Certifications cert Stratégie décidée
Viser large et séquencé : ISO 27001 comme socle, 27017/27018 greffées dessus, HDS v2 pour déverrouiller la santé, SOC 2 pour l'international — et SecNumCloud en objectif long terme, assumé comme inaccessible à une PME aujourd'hui. Le système est certification-ready par design.
La stratégie décidée
| Certification | C’est quoi | Quand | Effort PME |
|---|---|---|---|
| ISO 27001:2022 | Le socle — SMSI certifié | Chantier n°1 | 12-18 mois, ~15-40 k€ + temps interne |
| ISO 27017 + 27018 | Extensions cloud & données personnelles | Greffées sur l’audit 27001 | Surcoût modeste (+ quelques jours d’audit) |
| HDS v2 | Hébergement de données de santé (France) | Dans la foulée de 27001 | Audit combinable, organisme accrédité |
| SOC 2 Type II | Attestation pour l’international | Après 27001 (contrôles réutilisés) | Fenêtre d’observation 3-12 mois + cabinet CPA, annuel |
| SecNumCloud | Qualification souveraine ANSSI | Long terme assumé | Hors de portée PME (~360 exigences, souvent >500 k€) |
| NIS2 / ReCyF | Régime légal, pas une certification | Readiness en continu | Checklist ANSSI ReCyF (mars 2026) |
Le point sur chaque certification — les attendus majeurs
ISO 27001:2022 — le socle
Le Système de Management de la Sécurité de l’Information (SMSI), sur lequel tout le reste s’appuie :
- Gouvernance — périmètre défini, politique de sécurité, engagement direction, rôles et responsabilités.
- Analyse de risques — méthode formalisée, plan de traitement, déclaration d'applicabilité (SoA).
- 93 contrôles Annexe A (version 2022) — organisationnels (37), personnes (8), physiques (14), technologiques (34) : contrôle d'accès, crypto, journalisation, gestion des vulnérabilités, continuité, fournisseurs…
- La vie du SMSI — preuves d'exploitation continue, audits internes, revue de direction, amélioration.
- Cycle — audit de certification en 2 étapes, surveillance annuelle, recertification à 3 ans.
L’essentiel du chantier est organisationnel — les contrôles techniques, notre architecture les fournit déjà en large partie (voir le mapping plus bas).
ISO 27017 & 27018 — les extensions greffées
Décision : les prendre toutes les deux, l’audit se combine avec 27001 pour un surcoût modeste.
- 27017 (sécurité cloud) — responsabilités partagées fournisseur/client documentées, isolation des environnements clients, suppression et restitution des actifs en fin de contrat, durcissement des environnements, supervision cloud.
- 27018 (données personnelles en cloud) — le fournisseur comme processeur de PII : transparence (localisation, sous-traitants publiés), pas d'usage des données sans accord, restitution/suppression garanties, notification de violation. Aligné RGPD — un accélérateur de due diligence client.
HDS v2 — le déverrouillage du marché santé
Nouveau référentiel (JO du 16 mai 2024, seul applicable aux nouveaux candidats depuis novembre 2024) :
- Prérequis structurel — un SMSI conforme ISO 27001:2022 + des éléments d'ISO 20000-1 (gestion de services). D'où la séquence : 27001 d'abord.
- Localisation EEE obligatoire — les données de santé hébergées exclusivement dans l'Espace Économique Européen. Alimente directement l'architecture physique (point à traiter).
- Six activités certifiables — dont la sauvegarde externalisée, explicitement : c'est littéralement notre métier, le périmètre de certification est naturel.
- Exigences propres — huit événements redoutés prédéfinis dans l'analyse de risques, traçabilité des accès, réversibilité/restitution des données, transparence publique (politique, sous-traitants), clauses contractuelles santé.
- Cycle — organisme accrédité (AFNOR, Bureau Veritas, LNE), cycle de 3 ans.
SOC 2 Type II — l’attestation pour l’international
- Pas un diplôme, un rapport — une attestation d'un cabinet d'audit (CPA, cadre AICPA), renouvelée chaque année. Les clients US la demandent, les certificats ISO leur parlent moins.
- Type II visé — l'auditeur observe l'efficacité réelle des contrôles sur 3-12 mois (le Type I ne juge que le design à un instant T — peu crédible).
- Trust Services Criteria — Security (obligatoire) + Availability et Confidentiality (pertinents pour nous) ; Processing Integrity et Privacy optionnels.
- Le bon timing — après 27001 : le recouvrement des contrôles est massif, chaque preuve sert deux fois.
SecNumCloud — l’objectif long terme, assumé
- Pourquoi pas maintenant — ~360 exigences, audits PASSI, 18-24 mois, coût souvent supérieur à 500 k€, et des critères capitalistiques (siège UE, immunité aux lois extraterritoriales, contrôle actionnarial) qui dépassent la technique. Inaccessible à une PME — on le dit et on l'assume.
- Pourquoi le garder en ligne de mire — il déverrouille secteur public et OIV, et notre histoire de souveraineté (auto-hébergé, OpenBao, zéro dépendance cloud US, crypto côté client) est compatible par design : le jour où le marché le justifie, l'architecture n'aura pas à changer.
NIS2 / loi Résilience — le régime légal qui arrive
Pas une certification, mais un cadre contraignant : transposition française attendue à l’été 2026 (adoptée au Sénat en mars 2025, toujours pas promulguée en juin 2026), cadre opérationnel ReCyF publié par l’ANSSI en mars 2026. Les MSP/revendeurs sont dans le périmètre, et l’effet chaîne d’approvisionnement (art. 21) fait que leurs clients leur demanderont des garanties.
« Système compatible ? » — le mapping
| Exigence type (ISO/HDS/SOC 2) | Ce que l’architecture fournit déjà |
|---|---|
| Chiffrement & gestion de clés | Client-side XChaCha20, pyramide KEK/CMK, OpenBao + HSM optionnel, post-quantique |
| Intégrité / anti-ransomware | Immuabilité plancher, préavis, legal hold, pas de gomme client |
| Traçabilité | Audit des changements de config, enrôlement audité, RBAC (section I, à venir) |
| Réversibilité / restitution (HDS, 27017) | Restauration vérifiante, export — by design |
| Disponibilité / continuité | PostgreSQL HA, PRA (section J, à formaliser) |
| Localisation EEE (HDS) | → architecture physique (section D, à traiter) |
| Cloisonnement clients | Isolation crypto et protocole — deux verrous indépendants |
Les trous à combler sont surtout organisationnels (SMSI, politiques, gestion d’incidents) plus les techniques déjà au tableau de bord : journalisation complète (K), PRA formalisé (J), méta-durabilité (E), bastion admin. Et cette documentation elle-même constitue une part significative du dossier de preuves.