ISO 27001 et partenaires d'automatisation externes : À quoi les entreprises de taille moyenne doivent faire attention lors du choix

ISO 27001 comme critère de sélection pour les partenaires d'automatisation : Ce que le certificat prouve réellement et ce que les entreprises de taille moyenne doivent vérifier à la place.

Croquis dessiné à la main : une main tient une loupe au-dessus d'un document portant un sceau de certification rond

Quiconque confie à un partenaire externe l'automatisation de la réception des factures, du CRM ou de la gestion des candidatures lui donne inévitablement accès à des données sensibles : enregistrements de clients, chiffres financiers, parfois aussi dossiers personnels. La question "le prestataire est-il certifié ISO 27001" apparaît donc de plus en plus souvent dans les appels d'offres et les premiers entretiens. Cependant, beaucoup d'entreprises de taille moyenne ne savent pas exactement ce que le certificat prouve et ce qu'il ne couvre pas. Cet article clarifie ce qui compte réellement lors du choix d'un partenaire d'automatisation.

Ce que le certificat ISO 27001 dit vraiment

ISO/IEC 27001:2022 établit les exigences d'un système de gestion de la sécurité de l'information (SMSI) et n'est donc pas un sceau pour un outil unique, mais une preuve de processus systématiques et régulièrement vérifiés dans toute l'entreprise. L'annexe A de la norme contient 93 contrôles dans quatre catégories : 37 mesures organisationnelles, 8 mesures liées aux personnes, 14 mesures physiques et 34 mesures technologiques, comme l'analyse spécialisée de secjur le montre pour la version actuelle. La version précédente de 2013 contenait encore 114 contrôles, la réduction à 93 s'est accompagnée d'une structure plus claire et de onze nouvelles mesures, par exemple pour la sécurité du cloud et la surveillance des activités.

Il existe deux voies vers la certification : de manière native selon ISO/IEC 27001:2022 avec libre choix de la méthodologie, ou sur la base de la protection IT fondamentale selon la méthodologie de l'Office fédéral allemand de la sécurité de l'information (BSI, normes 200-1 à 200-4). Selon les deux voies mènent à BSI au certificat ISO-27001 reconnu internationalement, la voie de protection fondamentale est documentée publiquement dans le schéma de certification BSI et les certificats délivrés peuvent y être consultés. Pour le choix d'un partenaire, c'est pertinent car les deux voies sont considérées comme équivalentes, mais peuvent être vérifiées avec des degrés de détail différents.

Pourquoi la sécurité du partenaire d'automatisation est directement votre propre risque

Le dommage total causé par le vol de données, l'espionnage et le sabotage dans l'économie allemande s'élevait en 2025 à 289,2 milliards d'euros, dont selon Bitkom-Studie Wirtschaftsschutz 2025 202,4 milliards d'euros (70 pour cent) sur les cyberattaques. 34 pour cent des entreprises interrogées ont été victimes de rançongiciels, près de trois fois plus qu'en 2022. Un bot RPA, un flux de travail n8n ou un agent Copilot a besoin d'identifiants d'accès et d'accès API à ERP, CRM ou DATEV pour automatiser. Si le partenaire d'automatisation lui-même est compromis, c'est un accès direct aux systèmes du client. La sécurité informatique du partenaire n'est donc pas une affaire formelle mineure, mais une véritable extension de votre propre surface d'attaque.

Ce que vous devez concrètement vérifier lorsqu'un prestataire se vante d'avoir ISO 27001

Un certificat présenté seul ne dit pas grand-chose sans que la validité et le champ d'application (scope) soient vérifiés. Quatre points en valent vraiment la peine :

  • Champ d'application : Le certificat couvre-t-il réellement le département ou le lieu qui gère votre projet d'automatisation, ou seulement une filiale ?
  • Voie de certification : native ou via la protection IT fondamentale BSI, les deux valides, avec la voie de protection fondamentale, le certificat peut être vérifié dans la base de données publique des certificats BSI.
  • Cycle de recertification : Une certification de protection IT fondamentale BSI est valide trois ans, avec des audits de surveillance annuels entre les deux, il vaut donc la peine de demander la date du dernier audit.
  • Organisme émetteur : Le certificat a-t-il été délivré par un organisme de certification accrédité et indépendant, et non par un audit interne ?

Important pour les attentes : à la fin 2022, seules environ 1 582 entreprises en Allemagne étaient certifiées ISO 27001, selon les chiffres de Statista le montrent, parmi quelque 3,1 millions d'entreprises au total. Un certificat manquant n'est donc pas un critère d'exclusion automatique pour un partenaire d'automatisation compétent, mais il déplace la charge de la preuve vers d'autres preuves tout aussi vérifiables.

Si le partenaire n'est pas certifié : Quelles preuves comptent à la place

Sans certificat ISO-27001, un contrat de traitement des données propre conformément à l'art. 28 RGPD et des mesures techniques et organisationnelles documentées (TOMs) sont le minimum que tout partenaire d'automatisation sérieux doit pouvoir fournir. Le contrat de traitement des données est de toute façon obligatoire dès que des données personnelles sont traitées, indépendamment de toute certification. En complément, il vaut la peine de demander où sont situés les serveurs (Allemagne ou UE), quels sont les concepts d'accès pour les automatisations individuelles et si les incidents passés ont été documentés et signalés.

NordFlux non plus ne se présente pas face aux clients avec son propre certificat ISO-27001, mais avec un contrat de traitement des données par client, des TOMs documentés et une conservation des données dans des centres de données allemands ou européens. C'est exactement cette transparence, pas seulement un sceau, qui est le critère que nous recommandons aux entreprises de taille moyenne pour le choix de tout partenaire d'automatisation. Ces questions font donc partie de chaque Conseil en IA avant le premier projet, car elles concernent exactement l'intégration d'interfaces par lesquelles les données sensibles circulent.

De Simon Glowik, publié le 9 juillet 2026.

Questions fréquemment posées

ISO 27001 est-il légalement obligatoire pour un partenaire d'automatisation ?

Pour la plupart des secteurs, non. Ce n'est que dans les domaines réglementés comme les entreprises d'infrastructure critique (KRITIS) ou certaines parties du secteur financier qu'une certification peut être effectivement exigée. Pour les entreprises de taille moyenne, ISO 27001 est aujourd'hui plutôt une exigence du client de plus en plus courante qu'une obligation légale.

Que signifie « ISO 27001 sur la base de la protection IT fondamentale » ?

C'est la voie de certification alternative via la méthodologie BSI au lieu du libre choix de la méthodologie. Un auditeur agréé par le BSI examine les documents de référence et effectue un audit sur place, le BSI décide ensuite de la délivrance du certificat ISO-27001.

Combien de temps un certificat ISO-27001 est-il valide ?

Une certification sur la base de la protection IT fondamentale est valide trois ans, après quoi une recertification est nécessaire. Des audits de surveillance annuels ont lieu entre les deux. Il vaut donc la peine de demander la date du dernier audit, pas seulement le certificat lui-même.

Une auto-déclaration sans certificat suffit-elle comme preuve ?

Une simple auto-déclaration sans substance ne suffit pas. Un contrat de traitement des données solide conformément à l'art. 28 RGPD et des mesures techniques et organisationnelles documentées sont le minimum que tout partenaire d'automatisation devrait pouvoir fournir indépendamment d'une certification ISO.

Comment vérifier si un certificat ISO-27001 présenté est authentique ?

Pour les certificats basés sur la protection IT fondamentale, la délivrance peut être vérifiée dans la liste publique des certificats du BSI. Pour les certificats ISO-27001 natifs, un examen de l'accréditation de l'organisme de certification qui les délivre, par exemple auprès de l'Organisme allemand d'accréditation (DAkkS), ou une demande directe auprès de l'organisme peut aider.

À propos de NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux construit des employés numériques pour les organisations : des automatisations et des agents KI qui prennent en charge le travail répétitif. Vous gardez le contrôle.

En savoir plus sur nous
Analyse initiale gratuite

Des questions concrètes sur l’automatisation ou l’IA ?

Lors d’une analyse initiale gratuite, nous discutons directement de votre cas. Sans engagement.