Si votre organisation détient déjà l'ISO/IEC 27001, vous ne démarrez pas votre parcours ISO/IEC 42001 de zéro. D'après notre expérience, les équipes dotées d'un système de management de la sécurité de l'information mature constatent qu'une grande partie de la mécanique de gouvernance se reporte directement. Ce qui ne se reporte pas, c'est la partie qui compte le plus pour l'IA : les contrôles qui régissent la façon dont les systèmes d'IA sont construits, entraînés, surveillés et autorisés à prendre des décisions. Chez Abilene Academy, seul partenaire PECB Titanium de Suisse, c'est une question que nous rencontrons sans cesse de la part d'équipes qui viennent d'obtenir leur certificat SMSI et font désormais face à l'AI Act européen : avons-nous besoin de l'ISO 42001, et quelle part de notre travail 27001 pouvons-nous réutiliser ? Ce guide répond aux deux, concrètement et étape par étape, à partir des documents que vous possédez déjà.
La version courte
Réutilisez votre système de management, pas vos contrôles. Les clauses 4 à 10 de l'ISO 27001 correspondent largement, clause pour clause, à celles de l'ISO 42001 : votre structure de gouvernance, votre programme d'audit interne et vos revues de direction s'étendent avec des ajustements plutôt qu'une reconstruction. Le vrai travail porte sur l'ensemble de contrôles spécifiques à l'IA et sur l'évaluation d'impact des systèmes d'IA, qui n'ont aucun équivalent dans votre SMSI.
L'ISO 27001 est votre point de départ, pas votre ligne d'arrivée
L'ISO 27001 protège l'information. L'ISO 42001 gouverne l'intelligence artificielle. Elles reposent sur le même squelette mais répondent à des questions différentes. Votre SMSI demande si l'information reste confidentielle, disponible et intègre. Un système de management de l'IA, ou SMIA, demande si vos systèmes d'IA sont équitables, transparents, responsables et sûrs tout au long de leur cycle de vie. Une équipe qui traite la 42001 comme une 27001 avec une étiquette IA échoue à son premier audit de certification, car l'auditeur cherche des preuves d'une gouvernance de l'IA qu'un SMSI n'a jamais été conçu pour produire.
ISO/IEC 42001:2023 est la première norme internationale de système de management pour l'intelligence artificielle. Elle spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de l'IA, afin qu'une organisation puisse développer ou utiliser l'IA de manière responsable.
Un système de management de l'IA (SMIA) est l'ensemble des politiques, rôles, processus et contrôles qu'une organisation utilise pour gouverner ses systèmes d'IA, de la même manière qu'un SMSI gouverne la sécurité de l'information.
Voici le partage honnête : la structure se transfère, le fond non. Le schéma ci-dessous montre quelles parties de votre SMSI existant vous réutilisez, et lesquelles vous construisez.
Un schéma de correspondance montrant le SMSI ISO 27001 comme fondation, la structure harmonisée partagée (clauses 4 à 10) réutilisée au centre, et les ajouts du SMIA ISO 42001 à droite : contrôles spécifiques à l'IA de l'Annexe A, évaluation d'impact des systèmes d'IA, classification des rôles, gouvernance des données et du cycle de vie.
Ce qui se reporte réellement de l'ISO 27001
Les deux normes suivent la structure harmonisée de l'ISO, le modèle commun en 10 clauses que l'ISO utilise pour chaque système de management moderne. Les clauses 4 à 10 sont structurellement quasi identiques dans leur intention. Si vous avez déjà réalisé ce travail pour votre SMSI, vous l'adaptez plutôt que de le reconstruire.
Contexte et parties intéressées (clause 4)
Vous avez déjà cartographié vos enjeux internes et externes et vos parties prenantes pour le SMSI. Pour le SMIA, vous étendez cette cartographie aux parties spécifiques à l'IA, comme les personnes affectées par des décisions automatisées et les fournisseurs des modèles que vous déployez.
Leadership et politique (clause 5)
Votre politique de sécurité de l'information et votre structure de gouvernance se transfèrent directement. Vous ajoutez une politique d'IA et attribuez la responsabilité de l'IA, qui peut revenir au même organe de gouvernance qui pilote déjà le SMSI.
Planification et gestion du changement (clause 6)
Votre méthodologie de risque se reporte en tant que méthode. L'objet du risque passe des actifs informationnels aux systèmes d'IA et à leurs impacts, mais le processus d'identification, d'évaluation et de traitement du risque est celui que vous menez déjà.
Support, sensibilisation et compétence (clause 7)
La maîtrise documentaire, la communication et les processus de formation s'étendent tels quels. Vous ajoutez des exigences de compétence spécifiques à l'IA pour les personnes qui construisent et exploitent les systèmes d'IA.
Opérations, évaluation et amélioration (clauses 8 à 10)
L'audit interne, la revue de direction, la non-conformité et l'action corrective réutilisent tous la mécanique existante de votre SMSI. Vous élargissez l'énoncé du périmètre et le programme d'audit pour inclure le SMIA.
Le piège que les auditeurs recherchent
Réutiliser le système de management est correct. Copier votre déclaration d'applicabilité ISO 27001 et la renommer ne l'est pas. Les contrôles de l'Annexe A appartiennent à des normes différentes avec des objectifs différents, et un auditeur qui voit des contrôles de sécurité de l'information déguisés en contrôles d'IA relèvera une non-conformité majeure.
Ce qui est réellement nouveau dans l'ISO 42001
C'est ici que votre SMSI ne vous offre aucun raccourci, et où réside l'essentiel du véritable effort de mise en œuvre. L'ISO 42001 introduit son propre ensemble de contrôles de l'Annexe A (souvent cité comme 38 contrôles de référence) organisés en domaines couvrant la politique d'IA, l'organisation interne, les ressources des systèmes d'IA, l'évaluation de l'impact des systèmes d'IA, le cycle de vie des systèmes d'IA, les données des systèmes d'IA, l'information des parties intéressées, l'utilisation des systèmes d'IA et les relations avec les tiers. L'ISO 27001 ne comporte que l'Annexe A. L'ISO 42001 ajoute trois annexes supplémentaires qui jouent un rôle réel : l'Annexe B fournit des orientations de mise en œuvre pour chaque contrôle, l'Annexe C liste les objectifs et sources de risque potentiels liés à l'IA, et l'Annexe D explique comment appliquer le SMIA à différents domaines et secteurs.
Une évaluation d'impact des systèmes d'IA est une évaluation structurée des conséquences potentielles d'un système d'IA pour les individus, les groupes et la société, y compris l'équité, la sécurité et les droits. Elle est exigée par l'ISO 42001 et n'a aucun équivalent dans l'ISO 27001. L'ISO/IEC 42005 fournit une méthode reconnue pour la mener.
Trois ajouts méritent une attention particulière, car les équipes les sous-estiment systématiquement. D'abord, l'évaluation d'impact des systèmes d'IA est une nouvelle discipline, pas une évaluation de risque renommée : elle regarde vers l'extérieur, l'effet du système sur les personnes, là où votre évaluation de risque SMSI regarde vers l'intérieur, les menaces sur vos actifs. Ensuite, l'ISO 42001 exige que vous classiez votre rôle pour chaque système d'IA, car un fournisseur qui développe un modèle porte des obligations différentes d'un déployeur qui se contente de l'utiliser. Enfin, la norme exige une gouvernance des données et de l'ensemble du cycle de vie du modèle, bien plus large que les contrôles de traitement des données de votre SMSI.
Le cycle de vie des systèmes d'IA que vous devez désormais gouverner
L'ISO 42001 attend des contrôles sur toute la vie d'un modèle : conception et objectifs, collecte et préparation des données, développement et entraînement, vérification et validation, déploiement, exploitation et surveillance, et enfin retrait. Chaque étape introduit ses propres risques, des données d'entraînement biaisées à la dérive du modèle en production, et chacune exige des preuves que vous la maîtrisez. Pour la discipline de risque qui sous-tend cela, l'ISO/IEC 23894 donne des orientations sur la gestion du risque IA qui complètent les exigences de la 42001 et s'insèrent dans la méthodologie que vous utilisez déjà pour l'ISO 27001.
Comment étendre votre SMSI vers un SMIA, étape par étape
Voici la séquence pratique que nous enseignons en salle et appliquons sur de vraies mises en œuvre. Elle suppose que vous détenez un certificat ISO 27001 en cours de validité et souhaitez atteindre l'ISO 42001 avec le moins d'efforts dupliqués.
Étape 1. Constituez l'inventaire de vos systèmes d'IA
Vous ne pouvez pas gouverner ce que vous n'avez pas recensé. Inventoriez chaque système d'IA que vous développez, intégrez ou utilisez, y compris les outils tiers et toute IA générative en usage quotidien. Pour chacun, notez sa finalité, les données qu'il consomme, les décisions qu'il influence et son responsable. C'est l'équivalent, pour le SMIA, de votre registre des actifs informationnels, et tout le reste repose dessus.
Étape 2. Classez votre rôle pour chaque système
Pour chaque système de l'inventaire, déterminez si vous êtes le fournisseur, le développeur ou producteur, ou le déployeur. La classification fixe vos obligations tant au titre de l'ISO 42001 que de l'AI Act européen : tranchez-la avant de cadrer quoi que ce soit d'autre.
Étape 3. Menez une analyse d'écart par rapport à l'Annexe A de l'ISO 42001
Placez vos contrôles SMSI existants à côté des contrôles IA de l'Annexe A. Vous constaterez que les contrôles organisationnels, documentaires et d'accès se transfèrent en grande partie, tandis que les contrôles spécifiques à l'IA autour de l'impact, de la qualité des données, de la transparence et du cycle de vie sont vides. Les lignes vides constituent votre backlog de mise en œuvre. Lorsque nous menons cette correspondance nous-mêmes, nous la conservons dans une plateforme GRC multi-référentiels, Acuna GRC, plutôt que dans un tableur, car elle relie les ensembles de contrôles 27001 et 42001 de sorte que, lorsqu'un contrôle change, vous voyez ce qu'il affecte dans l'autre, ce qu'un tableur statique ne peut pas faire.
Étape 4. Étendez votre périmètre et vos critères de risque
Élargissez l'énoncé du périmètre de votre système de management pour couvrir le SMIA, et ajoutez des critères de risque et d'impact IA à votre méthodologie existante. Conservez un processus de risque intégré unique plutôt que deux processus parallèles ; les auditeurs et votre propre équipe vous en remercieront.
Étape 5. Réalisez les évaluations d'impact des systèmes d'IA
Pour chaque système à fort impact, menez une évaluation d'impact couvrant l'équité, la sécurité, la transparence et l'effet sur les individus, en utilisant l'ISO/IEC 42005 comme méthode. C'est l'écart le plus fréquent à la certification : faites-le tôt et documentez-le bien.
Étape 6. Construisez les contrôles IA et rédigez une déclaration d'applicabilité pour le SMIA
Mettez en œuvre les contrôles de l'Annexe A que votre analyse d'écart a signalés comme manquants, puis produisez une nouvelle déclaration d'applicabilité pour le SMIA. Ne réutilisez pas le document du SMSI ; justifiez chaque contrôle IA selon ses propres termes.
Étape 7. Étendez votre mécanique d'audit et de revue, puis menez un audit interne
Étendez votre programme d'audit interne ISO 27001 et votre revue de direction pour inclure le SMIA, puis menez un audit interne complet par rapport à l'ISO 42001. Traitez les constats comme votre répétition générale avant certification.
Étape 8. Réutilisez les preuves d'audit là où elles se recoupent réellement
Les preuves d'engagement de la direction, de maîtrise documentaire, de dossiers de formation et de discipline d'action corrective de votre dernier audit de surveillance ISO 27001 peuvent soutenir directement l'audit du SMIA. Les preuves des contrôles IA, des évaluations d'impact et de la gouvernance des données doivent être générées à neuf.
Réutilisez le document, pas le contenu
Votre réutilisation la plus solide est structurelle : le même modèle de registre des risques, le même format de checklist d'audit interne, le même ordre du jour de revue de direction. Conservez les formats que votre équipe connaît déjà, et remplissez-les de contenu IA. Une structure familière plus un fond nouveau est la voie honnête la plus efficace vers la certification.
L'ISO 27001 et l'ISO 42001 côte à côte
L'ISO 27001 face à l'ISO 42001 en un coup d'œil
Dimension: Ce qu'elle gouverne
Dimension: Question centrale
Dimension: Clauses de management
Dimension: Structure des annexes
Dimension: Objet du risque
Dimension: Artefact emblématique
Dimension: Certification
À propos
Abilene Academy affiche un taux de réussite de 99 % aux examens PECB du premier coup, avec plus de 2 500 professionnels formés dans plus de 120 pays et plus de 600 organisations accompagnées. Nous dispensons les formations ISO 27001 et ISO 42001 en français, en anglais et en espagnol, avec d'autres langues sur demande.
Pourquoi le calendrier n'est pas facultatif
L'AI Act européen, le règlement (UE) 2024/1689, s'applique par phases, et une échéance clé, le 2 août 2026, fait entrer en vigueur les obligations pour l'IA à usage général et les dispositions de gouvernance du règlement. Le règlement dépasse l'Union européenne : une organisation suisse qui met un système d'IA sur le marché de l'UE, ou dont le résultat d'IA est utilisé dans l'UE, entre dans son champ. L'ISO 42001 est la voie reconnue pour démontrer la gouvernance que le règlement attend, ce qui explique pourquoi les équipes ayant déjà investi dans l'ISO 27001 étendent vers la 42001 maintenant plutôt que d'attendre. Notre guide de conformité à l'AI Act détaille les obligations et les échéances, et le tableau suisse se connecte directement aux attentes de la FINMA et à la LPD révisée.
Un certificat ISO 27001 n'est pas une conformité IA
Détenir l'ISO 27001 ne vous rend pas conforme à l'AI Act européen, et ne couvre pas le risque spécifique à l'IA. Si vous déployez ou développez des systèmes d'IA qui touchent le marché de l'UE, planifiez votre travail ISO 42001 par rapport à l'échéance du 2 août 2026 dès maintenant, pas une fois qu'elle est passée.
Le parcours de formation de la 27001 à la 42001
Si votre équipe détient déjà les certifications ISO 27001 Lead Implementer ou Lead Auditor, le saut vers l'ISO 42001 est plus court que le titre ne le suggère, car le raisonnement de système de management est identique. Ce dont vos collaborateurs ont besoin, c'est la couche spécifique à l'IA : les contrôles de l'Annexe A, l'évaluation d'impact et les obligations liées aux rôles. L'ISO 42001 Lead Implementer est l'étape suivante directe pour l'équipe qui étend le système de management, l'ISO 42001 Lead Auditor convient à ceux qui auditeront le SMIA, et le Lead AI Risk Manager s'adresse au responsable du risque qui mènera les évaluations de risque et d'impact IA. Nous les dispensons en salle, en classe virtuelle, en eLearning et en auto-formation.
Prêt à étendre votre SMSI vers un SMIA ? La formation ISO 42001 Lead Implementer est l'étape suivante directe pour l'équipe qui construit le SMIA, et ISO 42001 Lead Auditor prépare ceux qui l'auditeront.
Pour une organisation dotée d'un SMSI ISO 27001 mature, une extension ciblée vers l'ISO 42001 prend couramment de trois à six mois, selon le nombre de systèmes d'IA dans le périmètre et le niveau de gouvernance de l'IA déjà présent, même informellement. Le travail de système de management est rapide car il réutilise l'existant ; le temps se concentre sur l'inventaire des systèmes d'IA, les évaluations d'impact et la construction des nouveaux contrôles de l'Annexe A.
Sources et références
ISO/IEC 42001:2023, Intelligence artificielle, Système de management (iso.org).
ISO/IEC 27001:2022, Systèmes de management de la sécurité de l'information, Exigences (iso.org).
ISO/IEC 42005, Intelligence artificielle, Évaluation d'impact des systèmes d'IA (iso.org).
ISO/IEC 23894:2023, Intelligence artificielle, Recommandations relatives à la gestion des risques (iso.org).
Règlement (UE) 2024/1689 (l'AI Act européen) (eur-lex.europa.eu).




