Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Certifications cert Stratégie décidée

Viser large et séquencé : ISO 27001 comme socle, 27017/27018 greffées dessus, HDS v2 pour déverrouiller la santé, SOC 2 pour l'international — et SecNumCloud en objectif long terme, assumé comme inaccessible à une PME aujourd'hui. Le système est certification-ready par design.

En clair — le permis d'exploitation, pas la fiche technique du camion On ne certifie pas un logiciel : on certifie une organisation et le service qu'elle opère (son système de management, son périmètre d'hébergement). Le « diplôme » est au nom de l'exploitant. Conséquences : si l'éditeur opère le SaaS, c'est lui qui se certifie ; un revendeur qui auto-héberge pour des clients santé devra porter sa propre HDS — ou s'appuyer sur l'infra certifiée de l'éditeur (embranchement du modèle de déploiement, section L). Le travail du produit, lui : être certification-ready — fournir les contrôles techniques, les preuves, la documentation. (Exception niveau produit : la CSPN de l'ANSSI certifie un logiciel lui-même — piste ultérieure.)

La stratégie décidée

CertificationC’est quoiQuandEffort PME
ISO 27001:2022Le socle — SMSI certifiéChantier n°112-18 mois, ~15-40 k€ + temps interne
ISO 27017 + 27018Extensions cloud & données personnellesGreffées sur l’audit 27001Surcoût modeste (+ quelques jours d’audit)
HDS v2Hébergement de données de santé (France)Dans la foulée de 27001Audit combinable, organisme accrédité
SOC 2 Type IIAttestation pour l’internationalAprès 27001 (contrôles réutilisés)Fenêtre d’observation 3-12 mois + cabinet CPA, annuel
SecNumCloudQualification souveraine ANSSILong terme assuméHors de portée PME (~360 exigences, souvent >500 k€)
NIS2 / ReCyFRégime légal, pas une certificationReadiness en continuChecklist ANSSI ReCyF (mars 2026)

Le point sur chaque certification — les attendus majeurs

ISO 27001:2022 — le socle

Le Système de Management de la Sécurité de l’Information (SMSI), sur lequel tout le reste s’appuie :

  • Gouvernance — périmètre défini, politique de sécurité, engagement direction, rôles et responsabilités.
  • Analyse de risques — méthode formalisée, plan de traitement, déclaration d'applicabilité (SoA).
  • 93 contrôles Annexe A (version 2022) — organisationnels (37), personnes (8), physiques (14), technologiques (34) : contrôle d'accès, crypto, journalisation, gestion des vulnérabilités, continuité, fournisseurs…
  • La vie du SMSI — preuves d'exploitation continue, audits internes, revue de direction, amélioration.
  • Cycle — audit de certification en 2 étapes, surveillance annuelle, recertification à 3 ans.

L’essentiel du chantier est organisationnel — les contrôles techniques, notre architecture les fournit déjà en large partie (voir le mapping plus bas).

ISO 27017 & 27018 — les extensions greffées

Décision : les prendre toutes les deux, l’audit se combine avec 27001 pour un surcoût modeste.

  • 27017 (sécurité cloud) — responsabilités partagées fournisseur/client documentées, isolation des environnements clients, suppression et restitution des actifs en fin de contrat, durcissement des environnements, supervision cloud.
  • 27018 (données personnelles en cloud) — le fournisseur comme processeur de PII : transparence (localisation, sous-traitants publiés), pas d'usage des données sans accord, restitution/suppression garanties, notification de violation. Aligné RGPD — un accélérateur de due diligence client.

HDS v2 — le déverrouillage du marché santé

Nouveau référentiel (JO du 16 mai 2024, seul applicable aux nouveaux candidats depuis novembre 2024) :

  • Prérequis structurel — un SMSI conforme ISO 27001:2022 + des éléments d'ISO 20000-1 (gestion de services). D'où la séquence : 27001 d'abord.
  • Localisation EEE obligatoire — les données de santé hébergées exclusivement dans l'Espace Économique Européen. Alimente directement l'architecture physique (point à traiter).
  • Six activités certifiables — dont la sauvegarde externalisée, explicitement : c'est littéralement notre métier, le périmètre de certification est naturel.
  • Exigences propres — huit événements redoutés prédéfinis dans l'analyse de risques, traçabilité des accès, réversibilité/restitution des données, transparence publique (politique, sous-traitants), clauses contractuelles santé.
  • Cycle — organisme accrédité (AFNOR, Bureau Veritas, LNE), cycle de 3 ans.

SOC 2 Type II — l’attestation pour l’international

  • Pas un diplôme, un rapport — une attestation d'un cabinet d'audit (CPA, cadre AICPA), renouvelée chaque année. Les clients US la demandent, les certificats ISO leur parlent moins.
  • Type II visé — l'auditeur observe l'efficacité réelle des contrôles sur 3-12 mois (le Type I ne juge que le design à un instant T — peu crédible).
  • Trust Services Criteria — Security (obligatoire) + Availability et Confidentiality (pertinents pour nous) ; Processing Integrity et Privacy optionnels.
  • Le bon timing — après 27001 : le recouvrement des contrôles est massif, chaque preuve sert deux fois.

SecNumCloud — l’objectif long terme, assumé

  • Pourquoi pas maintenant — ~360 exigences, audits PASSI, 18-24 mois, coût souvent supérieur à 500 k€, et des critères capitalistiques (siège UE, immunité aux lois extraterritoriales, contrôle actionnarial) qui dépassent la technique. Inaccessible à une PME — on le dit et on l'assume.
  • Pourquoi le garder en ligne de mire — il déverrouille secteur public et OIV, et notre histoire de souveraineté (auto-hébergé, OpenBao, zéro dépendance cloud US, crypto côté client) est compatible par design : le jour où le marché le justifie, l'architecture n'aura pas à changer.

NIS2 / loi Résilience — le régime légal qui arrive

Pas une certification, mais un cadre contraignant : transposition française attendue à l’été 2026 (adoptée au Sénat en mars 2025, toujours pas promulguée en juin 2026), cadre opérationnel ReCyF publié par l’ANSSI en mars 2026. Les MSP/revendeurs sont dans le périmètre, et l’effet chaîne d’approvisionnement (art. 21) fait que leurs clients leur demanderont des garanties.

Le compliance pack revendeur — la certification comme produit Nos revendeurs subiront NIS2 et les questionnaires de leurs propres clients. Cairn leur fournit un pack de conformité : mapping des contrôles (ISO/HDS/ReCyF), rapports de backup et de tests de restauration, journaux d'audit, preuves d'immuabilité, attestations de chiffrement. Ce que les auditeurs de nos clients demanderont, le produit le génère — la conformité du revendeur devient un argument de vente de Cairn.

« Système compatible ? » — le mapping

Exigence type (ISO/HDS/SOC 2)Ce que l’architecture fournit déjà
Chiffrement & gestion de clésClient-side XChaCha20, pyramide KEK/CMK, OpenBao + HSM optionnel, post-quantique
Intégrité / anti-ransomwareImmuabilité plancher, préavis, legal hold, pas de gomme client
TraçabilitéAudit des changements de config, enrôlement audité, RBAC (section I, à venir)
Réversibilité / restitution (HDS, 27017)Restauration vérifiante, export — by design
Disponibilité / continuitéPostgreSQL HA, PRA (section J, à formaliser)
Localisation EEE (HDS)→ architecture physique (section D, à traiter)
Cloisonnement clientsIsolation crypto et protocole — deux verrous indépendants

Les trous à combler sont surtout organisationnels (SMSI, politiques, gestion d’incidents) plus les techniques déjà au tableau de bord : journalisation complète (K), PRA formalisé (J), méta-durabilité (E), bastion admin. Et cette documentation elle-même constitue une part significative du dossier de preuves.