Le certificat ISO 27001 accrédité: nouvelle devise de la confiance

Claudia Furger

Claudia Furger

Publié le : 24.06.2026

Durée de lecture

environ 3 minutes

Les certificats ISO/IEC 27001 connaissent un véritable boom à travers le monde. Pourtant, chaque certificat n’a pas la même valeur. Selon les acteurs du marchés, le fait que l’organisme de certification est accrédité ou pas change complètement la donne.

Ça s’est passé le 14 juin 2023. Ce mercredi, un paquet de données contenant environ 1,3 million d’objets a été publié sur le darknet. Le groupe de pirates informatiques « Play » avait tout d’abord dérobé les données à l’entreprise Xplain par une attaque de ransomware. Parmi les données publiées se trouvaient notamment des informations classifiées et des données sensibles issues de l’administration fédérale.

Xplain n’est pas une exception. Selon economiesuisse, depuis 2023 plus de 200 entreprises suisses ont été victimes d’attaques de ransomware. Les dommages financiers directs se comptent en millions. Pourtant, une réputation lourdement entachée ou une perte de confiance s’avère bien plus préjudiciable. La leçon laisse un goût amer… Même si une entreprise protège correctement ses propres systèmes, dès lors qu’elle collabore avec des prestataires, fournisseurs ou partenaires informatiques peu sûrs, elle reste vulnérable.

Cette mésaventure a changé la façon dont les entreprises appréhendent la sécurité de l’information. Et la manière dont elles en parlent. A leurs clients. A leurs partenaires. Aux autorités. Aujourd’hui, il ne suffit pas de faire des promesses pour inspirer confiance, il faut apporter des preuves.

Une certification selon ISO/IEC 27001 en est une. La norme internationale propose aux entreprises un cadre reconnu leur permettant de gérer de façon systématique la sécurité de l’information, de l’améliorer en continu et de le démontrer en toute transparence à leurs client·e·s, partenaires et aux autorités. L’intérêt est manifeste car à en croire l’ISO Survey, en 2024 près de 100'000 certificats étaient sur le marché et la tendance explose.

Professeure à la Haute école spécialisée bernoise, Rika Koch nous confirme ce boom. Elle codirige le groupe de travail « Public Procurement and Law » qui mène des recherches sur des thématiques telles les marchés publics, la numérisation et le développement durable. Son constat est clair : « Depuis l'attaque informatique contre Xplain, on observe une montée en flèche de l'importance accordée aux normes de cybersécurité dans les appels d'offres publics. Auparavant, ce sujet était parfois négligé. Aujourd'hui, on est passé à l’autre extrême et l’on assiste désormais à une explosion des exigences en matière de certification ». 
 

Séparer le bon grain de l’ivraie

Cependant, plus le nombre de certificats en circulation augmente, plus la question de savoir qui a émis le certificat devient pressante. Car on ignore souvent qu’un certificat n’est pas l’autre. Ce qui est décisif, c’est l’organisme qui l’émet. En principe, n’importe quel organisme a le droit de certifier des systèmes de management ISO. Que les certificats soient reconnus au niveau national et international dépend du fait que l’organisme de certification est accrédité ou pas.

Le système derrière l’accréditation

Le système international d’accréditation est structuré en plusieurs niveaux et génère des obligations à chaque niveau.

 

 

La confiance s’appuie sur des preuves

Si l’on tâte le terrain, il apparait clairement qu’une accréditation est loin d’être une notion abstraite. Pour les entreprises comme Endress+Hauser, dont les solutions logicielles sont utilisées dans le monde entier, l’accréditation est la condition sine qua non pour que leurs compétences en matière de sécurité soient comprises et reconnues à l’échelle mondiale. Les entreprises qui opèrent au niveau régional, telles la Regionalwerke AG Baden partagent cet avis. Selon Philippe Bähler, responsable informatique, la sécurité de l’information est désormais une évidence qui doit être prouvée de manière transparente et compréhensible aux client·e·s, partenaires et parties prenantes.

 

C’est d’autant plus le cas dans les domaines où l'activité principale repose elle-même sur la confiance. Comme le dit Matthias Teuscher, Chief Information Security Officer chez Securiton AG « Pour le fournisseur de solutions de sécurité que nous sommes, la confiance est le fondement de notre travail. La certification accréditée ISO/IEC-27001 délivrée par la SQS constitue à cet égard une référence objective et reconnue à l’échelle internationale ».

C’est la raison pour laquelle une certification accréditée ISO/IEC-27001 est bien plus qu’un simple instrument de gestion. Elle est le gage visible de notre fiabilité. Pour un grand nombre d’entreprises elle est ainsi devenue une condition indispensable pour conquérir de nouveaux marchés, conclure des partenariats ou remporter des marchés publics.