Ressource indépendante · non affiliée à l'ISO/IEC
norme-iso-42001.ch
Blog · Comparatifs et mapping

Blog · Comparatifs et mapping

ISO 42001 vs ISO 27001 : différences et passerelles

Par David Zbinden Dernière vérification : 4 juin 2026
En bref

ISO 27001 protège la confidentialité, l'intégrité et la disponibilité de l'information. ISO 42001 encadre la gouvernance des systèmes d'IA : biais, transparence, impact sur les personnes. Les deux partagent la structure harmonisée HLS, ce qui rend l'extension du SMSI possible, à condition d'ajouter une analyse d'impact IA et des contrôles spécifiques aux modèles.

Deux objets de management différents

ISO/IEC 27001 organise un système de management de la sécurité de l'information dont la finalité tient en trois mots, confidentialité, intégrité, disponibilité de l'information[4]. ISO/IEC 42001 organise un système de management de l'intelligence artificielle, le SMIA, dont la finalité est la gouvernance responsable des systèmes d'IA développés, fournis ou utilisés par l'organisation[8].

La nuance n'est pas cosmétique. Un SMSI répond à la question « comment protégeons-nous l'information que nous traitons ». Un SMIA répond à la question « comment garantissons-nous que les systèmes d'IA que nous produisons ou utilisons restent transparents, équitables et sous contrôle, sur tout leur cycle de vie »[8].

Pour un responsable qualité déjà certifié 27001, la conséquence pratique est claire. Le SMSI couvre la donnée comme actif à protéger. Le SMIA couvre le système d'IA comme objet à gouverner, ce qui inclut le modèle, les données d'entraînement, les décisions automatisées et leurs effets sur des personnes ou des tiers[6].

Structure HLS commune, contenu distinct

Les deux normes suivent la structure harmonisée des normes de management ISO, ce qui rend la mise en parallèle des clauses 4 à 10 quasiment mécanique. Cette parenté facilite l'intégration d'un SMIA dans un SMSI existant, sans réécrire les fondations[7].

Correspondance des clauses 4 à 10

Les sept clauses du tronc commun se lisent en miroir. La différence se joue dans le contenu, pas dans la structure.

4Contexte : enjeux IA et parties intéressées à ajouter
5Leadership : politique IA, rôles, comité éthique
6Planification : risque IA et analyse d'impact
7Support : compétences IA, communication
8Opérations : contrôles cycle de vie IA
9Évaluation : métriques de performance IA
10Amélioration : non-conformités IA

Synthèse des paires de clauses, d'après la cartographie publiée par DQS[7] et la lecture clause à clause diffusée par P. Sullivan[2].

Dans la pratique, votre processus de revue de direction, votre méthodologie d'audit interne et votre dispositif d'action corrective restent les mêmes véhicules. Ce qui change, ce sont les objets passés en revue, les compétences attendues des auditeurs et les preuves attendues à chaque étape[7].

Cette parenté explique pourquoi de nombreux organismes recommandent une certification conjointe ou séquentielle, en s'appuyant sur le SMSI déjà en place. Selon Advisera, les organisations disciplinées peuvent obtenir les deux certifications en limitant la charge documentaire grâce au recouvrement structurel[1].

Risque sécurité vs risque IA

La clause 6 marque la première vraie bifurcation. ISO 27001 demande une appréciation du risque sur les actifs informationnels, avec traitement et plan d'action. ISO 42001 demande la même démarche pour les systèmes d'IA, plus une analyse d'impact dédiée, qui examine les effets sur les personnes, les groupes et les tiers[2].

L'analyse d'impact IA ne se confond pas avec l'analyse de risque sécurité. Elle s'intéresse aux biais possibles, à la qualité et la représentativité des données d'entraînement, à l'explicabilité des décisions et aux effets sociaux du système[7]. Un risque de discrimination algorithmique, par exemple, n'est pas un risque de confidentialité au sens du SMSI.

Concrètement, un responsable qualité romand qui exploite un outil de scoring de candidatures gérera deux objets distincts. Côté 27001, il protégera les CV stockés. Côté 42001, il documentera la composition du jeu d'entraînement, mesurera les écarts de taux de sélection entre groupes et tracera les décisions du modèle, conformément à l'esprit des contrôles dédiés à la qualité des données et à la transparence[7].

Observation qualitative, les démarches observées sur le terrain romand montrent que les équipes 27001 sous-estiment souvent ce périmètre nouveau et tentent de loger l'analyse d'impact IA dans leur matrice de risques existante. L'exercice se révèle vite limité, parce que les actifs à évaluer, les parties prenantes et les conséquences ne sont pas de même nature.

Annexe A : ce qui se recouvre, ce qui ne se recouvre pas

L'annexe A de 27001 vise des contrôles organisationnels, humains, physiques et techniques de sécurité. L'annexe A de 42001 introduit des contrôles propres au cycle de vie de l'IA, dont la qualité des données pour l'entraînement, la protection des modèles, la transparence et la traçabilité des décisions automatisées[7].

Recouvrements et écarts sur des thèmes clés
ThèmeISO 27001ISO 42001
Gouvernance et politiqueA.5.1 politiques de sécurité5.2 politique IA, 5.3 rôles IA
Qualité et gouvernance des donnéesA.5.34, A.8.10 classificationA.7.2 qualité des données pour l'IA
Protection des actifs IAA.8.1 à A.8.12 actifs et chiffrementA.7.3 modèles, jeux d'entraînement, algorithmes
Transparence et explicabilitéNon couvert directementA.8.4 transparence des décisions IA
IncidentsA.5.25 à A.5.28 incidents sécuritéA.8.6 incidents IA, dérive, biais détecté
FournisseursA.5.19 à A.5.22 sécurité fournisseursA.7.4 conformité IA des fournisseurs

Source de la cartographie, DQS, 2025[7]. Les contrôles 27001 sont ceux de l'édition 2022. Vérifier l'évolution depuis cette date côté éditeurs et organismes de certification.

Deux zones n'ont pas d'équivalent direct côté 27001, la transparence et l'explicabilité des décisions, ainsi que la gestion d'incidents typiques de l'IA, comme la dérive de modèle ou la détection d'un biais en production[7]. Ce sont, pour un responsable qualité, les chantiers neufs à instruire en priorité.

Construire le pont depuis un SMSI existant

Partir d'un SMSI mature est un avantage. La gouvernance, la gestion documentaire, le pilotage par indicateurs et le mécanisme d'audit interne constituent déjà l'ossature du futur SMIA. Reste à étendre, pas à dupliquer[1].

Quatre extensions structurent le travail. Premièrement, élargir le contexte de la clause 4 pour intégrer les enjeux liés à l'IA, les parties prenantes nouvelles, et l'inventaire des systèmes d'IA développés ou utilisés[2]. Deuxièmement, formaliser une politique IA distincte de la politique de sécurité, ou une politique parapluie avec une annexe IA explicite[7].

Troisièmement, instaurer une analyse d'impact des systèmes d'IA en complément de l'appréciation des risques sécurité, avec ses propres critères et ses propres déclencheurs de revue[2]. Quatrièmement, ajouter des contrôles d'annexe A spécifiques au cycle de vie IA, qualité des données, protection des modèles, transparence et gestion des incidents IA[7].

Côté pilotage, l'évaluation de performance reste sous l'égide d'une logique PDCA commune, ce qui autorise un tableau de bord unifié, à condition d'identifier des métriques IA distinctes, par exemple la fréquence de revérification d'un modèle, le taux d'incidents liés à une dérive, ou la couverture documentaire des décisions automatisées[7].

Audit combiné et déclaration d'applicabilité

La déclaration d'applicabilité de 27001 ne couvre pas les contrôles de 42001. Vous aurez donc deux SoA, ou une SoA consolidée qui distingue clairement les deux corpus de contrôles, faute de quoi l'auditeur ne pourra pas se prononcer sur le périmètre IA[7].

Un audit combiné est techniquement faisable parce que la structure HLS le permet, et plusieurs organismes de certification proposent ce schéma[3]. À la date de publication de cet article, juin 2026, l'écosystème suisse d'accréditation reste à vérifier auprès du SAS, car les périmètres accrédités pour 42001 évoluent vite.

Côté équipe d'audit interne, prévoir des compétences nouvelles, notamment sur la science des données, l'évaluation des biais et la documentation des modèles. Un auditeur qualité formé uniquement à 27001 ne sera pas en mesure de challenger une fiche de modèle ou une mesure d'équité, même s'il maîtrise la logique d'audit[6].

Pour la documentation, la voie économe consiste à étendre les procédures existantes plutôt que d'en créer de nouvelles. Politique d'incidents augmentée d'un volet IA, procédure fournisseur enrichie d'une clause de provenance des modèles, gestion des changements appliquée aux versions de modèle et de jeux d'entraînement[7].

Pièges fréquents côté responsable qualité

Premier piège, considérer 42001 comme un module complémentaire de 27001. Les normes partagent la grammaire, pas la substance. Une organisation qui copie son SMSI en remplaçant « information » par « IA » manquera la clause 6 sur l'analyse d'impact et les contrôles propres à l'annexe A de 42001[2].

Deuxième piège, ranger l'IA fournisseur sous la seule politique fournisseurs 27001. Les exigences de provenance des modèles, de transparence et de partage des responsabilités sur le cycle de vie IA dépassent le périmètre habituel des contrats de sous-traitance sécurité[7].

Troisième piège, sous-dimensionner la fonction de surveillance post-déploiement. Un modèle qui fonctionnait à la mise en production peut dériver, voir ses entrées changer ou produire des décisions biaisées avec l'évolution des données. ISO 42001 attend une surveillance continue, et un mécanisme d'incident spécifique[7].

Quatrième piège, traiter la transparence comme une obligation documentaire en interne. La clause de transparence de 42001 vise aussi les utilisateurs et les personnes concernées par les décisions du système, ce qui peut imposer des notices, une explication de la décision automatisée et un mécanisme de recours, points absents de 27001[7].

Interprétation, pour un responsable qualité déjà 27001, l'effort le plus rentable consiste à constituer un binôme métier et data avant de toucher au système de management. Un SMIA conçu sans interlocuteur data en interne reste documentaire et passera difficilement un audit sur le fond.

Questions fréquentes

Faut-il être certifié ISO 27001 avant de viser ISO 42001 ?

Non, ce n'est pas un prérequis formel. ISO 42001 est une norme de système de management autonome, applicable à toute organisation développant ou utilisant des systèmes d'IA[8]. Disposer d'un SMSI 27001 facilite toutefois l'effort, car la structure de gouvernance, la gestion documentaire et le mécanisme d'audit interne se réutilisent en grande partie[1].

Peut-on faire un audit combiné 27001 et 42001 ?

Oui, la structure harmonisée HLS partagée par les deux normes rend l'audit combiné techniquement possible et plusieurs organismes le proposent[3]. Il reste à vérifier le périmètre d'accréditation de l'organisme retenu, notamment en Suisse où l'accréditation pour ISO 42001 évolue. La déclaration d'applicabilité doit distinguer clairement les contrôles de chaque norme[7].

Quelle est la différence principale en matière de gestion des risques ?

ISO 27001 traite des risques pesant sur la confidentialité, l'intégrité et la disponibilité de l'information[4]. ISO 42001 ajoute une analyse d'impact des systèmes d'IA, qui couvre les biais, la qualité des données d'entraînement, la transparence des décisions et les effets sur les personnes et les tiers[7]. Ce sont deux processus distincts, à mener en parallèle.

Quels contrôles de 42001 n'ont pas d'équivalent dans 27001 ?

La transparence et l'explicabilité des décisions IA (A.8.4), la qualité des données pour l'entraînement (A.7.2) et la gestion des incidents propres à l'IA, comme la dérive de modèle ou la détection d'un biais (A.8.6), n'ont pas d'équivalent direct dans l'annexe A de 27001[7]. Ces chantiers sont à instruire en priorité par un responsable qualité venu du SMSI.

Situer votre organisation face à la norme ISO 42001

Un premier échange permet de cadrer les écarts à combler et les priorités.

Demander un avis indépendant

À lire ensuite

Se certifierLead Implementer ISO 42001 : rôle et formationComprendreDéclaration d'applicabilité IA : SoA ISO 42001 décodéeRisquesAnalyse d'impact IA : exemple et méthode ISO 42001
Sources
  1. ISO 42001 vs ISO 27001 - Key Similarities and Differences, Advisera https://advisera.com/articles/iso-42001-vs-iso-27001/
  2. ISO 27001 vs ISO 42001 : lecture clause par clause, P. Sullivan, LinkedIn https://www.linkedin.com/posts/the-patrick-sullivan_iso42001-iso27001-activity-7198385337151168512-HVvM
  3. The Intersection of ISO 42001 and ISO 27001, A-LIGN https://www.a-lign.com/articles/iso-42001-vs-iso-27001
  4. Understanding ISO 27001, 27701 and 42001, 360 Advanced https://360advanced.com/iso-27001-27701-and-42001-build-trust-across-security-privacy-and-ai/
  5. ISO 42001 vs ISO 27001 : différence en gestion des risques IA, GSDC https://www.gsdcouncil.org/blogs/iso-42001-vs-iso-27001
  6. Mapping ISO 42001 with ISO 27001 and ISO 27701, DQS https://www.dqsglobal.com/en/explore/blog/integrating-your-data-security-system-mapping-iso-42001-with-iso-27001-iso-27701
  7. ISO/IEC 42001:2023 AI management systems, ISO https://www.iso.org/standard/42001

Dernière vérification : 4 juin 2026. Sources primaires citées ci-dessus. Les interprétations sont signalées comme telles. Le texte de la norme reste non reproduit.