27001 est devenue le passage obligé des éditeurs SaaS, ESN et prestataires B2B français : les grands comptes l’exigent dans leurs appels d’offres, DORA et NIS2 en font un accélérateur de conformité, et elle structure la réponse à l’article 32 du RGPD (sécurité des traitements).
Cet article donne les chiffres réels — jours d’audit, budgets, durées — et la démarche pas à pas, version ISO/IEC 27001:2022 (la transition depuis la version 2013 est close depuis le 31 octobre 2025 : tout certificat est désormais sur la version 2022).
Points clés
- Coût première année : 30 à 80 k€ pour une PME/ETI (certification + accompagnement), dont 10 à 30 k€ pour l’organisme certificateur.
- Durée : 6 à 18 mois entre le lancement et le certificat, selon la maturité initiale.
- Cycle de 3 ans : audit initial (étapes 1 et 2), surveillance annuelle, renouvellement.
- Version en vigueur : ISO/IEC 27001:2022, 93 mesures en annexe A réparties en 4 thèmes (organisationnel, personnel, physique, technologique).
- Choisir un organisme accrédité COFRAC (ou équivalent européen) — un certificat non accrédité a peu de valeur en appel d’offres.
1. Ce que certifie ISO 27001 (et ce qu’elle ne certifie pas)
ISO 27001 certifie un système de management de la sécurité de l’information (SMSI) : une organisation qui identifie ses risques, décide des mesures, les applique et s’améliore en continu. Elle ne certifie pas que vos produits sont « sécurisés » ni que vous êtes conforme au RGPD — même si le recouvrement est réel (voir notre analyse ISO 27001 vs RGPD).
Le périmètre est déclaratif : on peut certifier une business unit, un service cloud, un site. Les acheteurs avisés lisent le périmètre et la déclaration d’applicabilité (DdA/SoA) avant de s’extasier sur le logo.
2. Le coût réel en France
Trois postes :
Audit de certification (incompressible)
Le nombre de jours d’audit est cadré par la norme ISO/IEC 27006 en fonction de l’effectif dans le périmètre. Ordres de grandeur constatés en France :
| Effectif du périmètre | Audit initial (étapes 1+2) | Coût certificateur 1re année |
|---|---|---|
| 10-50 salariés | 5 à 8 jours | 8 000 – 15 000 € |
| 50-200 salariés | 8 à 14 jours | 12 000 – 25 000 € |
| 200-500 salariés | 14 à 20 jours | 20 000 – 35 000 € |
Ajouter chaque année un audit de surveillance (environ un tiers de l’audit initial), puis un audit de renouvellement en année 3.
Accompagnement et mise à niveau
C’est le poste variable : 15 à 50 k€ selon la maturité (analyse de risques, rédaction de la PSSI et des politiques, audit à blanc, formation). Une organisation qui a déjà structuré sa conformité RGPD — registre, cartographie des données, gestion des sous-traitants — réduit sensiblement cette facture, car le SMSI réutilise ces briques.
Outillage et temps interne
Compter 0,3 à 1 ETP pendant le projet (RSSI ou responsable qualité), plus l’outillage (gestion documentaire, suivi des risques et des non-conformités). Total réaliste première année pour une PME SaaS de 60 personnes : 40 à 60 k€ tout compris.
3. Les organismes certificateurs en France
Les principaux organismes délivrant ISO 27001 sous accréditation en France : AFNOR Certification, LNE, Bureau Veritas Certification, BSI Group France, SGS, DNV, DEKRA Certification, Apave Certification. Vérifiez l’accréditation sur cofrac.fr (ou l’accréditation étrangère équivalente, UKAS ou DAkkS, membre de l’IAF).
Critères de choix : accréditation effective pour l’ISO 27001, connaissance de votre secteur, disponibilité des auditeurs, et cohérence si vous visez ensuite des référentiels qui s’appuient sur ISO 27001 — la certification HDS pour les données de santé, ou la qualification SecNumCloud pour le cloud de confiance, sachant que choisir entre ISO 27001 et SecNumCloud dépend d’abord de vos enjeux de souveraineté.
4. La démarche pas à pas
- Cadrage (mois 1) : périmètre, sponsor, analyse d’écart initiale.
- Analyse de risques (mois 2-4) : méthode libre — beaucoup d’organisations françaises utilisent EBIOS Risk Manager ; identification des actifs, événements redoutés, plan de traitement.
- Déclaration d’applicabilité : position sur chacune des 93 mesures de l’annexe A (2022), justification des exclusions.
- Mise en œuvre (mois 4-10) : politiques, procédures, mesures techniques (contrôle d’accès, sauvegardes, journalisation, continuité d’activité), sensibilisation.
- Fonctionnement du SMSI : il faut des preuves de fonctionnement — revue de direction, audit interne, gestion des incidents, indicateurs. Les certificateurs attendent en général 3 mois minimum de vie du SMSI avant l’audit.
- Audit étape 1 : revue documentaire et de préparation.
- Audit étape 2 : audit sur site/à distance, entretiens, échantillonnage des preuves. Les non-conformités majeures bloquent ; les mineures font l’objet d’un plan d’action.
- Certification, puis surveillance annuelle et renouvellement à 3 ans.
Le maintien est le vrai sujet : un SMSI vivant suppose de tenir à jour l’inventaire des actifs, les risques, les fournisseurs et les incidents. C’est exactement le type de charge documentaire récurrente qu’une plateforme comme Legiscope automatise en mutualisant le socle ISO 27001 avec le registre et la cartographie RGPD — une seule base, plusieurs référentiels.
5. ISO 27001 et les réglementations françaises et européennes
- RGPD : l’article 32 exige des mesures « appropriées » ; un SMSI certifié est un élément de démonstration puissant en cas de contrôle CNIL, sans valoir présomption de conformité.
- NIS2 : les mesures de l’article 21 recouvrent très largement l’annexe A ; la certification facilitera la démonstration de conformité vis-à-vis de l’ANSSI.
- DORA : le cadre de gestion du risque TIC s’appuie naturellement sur un SMSI existant.
- HDS : le référentiel de certification des hébergeurs de données de santé est construit sur ISO 27001, complétée d’exigences spécifiques.
FAQ
Combien coûte la certification ISO 27001 pour une petite structure ?
Pour une structure de 10 à 30 personnes avec une bonne maturité initiale : 8 à 15 k€ d’organisme certificateur la première année, 10 à 25 k€ d’accompagnement si nécessaire — soit 20 à 40 k€ au total, puis 5 à 10 k€/an de surveillance et de maintien.
Combien de temps faut-il pour être certifié ?
De 6 mois (organisation déjà structurée, périmètre restreint) à 18 mois (partir de zéro). Le chemin critique n’est pas la documentation mais les preuves de fonctionnement : audit interne, revue de direction, indicateurs sur plusieurs mois.
La certification ISO 27001 est-elle obligatoire en France ?
Non, elle est volontaire. Mais elle devient contractuellement incontournable dans le B2B, et elle est le socle de référentiels obligatoires dans certains secteurs (HDS pour l’hébergement de données de santé). NIS2 pourrait par ailleurs conduire l’ANSSI à s’appuyer sur des certifications pour alléger ses contrôles.
ISO 27001:2013 est-elle encore valable ?
Non. La période de transition s’est achevée le 31 octobre 2025 : tous les certificats sont désormais délivrés et maintenus sur la version 2022, avec ses 93 mesures d’annexe A (dont 11 nouvelles : renseignement sur les menaces, sécurité du cloud, prévention des fuites de données, codage sécurisé…).
Conclusion
ISO 27001 est un investissement rationnel dès que la sécurité devient un argument commercial ou une exigence réglementaire : 30 à 80 k€ la première année, contre des cycles de vente débloqués et une conformité NIS2/DORA/RGPD accélérée. Les deux facteurs de réussite : un périmètre honnête (certifier ce qui compte, pas une vitrine) et un SMSI outillé pour vivre au-delà de l’audit. La certification n’est pas la fin du projet — c’est le début du cycle.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial