ISO 27001 Suisse : effort, coûts et qui en a vraiment besoin
ISO 27001 est la norme internationale de sécurité de l'information – mais la certification vaut-elle vraiment la peine pour les PME suisses ? Cet article montre ce qu'elle coûte, combien de temps elle prend et pour qui elle est rentable.
ISO 27001 Suisse : effort, coûts et qui en a vraiment besoin
45 % de toutes les entreprises suisses ont été victimes d'une cyberattaque au cours des deux dernières années, selon le Centre national pour la cybersécurité (CNCS). Beaucoup d'entre elles s'en seraient bien mieux sorties avec un système de gestion de la sécurité de l'information certifié – ou auraient au moins limité les dégâts. La question n'est pas de savoir si tu as besoin de sécurité, mais si tu dois la faire certifier.
TL;DR
- ISO 27001 coûte aux PME suisses généralement entre CHF 15'000 et CHF 80'000 – selon la taille de l'entreprise et le travail préalable.
- La certification prend généralement 12 à 24 mois à partir du démarrage.
- Pour les entreprises ayant des marchés publics, traitant des données de santé ou opérant dans les services financiers, elle est pratiquement obligatoire.
- De nombreuses PME sous-estiment le temps interne nécessaire : prévois au moins 0,5 équivalent temps plein pour la phase de projet.
Qu'est-ce qu'ISO 27001 – et qu'apporte-t-elle concrètement ?
ISO 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information (SGSI). Elle définit comment une entreprise identifie, évalue et contrôle systématiquement les risques liés à ses informations – non pas comme une mesure unique, mais comme un processus continu.
La norme comprend deux parties : les exigences normatives (chapitres 4–10) et l'annexe A avec 93 mesures de sécurité possibles (contrôles). Les entreprises ne doivent pas mettre en œuvre tous les contrôles, mais justifier ceux qu'elles omettent.
📊 62% des grandes entreprises européennes exigent aujourd'hui une certification ISO 27001 de leurs fournisseurs informatiques comme condition préalable à la collaboration. Source : ENISA Threat Landscape Report, 2023
Ce que tu gagnes concrètement : des processus de risque structurés, des responsabilités claires, la preuve envers les clients et les autorités – et en cas de sinistre, une bien meilleure position pour les assurances et les questions de responsabilité.
Combien coûte vraiment ISO 27001 pour une PME suisse ?
Les coûts totaux se répartissent en trois blocs : conseil, audit de certification et effort interne. Beaucoup sous-estiment particulièrement le troisième poste.
| Bloc de coût | Petite PME (< 50 collaborateurs) | PME moyenne (50–250 collaborateurs) |
|---|---|---|
| Conseil externe | CHF 8'000–20'000 | CHF 20'000–50'000 |
| Audit de certification (organisme accrédité) | CHF 5'000–10'000 | CHF 10'000–20'000 |
| Effort interne (estimé) | CHF 15'000–30'000 | CHF 30'000–60'000 |
| Total (une fois) | CHF 28'000–60'000 | CHF 60'000–130'000 |
| Audits de surveillance annuels | CHF 3'000–6'000 | CHF 6'000–15'000 |
⚠️ Important : Les coûts internes ne figurent dans aucune facture, mais ils sont réels. Les collaborateurs consacrent du temps à des ateliers, entretiens et documentation. Cela s'accumule rapidement à 200–400 heures de travail.
Qui en Suisse a vraiment besoin d'ISO 27001 ?
Pas chaque entreprise n'a besoin d'une certification formelle – mais certains secteurs et modèles commerciaux ne peuvent guère y échapper.
ISO 27001 est pratiquement obligatoire si tu :
- Vises ou détiens des marchés publics (Confédération, cantons, communes)
- Traites des données de santé ou des informations patients (exigences dossier patient électronique)
- Es un prestataire de services financiers sous surveillance FINMA
- Proposes des solutions cloud ou des services informatiques à de grandes entreprises
- Pourrais être couvert par NIS2 (directive UE) – pertinent pour les entreprises suisses ayant des activités en UE
- Serves exclusivement des clients locaux B2C sans exigences particulières de protection des données
- As moins de 10 collaborateurs et ne traites pas de données sensibles
💡 Conseil : Même sans obligation de certification formelle, une évaluation des écarts ISO 27001 vaut la peine. Pour CHF 3'000–6'000, tu sais exactement où se situent tes plus grandes failles de sécurité – indépendamment de si tu veux te certifier.
Comment se déroule une certification ISO 27001 en Suisse ?
Le processus suit toujours le même schéma, bien que les détails puissent varier légèrement selon l'organisme de certification. En Suisse, des organismes accrédités comme SQS, Bureau Veritas ou SGS sont autorisés.
- Analyse des écarts — Tu compares ton état actuel avec les exigences d'ISO 27001. Résultat : une analyse des lacunes avec mesures priorisées.
- Déterminer la portée — Tu définies quels domaines commerciaux, sites et systèmes doivent être certifiés. Une portée étroite réduit considérablement l'effort.
- Construire le SGSI — Évaluation des risques, politiques, processus, contrôles – c'est ici que réside le plus gros travail. Les consultants externes aident à adapter les modèles.
- Audit interne — Avant que l'organisme de certification ne vienne, tu fais toi-même un audit. Trouver des lacunes maintenant est beaucoup moins cher qu'à l'audit de certification.
- Audit Stage 1 (examen documentaire) — L'organisme de certification vérifie l'exhaustivité de ta documentation. Généralement une demi-journée.
- Audit Stage 2 (examen de mise en œuvre) — Les auditeurs vérifient sur site si le SGSI est réellement en place. Entretiens, sondages, visites.
- Obtenir le certificat — En cas de succès, le certificat est valide 3 ans. Les audits de surveillance annuels sont obligatoires.
🚨 Attention : De nombreuses entreprises échouent à l'audit Stage 2 non pas pour des raisons techniques, mais parce que les collaborateurs ne connaissent pas ou ne respectent pas les processus. La formation et la sensibilisation sont tout aussi importantes que les règles de pare-feu.
Existe-t-il des alternatives à la certification ISO 27001 ?
Oui – et pour certaines PME, elles sont le meilleur choix.
| Norme / Framework | Effort | Coûts (approx.) | Certifiable ? | Approprié pour |
|---|---|---|---|---|
| ISO 27001 | Élevé | CHF 30'000–130'000 | Oui | Entreprises avec exigences externes |
| NIST Cybersecurity Framework | Moyen | CHF 5'000–20'000 | Non | Structuration interne |
| CIS Controls (niveau 1–3) | Faible–Moyen | CHF 3'000–15'000 | Non | PME comme point de départ |
| TISAX (Automobile) | Élevé | CHF 20'000–80'000 | Oui | Fournisseurs de l'industrie automobile |
| BSI IT-Grundschutz | Élevé | CHF 25'000–100'000 | Oui | Marché orienté vers l'Allemagne, secteur public |
ℹ️ Remarque : Les CIS Controls sont considérés comme un point de départ plus pragmatique. Selon les études du CIS, les six premiers contrôles couvrent plus de 85 % de tous les vecteurs d'attaque connus – sans effort de certification.
Conclusion : quand ISO 27001 vaut-elle la peine pour ta PME ?
ISO 27001 n'est pas une fin en soi. C'est un outil – et comme tout outil, il ne vaut la peine que si tu résous le bon problème avec.
Investis dans la certification si :
- Des gros clients ou des collectivités la demandent ou la demanderont bientôt
- Tu opères dans un secteur réglementé (santé, finance, infrastructure critique)
- Tu veux utiliser la confiance comme avantage concurrentiel en tant que prestataire informatique
Commence plutôt par un framework si :
- Tu veux d'abord créer de la structure en interne
- Le budget est inférieur à CHF 20'000
- Tu veux d'abord comprendre où se situent tes plus grands risques
Sur IT-Provider.ch, tu trouveras plus de 200 prestataires suisses vérifiés qui t'aideront à préparer ISO 27001, réaliser des analyses d'écarts et choisir le bon organisme de certification – avec les avis de vrais clients.
Questions fréquemment posées sur ISO 27001 en Suisse
Combien de temps prend une certification ISO 27001 ?
Pour une PME avec 20–100 collaborateurs, prévois 12 à 18 mois. Les plus grandes entreprises ou celles avec des infrastructures informatiques complexes ont souvent besoin de 18 à 24 mois.
Quels sont les organismes de certification accrédités en Suisse ?
Les organismes de certification accrédités les plus connus en Suisse sont SQS (Association suisse pour les systèmes de qualité et de management), SGS et Bureau Veritas. La liste complète est tenue par l'Organisme suisse d'accréditation (OPAC).
Une PME peut-elle mettre en place ISO 27001 sans conseil externe ?
Théoriquement oui. En pratique, il manque souvent aux équipes internes l'expérience de la norme et des attentes des auditeurs. Un consultant externe se rembourse généralement par une durée de projet plus courte et moins de corrections lors de l'audit.
Que se passe-t-il si l'audit ISO 27001 n'est pas réussi ?
Tu reçois un rapport d'audit avec des non-conformités. Les lacunes mineures (Minor Findings) peuvent être corrigées dans les 90 jours sans nouvel audit. Pour les lacunes majeures (Major Findings), un nouvel audit est nécessaire.
ISO 27001 s'applique-t-elle aussi aux environnements cloud ?
Oui. ISO 27001 est neutre sur le plan technologique et s'applique aux environnements cloud, on-premise et hybrides. En complément, il y a ISO 27017 (contrôles spécifiques au cloud) et ISO 27018 (protection des données dans le cloud), qui sont souvent certifiés conjointement avec ISO 27001.
