Sophie Berthier
Sophie Berthier
Lead Auditeur ISO 27001, CISSP
| · 13 min de lecture

11 audits ISO 27001 + NIS2 sur des PME françaises en 2025-2026 — voici les 8 étapes qui ont sauvé 6 certifications

Audit ISO 27001 et NIS2 — documentation SMSI

Mai 2026 — la documentation SMSI reste le premier livrable jugé par les auditeurs COFRAC.

TL;DR

  • 11 PME françaises auditées entre janvier 2025 et avril 2026 sur le double référentiel ISO 27001:2022 + NIS2 — secteurs santé, fintech, industrie, SaaS B2B, énergie.
  • 6 certifications obtenues dès le premier passage, 3 obtenues après remédiation de non-conformités majeures, 2 échecs au stage 2 traçables à 3 causes récurrentes.
  • 8 étapes structurantes issues du retour terrain, du diagnostic d’écart à l’audit COFRAC, avec un calendrier réaliste de 6 à 9 mois.
  • Pour les RSSI : la double conformité ISO 27001 + NIS2 est une opportunité d’optimisation — 70 % des contrôles se recouvrent, à condition de cadrer dès le départ.
RECOUVREMENT ISO 27001 ANNEXE A × NIS2 ART. 21 ISO 27001 93 contrôles A NIS2 10 mesures art.21 ~70 % recouvrement Source : mapping interne WebGuard sur 11 missions 2025-2026

Pourquoi traiter ISO 27001 et NIS2 ensemble

La directive NIS2, transposée en droit français par la loi REN du 30 avril 2025 et entrée en phase de contrôle actif depuis janvier 2026, impose à environ 15 000 entités françaises — dont une majorité de PME — la mise en œuvre de 10 mesures de gestion des risques cyber (article 21), une obligation de notification d’incident 24 h / 72 h, et une responsabilité personnelle des dirigeants. La norme ISO/IEC 27001:2022, elle, reste la référence internationale du SMSI (système de management de la sécurité de l’information) avec ses 93 contrôles d’Annexe A.

Sur le terrain, traiter les deux référentiels séparément multiplie le coût total de mise en conformité par 1,7 à 2,1 dans nos retours d’expérience. Traiter les deux ensemble — c’est-à-dire bâtir un SMSI ISO 27001 dont le périmètre intègre dès l’origine les obligations NIS2 — permet de mutualiser 70 % des contrôles, de produire une seule documentation et de viser un seul audit annuel.

Sur les 11 missions menées entre janvier 2025 et avril 2026, six PME ont atteint la certification ISO 27001 dès le stage 2 (sans non-conformité majeure), trois ont obtenu la certification après remédiation d’écarts identifiés en stage 1, et deux ont échoué au stage 2 — toutes deux pour des raisons identiques que nous détaillons plus bas. La méthode présentée ici est celle qui a fait passer les 9 réussites.

Bilan 11 missions WebGuard 2025-2026

11
PME auditées
6/11
Certifiées au stage 2
9/11
Certifiées au total
7,2 mois
Durée projet moyenne

Les 8 étapes qui ont sauvé les 6 certifications

Étape 1 — Diagnostic d’écart (3-4 semaines)

Tout démarre par un gap analysis. L’objectif est de croiser deux référentiels — ISO 27001 Annexe A et les 10 mesures NIS2 article 21 (politique d’analyse des risques, gestion des incidents, continuité, sécurité de la chaîne d’approvisionnement, sécurité du développement, politiques d’efficacité, formation, cryptographie, contrôle d’accès, gestion des actifs et MFA). Sur les 11 missions, le score initial moyen était de 38 % de conformité documentaire et 46 % de conformité technique.

Livrables : matrice de couverture (Excel ou GRC), rapport d’écarts hiérarchisé, plan de remédiation pluriannuel avec budget estimé. Pour cadrer le périmètre NIS2, notre audit de périmètre NIS2 permet de qualifier l’organisation en « entité essentielle » ou « entité importante » avant tout chantier.

Étape 2 — Définir le périmètre du SMSI (2 semaines)

C’est l’erreur n°1 des échecs. Un périmètre trop large rend la mise en conformité ingérable ; un périmètre trop étroit fait perdre la valeur certificative et expose au refus d’organisme accrédité. Le bon réflexe : cibler la ou les lignes de service générant la majorité du chiffre d’affaires, du risque client ou de l’exposition NIS2, et exclure explicitement le reste avec justification documentée (statement of scope).

Sur une fintech PME (50 salariés, 4 lignes produit), nous avons retenu uniquement la plateforme de paiement B2B, excluant le produit historique en sunset. Résultat : SMSI de 35 personnes plutôt que 50, périmètre auditable en 4 jours plutôt que 7, et obtention de la certification au premier passage.

Étape 3 — Analyse de risques EBIOS RM (4-6 semaines)

ISO 27005 et l’article 21.2.a de NIS2 imposent une analyse de risque formelle. La méthode EBIOS Risk Manager de l’ANSSI est largement acceptée par les organismes certificateurs en France. Les ateliers (1 cadrage, 2 sources de risque, 3 scénarios stratégiques, 4 scénarios opérationnels, 5 traitement) doivent réunir direction générale, métiers et IT, pas seulement la DSI.

Piège fréquent : produire une analyse de risques copiée-collée d’un autre client ou d’un template générique. Les auditeurs COFRAC repèrent immédiatement ce type de livrable. Le minimum : 6 scénarios stratégiques différenciants pour le métier, 4 sources de risques nommées, et une cartographie d’écosystème (parties prenantes externes) à jour.

Étape 4 — PSSI, SoA et corpus documentaire (6-8 semaines)

La déclaration d’applicabilité (Statement of Applicability) est l’épine dorsale du SMSI. Elle liste les 93 contrôles d’Annexe A en distinguant « applicable mis en œuvre », « applicable planifié », « non applicable » (avec justification). Pour chaque contrôle applicable, lien vers la procédure ou la preuve technique. Pour NIS2, une matrice complémentaire mappe les 10 mesures sur le SMSI.

Documents minimaux exigés en stage 1 : PSSI (politique de sécurité), SoA, politique de gestion des risques, politique de classification, politique d’accès logique, politique cryptographie, politique de continuité, procédure de gestion des incidents (avec workflow NIS2 24 h/72 h), plan de formation, indicateurs SMSI. Notre page conformité ISO 27001 détaille les modèles utilisés.

Avis d’expert
Sophie Berthier

« Sur les deux échecs du stage 2 que nous avons vus, le point commun était un corpus documentaire impressionnant mais déconnecté des pratiques réelles. Les politiques étaient excellentes — sauf qu’aucun salarié interrogé ne savait qu’elles existaient. L’auditeur COFRAC évalue la mise en œuvre, pas la rédaction. Documentez moins, mais documentez ce que vous faites vraiment. »

Sophie Berthier, Lead Auditeur ISO 27001, CISSP — WebGuard Agency

Un projet ISO 27001 + NIS2 à lancer ?

Nos consultants seniors accompagnent les PME françaises sur l’intégralité du chantier : diagnostic, périmètre, EBIOS, corpus documentaire, remédiation technique, audit blanc et préparation COFRAC. Forfait sur 6 à 9 mois.

Demander un devis ISO 27001 / NIS2 →

Étape 5 — Mesures techniques structurantes (8-12 semaines)

Sur le volet technique, six chantiers reviennent systématiquement :

  • MFA généralisée — sur tous les comptes administrateurs, comptes à privilèges, accès cloud et VPN. Préférer FIDO2 ou TOTP, abandonner SMS.
  • EDR/XDR déployé à 100 % du parc utilisateur et serveurs. Pas un endpoint sans agent.
  • Centralisation des logs — SIEM ou plateforme équivalente, rétention minimale 12 mois pour les événements de sécurité.
  • Sauvegardes 3-2-1 — 3 copies, 2 supports, 1 hors site. Tests de restauration trimestriels documentés.
  • Segmentation réseau — VLAN ou microsegmentation entre zones utilisateurs, serveurs, DMZ, OT le cas échéant.
  • Gestion des vulnérabilités — scan hebdomadaire, MRC critique sous 14 jours, sous 72 h pour les CVE activement exploitées.

Étape 6 — Formation et sensibilisation (en continu)

L’article 21.2.g de NIS2 et le contrôle A.6.3 ISO 27001:2022 imposent un plan de formation et de sensibilisation. En pratique : module e-learning annuel obligatoire (90 min minimum), tests de phishing mensuels avec suivi de taux de clic, formation spécifique pour les profils à risque (administrateurs, développeurs, dirigeants), et briefing intégration des nouveaux arrivants. La direction générale doit aussi suivre une formation cyber dédiée — c’est explicite dans NIS2.

Indicateur clé à présenter en audit : taux de complétion de la formation annuelle (cible 100 %), taux de clic phishing en tendance (cible < 5 % après 6 mois). Conserver les preuves d’exécution (export LMS, screenshots des campagnes).

Étape 7 — Audit interne et revue de direction (4 semaines)

Avant le passage COFRAC, un audit blanc interne — idéalement réalisé par un auditeur externe non impliqué dans la mise en place — permet de détecter les écarts résiduels et de produire les preuves d’efficacité du SMSI. La revue de direction (clause 9.3 ISO 27001) doit être documentée avec ordre du jour, présents, décisions et plan d’actions.

Sur les 11 missions, l’audit interne a permis de remonter en moyenne 23 écarts mineurs et 2,1 écarts majeurs avant le stage 2, qui auraient sinon été des non-conformités auditeur. Coût : 5 à 8 jours-homme ; ROI : indispensable.

Étape 8 — Stage 1, stage 2 et certification (6 semaines)

Choix de l’organisme certificateur : privilégier un organisme accrédité COFRAC pour ISO 27001 (Bureau Veritas, AFNOR, LRQA, DNV, SGS, BSI, etc.). Le stage 1 est une revue documentaire d’une à deux journées, sur site ou à distance. Il valide la maturité documentaire et identifie les non-conformités à corriger avant le stage 2. Délai recommandé entre les deux : 6 à 8 semaines.

Le stage 2 est l’audit sur site (3 à 7 jours selon périmètre), avec interviews, observation, échantillonnage de preuves. À l’issue, le rapport est revu par le comité de certification de l’organisme et le certificat émis si aucune non-conformité majeure ne subsiste. La certification dure 3 ans, avec un audit de surveillance annuel et une recertification au terme.

Avis d’expert
Sophie Berthier

« Une PME qui démarre à zéro met 7 à 9 mois en mode normal, 5 à 6 mois en mode intensif avec un sponsor direction très engagé. Plus vite, c’est très rare et souvent au prix d’un SMSI fragile qui ne passera pas la surveillance annuelle. Mieux vaut 8 mois bien faits que 4 mois fragiles. »

Sophie Berthier, Lead Auditeur ISO 27001, CISSP — WebGuard Agency

Les 3 causes communes des 2 échecs au stage 2

Sur les 11 missions, deux ont échoué au stage 2 (non-conformité majeure entraînant un nouveau passage). Les trois causes systématiques :

  1. A
    Engagement direction de surface

    PSSI signée mais aucune revue de direction tenue, aucun budget formalisé, aucun KPI cyber au comité exécutif. L’auditeur identifie l’écart en 30 minutes d’entretien avec le DG.

  2. B
    Documentation sans preuves d’exécution

    Procédures écrites mais aucun ticket, aucun rapport, aucun journal pour démontrer qu’elles tournent. Une politique de revue trimestrielle des accès doit pouvoir produire 4 PV par an.

  3. C
    Gestion fournisseurs négligée

    NIS2 article 21.2.d et A.5.19-23 ISO 27001 imposent une diligence cyber documentée sur les fournisseurs critiques. Beaucoup de PME découvrent en stage 2 qu’elles n’ont aucun DPA, aucune clause cyber dans les contrats clés, et que la qualification fournisseurs reste à faire.

Pour aller plus loin sur le volet supply chain — particulièrement sensible depuis les incidents SaaS de 2024-2026 — voir l’analyse cyber-supply chain de Plug Tech et la grille open source publiée par D-Open.

Budget et calendrier réalistes pour une PME

Sur le panel de 11 PME (effectifs de 25 à 220 salariés, CA 5 à 60 M€), le budget total observé pour atteindre la double certification ISO 27001 + conformité NIS2 documentée se situe entre 85 000 € (PME 30 salariés, périmètre serré, maturité initiale 40 %) et 320 000 € (ETI 220 salariés, périmètre groupe, maturité initiale 20 %). Ce budget inclut l’accompagnement consultant, les outils GRC/SIEM/EDR sur 12 mois et les frais d’audit COFRAC (entre 8 000 et 18 000 € selon périmètre).

Côté calendrier, le scénario moyen sur les 6 réussites au stage 2 : 6 semaines de cadrage et diagnostic, 8 semaines de remédiation documentaire et lancement chantiers techniques, 12 semaines de stabilisation, 4 semaines de pré-audit et stage 1, 6 semaines entre stage 1 et stage 2. Soit 7,5 mois calendaires en moyenne, avec un effort équivalent à 0,5 à 1 ETP interne pendant toute la durée.

Conclusion

ISO 27001 + NIS2 n’est pas un projet documentaire, c’est un projet d’organisation. Les six PME qui ont obtenu leur certification au premier passage avaient toutes en commun un sponsor de direction nommément engagé, un périmètre raisonnable, des preuves d’exécution dès la première itération, et un audit blanc externe avant le stage 2. Les deux qui ont échoué n’avaient aucun de ces quatre éléments.

Pour une PME française qui démarre aujourd’hui, le bon timing est de viser un stage 1 entre octobre 2026 et février 2027, ce qui demande de lancer la phase 1 (diagnostic d’écart) dès le mois de mai-juin 2026. Au-delà, la pression réglementaire NIS2 (premières sanctions attendues T4 2026) et la concurrence sur les appels d’offres exigeant ISO 27001 rendront l’attente coûteuse.

Lancer votre programme ISO 27001 + NIS2 dès aujourd’hui

Diagnostic d’écart en 3 semaines, plan budgété sur 9 mois, accompagnement jusqu’au certificat. Nos consultants ont signé 9 certifications PME en 18 mois.

Démarrer mon diagnostic ISO 27001 / NIS2 →
16 mai 2026 · 🕑 13 min
FAQ

Questions fréquentes

Non, NIS2 n’exige pas formellement la certification ISO 27001. En revanche, l’article 21 impose 10 mesures de gestion des risques qui correspondent à 70 % des contrôles ISO 27001 Annexe A. Mettre en place un SMSI conforme ISO 27001 est la voie la plus efficiente pour démontrer la conformité NIS2 lors d’un contrôle ANSSI ou d’un appel d’offres exigeant la certification. Pour une PME ne souhaitant pas se certifier, un alignement documenté sur le référentiel ISO suffit.
Pour une PME de 50 salariés avec une maturité cyber initiale moyenne (40 %), le budget total observé est de l’ordre de 120 000 à 180 000 € incluant accompagnement consultant (60-90 k€), outils GRC et techniques (30-50 k€), audit COFRAC stage 1+2 (12-18 k€) et 0,5 ETP interne dédié pendant 7-9 mois. Le coût est largement dégressif si la PME possède déjà un EDR, une MFA et un SIEM en place.
Sur les 9 réussites du panel, la durée moyenne du démarrage à la délivrance du certificat est de 7,2 mois. Le minimum réaliste pour une PME démarrant à zéro est de 5-6 mois en mode intensif (sponsor direction très engagé, ressources dédiées). Au-delà de 10 mois, la dynamique s’essouffle souvent et les exigences ISO 27001:2022 évoluent (la norme a été révisée en 2022, prochaine échéance prévue après 2027).
Si une non-conformité majeure est relevée, l’organisme certificateur exige un plan d’action correctif (généralement 30 à 90 jours) puis un audit de levée. La certification n’est pas perdue mais retardée. Pour des non-conformités mineures, un simple engagement écrit suffit. L’échec total (refus de certification) est rare et concerne des cas où le SMSI n’existe pas réellement au-delà du papier. Sur les 11 missions, les deux échecs ont été repassés et certifiés 4 et 6 mois plus tard.

Vous ne trouvez pas la réponse à votre question ?

Certifications & accréditations
PASSI (ANSSI)
ISO 27001
CEH Certified
OSCP
CISSP
SOC 2 Type II

Prêt à renforcer votre cybersécurité ?

Rejoignez les organisations qui font confiance à WebGuard Agency. Premier audit offert.

Voir nos tarifs
200+
Audits réalisés
99,9%
Disponibilité SOC
< 4h
Temps de réponse