Log in
Sign up
Brass precision caliper symbolizing ISO certification companies and audit accreditation rigor

Sections

Sociétés de certification ISO : le guide 2026 à l’ère de l’IA

Pied à coulisse en laiton symbolisant les sociétés de certification ISO et la rigueur des audits accrédités

L’essentiel

  • L’ISO ne certifie personne. Ce sont des organismes de certification indépendants qui auditent votre système de management et délivrent le certificat ; les organismes d’accréditation (le COFRAC en France, UKAS au Royaume-Uni, ANAB aux États-Unis, DAkkS en Allemagne, RvA aux Pays-Bas) supervisent ces certificateurs.
  • Le marché mondial de la certification ISO se concentre autour d’une douzaine de groupes : BSI, SGS, Bureau Veritas, TUV, DNV, Intertek, LRQA, NQA, Schellman, Kiwa. Les cinq premiers pèsent environ 28 à 32 % des revenus, SGS et Bureau Veritas captant à eux deux près de 36 % du volume de certificats émis.
  • La norme ISO/IEC 42001 (systèmes de management de l’intelligence artificielle) redéfinit la liste pertinente. Seule une poignée d’organismes est aujourd’hui pleinement accréditée : BSI (UKAS, RvA, ANAB), Schellman (ANAB), DNV et NQA (UKAS, ANAB) tiennent la tête de peloton.
  • Le 1er janvier 2026, l’IAF et l’ILAC ont fusionné au sein du Global Accreditation Cooperation Incorporated (GAC). Le régime de reconnaissance multilatérale (MLA) ne change pas pour le client final, mais l’entité juridique est nouvelle.
  • L’auditeur principal compte davantage que la marque sur le certificat. Vérifiez son parcours sectoriel (SaaS cloud-native, fournisseurs d’IA, dispositifs médicaux, finance régulée) avant de signer.

Ce que recouvrent vraiment les « sociétés de certification ISO »

La requête sociétés de certification ISO mélange trois publics. Le premier veut vérifier le certificat d’un fournisseur. Le deuxième cherche un organisme qui viendra l’auditer. Le troisième tente de cartographier l’écosystème avant de choisir une norme cible. Ce guide s’adresse aux deux derniers, parce que c’est là que se jouent les décisions stratégiques.

L’ISO, basée à Genève, est l’Organisation internationale de normalisation. Elle publie les normes (ISO 9001 pour la qualité, ISO 14001 pour l’environnement, ISO 27001 pour la sécurité de l’information, ISO/IEC 42001 pour les systèmes de management de l’IA) mais elle ne certifie personne. La page officielle iso.org est nette : l’ISO n’effectue pas la certification, n’émet pas de certificat et n’autorise personne à utiliser son logo dans un contexte de certification.

L’acte de certification est confié à des organismes externes, régis par la norme de conformity assessment ISO/IEC 17021-1. Ces organismes sont eux-mêmes supervisés par les organismes nationaux d’accréditation, encadrés par ISO/IEC 17011. C’est cette double indépendance qui donne au certificat ISO son poids dans les appels d’offres, les audits clients et les dossiers réglementaires.

Ce vocabulaire est désormais inscrit dans le droit européen de l’IA. L’AI Act définit en effet l’organisme d’évaluation de la conformité comme « un organisme qui exerce des activités d’évaluation de la conformité par un tiers, y compris l’essai, la certification et l’inspection » (article 3(21)), et l’évaluation de la conformité comme « le processus qui consiste à démontrer que les exigences énoncées au chapitre III, section 2, ont été remplies » (article 3(20)). Pour les fournisseurs de systèmes d’IA à haut risque, le vocabulaire ISO devient une obligation légale.

La hiérarchie en quatre niveaux : ISO, accréditeurs, certificateurs, certifiés

La plupart des pages qui se positionnent sur cette requête zappent la structure. Pourtant, c’est elle qui dicte le coup de téléphone à passer.

Niveau 1 : l’ISO. Publie les normes. Possède les marques. Ne certifie pas, n’accrédite pas.

Niveau 2 : les organismes d’accréditation. Un par pays, schématiquement. Le COFRAC en France, UKAS au Royaume-Uni, ANAB aux États-Unis, DAkkS en Allemagne, Accredia en Italie, ENAC en Espagne, RvA aux Pays-Bas, IPAC au Portugal, JAS-ANZ en Australie et Nouvelle-Zélande, INMETRO au Brésil. Leur mission : confirmer qu’un organisme de certification respecte ISO/IEC 17021-1 et qu’il est compétent dans un périmètre précis (par exemple ISO 27001 dans le secteur financier, ou ISO/IEC 42001 chez les fournisseurs d’IA générative).

Niveau 3 : les organismes de certification. Ce sont, au sens strict, les « sociétés de certification ISO ». BSI, SGS, Bureau Veritas, TUV SUD, TUV Rheinland, DNV, Intertek, LRQA, NQA, Schellman, Kiwa, plus plusieurs centaines d’acteurs spécialisés par secteur ou par géographie. Ce sont eux qui envoient l’auditeur, lisent votre système de management et délivrent le certificat.

Niveau 4 : les organisations certifiées. Les clients du niveau 3. La base iafcertsearch.org permet de vérifier qu’une entreprise détient bien un certificat précis, émis par tel organisme, sous telle accréditation. Outil à utiliser avant de croire la page « Trust » d’un fournisseur.

L’IAF et l’ILAC, qui orchestraient historiquement la reconnaissance mutuelle qui rend un certificat UKAS valable au Brésil et inversement, ont fusionné le 1er janvier 2026 dans le Global Accreditation Cooperation Incorporated (GAC). Concrètement, rien ne change pour les certificats existants, mais les contrats et appels d’offres rédigés après cette date doivent désormais citer la GAC.

Les principales sociétés de certification ISO en 2026

La liste qui suit applique trois filtres : empreinte d’accréditation mondiale, étendue des normes couvertes, et préparation à ISO/IEC 42001. Pour chaque organisme, le nom, les normes de référence, les accréditations, et la raison pratique qui pousse une entreprise à les retenir, ou non.

BSI Group

La British Standards Institution est l’organisme national de normalisation britannique et l’un des cinq premiers certificateurs mondiaux. Accréditations UKAS, RvA et ANAB : un certificat BSI bénéficie d’une reconnaissance immédiate au Royaume-Uni, dans l’Union européenne et en Amérique du Nord. BSI est le premier organisme au monde accrédité UKAS pour ISO/IEC 42001, selon sa page dédiée. Pour les entreprises dont la feuille de route empile ISO 27001, ISO 27701 et ISO/IEC 42001, c’est l’option guichet unique la plus propre.

Groupe SGS

Le genevois SGS est le plus grand groupe mondial de testing, inspection et certification, avec environ 19 % du volume mondial de certificats ISO selon les études sectorielles. Accréditations UKAS, ANAB, DAkkS, COFRAC, Accredia et dizaines d’autres. Le choix sécurisant pour les déploiements multinationaux où chaque filiale a besoin d’un certificat local mutuellement reconnu.

Bureau Veritas

Le pendant français de SGS, environ 17 % du volume mondial. Très ancré dans les secteurs industriels (énergie, automobile, BTP, maritime) et de plus en plus actif dans la certification de systèmes de management des entreprises numériques. Bureau Veritas dispose d’une practice dédiée à l’assurance IA et étend progressivement sa couverture ISO/IEC 42001, même si l’accréditation régionale est encore en montée en charge.

TUV (TUV SUD, TUV Rheinland, TUV Nord)

Les trois entités TUV sont des organisations sœurs qui se concurrencent. Elles dominent la zone DACH (Allemagne, Autriche, Suisse) et sont accréditées par DAkkS, ANAB et d’autres. TUV SUD et TUV Rheinland sont les plus actifs sur l’assurance IA. Le premier appel pour un client industriel ou pour une organisation qui doit auditer en allemand.

DNV

Fondation norvégienne à la réputation technique solide, particulièrement dans le maritime, l’énergie, la santé et les sciences du vivant. DNV est un certificateur tiers accrédité pour ISO/IEC 42001, comme l’indique sa page service. Tend à déployer des auditeurs au profil ingénieur plus marqué que la moyenne du Top-1.

Intertek

Basé à Londres, large couverture sectorielle, fort sur les produits de grande consommation, l’électronique et l’assurance de la chaîne d’approvisionnement. Accréditations UKAS, ANAB et nombreuses accréditations régionales. Moins visible que BSI sur la narration IA mais alternative crédible pour les entreprises déjà clientes d’Intertek côté testing produit.

LRQA

Ex Lloyd’s Register Quality Assurance. Accréditation UKAS, fort positionnement maritime, énergie, sécurité alimentaire et chaîne d’approvisionnement. Style d’audit plutôt centré sur la rigueur opérationnelle que sur la gymnastique documentaire.

NQA

Certificateur britannique qui pèse plus lourd que sa taille ne le suggère sur les audits ISO 27001 du secteur tech, et accrédité UKAS et ANAB pour ISO/IEC 42001 selon sa page dédiée. Challenger crédible de BSI pour un audit combiné ISO 27001 plus 42001, souvent à un tarif sensiblement inférieur.

Schellman

Certificateur américain devenu le premier organisme accrédité ANAB pour ISO/IEC 42001 aux États-Unis, selon la page gouvernance IA de Schellman. Pour un fournisseur d’IA nord-américain, c’est le point de départ naturel grâce à ce statut de pionnier et parce que la firme couvre déjà SOC 2, HIPAA et ISO 27001 pour le même profil de client.

Kiwa NV

Certificateur néerlandais fortement accrédité RvA, spécialiste de la construction, de l’agriculture, de l’énergie et de l’alimentaire. Alternative continentale crédible à la « Big Five » pour les entreprises opérant principalement en Europe.

ISO/IEC 42001 : la norme IA qui rebat les cartes

Publiée en décembre 2023, ISO/IEC 42001:2023 est la première norme internationale de système de management dédiée à l’intelligence artificielle. À l’image d’ISO 27001 pour la sécurité de l’information, elle décrit les politiques, processus, contrôles et boucles d’amélioration continue qu’une organisation doit mettre en place pour gouverner ses systèmes d’IA tout au long de leur cycle de vie.

De 2024 à 2026, les organismes nationaux d’accréditation ont déployé leurs programmes à des rythmes variables. UKAS, RvA et ANAB ont ouvert la voie ; DAkkS, COFRAC, Accredia et les autres rattrapent leur retard. La page programme ANAB ISO/IEC 42001 maintient la liste à jour pour les États-Unis ; le registre UKAS équivalent fait office de référence britannique.

La dimension européenne compte aussi. Le CEN-CENELEC prépare les normes européennes harmonisées qui ouvriront la présomption de conformité avec l’AI Act, dont des travaux référencés prEN 18228 et prEN 18282. Ces projets sont confidentiels tant qu’ils sont en cours d’élaboration, mais leur existence implique que l’organisme de certification qui investit aujourd’hui dans la capacité ISO/IEC 42001 construit en même temps l’équipe qui réalisera demain les évaluations de conformité AI Act.

Conclusion pratique : la short list pour les organisations à forte intensité IA est, en 2026, plus courte que ne le suggère la SERP générique. Vérifiez que le périmètre d’accréditation cite explicitement ISO/IEC 42001, pas seulement « services IA », avant de signer. La fiche IAF CertSearch doit mentionner la norme par identifiant.

Comment choisir votre organisme de certification

Cinq critères, dans l’ordre où les responsables conformité aguerris les appliquent :

  1. Accréditation pour la norme exacte, par un signataire MLA GAC. Demandez le certificat d’accréditation, pas la page marketing. Confirmez que la déclaration de portée inclut bien la norme visée (par exemple ISO/IEC 42001:2023) et les codes sectoriels qui correspondent à votre activité. C’est le seul critère non négociable.
  2. L’auditeur, pas la marque. Demandez le nom de l’auditeur principal assigné. Lisez son profil LinkedIn. Cherchez l’expérience sectorielle, pas seulement les années d’audit. Un excellent audit peut venir d’un certificateur low-cost avec un auditeur d’élite, et un audit décevant d’un certificateur premium avec un auditeur trop junior.
  3. Couverture géographique. Si vous opérez dans plusieurs juridictions, vérifiez que l’organisme peut auditer vos filiales avec le même périmètre, ou qu’il dispose d’arrangements réciproques sous la MLA GAC. Un patchwork de certificats nationaux est un cauchemar achats.
  4. Recouvrement d’audits existants. Si vos équipes mènent déjà SOC 2, HIPAA, PCI DSS ou ISO 27001 avec un certificateur, ajouter ISO/IEC 42001 à la même mission produit en général un effort cumulé plus faible et une chaîne de preuves plus propre. Les certificateurs multi-normes (BSI, SGS, Bureau Veritas, NQA, Schellman) sont taillés pour ça.
  5. Coût et délais, en dernier. Un premier audit ISO 27001 pour un éditeur SaaS de taille moyenne coûte typiquement 15 000 à 40 000 dollars ; un premier audit ISO/IEC 42001 grimpe à 20 000 à 50 000 dollars parce que la norme est récente et l’offre d’auditeurs encore réduite. Recertification tous les trois ans, audits de surveillance annuels entre-temps.

Ce que dit l’AI Act sur l’évaluation de la conformité

L’AI Act inscrit le vocabulaire ISO de l’évaluation de la conformité dans le droit européen contraignant. Trois définitions cadrent toute décision d’organisme de certification en 2026.

L’article 3(20) définit l’évaluation de la conformité comme « le processus qui consiste à démontrer que les exigences énoncées au chapitre III, section 2, ont été remplies » (artificialintelligenceact.eu/article/3/).

L’article 3(21) définit l’organisme d’évaluation de la conformité comme « un organisme qui exerce des activités d’évaluation de la conformité par un tiers, y compris l’essai, la certification et l’inspection ». Ces organismes, lorsqu’ils sont notifiés au titre de l’AI Act, évalueront les systèmes d’IA à haut risque avant leur mise sur le marché européen.

L’article 3(24) définit le marquage CE comme « un marquage par lequel un fournisseur indique qu’un système d’IA est conforme aux exigences énoncées au chapitre III, section 2, et aux autres dispositions législatives applicables de l’Union ».

Les organismes notifiés au titre de l’AI Act ne sont pas la même entité juridique que les organismes de certification ISO, mais la compétence d’audit, la méthodologie et souvent le groupe propriétaire se chevauchent fortement. BSI, TUV SUD, Bureau Veritas, DNV et SGS détiennent déjà des branches d’organisme notifié dans d’autres domaines de marquage CE et se positionnent pour la notification AI Act. Choisir un certificateur qui combine accréditation ISO/IEC 42001 et candidature d’organisme notifié AI Act, c’est acheter de l’optionnalité : une seule relation d’audit, deux régimes réglementaires.

Le rôle d’AI Sigil dans votre trajectoire de certification

AI Sigil n’est pas un organisme de certification. C’est la plateforme de gouvernance que vous utilisez avant l’arrivée de l’auditeur. Nos clients y inventorient chaque système d’IA de l’organisation, le mappent aux contrôles requis par ISO/IEC 42001, le NIST AI RMF et l’AI Act, attachent les preuves à chaque contrôle, puis génèrent le dossier prêt-à-auditer que l’organisme de certification examinera.

Effet concret : un audit qui demanderait normalement 8 à 12 semaines de collecte de preuves se réduit à l’audit lui-même, parce que chaque artefact est déjà structuré selon les attentes des auditeurs ISO/IEC 17021-1. Nos clients choisissent leur certificateur dans la liste ci-dessus en fonction de l’accréditation et de l’adéquation sectorielle, puis arrivent à la mission avec inventaire IA, registre des risques, cartographie des contrôles et bibliothèque de preuves déjà exportables.

La plateforme s’arrête volontairement avant le rôle d’auditeur. L’indépendance entre l’organisation auditée, l’outil de gouvernance et l’organisme de certification est précisément ce qui donne au certificat sa valeur en aval.

Questions fréquentes

L’ISO certifie-t-elle elle-même les entreprises ? Non. L’ISO publie les normes mais ne pratique pas la certification et n’émet pas de certificat. Ce sont des organismes de certification indépendants, supervisés par les organismes nationaux d’accréditation, qui réalisent les audits et délivrent les certificats. L’ISO est explicite sur sa propre page certification.

Quelle est la différence entre accréditation et certification ? La certification est l’assurance par tiers que le système de management d’une organisation respecte une norme ISO précise. L’accréditation est la reconnaissance formelle que l’organisme qui émet ces certificats est lui-même compétent et impartial. Un certificat ISO émis par un organisme non accrédité est techniquement valable mais pèse peu dans les appels d’offres ou les dossiers réglementaires.

Quel est le plus grand organisme de certification ISO ? En volume de certificats émis, SGS occupe la tête avec environ 19 % du marché mondial, suivi de Bureau Veritas autour de 17 %. En chiffre d’affaires, les cinq premiers (SGS, Bureau Veritas, Intertek, TUV SUD, BSI) cumulent 28 à 32 % du marché mondial des services de certification ISO.

Combien coûte une certification ISO ? Premier audit ISO 27001 pour un éditeur SaaS de taille moyenne : 15 000 à 40 000 dollars, avec audits de surveillance annuels et recertification tous les trois ans. Premier audit ISO/IEC 42001 : 20 à 50 mille dollars selon le périmètre, la géographie et la séniorité de l’auditeur. Un audit combiné multi-normes (par exemple ISO 27001 plus ISO 27701 plus ISO/IEC 42001) chez le même certificateur abaisse le coût par norme de 15 à 30 %.

Le même organisme peut-il me certifier ISO 27001 et ISO/IEC 42001 ? Oui, à condition qu’il détienne l’accréditation pour les deux normes. BSI, NQA, Schellman, DNV et plusieurs des grands certificateurs sont accrédités pour les deux. Une mission combinée est généralement plus rapide et plus économique que deux missions séparées, parce que la base de preuves se recoupe largement.

Qui remplace l’IAF en 2026 ? L’International Accreditation Forum (IAF) et l’International Laboratory Accreditation Cooperation (ILAC) ont fusionné dans le Global Accreditation Cooperation Incorporated (GAC) le 1er janvier 2026. Les arrangements de reconnaissance multilatérale (ex-IAF MLA et ex-ILAC MRA) opèrent désormais sous la GAC. Les certificats existants restent valables et la reconnaissance mutuelle se poursuit sans changement pour les clients finaux.

Conclusion

La requête sociétés de certification ISO cache trois parcours d’achat différents, mais la réponse converge vers la même short list courte. Choisissez un organisme accrédité par un signataire MLA GAC pour la norme exacte que vous visez, vérifiez le parcours sectoriel de l’auditeur principal assigné, et confirmez que l’organisme dispose d’une accréditation ISO/IEC 42001 aujourd’hui ou d’une feuille de route crédible. Le marché est large, mais la short list pertinente pour les acheteurs de l’ère IA est étroite : BSI, SGS, Bureau Veritas, TUV SUD, DNV, Intertek, LRQA, NQA, Schellman et Kiwa couvrent à eux seuls environ 95 % de la demande qui mérite d’être instruite. AI Sigil intervient un cran plus tôt dans le parcours, en transformant votre inventaire IA en dossier de preuves que chacun de ces auditeurs voudra voir dès le premier jour.

Mathieu Lefebvre

Le risque majeur des modèles d’IA générative, expliqué

L'hallucination est le risque le plus matériel des modèles d'IA générative. Cartographiez les 12 risques NIST aux articles du RIA et gouvernez-les avec des contrôles éprouvés.

Sociétés de certification ISO : le guide 2026 à l’ère de l’IA

Comparez les principales sociétés de certification ISO en 2026, lesquelles sont accréditées ISO/IEC 42001 IA, et comment choisir le bon auditeur.

Conformité et gouvernance : le système d’exploitation de l’ère IA

Conformité et gouvernance forment un seul modèle opérationnel. Voyez comment NIST CSF 2.0, OCEG et le Règlement IA le recâblent.

Le risque majeur de l’IA générative : pourquoi les hallucinations dominent toutes les autres défaillances

Le risque dominant de l'IA générative n'est ni le biais ni la propriété intellectuelle. C'est l'hallucination. Voici pourquoi, et ce qu'un déployeur doit faire.

Shadow AI : pourquoi l’IA fantôme est d’abord un problème de gouvernance

Le Shadow AI casse les obligations d'inventaire du règlement IA, d'ISO 42001 et du NIST RMF. Comment le découvrir et l'inscrire au registre.

Règlement IA de l’UE, le guide opérationnel pour la conformité 2026

Le Règlement 2024/1689 expliqué aux opérateurs. Catégories de risque, IA à usage général, évaluation de conformité, sanctions et calendrier 2026.