ISO 27001 expliquée : et email IA : pourquoi c'est crucial (2026)

· Sovattha Sok

ISO 27001 expliquée : et email IA : pourquoi c'est crucial (2026)

ISO 27001 expliquée pour les outils email IA : 93 contrôles de sécurité, audits annuels. Découvrez comment Agentys protège votre boîte avec une évaluation indépendante CASA Tier II.

ISO 27001 est la référence mondiale en sécurité de l'information. Si votre assistant email IA n'est pas certifié, voici ce qui manque — et pourquoi cela devrait vous inquiéter.

Qu'est-ce que ISO 27001 et que certifie-t-elle vraiment ?

ISO 27001 est une norme internationale publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) qui définit comment construire et maintenir un Système de Management de la Sécurité de l'Information (SMSI). Ce n'est pas un simple questionnaire qu'on passe une fois. C'est un cadre continu qui exige des organisations qu'elles identifient les risques, mettent en place des contrôles, surveillent leur efficacité et s'améliorent en permanence. La version actuelle, ISO/IEC 27001:2022, organise 93 contrôles en 4 domaines : organisationnel (37 contrôles couvrant politiques, rôles, gestion des actifs et relations fournisseurs), humain (8 contrôles pour la vérification, la sensibilisation et les responsabilités), physique (14 contrôles pour les zones sécurisées, les équipements et les supports) et technologique (34 contrôles couvrant les accès, le chiffrement, la journalisation et le développement sécurisé). La certification est délivrée par des auditeurs tiers accrédités qui vérifient chaque contrôle, et elle exige des audits de surveillance annuels ainsi qu'une recertification complète tous les trois ans.

La révision 2022 a introduit des contrôles spécifiquement pertinents pour les services cloud et le traitement IA — incluant la classification des données, les pratiques de développement sécurisé, le renseignement sur les menaces, le masquage des données et la surveillance du traitement externalisé de l'information. Pour les outils email IA, les contrôles clés comprennent A.5.12 (classification de l'information — comment vos données email sont étiquetées et traitées), A.8.11 (masquage des données — garantir que les renseignements personnels sont obscurcis durant le traitement), A.8.24 (utilisation de la cryptographie — normes de chiffrement au repos et en transit) et A.5.21 (gestion de la sécurité dans la chaîne d'approvisionnement TIC — vérification de chaque fournisseur tiers). Ce ne sont pas des exigences abstraites. Ils régissent la manière dont l'entreprise classifie vos données email, qui peut y accéder, comment elles sont chiffrées, comment les accès sont journalisés, ce qui se passe quand un employé quitte l'entreprise, et comment chaque fournisseur de la chaîne est tenu responsable. Sans ISO 27001, aucune vérification indépendante n'atteste que ces protections existent. La norme complémentaire ISO 27701 étend ce cadre spécifiquement à la gestion de la vie privée, créant une conformité avec le RGPD et la Loi 25 du Québec.

Pourquoi ISO 27001 compte spécifiquement pour les outils email IA

Pourquoi ISO 27001 est-elle importante pour un assistant email IA ? Parce qu'elle signifie que l'entreprise qui gère votre boîte de réception a mis en place des contrôles systématiques pour la gestion des accès, le chiffrement, la réponse aux incidents, la gestion des fournisseurs et la continuité d'activité. C'est la différence entre une entreprise qui dit « nous prenons la sécurité au sérieux » et une qui peut le prouver avec une évaluation auditée de façon indépendante. Quand Agentys traite vos emails automatiquement, ces mêmes principes régissent chaque étape, de l'ingestion des données au stockage des brouillons jusqu'à la suppression — et le traitement par Agentys des données Gmail et Outlook est vérifié de façon indépendante via son évaluation CASA Tier II, l'évaluation de sécurité des applications cloud exigée par Google pour les applications qui accèdent aux données Gmail.

La plupart des startups IA font l'impasse sur l'évaluation de sécurité indépendante parce que la certification formelle prend 6 à 12 mois de préparation et un investissement conséquent, souvent entre 50 000 $ et 150 000 $ pour une entreprise de la taille d'Agentys. Ce raccourci devrait vous inquiéter. Une entreprise qui refuse d'investir pour prouver ses pratiques de sécurité n'a guère de raisons de les maintenir. La certification ISO 27001 exige aussi des audits de surveillance annuels et une recertification complète tous les trois ans, ce qui signifie qu'on ne peut pas réussir une fois puis laisser les standards se dégrader. C'est une responsabilité continue — exactement ce que vous attendez d'un service qui lit vos communications les plus sensibles chaque jour.

Ce qui se passe quand votre outil email IA n'a pas ISO 27001

Sans ISO 27001, il n'existe aucune preuve indépendante qu'un outil email IA dispose de contrôles de sécurité adéquats. L'entreprise peut avoir une excellente sécurité, ou elle peut stocker vos emails dans une base de données non chiffrée avec les mots de passe administrateur sur un Post-it. Vous n'avez tout simplement aucun moyen de vérifier. ISO 27001 existe précisément pour résoudre ce déficit de confiance : elle remplace les promesses par des preuves auditées. Quand une entreprise vous dit « vos données sont en sécurité » sans ISO 27001, elle vous demande de la croire sur parole.

Les risques sont concrets. Sans contrôles d'accès obligatoires, n'importe quel employé pourrait potentiellement lire vos emails. Sans normes de chiffrement, vos données pourraient être interceptées en transit. Sans procédures de réponse aux incidents, une brèche pourrait passer inaperçue pendant des semaines. Sans plans de continuité d'activité, une panne de serveur pourrait signifier la disparition de vos données. Ce ne sont pas des scénarios hypothétiques — ce sont exactement les défaillances qu'ISO 27001 a été conçue pour prévenir. Agentys n'est pas certifié ISO 27001 — mais plutôt que de vous demander votre confiance, nous offrons une preuve vérifiable : nous avons complété CASA Tier II, l'évaluation indépendante de sécurité des applications cloud exigée par Google pour les applications qui accèdent aux données Gmail, et nous appliquons des contrôles alignés sur ISO 27001 (AES-256 au repos, TLS 1.2+ en transit, accès journalisé basé sur les rôles, et aucun usage de vos emails pour entraîner l'IA). Vous ne devriez pas avoir à nous faire confiance. Vous devriez pouvoir nous vérifier.

ISO 27001 est la référence mondiale en sécurité de l'information — et la comprendre vous aide à juger tout outil IA qui lit vos emails. Agentys n'est pas certifié ISO 27001 — mais parce que votre boîte de réception est trop importante pour des promesses, nous avons complété l'évaluation de sécurité indépendante CASA Tier II (exigée pour l'accès aux données Gmail) et appliquons des contrôles alignés sur ISO 27001. Découvrez comment notre sécurité correspond aux normes SOC 2 Type II, et comment nous respectons les exigences de la Loi 25 du Québec.