Transition ISO 27001:2022 : ce qui a changé, et pourquoi votre PME ne peut plus attendre
Transition ISO 27001:2022 : ce qui a changé, et pourquoi votre PME ne peut plus attendre
La deadline est passée. Et maintenant ?
Octobre 2025 est derrière nous. Si votre PME est encore certifiée ISO 27001:2013, votre certificat n'a plus aucune valeur. Ce n'est pas une exagération — c'est le calendrier officiel de l'IAF. Les organismes de certification ne reconnaissent plus l'ancienne version. Concrètement, si un client ou un donneur d'ordre vous demande une preuve de certification ISO 27001, vous n'en avez plus. Dans un contexte où 67 % des entreprises ont perdu des contrats en 2024 faute de conformité suffisante (Marsh McLennan), ce n'est pas un détail administratif — c'est un risque commercial direct. Et si vous pensiez que la transition pouvait attendre encore un trimestre, sachez que chaque mois sans certification valide est un mois où vous perdez des appels d'offres. Si vous n'êtes pas sûr de votre niveau actuel, testez votre conformité ISO 27001 en 5 minutes.
Qu'est-ce qui a réellement changé dans la version 2022 ?
La révision ISO 27001:2022 ne bouleverse pas la structure du système de management (clauses 4 à 10). Les ajustements sont mineurs : planification des changements, meilleure prise en compte des parties intéressées. Le vrai changement est dans l'Annexe A. On passe de 114 contrôles répartis en 14 domaines à 93 contrôles organisés en 4 thèmes : organisationnel, humain, physique et technologique. Onze contrôles sont entièrement nouveaux. Parmi eux : la sécurité du cloud, la prévention des fuites de données (DLP), le filtrage web, et surtout — le renseignement sur les menaces (threat intelligence). Ce dernier point est significatif : il exige désormais une veille active sur les menaces, pas simplement une posture réactive. Pour une PME sans équipe sécurité dédiée, c'est un défi concret que le coût de ne pas être conforme dépasse largement.
Pourquoi ces 11 nouveaux contrôles changent la donne pour les PME ?
Voici les contrôles ajoutés qui impactent le plus les PME :
| Contrôle | Ce qu'il exige | Impact PME |
|---|---|---|
| A.5.7 — Renseignement sur les menaces | Veille active et structurée sur les cybermenaces | Nécessite des outils ou un service externe |
| A.5.23 — Sécurité cloud | Politique de sécurité spécifique aux services cloud | Critique si vous utilisez Microsoft 365, AWS, etc. |
| A.5.30 — Préparation TIC pour la continuité | Tests de continuité spécifiques aux systèmes IT | Un plan de réponse aux incidents structuré devient obligatoire |
| A.8.9 — Gestion de la configuration | Configurations documentées et contrôlées | Fini le « ça marche, on n'y touche pas » |
| A.8.10 — Suppression des données | Processus vérifié de suppression des informations | Alignement direct avec le RGPD |
| A.8.11 — Masquage des données | Protection des données dans les environnements de test | Pertinent dès que vous testez avec des données réelles |
| A.8.12 — Prévention des fuites de données | Mesures techniques contre l'exfiltration | Exige des outils de surveillance actifs |
Ces contrôles ne sont pas optionnels. Si vous déclarez l'un d'eux non applicable, il faudra le justifier de manière auditable.
Combien coûte une transition ISO 27001:2022 par les voies classiques ?
Soyons directs sur les chiffres. Un projet de transition ISO 27001 classique implique un consultant GRC (800 à 1 500 €/jour), un audit de transition par l'organisme certificateur (3 000 à 8 000 €), et entre 6 et 12 mois de travail interne pour mettre à jour les politiques, la déclaration d'applicabilité (SoA), les analyses de risques et les preuves. Pour une PME de 50 personnes, le budget total se situe entre 15 000 et 45 000 €. À comparer avec le coût moyen d'un incident cyber : 345 000 $ (Atlantic Digital). Ou avec le prix d'une plateforme de conformité comme Vanta ou Drata : entre 7 500 et 50 000 €/an — sans l'IT managé. Pour comparer objectivement ce que vous payez aujourd'hui, un calcul rapide s'impose avant de choisir votre approche.
Quel est le processus concret de recertification ?
La recertification ISO 27001:2022 suit un chemin balisé, mais chaque étape demande de la rigueur. Premièrement, réalisez une analyse de gaps entre votre SoA actuelle (version 2013) et les 93 contrôles de la version 2022. Deuxièmement, mettez à jour votre déclaration d'applicabilité et votre traitement des risques pour intégrer les 11 nouveaux contrôles. Troisièmement, implémentez les contrôles manquants — c'est souvent l'étape la plus longue. Quatrièmement, réalisez un audit interne complet contre la nouvelle version. Cinquièmement, passez la revue de direction. Sixièmement, planifiez l'audit de transition avec votre organisme certificateur. La difficulté pour les PME n'est pas la complexité technique de chaque étape — c'est le temps cumulé. Un dirigeant ou un responsable IT seul ne peut pas absorber ce volume en parallèle de ses responsabilités quotidiennes.
Pourquoi 80 % des PME ne sont toujours pas prêtes ?
Selon le rapport Cybermalveillance 2025, 80 % des TPE-PME ne sont pas préparées face aux exigences de cybersécurité actuelles. Ce chiffre n'est pas surprenant quand on comprend la réalité terrain : pas d'équipe sécurité, pas de RSSI, souvent un seul administrateur IT qui jongle avec tout. La conformité est perçue comme un projet à part, coûteux et chronophage, déconnecté des opérations quotidiennes. C'est exactement le problème. La conformité ne devrait pas être un projet — votre conformité est le sous-produit naturel de votre bonne gestion IT. Si vos configurations sont documentées, vos accès contrôlés, vos sauvegardes testées et vos incidents tracés, vous êtes déjà à 70 % du chemin. Le problème, c'est que la plupart des PME font ces choses de manière informelle, sans les preuves auditables qu'exige ISO 27001.
Et si la transition ne prenait pas 12 mois mais 30 jours ?
C'est ici que l'approche change. Une analyse de gaps assistée par IA peut scanner votre infrastructure, vos configurations cloud, vos politiques existantes et produire un premier rapport en 48 heures — pas en 3 semaines de consulting. La connexion initiale prend 45 minutes. L'IA identifie automatiquement quels contrôles de l'Annexe A sont déjà couverts par votre environnement technique, lesquels nécessitent des ajustements, et lesquels manquent complètement. Au lieu de payer un consultant pour découvrir ce que vos outils font déjà, vous commencez directement par les actions correctives. Résultat : une conformité complète en 30 jours au lieu de 6 à 12 mois. Pas parce que l'IA fait des raccourcis — mais parce qu'elle élimine les semaines de collecte manuelle d'informations qui constituent l'essentiel du temps projet.
ISO 27001 et NIS2 : deux obligations, un seul effort ?
Si votre PME opère dans l'Union européenne, vous devez aussi regarder NIS2. La Loi Résilience, transposition française, est attendue mi-2026 et concernera entre 15 000 et 18 000 entités. Les amendes prévues : jusqu'à 10 millions d'euros ou 2 % du CA mondial, avec responsabilité personnelle des dirigeants. La bonne nouvelle : ISO 27001 et NIS2 partagent environ 70 % de leurs exigences. Gestion des risques, continuité d'activité, signalement d'incidents, contrôle des accès — c'est le même socle. En traitant votre transition ISO 27001:2022 maintenant, vous couvrez simultanément une grande partie de NIS2. Et pourtant, 64 % des PME françaises ne savent même pas ce qu'est NIS2. Si vous avez un doute, vérifiez en 3 minutes si NIS2 s'applique à votre entreprise.
Transition ISO 27001:2022 : comparatif des approches
| Critère | Consultant GRC | Plateforme SaaS (Vanta/Drata) | Fusion AI |
|---|---|---|---|
| Délai de mise en conformité | 6-12 mois | 3-6 mois | 30 jours |
| Coût annuel (PME 50 pers.) | 15 000-45 000 € | 7 500-50 000 €/an | Voir tarifs |
| IT managé inclus | Non | Non | Oui |
| Analyse de gaps automatisée | Non (manuelle) | Partielle | Complète en 48h |
| Collecte de preuves | Manuelle | Semi-automatique | Automatique |
| Veille menaces (A.5.7) | À vos frais | Non incluse | Incluse |
| Préparation audit | Accompagnement ponctuel | Tableaux de bord | Suivi continu |
| Couverture multi-cadre (NIS2, SOC 2) | Facturation séparée | Add-ons payants | Incluse |
La différence fondamentale : avec un MSP traditionnel (100-250 €/utilisateur/mois), vous payez pour l'IT d'un côté et la conformité de l'autre. Les deux ne se parlent pas. Quand l'IT et la conformité sont unifiés, chaque action opérationnelle génère automatiquement une preuve auditable.
Ce que la transition ISO 27001:2022 signifie pour votre cyber-assurance
Les assureurs durcissent leurs critères. En 2024, 41 % des demandes de cyber-assurance ont été refusées (MoneyGeek). Les raisons principales : absence de MFA, pas de plan de réponse aux incidents, pas de certification reconnue. Une certification ISO 27001:2022 valide change la donne dans votre dossier. Elle démontre une gestion structurée des risques, des contrôles techniques vérifiés et un processus d'amélioration continue. Certains assureurs réduisent leurs primes de 15 à 25 % pour les entreprises certifiées. Dans un contexte où les cyberattaques ont augmenté de 49 % au premier semestre 2025 (Identity Week) et où 1 PME sur 3 a été touchée en 2024 (BizTech Magazine), la question n'est pas de savoir si vous serez ciblé — mais si vous serez préparé.
La sérénité, c'est savoir que votre certificat est valide demain matin
La transition ISO 27001:2022 n'est pas un exercice théorique. C'est la différence entre répondre « oui, voici notre certificat » et « on est en cours de transition » quand un client pose la question. C'est la différence entre dormir tranquille et se demander si votre SoA tiendrait face à un auditeur. Chaque semaine de retard est une semaine où vous êtes exposé — commercialement, réglementairement, et opérationnellement. La transition est un investissement qui se rembourse par les contrats sécurisés, les primes d'assurance réduites et les amendes évitées. Et avec une analyse de gaps qui démarre en 45 minutes au lieu de 45 jours, il n'y a plus d'excuse pour repousser.
---
Votre certificat ISO 27001:2013 a expiré. Vos clients le savent — ou le sauront bientôt.
Lancez un scan de sécurité gratuit maintenant. En 45 minutes, vous saurez exactement où vous en êtes par rapport aux 93 contrôles de la version 2022 — et ce qu'il reste à faire pour être prêt ISO 27001 et conforme NIS2 avant que la Loi Résilience n'entre en vigueur.
Vous préférez en discuter d'abord ? Contactez-nous — pas de commercial, pas de PowerPoint, juste une conversation directe sur votre situation.