I
Impetora

ISO/IEC 42001 vs ISO/IEC 27001 : ce qui diffère et ce qui se recoupe

By Impetora -

ISO/IEC 42001:2023 est la norme relative au système de management de l'intelligence artificielle, publiée en décembre 2023 [1]. ISO/IEC 27001:2022 est la norme relative au système de management de la sécurité de l'information, colonne vertébrale de la certification de sécurité en entreprise depuis 2005 [2]. Les deux normes partagent la structure harmonisée Annex SL et s'intègrent proprement, mais couvrent des périmètres distincts. La plupart des organisations qui déploient de l'IA en 2026 ont besoin des deux : la 27001 pour les données et l'infrastructure, la 42001 pour le cycle de vie de l'IA, l'équité et la responsabilité.

93 mesures
Annexe A d'ISO 27001:2022 en 4 thèmes
ISO
38 mesures
Annexe A d'ISO 42001:2023 spécifiques à l'IA
ISO
Août 2026
Obligations haut risque du règlement européen sur l'IA
EUR-Lex

Que couvre ISO/IEC 27001 ?

ISO/IEC 27001:2022 spécifie un système de management de la sécurité de l'information (SMSI). Son périmètre porte sur la confidentialité, l'intégrité et la disponibilité des actifs informationnels, qu'il s'agisse de dossiers papier, de bases de données, de code source, de charges cloud ou de modèles entraînés. La norme définit un noyau de management dans les clauses 4 à 10 et un catalogue de mesures en Annexe A comportant 93 mesures réparties en quatre thèmes : organisationnel (37), personnel (8), physique (14) et technologique (34) [2].

L'écosystème de certification est mature. ISO 27001 est, depuis la révision de 2005 (anciennement BS 7799 et ISO/IEC 17799), la référence mondiale de sécurité en entreprise. Tous les grands organismes de certification, notamment BSI, DNV, TUV, Bureau Veritas, AENOR et SGS, exploitent un schéma 27001 actif avec un vivier d'auditeurs public et des grilles tarifaires connues.

La 27001 est neutre vis-à-vis des technologies. Elle demande à l'organisation d'identifier les actifs informationnels, d'évaluer les risques, de sélectionner et déployer des mesures, puis de tenir un cycle de management qui maintient l'assurance dans la durée. Elle ne prescrit ni outil ni fournisseur particulier, ce qui explique sa bonne compatibilité avec des extensions sectorielles telles que ISO 27017, ISO 27018, ISO 27701 et désormais ISO/IEC 42001.

Que couvre ISO/IEC 42001 ?

ISO/IEC 42001:2023 spécifie un système de management de l'IA (AIMS). Son périmètre porte sur le cycle de vie des systèmes d'intelligence artificielle au sein d'une organisation, y compris l'usage éthique, la transparence, la responsabilité, l'équité, la qualité des données et la supervision humaine. La norme reprend la structure Annex SL utilisée par 27001 et 9001, puis y ajoute 38 mesures Annexe A spécifiques à l'IA, une Annexe B de lignes directrices de mise en œuvre, et une Annexe C de catalogue d'objectifs organisationnels et de sources de risques liés à l'IA [1].

L'écosystème de certification est encore en construction. ISO a publié 42001 en décembre 2023, et l'IAF a publié son document obligatoire sur la certification des systèmes de management de l'IA en 2024 [3]. BSI, DNV, TUV Nord, Bureau Veritas et AENOR ont annoncé leurs schémas 42001, mais le vivier d'auditeurs reste restreint et la capacité mondiale est tendue jusqu'en 2026.

La 42001 couvre ce que la 27001 ne traite délibérément pas : la gouvernance du cycle de vie des modèles, la qualité des données d'entraînement, le biais algorithmique, la transparence propre à l'IA et la conception de la supervision humaine. Elle référence explicitement des sources de risques propres à l'IA qui n'ont pas d'équivalent dans les normes de sécurité, notamment les comportements émergents, le décalage de distribution et l'impact social des décisions automatisées.

Comparaison directe

Le tableau ci-dessous résume les différences pratiques que rencontrent les acheteurs lors de la planification d'un programme.

Dimension ISO/IEC 27001:2022 ISO/IEC 42001:2023
PérimètreActifs informationnels (triade CID)Cycle de vie et gouvernance des systèmes d'IA
Mesures Annexe A93 en 4 thèmes38 spécifiques à l'IA
Cycle d'auditÉtape 1 + Étape 2, surveillance annuelle, recertification à l'année 3Même cycle Annex SL ; audit intégré possible
Focus principalConfidentialité, intégrité, disponibilitéConfiance, équité, responsabilité
MaturitéMature, depuis 2005Récente, décembre 2023
CompatibilitéStructure harmonisée Annex SLStructure harmonisée Annex SL (conçue pour l'intégration)

Où les deux normes se recoupent-elles ?

Les deux normes adoptent la structure harmonisée Annex SL, de sorte que les clauses 4 à 10 (contexte de l'organisation, leadership, planification, support, fonctionnement, évaluation des performances, amélioration) se lisent presque à l'identique. Une organisation peut tenir un système de management intégré couvrant les deux référentiels, avec un seul registre des risques, un seul programme d'audit interne, une seule revue de direction et un seul processus de non-conformité.

Les recouvrements de mesures sont concrets. La mesure A.5.34 d'ISO 27001 (protection de la vie privée et des données personnelles) alimente directement la gouvernance des données de l'AIMS sous 42001. Les mesures de gestion des actifs de la 27001 soutiennent l'inventaire des modèles et jeux de données sous 42001. Les mesures de relations fournisseurs couvrent les sous-traitants dans les deux régimes. La gestion des incidents, la continuité d'activité et le contrôle d'accès se transposent avec une duplication minimale des preuves.

Conséquence pratique : une organisation qui dispose déjà d'un SMSI 27001 propre a réalisé environ 40 à 60 pour cent du travail documentaire requis pour la 42001, selon le degré de maturité de sa gouvernance IA avant le cadrage de certification.

Où divergent-elles ?

ISO 27001 ne traite ni le biais algorithmique, ni le cycle de vie des modèles, ni la qualité des données d'entraînement, ni la transparence propre à l'IA. Ses mesures restent muettes sur le fait qu'un modèle traite équitablement les groupes protégés, que les données d'entraînement soient représentatives, que la performance du modèle ait dérivé, ou que les utilisateurs finaux soient informés qu'ils interagissent avec un système d'IA. Ce sont précisément les lacunes que comble la 42001.

À l'inverse, ISO 42001 ne couvre pas en profondeur la sécurité réseau, la cryptographie, le contrôle d'accès physique ou la gestion des vulnérabilités. Elle suppose que l'infrastructure d'information sous-jacente est régie par un SMSI séparé ou un dispositif équivalent. Faire fonctionner la 42001 seule, sans 27001 ni assurance de sécurité comparable, est techniquement permis mais produit une posture globale faible, qui échoue généralement à passer les diligences d'achat en entreprise.

C'est pourquoi la plupart des analystes et organismes de certification recommandent les deux normes comme complémentaires, et non comme alternatives.

Laquelle certifier en premier ?

La réponse dépend de la maturité IA. Une organisation IA en phase de démarrage, ou toute organisation sans SMSI préexistant, doit certifier ISO 27001 en premier. C'est le socle, le vivier d'auditeurs est large, et environ la moitié de la documentation du système de management sera réutilisée pour la 42001 par la suite. Tenter de faire vivre la 42001 sur une base de sécurité instable génère des reprises lorsque la 27001 est ajoutée plus tard.

Une organisation déjà certifiée 27001 qui déploie désormais de l'IA peut aller directement à la 42001. La structure Annex SL fait que les clauses 4 à 10 du SMSI existant se transposent avec des ajustements de périmètre mineurs, et le travail se concentre sur les 38 mesures Annexe A propres à l'IA, plus la gouvernance des données, le cycle de vie des modèles et la supervision humaine.

Une organisation régulée opérant sous des cadres sectoriels (DORA en services financiers, NIS2 en infrastructures critiques, MDR en dispositifs médicaux) doit séquencer en fonction de l'échéance réglementaire la plus proche, avec la 27001 typiquement comme prérequis et la 42001 comme couche IA.

Comment ISO 42001 s'articule-t-elle avec le règlement européen sur l'IA ?

Les mesures de l'Annexe A d'ISO 42001 se rapprochent de plusieurs articles fondamentaux du règlement européen sur l'IA pour les systèmes à haut risque : article 9 (gestion des risques), article 10 (données et gouvernance des données), article 11 (documentation technique), article 12 (tenue de registres), article 13 (transparence et fourniture d'informations aux déployeurs), article 14 (supervision humaine), article 15 (exactitude, robustesse et cybersécurité) et article 17 (système de management de la qualité) [4].

Ce rapprochement constitue une preuve utile mais ne vaut pas conformité automatique. Le règlement distingue les normes harmonisées (qui ouvrent une présomption de conformité dès leur citation au Journal officiel) des normes non harmonisées comme la 42001 aujourd'hui. Un certificat ISO 42001 est un dossier de preuves solide pour la procédure d'évaluation de la conformité au titre du règlement, mais il ne se substitue pas à cette procédure.

Le bureau de l'IA de la Commission européenne et CEN-CENELEC JTC 21 travaillent sur des normes harmonisées qui finiront par référencer la 42001. D'ici là, traitez le certificat comme un multiplicateur de crédibilité en achat et en audit, non comme un raccourci réglementaire.

Comment ISO 42001 s'articule-t-elle avec le NIST AI RMF ?

ISO 42001 et le NIST AI Risk Management Framework (AI RMF 1.0, avec le profil IA générative NIST.AI.600-1 publié en 2024) sont profondément alignés, particulièrement entre l'Annexe A de la 42001 et la fonction GOVERN du NIST [5]. Les organisations qui ont mis en œuvre les fonctions GOVERN, MAP, MEASURE et MANAGE du NIST trouvent l'écart documentaire vers la 42001 maîtrisable.

Les deux sont complémentaires plutôt que redondants. NIST AI RMF est volontaire et utilisé surtout comme outil de pilotage interne. ISO 42001 est un système de management certifiable. Un schéma fréquent en 2026 consiste à utiliser le NIST AI RMF comme modèle opérationnel interne et la 42001 comme enveloppe d'assurance externe.

Coût et calendrier

Pour ISO 27001, une certification mid-market typique court sur 9 à 15 mois entre l'évaluation Étape 0 et l'émission du certificat. Le coût indicatif de conseil va de 15 à 50 milliers d'euros, avec des honoraires d'auditeur de 8 à 25 milliers d'euros pour le cycle initial, selon le périmètre, l'effectif et le nombre de sites physiques.

Pour ISO 42001, une organisation déjà certifiée 27001 atteint généralement la certification 42001 en 6 à 12 mois, avec un coût de conseil de l'ordre de 20 à 60 milliers d'euros. La fourchette plus large reflète la rareté des consultants qualifiés en 2026 et le besoin de maturer des pratiques de gouvernance IA qui n'existaient pas auparavant.

Conduire les deux certifications dans un programme intégré (plutôt que séquentiel) est plus efficient en partant de zéro, mais cela exige une direction intégrée compétente et une architecture documentaire unique. La plupart des organisations trouvent l'approche séquentielle plus simple à piloter et à peine plus coûteuse.

Exemple de rapprochement de la déclaration d'applicabilité

Ci-dessous un extrait illustratif de la manière dont une organisation disposant d'un SMSI ISO 27001 propre rapproche les mesures existantes des nouvelles exigences 42001 sans dupliquer les preuves.

  • 27001 A.5.9 (inventaire des informations et autres actifs associés) couvre l'inventaire des modèles et jeux de données 42001. Un seul registre d'actifs ; ajouter les champs type de modèle, traçabilité des données d'entraînement et finalité prévue.
  • 27001 A.5.34 (vie privée et protection des données personnelles) couvre la gouvernance des données 42001. Réutiliser la mesure DP avec un avenant spécifique IA sur la représentativité et le consentement à l'usage en entraînement.
  • 27001 A.5.19 à A.5.23 (relations fournisseurs) couvrent les clauses sous-traitants et fournisseurs de modèles fondation 42001. Réutiliser les contrats avec un avenant spécifique IA sur les données d'entraînement, les droits de fine-tuning et la notification d'incident.
  • 27001 A.8.16 (activités de surveillance) couvre une partie de la surveillance post-déploiement 42001, à étendre par des métriques de performance modèle, la détection de dérive et des indicateurs d'équité.
  • 27001 A.5.25 à A.5.27 (gestion des incidents) couvre la notification d'incident IA 42001. Réutiliser le processus ; ajouter des catégories pour sortie nuisible, incident de biais et plainte d'explicabilité.

Les mesures 42001 restantes sans équivalent 27001 (analyse d'impact des systèmes d'IA, conception de la supervision humaine, obligations de transparence, ressources et compétences propres à l'IA) demandent une documentation nouvelle, mais réutilisent généralement les processus existants du système de management.

Questions fréquentes

Un même auditeur peut-il certifier ISO 27001 et ISO 42001 ?
Oui, en pratique. La plupart des grands organismes de certification (BSI, DNV, TUV, Bureau Veritas, AENOR) forment leurs auditeurs aux deux schémas et proposent des audits intégrés où les clauses du système de management sont testées une seule fois et les mesures Annexe A le sont séparément pour chaque norme. Cela permet typiquement d'économiser 20 à 30 pour cent des jours d'audit par rapport à deux certifications indépendantes. Le document obligatoire de l'IAF sur la certification des systèmes de management de l'IA, publié en 2024, formalise les exigences de compétence des auditeurs 42001.
Quels organismes proposent ISO 42001 en 2026 ?
BSI, DNV, TUV Nord, TUV Rheinland, TUV SUD, Bureau Veritas, AENOR, SGS et quelques organismes régionaux ont annoncé leurs schémas ISO 42001. Le vivier d'auditeurs reste réduit comparé à la 27001, et la capacité mondiale est sous tension jusqu'en 2026. Planifiez l'audit Étape 2 tôt dans votre programme, car les créneaux peuvent glisser de plusieurs mois.
ISO 42001 vaut-elle conformité automatique au règlement européen sur l'IA ?
Non. ISO 42001 est aujourd'hui une norme non harmonisée, ce qui signifie que la certification ne crée pas de présomption de conformité au titre de l'article 40 du règlement. C'est néanmoins le dossier de preuves le plus solide disponible pour la procédure d'évaluation de la conformité des systèmes à haut risque au titre de l'Annexe VI (contrôle interne) ou de l'Annexe VII (tiers). Le CEN-CENELEC JTC 21 travaille sur des normes harmonisées qui pourront, à terme, faire référence à la 42001.
Si le budget ne permet qu'une seule certification, laquelle choisir ?
Optez pour ISO 27001, sauf si votre activité est fondamentalement celle d'un fournisseur d'IA dont les clients exigent explicitement la 42001 dans leurs achats. La 27001 est l'assurance la plus large et ouvre bien davantage de conversations commerciales. Les déployeurs d'IA dont le profil de risque est dominé par les questions de données et d'infrastructure tirent plus de levier d'achat de la 27001. Les pures éditrices IA dont les clients sont sensibles à la gouvernance propre à l'IA (finance régulée, santé, secteur public) doivent prioriser la 42001.
Quelles incidences sur les obligations sous-traitants ?
Les deux normes exigent des mesures formelles de relations fournisseurs. Sous 27001, l'accent est mis sur les clauses de sécurité dans les contrats et sur l'évaluation du risque fournisseur. Sous 42001, l'accent s'étend aux sous-traitants spécifiques à l'IA, y compris les fournisseurs de modèles fondation, les courtiers de données d'entraînement et les prestataires de fine-tuning, avec des clauses contractuelles explicites sur la traçabilité des données d'entraînement, la rétention, la notification de mises à jour de modèles et la notification d'incident IA. Prévoyez de renégocier les contrats fournisseurs IA pendant un déploiement 42001.
Combien coûte la surveillance annuelle pour chaque norme ?
Les audits de surveillance annuels coûtent typiquement 30 à 50 pour cent des honoraires initiaux Étape 1 plus Étape 2. Pour une organisation mid-market, cela représente environ 4 à 12 milliers d'euros par norme et par an, avec une recertification à l'année trois proche du coût initial Étape 2. Les audits intégrés sur les deux normes réduisent les frais de surveillance combinés de 15 à 25 pour cent.
Vaut-il la peine de viser ISO 42001 avant la publication des normes harmonisées ?
Oui, pour la plupart des déployeurs d'IA régulés. Le certificat est déjà crédible dans les achats d'entreprise, c'est la base de preuves la plus défendable pour l'évaluation de conformité au règlement IA au titre de l'Annexe VI, et le travail documentaire positionne l'organisation pour les normes harmonisées une fois publiées. Attendre fait courir le risque que la capacité d'audit se resserre encore lors de l'apparition des références harmonisées.
La 42001 remplace-t-elle les cadres de protection des données ou de sécurité ?
Non. ISO 42001 se superpose à ISO 27001, ISO 27701 (vie privée) et aux cadres sectoriels, et ne s'y substitue pas. Elle suppose un SMSI fonctionnel en dessous. Les organisations qui tentent d'utiliser la 42001 en remplacement de l'assurance sécurité et vie privée produisent des preuves minces et échouent généralement aux diligences d'achat.
Impetora

Prêt à cadrer votre projet ? Soumettez un brief court - nous répondons sous un jour ouvré.

Sources citées

Sources citées (8) - afficher
  1. ISO/IEC 42001:2023 Technologies de l'information. Intelligence artificielle. Système de management. Organisation internationale de normalisation, 2023-12. https://www.iso.org/standard/81230.html
  2. ISO/IEC 27001:2022 Systèmes de management de la sécurité de l'information. Exigences. Organisation internationale de normalisation, 2022-10. https://www.iso.org/standard/27001
  3. IAF MD 22:2023 Application d'ISO/IEC 17021-1 pour la certification des systèmes de management de l'IA. International Accreditation Forum, 2024-04. https://iaf.nu/iaf_system/uploads/documents/IAF_MD_22_AIMS.pdf
  4. Règlement (UE) 2024/1689 (règlement sur l'intelligence artificielle). Union européenne, Journal officiel, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  5. Cadre de gestion des risques d'IA : profil IA générative (NIST.AI.600-1). National Institute of Standards and Technology, 2024-07. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
  6. BSI lance la certification ISO/IEC 42001 pour les systèmes de management de l'IA. BSI Group, 2024-02. https://www.bsigroup.com/en-GB/iso-42001-ai-management-system/
  7. DNV annonce ses services de certification ISO/IEC 42001. DNV, 2024-05. https://www.dnv.com/services/iso-iec-42001-ai-management-system-certification/
  8. Cadre de gestion des risques d'IA (AI RMF 1.0). National Institute of Standards and Technology, 2023-01. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
À propos d'Impetora
Impetora conçoit, développe et déploie des systèmes d'intelligence artificielle sur mesure pour les entreprises de secteurs réglementés. Basés à Vilnius, nous travaillons en cinq langues.
Appel de découverte

Réserver un appel de découverte

Dites-nous ce que vous souhaitez construire. Nous répondons sous un jour ouvré.

Appel de 30 minutes. Sans frais. Sans engagement.