À l’occasion du vingtième anniversaire de la norme ISO 27001, AFNOR Certification publie une étude approfondie basée sur plus de 600 rapports d’audit et 11 000 constats relevés par ses auditeurs. Cette analyse révèle des enseignements précieux pour les organisations engagées dans une démarche de sécurité de l’information, particulièrement dans le contexte réglementaire européen actuel marqué par NIS 2 et le Cyber Resilience Act.
L’ISO 27001 : un référentiel mature qui continue d’évoluer
Une norme internationale en constante adaptation
Publiée initialement en 2005 sur les bases de la norme britannique BS 7799, l’ISO/IEC 27001 a connu trois versions majeures. La version 2022, dont la période de transition s’achève le 31 octobre 2025, introduit 11 nouvelles mesures de sécurité reflétant l’évolution des menaces et des technologies.
Cette évolution constante démontre que l’ISO 27001 n’est pas un cadre figé mais un langage vivant qui s’adapte aux réalités du terrain. Comme le souligne Emmanuel Garnier, président du Club 27001, l’association créée en 2008 qui réunit les acteurs et passionnés de cette norme : « Les vingt prochaines années s’écriront sans doute moins en termes de conformité, d’exigences. Et si au fond la véritable maturité consistait à faire de la cybersécurité un réflexe de confiance et un moteur d’innovation ? ».
Une adoption croissante en France
Les chiffres de l’ISO Survey témoignent d’une dynamique forte : la France comptait plus de 1 000 certificats ISO 27001 actifs fin 2023, contre seulement 200 en 2018 (source : ISO Survey cité dans rapport AFNOR 2025). Cette progression significative s’explique notamment par le renforcement des exigences réglementaires, particulièrement avec le RGPD et les obligations d’Hébergement de Données de Santé (HDS).
Secteurs d’activité : une diversification prometteuse
Du secteur IT vers une adoption multisectorielle
Historiquement concentrée dans le secteur des services et technologies de l’information, la certification ISO 27001 se diversifie. Si ce secteur représentait 80% des organisations certifiées en 2019, cette part est descendue à 52,4% actuellement.
Cette diversification est particulièrement visible dans trois secteurs :
- Les activités financières et d’assurance (6,6%)
- L’industrie manufacturière (4,7%)
- Les activités spécialisées, scientifiques et techniques (17,1%)
Un alignement stratégique avec la directive NIS 2
L’étude AFNOR révèle un élément crucial : l’ensemble des secteurs définis comme hautement critiques par la directive européenne NIS 2 est représenté parmi les organisations certifiées ISO 27001. Cette convergence n’est pas anodine.
Chez AKENATECH, nous constatons que les organisations certifiées ISO 27001 disposent d’une base solide pour répondre aux exigences de NIS 2. Le Système de Management de la Sécurité de l’Information (SMSI) constitue un socle permettant de structurer la démarche de mise en conformité réglementaire tout en s’inscrivant dans une logique d’amélioration continue.
Les défis majeurs identifiés par l’analyse AFNOR
Le top 3 des difficultés au niveau du système de management
L’analyse des 600 rapports d’audit révèle trois catégories de non-conformités et points sensibles particulièrement fréquents :
1. Actions face aux risques et opportunités (15,3% des constats)
Les analyses de risques se révèlent souvent incomplètes : actifs manquants, scénarios absents, ou encore nouveaux risques liés à l’intelligence artificielle non identifiés. Plus préoccupant, les plans de traitement des risques manquent fréquemment de validation par les propriétaires concernés et de suivi de l’efficacité des actions.
2. Informations documentées (6,6% des constats)
La gestion documentaire pose des difficultés récurrentes : mise à jour irrégulière, absence de versioning, documents obsolètes ou non approuvés. Les critères de classification mal définis compromettent le niveau de protection appliqué aux actifs informationnels.
3. Revue de direction (5,1% des constats)
Le contenu des revues de direction s’avère souvent incomplet, notamment concernant les retours des parties intéressées ou les modifications d’enjeux internes et externes. Le manque de formalisation des décisions et actions compromet l’efficacité de l’amélioration continue.
Les mesures techniques les plus problématiques
Au niveau de l’annexe A de la norme, qui détaille 93 mesures de sécurité, trois thématiques dominent les difficultés :
Les inventaires d’actifs (4,9% des constats)
Les inventaires se révèlent souvent non exhaustifs, non mis à jour, ou incohérents. L’absence de propriétaires clairement identifiés et d’évaluation correcte des besoins en confidentialité, intégrité et disponibilité génère un manque de visibilité sur les valeurs à protéger.
La protection des données personnelles (4,6% des constats)
Les registres de traitement présentent fréquemment des lacunes : traitements manquants, confusion entre rôles de responsable de traitement et sous-traitant, durées de conservation imprécises. La vidéoprotection et la gestion des visiteurs constituent également des points sensibles récurrents.
Les droits d’accès (4,6% des constats)
La gestion des comptes pose des difficultés multiples : comptes inactifs non désactivés, comptes à privilèges non maîtrisés, comptes génériques non contrôlés. L’absence de revue périodique des droits et de séparation des tâches augmente les risques d’accès non autorisés.
Les points forts qui font la différence
Leadership et engagement : le facteur clé de succès
Avec 13,6% des points forts identifiés, le leadership et l’engagement de la direction constituent le principal facteur de réussite. Les organisations qui excellent démontrent une implication active des dirigeants dans la définition des objectifs et le soutien des initiatives de sécurité. La sécurité de l’information y est identifiée comme un axe stratégique majeur, déployée dans un esprit collaboratif et participatif.
La gestion des compétences comme levier d’excellence
Les organisations distinguées pour leur gestion des compétences (4,9% des points forts) utilisent des matrices détaillées et des outils de gestion permettant d’aligner les compétences des collaborateurs avec les exigences de sécurité. L’implication des équipes se traduit par une responsabilisation accrue et une culture valorisant la sécurité de l’information.
Conformité réglementaire : une approche proactive
Parmi les mesures de l’annexe A, les exigences légales et réglementaires génèrent 4% des points forts identifiés. Les organisations performantes utilisent des plateformes de veille spécialisées, participent à des clubs comme le Club 27001, et intègrent directement la conformité dans leurs processus métiers.
Les 11 nouvelles mesures de la version 2022 : quel bilan ?
L’étude AFNOR classe ces nouvelles mesures selon les difficultés rencontrées. La prévention des fuites de données (mesure A.8.12) figure dans le top 10 des difficultés, tandis que la surveillance de la sécurité physique (A.7.4) et le renseignement sur les menaces (A.5.7) se distinguent comme des points forts pour de nombreuses organisations.
Cette disparité illustre la maturité variable des organisations selon les thématiques. Les mesures techniques liées à la gestion des données (suppression, masquage, prévention des fuites) posent davantage de difficultés que les mesures organisationnelles comme la veille sur les menaces.
Vers un système de management de la confiance numérique
L’étude AFNOR ouvre une perspective intéressante : la convergence vers un système de management intégré de la confiance numérique. Ce système articulerait trois piliers complémentaires :
- ISO/IEC 27001 pour la sécurité de l’information
- ISO 27701 pour la protection des données personnelles
- ISO/IEC 42001 pour le management de l’intelligence artificielle
Cette approche intégrée permet d’harmoniser les processus, d’améliorer l’efficacité opérationnelle et de faciliter la gestion des risques avec une vue d’ensemble des enjeux technologiques actuels.
Notre vision chez AKENATECH
Cette étude AFNOR conforte notre approche d’accompagnement des industriels. La certification ISO 27001 ne constitue pas une fin en soi mais un socle robuste pour répondre aux exigences réglementaires croissantes. Les organisations certifiées disposent d’une longueur d’avance pour aborder sereinement NIS 2, le Cyber Resilience Act ou encore le Règlement Machine 2023/1230.
Nous observons que les difficultés identifiées par l’étude (gestion des risques, inventaires d’actifs, droits d’accès) correspondent précisément aux prérequis essentiels de ces nouvelles réglementations européennes. Notre expertise en GRC et notre connaissance approfondie des référentiels ISO 27001 et IEC 62443 nous permettent d’accompagner nos clients de la stratégie jusqu’aux opérations, en passant par l’implémentation technique.
Conclusion
Vingt ans après sa création, l’ISO 27001 s’impose comme un référentiel mature et vivant. L’étude AFNOR, s’appuyant sur plus de 600 audits, offre un retour d’expérience précieux pour les organisations engagées ou envisageant cette certification. Les difficultés identifiées sont connues et documentées, les facteurs de succès sont clairement établis : leadership, gestion des compétences, conformité proactive.
Dans un contexte réglementaire européen en pleine mutation, la certification ISO 27001 représente bien plus qu’une reconnaissance : c’est un investissement stratégique dans la résilience de votre organisation.
Lien vers l’étude AFNOR : https://telechargement.afnor.info/cybersecurite-iso-27001