Pourquoi Provigis ?
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogConformitéSMSI : tout savoir sur le Système de Management de la Sécurité de l'Information
SMSI : tout savoir sur le Système de Management de la Sécurité de l'Information

SMSI : tout savoir sur le Système de Management de la Sécurité de l'Information

Cartier, Air France, Bouygues Telecom, le Ministère des Sports… En 2025, certaines des plus grandes organisations françaises ont été piratées par une attaque par rebond, via un prestataire, un sous-traitant ou un fournisseur SaaS. Le maillon faible n'est plus (seulement) technique : c'est le lien de confiance entre l'entreprise et son écosystème de tiers.

C'est précisément ce lien que le SMSI, le Système de Management de la Sécurité de l'Information, a vocation à encadrer. Obligatoire dans certains cas, stratégique dans tous les autres : voici tout ce qu'il faut savoir sur le SMSI.

Qu'est-ce qu'un SMSI ?

Le Système de Management de la Sécurité de l'Information, ou SMSI, désigne l'ensemble des politiques, des processus et des procédures qu'une organisation met en place pour protéger ses actifs informationnels : données clients, propriété intellectuelle, documents contractuels et échanges avec les fournisseurs et sous-traitants...

Il s’articule autour de trois grandes propriétés de l’information :

  • La confidentialité : seules les personnes autorisées accèdent à l'information ;
  • L’intégrité : les données ne sont ni altérées ni supprimées sans autorisation ;
  • La disponibilité : l'information est accessible au moment où les équipes en ont besoin.

Le périmètre couvert par le SMSI va des systèmes numériques (serveurs, applications et cloud) aux supports physiques (documents papier, badges d'accès), en passant par la transmission orale d'informations sensibles et les comportements humains (gestion des mots de passe, réaction face à une tentative de phishing...).

Il englobe aussi les tiers qui gravitent autour de l'entreprise : fournisseurs, prestataires de services cloud ou sous-traitants ayant accès au système d'information. Pour chaque actif informationnel, les équipes en charge du SMSI identifient :

  • Qui y accède ;
  • Par quel canal ;
  • Avec quel niveau de contrôle ;
  • Les conséquences d'une éventuelle compromission.

💡 SMSI vs. PSSI : deux niveaux à distinguer

La PSSI (Politique de Sécurité des Systèmes d'Information) est le référentiel documentaire qui fixe les règles de sécurité applicables à un instant T : longueur minimale des mots de passe, interdiction du cloud personnel, classification des informations, etc. Le SMSI est plus large : il englobe la PSSI et pilote son application dans la durée par l’analyse des risques, des audits internes, une revue de direction et des plans d'action correctifs. La PSSI est l'un des livrables du SMSI.

Le SMSI dans la pratique : un dispositif opérationnel et « vivant »

Au quotidien, le SMSI encadre des actions que les équipes IT, RH et métiers exécutent parfois sans les rattacher à un cadre formel :

  • Quand un collaborateur quitte l'entreprise, le SMSI prévoit la révocation de ses accès aux applications, à la messagerie et aux espaces partagés, dans un délai défini ;
  • Quand une campagne de phishing aboutit et qu'un salarié communique ses identifiants à un attaquant, la procédure de gestion d'incident prend le relais : isolation du compte compromis, analyse du périmètre touché, notification aux parties prenantes et retour d'expérience pour ajuster la sensibilisation ;
  • Quand un fournisseur SaaS subit une panne prolongée, le plan de continuité permet aux équipes de basculer sur une solution de secours ou de fonctionner en mode « dégradé ».

💡 La cybermenace, une constante pour les entreprises françaises

En 2025, 47 % des entreprises françaises déclaraient avoir subi au moins une cyberattaque significative, avec un coût moyen de 446 000 euros par cyberattaque réussie, [selon l’Anssi](https://bigmedia.bpifrance.fr/nos-actualites/cybersecurite-attention-aux-couts-caches-des-cyberattaques#:~:text=En effet%2C selon l'Anssi,reflète que les coûts directs.). La politique de cybersécurité fixe des règles et des mesures de protection que le SMSI inscrit dans un dispositif piloté dans la durée. C’est ce passage d’un corpus de règles à un cycle de pilotage qui permet de mieux tenir face à une cybermenace qui évolue à une cadence inédite avec l’IA.

L'organisation qui déploie un SMSI est par ailleurs tenue de réévaluer ses risques à chaque changement susceptible d’affecter le dispositif :

  • Arrivée d'un nouveau prestataire, par exemple un éditeur SaaS de paie ou un hébergeur de données de santé ;
  • Migration vers le cloud, par exemple le passage de la messagerie on-premise vers Microsoft 365 ;
  • Réorganisation interne, par exemple la fusion de deux filiales, l’ouverture d’un site à l’étranger ;
  • L’entrée en vigueur d’une nouvelle réglementation, comme ce fut le cas récemment avec NIS 2 ou encore DORA pour le secteur financier.

SMSI : 6 questions pratiques avant de se lancer

La plupart des organisations qui s'intéressent au SMSI partagent les mêmes interrogations : est-ce obligatoire ? Qui s'en occupe ? Quel budget prévoir pour mettre en place un SMSI ? Quelle est la durée moyenne de ce type de projet ? Décryptage…

1. Le SMSI est-il obligatoire ?

Aucune loi n'impose aujourd'hui de déployer un SMSI en tant que tel. En revanche, plusieurs réglementations imposent des obligations de résultat en matière de sécurité de l'information qui, en pratique, reviennent à exiger les mêmes mécanismes : analyse de risques documentée, mesures de contrôle, gestion des incidents, traçabilité et amélioration continue. Le SMSI est la manière la plus structurée d'y répondre.

Deux exemples concrets en France :

  • Les hébergeurs de données de santé (HDS) doivent obtenir la certification ISO 27001 pour exercer. Pour eux, le SMSI certifié est une obligation réglementaire de fait.
  • Avec la transposition de la directive NIS 2, environ 15 000 entités françaises devront démontrer qu'elles gèrent les risques pesant sur leur système d'information. L'ANSSI recommande de s'appuyer sur la norme ISO 27001 comme socle (voir partie suivante).

En dehors de ces cas, la pression vient souvent du marché : appels d'offres qui exigent la certification ISO 27001, clients grands comptes qui imposent un audit de sécurité à leurs fournisseurs ou encore assureurs cyber qui conditionnent leurs garanties à l'existence d'un dispositif formalisé.

2. Quel rapport entre le SMSI, la certification ISO 27001 et la conformité réglementaire ?

Le SMSI est le dispositif interne de gestion de la sécurité de l'information. La certification ISO 27001 est une validation externe, délivrée par un organisme accrédité (Bureau Veritas, AFNOR Certification, SGS...), qui atteste que ce dispositif respecte les exigences de la norme.

La conformité réglementaire (NIS 2, DORA, RGPD...) impose des obligations que le SMSI aide à couvrir, mais qui vont parfois au-delà du périmètre d'ISO 27001.

3. Qui pilote le projet SMSI dans l'organisation ?

Le porteur du projet dépend généralement de la taille de l'entreprise. Dans les ETI et les grands groupes, c'est généralement le RSSI (Responsable de la Sécurité des Systèmes d'Information) ou un responsable SMSI rattaché à la DSI. Dans les PME, c’est le DSI ou le directeur général qui pilote, avec l’appui d’un consultant spécialisé, au moins pour les premières briques du projet.

Dans tous les cas, le SMSI mobilise bien au-delà de l'équipe IT : les directions juridique, achats, RH et métiers sont impliquées, notamment pour la classification des actifs informationnels, la rédaction des politiques de sécurité et la gestion des relations avec les tiers.

La direction générale doit par ailleurs s'engager formellement (allocation de budget, validation de la politique de sécurité), car cet engagement est une exigence d'ISO 27001 pour les organisations qui visent la certification.

4. Combien de temps faut-il pour déployer un SMSI ?

Il faut compter entre 12 et 18 mois en moyenne pour une première mise en place allant jusqu'à la certification ISO 27001. Ce délai dépend de trois principaux facteurs :

  • La maturité de départ : une organisation qui dispose déjà d'une politique de sécurité, d'une cartographie de ses actifs et de procédures de gestion des incidents aura plusieurs mois d'avance ;
  • La taille du périmètre retenu : un seul site ou une activité ciblée (hébergement de données, par exemple), ou l'ensemble des opérations d'un groupe multi-sites ?
  • La disponibilité des équipes internes : le SMSI exige du temps de la part des directions métiers, pas uniquement de la DSI. Le calendrier s’allongera si les collaborateurs ne sont mobilisés que quelques heures par mois.

Pour les organisations qui souhaitent déployer un SMSI sans viser la certification ISO 27001, le calendrier est forcément plus souple. Elles peuvent avancer à leur rythme, sans la contrainte de l'audit externe.

5. Quel budget prévoir pour déployer un SMSI ?

Le coût dépend du périmètre, de la taille de l'organisation et du niveau d'accompagnement externe. Voici quelques ordres de grandeur pour un projet allant jusqu'à la certification ISO 27001 :

  • Pour une PME d'une vingtaine de collaborateurs : entre 25 000 et 45 000 €, dont 15 000 à 25 000 € de frais d'audit sur le cycle de certification de trois ans ;
  • Pour une ETI ou un grand compte (plus de 100 personnes, périmètre multi-sites) : le budget peut doubler ou tripler, principalement en raison du temps de conseil, de la formation des équipes et de la durée des audits.

6. SMSI : quel périmètre choisir pour commencer ?

Le périmètre du SMSI est libre : ISO 27001 n'impose aucun seuil minimum. Les organisations qui se lancent pour la première fois ciblent en général une activité à fort enjeu (hébergement de données clients, plateforme SaaS, gestion de moyens de paiement...), puis élargissent le périmètre au fil des cycles d'audit annuels.

Ce choix demande toutefois du discernement. Le périmètre retenu figure sur le certificat ISO 27001, et les clients, partenaires ou auditeurs réglementaires le lisent généralement avec attention :

  • Si une ESN certifie uniquement son service support mais exclut son activité d'hébergement, la certification n’a quasiment aucune crédibilité aux yeux des donneurs d'ordres qui lui confient des données sensibles.
  • À l'inverse, un périmètre trop large pour la maturité de l'organisation va allonger le calendrier et gonfler le budget.

L'approche la plus courante consiste à viser un périmètre restreint mais cohérent avec les engagements pris auprès des clients, puis à l'étendre progressivement.

💡 Le SMSI, un investissement qui concerne aussi les PME

Les PME peuvent percevoir le SMSI comme étant un dispositif réservé aux grands groupes. En pratique, les éditeurs SaaS, cabinets comptables et prestataires IT de 20 à 50 salariés figurent parmi les premières cibles des cyberattaques par rebond : les attaquants les visent pour atteindre les grandes entreprises dont ils sont fournisseurs ou prestataires. Ces structures ont tout intérêt à formaliser leurs pratiques de sécurité via un SMSI, même sans viser la certification ISO 27001, ne serait-ce que pour répondre aux questionnaires de sécurité et audits de leurs donneurs d'ordres. C’est aussi un argument commercial intéressant en phase de prospection.

ISO 27001:2022 : la norme qui structure le SMSI

ISO 27001 est la seule norme internationale certifiable en matière de sécurité de l'information. Publiée par l'ISO et l'IEC, elle fournit le cahier des charges du SMSI : elle fixe le périmètre du système mais laisse aux organisations une certaine liberté sur la mise en œuvre. Cette distinction est importante :

  • ISO 27001 fixe les exigences (236 au total dans les clauses 4 à 10 et l'Annexe A). Elle est auditable et certifiable ;
  • ISO 27002, sa norme complémentaire, fournit les recommandations de mise en œuvre pour chacun des 93 contrôles de sécurité.

ISO 27001 partage par ailleurs la même architecture (dite « structure harmonisée ») que les normes ISO 9001 (qualité) et ISO 14001 (environnement) : les organisations déjà certifiées sur ces référentiels retrouveront la même logique de clauses et pourront intégrer leur SMSI au système de management existant.

<aside> 💡

Pour un panorama complet de la norme ISO 27001 (historique, processus de certification, coûts…), consultez notre article dédié : « ISO 27001 : le standard incontournable de la gestion de la sécurité de l'information ».

Les 7 clauses du SMSI selon ISO 27001

Les trois premières clauses de l’ISO 27001 sont essentiellement introductives (objet, références normatives et définitions). Les exigences auditables commencent à la clause 4. En voici une synthèse, agrémentée par un exemple de la traduction opérationnelle de chaque clause :

Clause Ce qu'elle exige Exemple opérationnel 4. Contexte de l'organisation Recenser les enjeux internes (structure, capacités techniques) et externes (réglementation, menaces sectorielles) qui influencent la sécurité de l'information. Identifier les parties intéressées et délimiter le périmètre du SMSI. Une ESN qui héberge des données de santé cartographie ses obligations (RGPD, référentiel HDS) et les attentes de ses clients hospitaliers avant de fixer le périmètre de son SMSI à l'activité d'hébergement. 5. Leadership La direction valide la politique de sécurité, attribue les rôles liés au SMSI (désignation d'un RSSI, par exemple) et alloue les ressources (budget, effectifs et outillage). Le COMEX d'un groupe industriel inscrit un budget annuel dédié au SMSI et nomme un responsable SMSI rattaché à la DSI. 6. Planification Conduire une analyse de risques, évaluer la vraisemblance et l'impact de chaque menace, puis élaborer un plan de traitement. Depuis la version 2022 : planifier les changements affectant le SMSI. L'équipe sécurité évalue le risque de compromission d'un accès VPN utilisé par les prestataires de maintenance, puis décide de déployer une authentification multifacteur (MFA) dans un délai de 3 mois. 7. Support Définir les compétences requises, former les collaborateurs, structurer les canaux de communication dédiés à la sécurité et gérer la documentation du SMSI (politiques, procédures et enregistrements). Le responsable SMSI organise deux campagnes de simulation de phishing par an et met à jour le registre des procédures après chaque changement organisationnel. 8. Fonctionnement Exécuter les plans définis aux clauses précédentes : déployer les contrôles de sécurité retenus, réaliser les analyses de risques et appliquer les mesures de traitement. Les administrateurs systèmes appliquent les correctifs de sécurité critiques sous 72 heures, conformément au plan de traitement validé en clause 6. 9. Évaluation des performances Vérifier que le SMSI produit les résultats attendus via trois leviers : indicateurs de suivi, audits internes et revue de direction. Le RSSI présente en revue de direction trimestrielle le taux de correctifs, le nombre d'incidents détectés et le résultat du dernier audit interne. 10. Amélioration Lorsqu'un audit ou un incident révèle une non-conformité, rechercher la cause racine, déployer une action corrective et vérifier son efficacité. Un audit interne détecte que les droits d'accès d'anciens prestataires sont encore actifs. Action corrective : automatiser la révocation des comptes à la fin de chaque contrat avec vérification au bout de 30 jours.

Annexe A : les 93 contrôles de sécurité du SMSI

L'Annexe « A » complète les clauses 4 à 10 qui fixent le cadre de gouvernance du SMSI en listant 93 contrôles de sécurité répartis en quatre thématiques.

Thématique Nombre de contrôles Exemples Organisationnelle 37 Politique de sécurité de l'information, gestion des relations fournisseurs (A.5.19 et A.5.20), classification de l'information Personnes 8 Vérification des antécédents à l'embauche, clauses de confidentialité dans les contrats de travail, sensibilisation à la sécurité Physique 14 Contrôle d'accès aux locaux, protection des équipements contre les menaces environnementales (incendie, inondation...) Technologique 34 Gestion des accès logiques, chiffrement des données, journalisation des événements de sécurité et protection contre les malwares

Pour chaque contrôle, l'organisation indique s'il est applicable ou non à son périmètre, avec une justification, dans un document appelé « Déclaration d'Applicabilité » (DdA, ou SoA en anglais). La DdA est d’ailleurs le document central du SMSI : c'est lui que l'auditeur examine en priorité lors de la certification.

ISO 27002 vient enfin en appui de cette Annexe « A ». Là où ISO 27001 énonce chaque contrôle en quelques lignes, ISO 27002 consacre une à deux pages par contrôle pour détailler les modalités de mise en œuvre, les attributs associés et des exemples pratiques.

💡 Analyse de risques : ISO 27001 laisse le choix de la méthode

La clause 6 exige une analyse de risques documentée mais ne prescrit aucune méthodologie. Les organisations françaises se tournent le plus souvent vers EBIOS RM, développée par l'ANSSI, ou vers ISO 27005. D'autres utilisent la méthode MEHARI, portée par le CLUSIF. Le choix dépend de la taille de l'organisation, de son secteur et de la maturité de ses équipes en matière de gestion des risques.

Ce qui a changé avec ISO 27001:2022 et l’impact sur le SMSI

La version 2013 d'ISO 27001 organisait l'Annexe « A » en 14 catégories et 114 contrôles. La version 2022 les a donc réorganisés en 4 thématiques et 93 contrôles (voir tableau plus haut). Aucun contrôle existant n'a été supprimé. La norme les a simplement regroupés, fusionnés et complétés par 11 nouveaux contrôles qui reflètent l'évolution des menaces et des usages, parmi lesquels :

  • La sécurité du cloud (A.5.23), qui encadre les obligations de l'organisation lorsqu'elle recourt à des services cloud ;
  • La veille sur les menaces, ou « threat intelligence » (A.5.7), qui formalise la collecte et l'analyse d'informations sur les cybermenaces ciblant le secteur de l'organisation ;
  • La prévention des fuites de données, ou DLP (A.8.12), qui couvre les mesures techniques pour détecter et bloquer les transferts non autorisés de données sensibles.

Les changements restent mineurs sur les clauses 4 à 10, avec simplement quelques reformulations, suppressions d'ambiguïtés et un ajout (clause 6.3 sur la planification des changements affectant le SMSI).

💡 Transition vers la version 2022 : que faire si le délai est écoulé ?

Les certificats ISO 27001:2013 ne sont plus valides depuis le 31 octobre 2025. Les organisations qui n'ont pas effectué la transition à temps sont traitées comme de nouveaux clients par les organismes certificateurs : elles doivent passer un audit initial complet sous ISO 27001:2022, et non un simple audit de transition. Concrètement, cela revient à reprendre le processus de certification depuis le début : analyse des écarts, mise à jour de la DdA, adaptation des contrôles aux 11 nouveaux items de l'Annexe A puis audit de phase 1 et de phase 2.

Les 5 étapes pour déployer et piloter un SMSI

Le déploiement du SMSI suit une logique en quatre temps, héritée du cycle PDCA (Plan, Do, Check, Act) qui sous-tend la norme ISO 27001 : cadrer le projet et analyser les risques, déployer les contrôles de sécurité, vérifier leur efficacité par des audits et des indicateurs, puis corriger ce qui doit l'être.

Les organisations qui visent la certification ISO 27001 ajoutent à cette séquence deux étapes d'audit externe (phase 1 documentaire et phase 2 sur site), puis entrent dans un cycle de surveillance annuel et de renouvellement tous les trois ans.

Étape 1 : cadrage du SMSI et analyse des écarts

Avant de construire quoi que ce soit, les équipes en charge du projet comparent l'existant aux exigences d'ISO 27001. Cette analyse des écarts (ou « gap analysis ») prend la forme d'un questionnaire d'auto-évaluation qui couvre les clauses 4 à 10 de la norme et les 93 contrôles de l'Annexe A.

Elle fait ressortir les points déjà couverts (politique de sécurité existante, gestion des accès, sauvegardes...) et les lacunes à combler en priorité.

En parallèle, l'organisation délimite le périmètre du SMSI et obtient l'engagement formel de la direction : validation de la politique de sécurité de l'information, désignation d'un responsable SMSI et allocation du budget. Les deux livrables de cette étape (analyse des écarts et périmètre validé) déterminent le volume de travail à fournir, les compétences à mobiliser et le calendrier.

💡 L'analyse des écarts, un outil de priorisation avant tout

Les organisations qui se lancent dans un projet SMSI découvrent généralement qu'elles couvrent déjà 30 à 50 % des exigences d'ISO 27001, par exemple la gestion des mots de passe, les sauvegardes, les clauses de confidentialité dans les contrats de travail... L'analyse des écarts permet de concentrer les efforts et le budget sur les vrais manques pour ne pas repartir d’une feuille blanche.

Étape 2 : analyse de risques et Déclaration d'Applicabilité

L'analyse de risques constitue le socle du SMSI. Les équipes recensent les actifs informationnels couverts par le périmètre (base de données clients, messagerie, ERP, fichiers RH...) et identifient les menaces qui pèsent sur chacun d'eux (ransomware, erreur humaine, panne d'un prestataire cloud, vol de matériel...).

Pour chaque scénario, il s’agit d’évaluer deux paramètres : la vraisemblance et l'impact. Sur cette base, l'organisation décide du traitement à appliquer à chaque risque :

  • Réduire le risque en déployant un contrôle de sécurité (chiffrement des données, authentification multifacteur, segmentation réseau...) ;
  • Transférer le risque à un tiers, par exemple via une assurance cyber ;
  • Éviter le risque en renonçant à l'activité qui le génère ;
  • Accepter le risque, si son niveau résiduel est jugé tolérable par la direction.

Les résultats de cette analyse alimentent la Déclaration d'Applicabilité (DdA), le document pivot du SMSI. La DdA passe en revue les 93 contrôles de l'Annexe A d'ISO 27001 et indique, pour chacun, s'il est retenu ou écarté, avec une justification liée aux risques identifiés. C'est le premier document examiné par l'auditeur.

💡 EBIOS RM : la méthode d'analyse de risques la plus utilisée en France.

ISO 27001 ne prescrit aucune méthodologie d'analyse de risques en particulier, mais les organisations françaises se tournent le plus souvent vers EBIOS RM, développée par l'ANSSI et mise à jour en 2024, qui structure l'analyse en cinq ateliers successifs.

Étape 3 : déploiement des contrôles et constitution du corpus documentaire du SMSI

Les contrôles retenus dans la Déclaration d'Applicabilité se déploient en deux volets :

  • Le volet technique, qui couvre par exemple le chiffrement des données au repos et en transit, le déploiement de l'authentification multifacteur (MFA) sur les accès distants et le cloisonnement réseau entre les environnements de production et de développement.
  • Le volet organisationnel, qui couvre la rédaction des procédures de gestion des incidents, les règles d'onboarding et d'offboarding (création et révocation des comptes), la classification de l'information et l'encadrement contractuel des relations fournisseurs.

En parallèle, les équipes constituent le corpus documentaire qu'ISO 27001 exige comme preuves auditables : politique de sécurité, périmètre du SMSI, méthodologie et résultats de l'analyse de risques, plan de traitement, Déclaration d'Applicabilité, etc.

💡 Le pragmatisme plutôt que l'exhaustivité

Les auditeurs reconnaissent immédiatement une analyse de risques générique ou une politique de sécurité copiée-collée depuis un template trouvé en ligne. Ils vérifient également que les mesures sont effectivement appliquées à travers des logs, des comptes-rendus, des tickets et des captures d'écran. Si la politique impose un changement de mot de passe tous les 90 jours mais que l'Active Directory n'est pas configuré en ce sens, c'est une non-conformité. ISO 27001 n'exige pas un SMSI parfait. Mieux vaut un système simple et vécu qu'un système exhaustif que personne ne suit.

Étape 4 : certification ISO 27001, de l'audit interne à l'obtention du certificat

Avant de solliciter un organisme certificateur (AFNOR Certification, Bureau Veritas, SGS...), les équipes réalisent un audit interne, parfois appelé « audit blanc ». Cet exercice permet de repérer les derniers écarts et de préparer les équipes à répondre aux questions de l'auditeur.

💡 Anticiper la prise de rendez-vous avec l'organisme certificateur

C'est généralement ce qui repousse la certification de six mois ou plus. Les créneaux d'audit se réservent plusieurs mois à l'avance, en particulier chez les organismes les plus sollicités. Les équipes ont donc intérêt à caler la date rapidement après un audit interne réussi.

L'audit de certification se déroule ensuite en deux phases :

  • Phase 1 (revue documentaire) : l'auditeur vérifie que le corpus documentaire du SMSI (politique de sécurité, analyse de risques, DdA, procédures...) est complet et conforme aux exigences d'ISO 27001. Si des lacunes majeures apparaissent, la phase 2 est reportée ;
  • Phase 2 (audit sur site) : l'auditeur passe deux à cinq jours dans l'organisation, selon la taille du périmètre. Il mène des entretiens avec les responsables (DSI, RH, direction) et les opérationnels, observe les pratiques et collecte des preuves.

À l'issue, l'auditeur classe ses constats en deux catégories : les non-conformités majeures qui bloquent l'obtention du certificat et les non-conformités mineures qui ne bloquent pas la certification, à condition de proposer un plan d'action correctif sous un à six mois.

💡 Le temps, un facteur de confiance

L'auditeur n'a pas de temps à perdre : s'il doit attendre 30 minutes qu'on lui retrouve un log de connexion, le doute peut s’installer.

Étape 5 : piloter le SMSI dans la durée

Le certificat ISO 27001 est valable trois ans, mais l'organisme certificateur revient chaque année pour un audit de surveillance. La première certification est souvent plus facile à obtenir, car les exigences se durcissent dès la deuxième année lors des audits de surveillance.

Ce pilotage repose sur trois mécanismes complémentaires :

  • Les indicateurs de suivi (KPI) : taux de correctifs de sécurité appliqués dans les délais, délai moyen de résolution des incidents, pourcentage de collaborateurs ayant suivi la campagne de sensibilisation annuelle, couverture des sauvegardes testées...
  • Les audits internes, programmés au moins une fois par an, qui comparent les pratiques réelles aux procédures documentées et identifient les écarts ;
  • La revue de direction, au cours de laquelle le comité de pilotage examine les résultats des indicateurs, les conclusions des audits internes, les incidents survenus depuis la dernière revue et les évolutions du contexte (nouveau prestataire, changement réglementaire, incident chez un fournisseur...).

Lorsqu'un écart est identifié, les équipes en recherchent la cause racine et mettent en place une action corrective. Ce mécanisme alimente le cycle suivant : les résultats de l'étape 5 relancent l'étape 2 (réévaluation des risques) et l'étape 3 (ajustement des contrôles).

La gestion des tiers : un maillon à surveiller dans le SMSI

En 2025, des entités comme le Ministère des Sports, la Fédération Française de Football et France Travail ont été piratées via leurs prestataires de confiance. En moyenne, les organisations françaises ont subi 12 violations impliquant des tiers en 2025, soit une par mois selon le rapport ProcessUnity/Ponemon Institute.

L’Annexe A et les contrôles des tiers

L'Annexe A d'ISO 27001 traite directement ce risque à travers deux contrôles dédiés :

  • A.5.19 (sécurité de l'information dans les relations fournisseurs) : l'organisation doit établir une politique qui encadre la sélection, l'évaluation et la surveillance de ses fournisseurs tout au long du cycle de vie de la relation ;
  • A.5.20 (sécurité de l'information dans les accords fournisseurs) : les contrats doivent contenir des clauses explicites sur les responsabilités de chaque partie en matière de sécurité : droits d'audit, obligation de notification en cas d'incident, règles de chiffrement des données confiées, délais de révocation des accès…

Due diligence, collecte documentaire et suivi

En pratique, le volet « gestion des tiers » du SMSI se traduit par trois activités récurrentes :

  • L'évaluation initiale (due diligence), avant toute contractualisation : vérification des certifications (ISO 27001, HDS...), envoi de questionnaires de sécurité, examen des politiques de gestion des incidents du fournisseur ;
  • La collecte documentaire : rassembler les preuves de conformité du fournisseur (attestations URSSAF, Kbis, assurances, certifications QHSE, résultats d'audit...) et les maintenir à jour dans le temps ;
  • Le suivi continu : réévaluation périodique des fournisseurs et surveillance des signaux faibles (défaillance financière, incident de sécurité rendu public, changement d'actionnariat...).

SMSI et conformité réglementaire : NIS 2, DORA, RGPD et au-delà

Plusieurs réglementations européennes et françaises imposent aux organisations de maîtriser la sécurité de leur système d'information et de surveiller leurs tiers.

Si aucune ne mentionne le SMSI par son nom, toutes exigent quasiment les mêmes mécanismes que le SMSI permet de structurer (analyse de risques, contrôles, traçabilité, notification d'incidents et surveillance des fournisseurs):

  • NIS 2, qui impose entre autres la sécurité de la chaîne d'approvisionnement, des délais de notification d'incident (24 h, 72 h, puis rapport final sous un mois) et des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial ;
  • DORA, qui va plus loin que NIS 2 sur la gestion des fournisseurs pour les acteurs du secteur financier, avec une cartographie des dépendances, des tests de résilience, des plans de sortie documentés et (surtout) la responsabilité en cascade sur les sous-traitants ;
  • RGPD : l'article 28 impose de s'assurer que les sous-traitants qui traitent des données personnelles offrent des garanties de sécurité suffisantes. L'article 32 exige des mesures techniques et organisationnelles adaptées (chiffrement, contrôle d'accès, tests réguliers...). L'article 33 impose la notification d'une violation de données à la CNIL sous 72 h ;
  • Devoir de vigilance et ****loi Sapin 2 : ces textes portent sur les risques sociaux, environnementaux et anticorruption, mais ils convergent avec les réglementations précédentes sur un même impératif, à savoir évaluer, documenter et surveiller ses tiers dans la durée. Pour les directions achats et conformité, les processus de collecte documentaire et de questionnaires fournisseurs sont généralement mutualisés entre ces différentes obligations.

💡 ISO 27001 ne couvre que 2 des 20 objectifs de sécurité NIS 2

L'ANSSI l'a précisé lors de son audition à l'Assemblée nationale : la certification ISO 27001 constitue un socle utile, mais les organisations concernées par NIS 2 ou DORA devront aller au-delà, notamment sur les délais de notification d'incident (24 h/72 h), les tests de résilience opérationnelle, l'encadrement contractuel renforcé des prestataires IT et la responsabilité personnelle des dirigeants.

SMSI et conformité des tiers : comment Provigis accompagne les entreprises

Selon une enquête ISMS.online (2025), 41 % des organisations dans le monde considèrent la gestion des risques tiers et le suivi de la conformité fournisseurs comme leur plus grand défi en matière de sécurité de l'information.

La raison est avant tout opérationnelle : la collecte, la vérification et le renouvellement des attestations, certifications et questionnaires de sécurité auprès de dizaines ou de centaines de fournisseurs mobilise un temps considérable, surtout quand le processus repose encore sur des échanges par email et des tableurs partagés.

Créé en 2009 à l'initiative du Club des Acheteurs, Provigis intervient en tant que Tiers de Collecte Probatoire (TCP) entre les donneurs d'ordres et leurs tiers. Notre plateforme digitale prend en charge la conformité documentaire de vos tiers au sens large (SMSI, mais aussi obligation de vigilance, Sapin 2, QHSE, RSE, cybersécurité...) :

  • Collecte automatisée des documents de conformité auprès de vos fournisseurs, prestataires et sous-traitants : attestations URSSAF, Kbis, certifications ISO 27001, assurances, engagements RSE, etc. ;
  • Vérification de l'authenticité des pièces via les API gouvernementales (URSSAF, Infogreffe et INSEE) et par un contrôle humain pour les documents complexes ;
  • Questionnaires paramétrables (Sapin 2, RSE, cybersécurité...) avec scoring associé ;
  • Suivi des échéances et relances automatiques pour garantir que chaque fournisseur reste en règle tout au long de la relation contractuelle ;
  • Archivage horodaté et piste d'audit juridiquement opposable pour chaque document collecté, mobilisable lors des audits de certification ISO 27001 ou des contrôles réglementaires (NIS 2, DORA, RGPD...).

Vous souhaitez diviser par deux le temps consacré à la collecte documentaire de vos fournisseurs et aborder vos audits ISO 27001 dans les meilleures conditions ? Réservez votre démo personnalisée.

Temps de lecture
23 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.

Découvrez des articles de blog

La manière la plus simple d'opérer vos diligences et contrôles de conformité

Demander une démo