L'énoncé de portée est le certificat
"Certifié ISO 27001" n'est pas une affirmation binaire sur une entreprise. La véritable déclaration réside dans l'énoncé de portée du certificat, et elle est vérifiable.

"Nous sommes certifiés ISO 27001" est traité comme une affirmation binaire, par les fournisseurs qui l'énoncent et par la plupart des acheteurs qui l'entendent. Ce n'en est pas une. Un certificat ne certifie pas une entreprise ; il certifie un système de management dont les limites ont été définies par l'entreprise elle-même, et l'énoncé faisant autorité de ces limites, que tout acheteur verra un jour, est la portée indiquée dans les documents de certification, cette phrase que, selon notre expérience, peu d'acheteurs prennent la peine de lire. Deux organisations peuvent détenir des certificats du même organisme d'accréditation, afficher le même badge, et revendiquer des affirmations totalement différentes : l'une a certifié le système qui développe et exploite le produit acheté par ses clients, l'autre a certifié la fonction informatique d'un siège social avec lequel le client n'interagira jamais. Les deux sont "certifiées ISO 27001". Pourtant, seul l'un de ces certificats établit directement que l'élément vendu se trouve dans la portée.
Notre position : l'énoncé de portée est le certificat, en ce sens qu'il porte l'affirmation substantielle que le document avance, et les équipes qui définissent leur portée en se demandant "quel est le plus petit système que nous pouvons défendre face à un auditeur" optimisent la mauvaise variable. La portée est une décision de confiance client qui, par hasard, s'accompagne d'un audit, et non une décision de réduction des coûts d'audit qui, par hasard, devient visible pour les clients.
La norme est délibérément permissive
ISO/IEC 27001:2022 (troisième édition, publiée le 25 octobre 2022 ; l'amendement sur l'action climatique Amd 1:2024, publié le 23 février 2024, ne modifie pas cette clause) traite de la définition de la portée dans la clause 4.3. L'organisation détermine "les limites et l'applicabilité" du SMSI pour établir sa portée, et ce faisant, elle doit prendre en compte les enjeux internes et externes de la clause 4.1, les exigences des parties intéressées de la clause 4.2, et "les interfaces et dépendances entre les activités réalisées par l'organisation et celles réalisées par d'autres organisations". La portée doit être disponible sous forme d'information documentée. C'est là l'intégralité de la clause.
Remarquez ce qu'elle ne dit pas. Rien n'exige que la portée couvre l'entité juridique dans son intégralité, tous les bureaux ou le produit phare. La norme permet délibérément à un hôpital de certifier son service des archives, à un conglomérat de certifier une filiale, ou à une entreprise de logiciels de certifier une seule plateforme. Cette permissivité est une fonctionnalité : elle rend la certification accessible par étapes et permet aux organisations de concentrer leurs efforts d'assurance là où le risque se situe réellement.
Le volet certification du système fait ensuite quelque chose d'important avec cette liberté. ISO/IEC 17021-1:2015 (publié le 8 juin 2015), la norme à laquelle les organismes de certification accrédités doivent se conformer, exige à la clause 8.2.2(f) que les documents de certification identifient "la portée de la certification en fonction du type d'activités, de produits et de services, le cas échéant pour chaque site, sans être trompeur ni ambigu". ISO/IEC 27006-1:2024 (première édition, publiée le 1er mars 2024) ajoute les règles spécifiques au SMSI pour ces organismes. L'intention de conception est claire : l'organisation peut tracer la limite où elle le souhaite, à condition de pouvoir la justifier, et en échange, les documents de certification doivent indiquer, de manière précise et lisible, où se situe cette limite.
L'intégrité de cet accord repose sur le fait que l'affirmation voyage avec la limite attachée, et la mécanique s'efforce de le garantir : la clause 8.3 de l'ISO/IEC 17021-1 exige des organismes de certification qu'ils régissent la manière dont leurs clients font référence à leur certification et utilisent leurs marques, et un organisme de certification peut agir contre une utilisation trompeuse. Cependant, l'énoncé de portée réside dans les documents de certification, tandis que l'affirmation opérationnelle se trouve dans les présentations commerciales, les pages de confiance et les champs de questionnaires en une seule phrase, où elle est souvent abrégée en "certifié". Selon notre expérience, cet écart est rarement contrôlé, et la partie la plus susceptible de le remarquer en premier est l'acheteur qui lit effectivement le certificat.
Pourquoi définir une portée pour réussir est rationnel, et où cela échoue réellement
La tentation de délimiter une portée étroite n'est pas paresse ; c'est une question de calcul. Le modèle de temps d'audit dans l'ISO/IEC 27006-1:2024 (Annexe C) part du nombre de personnes travaillant sous le contrôle de l'organisation, puis ajuste en fonction de facteurs tels que la complexité, les sites et l'externalisation. Une portée plus étroite peut donc réduire l'effort d'audit, bien qu'elle ne garantisse aucune réduction particulière du nombre de jours ou du coût de l'audit. Moins de personnes et de processus dans la portée signifient généralement moins d'entretiens, moins de documents et une facture de mise en œuvre moins élevée. Les parties les plus complexes de l'organisation — l'équipe d'ingénierie avec ses propres outils, la filiale récemment acquise, l'équipe de support dans une autre juridiction — sont précisément celles qui coûtent cher à intégrer. Selon notre expérience, la portée est l'un des leviers de coût les plus efficaces dans tout le projet, et elle est souvent actionnée pour cette raison.
Et cela peut fonctionner, dans un sens étroit : un SMSI à portée étroite peut réussir son audit selon ses propres termes. L'organisme de certification évalue la conformité du système que vous avez défini, et non l'ambition de cette définition. Un certificat pour "le SMSI prenant en charge la fonction informatique de l'entreprise" peut être délivré de bonne foi par un auditeur compétent, car il s'agit d'une affirmation vraie concernant un système réel.
Cependant, la clause résiste plus fortement que les équipes ne l'anticipent. La clause 4.3 ne vous permet pas de tracer la limite dans le vide. Selon la clause 4.2, les clients sont souvent des parties intéressées pertinentes, et leurs exigences de sécurité applicables peuvent directement influencer l'endroit où la limite doit se situer. L'item (c) vous oblige ensuite à prendre en compte les interfaces et dépendances, de sorte qu'une fonction certifiée dépendant d'une organisation d'ingénierie exclue doit faire face à une interface que la documentation doit aborder. Une portée qui exclut le produit que les clients achètent réellement n'est pas automatiquement illégitime. Mais c'est une position qui nécessite une justification : l'analyse des parties intéressées doit établir, sur la base de documents, que les exigences des clients ne sont pas applicables ou sont traitées en dehors du SMSI. Selon notre expérience, la pression exercée par les auditeurs sur les clauses 4.3(b) et (c) varie. Cette justification est mise à l'épreuve dès qu'une personne lit la phrase.
La phrase est désormais vérifiable
Lire la phrase devient plus facile. La base de données IAF CertSearch, développée et exploitée par Quality Trade en tant que partenaire commun de l'ISO et de l'IAF, permet de vérifier les certificats accrédités participants, y compris leur statut et leur portée, sous réserve des limitations de couverture et de confidentialité : tous les certificats ne sont pas téléversés, et certains enregistrements peuvent être marqués comme confidentiels. (Par ailleurs, l'IAF et l'ILAC ont été remplacés par une seule organisation, la Global Accreditation Cooperation Incorporated, qui a commencé ses opérations complètes le 1er janvier 2026.) Les données de certification se consolident néanmoins : le ISO Survey, qui recense annuellement le nombre de certificats, s'appuie désormais sur les données de CertSearch depuis son édition 2024 (publiée en 2025), laquelle a recensé 96 709 certificats ISO/IEC 27001 valides contre les 48 671 de l'édition 2023. Ces deux chiffres ne sont pas directement comparables, et la différence ne prouve pas que les certifications ont doublé : le résultat de 2023 a été affecté par la non-participation de l'organisme d'accréditation chinois, et la méthodologie de collecte a changé entre les éditions. La consolidation réside dans ce changement méthodologique lui-même, une base de données partagée qui se trouve désormais derrière à la fois la vérification et le décompte officiel.
Pendant ce temps, le côté demande se professionnalise. Selon notre expérience, les questionnaires de sécurité demandent de plus en plus souvent le certificat lui-même plutôt qu'une attestation par oui/non, et l'énoncé de portée y figure. Un analyste en achats qui le lit n'a pas besoin de beaucoup de temps pour remarquer que la plateforme SaaS évaluée n'est pas raisonnablement couverte par les activités, services et limites indiqués.
Voici l'asymétrie qui transforme cette question en une décision de confiance plutôt qu'une question de conformité. Un fournisseur sans certificat et qui déclare honnêtement "nous travaillons à la certification de la plateforme" se trouve dans une position récupérable. Un fournisseur qui affirme "nous sommes certifiés ISO 27001", et dont le certificat, à l'examen, couvre une fonction administrative dans un autre bâtiment, se trouve dans une position bien plus faible, car les acheteurs interprètent rarement cette découverte comme une nuance. Cela peut être perçu comme une assurance empruntée, une tentative de laisser le badge couvrir davantage que ce que les documents de certification ne supportent. Une fois qu'un acheteur interprète la situation ainsi, chaque autre réponse du questionnaire hérite du doute. La portée étroite était légitime. L'image globale construite sur cette base est ce qui ne survit pas à la lecture du certificat, et elle vient tout juste de rencontrer un lecteur.
Définir une portée qui a du sens
La solution consiste à inverser la direction de l'exercice. Définir une portée pour réussir commence par l'organigramme et se demande ce qui peut être exclu. Définir une portée qui a du sens commence par la phrase que vous devez pouvoir remettre à un client, quelque chose comme "le SMSI couvrant le développement, l'exploitation et le support de [le produit qu'ils achètent]", puis travaille à rebours pour identifier les personnes, processus, sites et fournisseurs que cette phrase vous engage à inclure. La clause 4.3(c) fait alors un travail utile pour vous au lieu de contre vous : retracer les interfaces et dépendances en partant du service client est exactement la manière de déterminer ce qui doit se trouver dans la portée.
Ce n'est pas un argument en faveur d'une portée qui englobe toute l'entreprise. Des lignes de métier genuinely séparées, avec une véritable segregation organisationnelle et technique, constituent des exclusions légitimes, et une certification par étapes reste judicieuse. Le test que nous proposons pour toute exclusion est symétrique avec le problème de confiance : pourriez-vous expliquer cette exclusion, en un paragraphe, au client dont les données se trouvent au plus près de la limite, et cette explication résisterait-elle à une question de suivi ? Une exclusion qui passe ce test ("la division des produits industriels ne partage aucun système, personnel ou données avec la plateforme") a été tracée pour des raisons structurelles. Une exclusion qui échoue ("l'ingénierie était hors portée ce cycle") pointe vers une portée définie pour réussir, et le paragraphe que vous ne pouvez pas écrire vous indique ce que l'exclusion visait vraiment.
Une certification par étapes, menée honnêtement, obéit à la même règle : la première phase devrait déjà couvrir le service client, car c'est l'affirmation que le marché entendra. Selon notre expérience, élargir une portée significative lors des cycles ultérieurs est la direction de voyage la moins perturbatrice, et elle se lit comme une marque de maturité. Réparer une portée creuse est plus difficile : selon l'ISO/IEC 17021-1:2015 (clause 9.6.4.1), l'organisme de certification examine la demande et détermine les activités d'audit nécessaires pour l'extension, qui peuvent être combinées avec un audit de surveillance, et la documentation de certification n'est mise à jour que si l'extension est accordée. L'intervalle, durant lequel le certificat dit une chose et les clients en croient une autre, est le plus coûteux.
La règle qui vaut la peine d'être conservée
Un certificat certifie sa portée et rien d'autre. La norme accorde une réelle liberté quant à l'endroit où vous tracez la limite, et l'exigence non négociable de la mécanique de certification qui compte ici, issue de la clause 8.2.2 de l'ISO/IEC 17021-1, est que la limite soit indiquée sans être trompeuse ni ambiguë. Appliquer ce même test à vos propres affirmations concernant le certificat n'est pas une obligation réglementaire. C'est simplement la seule stratégie de définition de portée qui résiste à la lecture du certificat par un prospect, et cette lecture ne fera que devenir plus facile.
Tracer une limite que vous pouvez défendre dans les deux salles — l'audit et l'entretien commercial — est le travail de la clause 4.3 : parties intéressées, dépendances, et la phrase documentée qui survit à ces deux lectures. C'est le type de question de définition de portée pour lequel ISMS Copilot est conçu pour vous accompagner, exigence par exigence. Le badge est identique sur chaque certificat. La phrase qui se trouve en dessous est le produit.
Articles connexes

Le RRA est un problème de 2026, pas de 2027
L'obligation de reporting du Règlement sur la Résilience Cybernétique (RRA) s'applique à partir du 11 septembre 2026, soit plus d'un an avant ses exigences essentielles. Les équipes qui planifient leur préparation en fonction de la date de 2027 pour le marquage CE organisent leur travail dans le mauvais ordre.

Le report des échéances à haut risque de l'AI Act n'est pas une trêve
L'UE a accepté de repousser les échéances à haut risque à décembre 2027 et août 2028. La raison de ce report doit changer votre lecture : il s'agit d'un avertissement concernant votre périmètre, et non d'un répit pour votre feuille de route.

IA et RGPD : Automatiser les transferts de données transfrontaliers
Automatisez la cartographie, la surveillance et la documentation des transferts de données transfrontaliers de l'UE avec l'IA — les équipes juridiques conservent les décisions finales.
