SOC 2 vs ISO 27001 vs HDS : quel cadre choisir en 2026 ?
Trois référentiels, trois logiques. Lequel demander à ton prestataire ? Lequel viser pour ta propre boîte ? Décryptage pragmatique.
3 référentiels, des logiques différentes
Tu démarres ta démarche conformité. Trois cadres reviennent en boucle dans les conversations :
- SOC 2 — référentiel américain, audit annuel
- ISO 27001 — référentiel international, certification 3 ans
- HDS (Hébergement Données de Santé) — référentiel français, certification 3 ans
Ils se ressemblent en apparence (sécurité de l'information) mais ont des logiques fondamentalement différentes.
Vue d'ensemble en un tableau
| Critère | ISO 27001 | SOC 2 Type II | HDS |
|---|---|---|---|
| Pays d'origine | International (ISO) | États-Unis (AICPA) | France (ANS) |
| Type | Certification système qualité | Rapport d'audit annuel | Certification (ASIP Santé) |
| Domaine | Sécu info tout secteur | Sécu info SaaS B2B | Hébergement données santé |
| Durée certif | 3 ans (audits intermédiaires) | 12 mois (renouveau annuel) | 3 ans |
| Coût initial FR | 30-80 k€ | 50-150 k€ | 80-200 k€ |
| Coût annuel | 15-25 k€ | 30-50 k€ | 30-60 k€ |
| Délai première certif | 9-12 mois | 9-15 mois (avec phase obs.) | 12-18 mois |
| Auditeurs habilités | COFRAC (AFNOR, LRQA, Bureau Veritas) | CPA / cabinets US-FR (KPMG, Deloitte, Mazars, Vanta-pilote, Drata) | ASIP Santé (LNE, AFNOR, Bureau Veritas, LRQA) |
| Reconnu FR (PME) | ✅ Fort | 🟡 Moyen | ✅ Fort (santé) |
| Reconnu US | 🟡 Moyen | ✅ Fort | ❌ Non applicable |
| Reconnu EU institution | ✅ Fort | 🟡 Moyen | ✅ Fort |
| Demandé par tes clients | Si ETI/grand compte | Si SaaS B2B intl | Si santé / médical |
Quel cadre pour quel besoin
Tu héberges des données de santé françaises
→ HDS obligatoire, point. C'est une obligation légale (Code Santé Publique art. L1111-8) pour toute donnée patient en France. Aucune alternative.
Exemples : éditeur de DPI, télémedecine, paramédicaux numériques, mutuelle complémentaire, e-commerce de medical-grade.
Tu vends à des grandes entreprises françaises (CAC 40, ETI)
→ ISO 27001 prioritaire. C'est le langage que les DSI/RSSI grand compte parlent. Le rapport SOC 2 leur dira peu de choses, l'ISO 27001 leur parlera immédiatement.
Exemples : SaaS RH, comptabilité, gouvernance, immobilier, retail B2B.
Tu vends à des scale-ups internationaux ou clients US
→ SOC 2 Type II prioritaire. Standard de facto US, demandé par tout acheteur sérieux outre-Atlantique et tout sponsor VC américain.
Exemples : SaaS dev tools, marketing tech, fintech, blockchain, AI services.
Tu vises les deux (intl + FR)
→ ISO 27001 d'abord, puis SOC 2 Type II ensuite.
Pourquoi cet ordre :
- ISO 27001 couvre ~70 % des contrôles SOC 2
- Démarrer par SOC 2 = audit court, peu structurant ; tu rates l'opportunité de bâtir un vrai ISMS
- ISO 27001 d'abord = base solide, puis SOC 2 = packaging US prêt à l'export
Tu démarres et tu veux commencer petit
Avant de viser les certifs lourdes, vise :
- Pack NIS2 auto-évalué (gratuit, mais structurant)
- Mapping ANSSI HG 42 mesures (référentiel français, gratuit)
- Label France Cybersécurité (3-5 k€, démarche ACN)
- Cyber Expert AFNOR (10-20 k€, lite et FR)
Ces 4 étapes te coûtent < 30 k€ et te donnent une crédibilité énorme. Ensuite tu décides si tu vises ISO/SOC 2/HDS selon l'évolution de ton marché.
Les zones de recouvrement (ce qui se réutilise)
Bonne nouvelle : ces référentiels se chevauchent largement. Ce que tu fais pour l'un sert pour les autres.
| Élément | ISO 27001 | SOC 2 | HDS |
|---|---|---|---|
| Politique sécurité (PSSI) | ✅ A.5.1 | ✅ CC2.2 | ✅ Obligatoire |
| Inventaire actifs | ✅ A.5.9 | ✅ CC3.2 | ✅ Obligatoire |
| Gestion des accès / MFA | ✅ A.5.15 + A.8.5 | ✅ CC6.1-6.8 | ✅ Obligatoire |
| Procédure incident | ✅ A.5.24-A.5.28 | ✅ CC7.3-CC7.5 | ✅ Obligatoire |
| Gestion fournisseurs | ✅ A.5.19-A.5.23 | ✅ CC9.2 | ✅ Obligatoire |
| Continuité (DRP) | ✅ A.5.29-A.5.30 | ✅ CC9.1 | ✅ Obligatoire |
| Code review / CI | 🟡 A.8.25-A.8.28 | ✅ CC8.1 | 🟡 Indirect |
| Crypto au repos / transit | ✅ A.8.24 | ✅ CC6.7 | ✅ Obligatoire AES-256 |
Concrètement : 70 % du travail de prep ISO 27001 réutilise pour SOC 2. 80 % du travail SOC 2 réutilise pour HDS (côté technique).
Le mythe du "il faut TOUT certifier"
Beaucoup d'éditeurs FR se font conseiller de certifier tout dès la première année. Erreur.
La règle pragmatique : certifie ce que tes clients te demandent. Pas plus.
Tes clients ne te demandent rien ? Démarre avec :
- Pack NIS2 + mapping ANSSI HG (gratuit, structurant)
- Page Trust Center publique (zéro coût, gros effet)
- Audits externes automatisés gratuits (Mozilla Observatory, SSL Labs, securityheaders.com — Triple A+)
Puis attend que ton commercial te remonte : "Le client X demande SOC 2" ou "Le client Y demande ISO 27001". À ce moment-là, tu sais où investir.
Les outils qui aident
Pour automatiser la collecte de preuves :
- Drata (~3-5 k€/an, US, francisé partiel)
- Vanta (~5-8 k€/an, US, francophone)
- Secureframe (~5-8 k€/an, US)
- Sprinto (~3-5 k€/an, alternative économique)
Pour les frameworks FR / européens :
- CISO Assistant (intuitem, OSS) — couverture ANSSI HG + ISO 27001 + NIS2 + SOC 2
- eramba (OSS, anglais)
- Tugboat Logic (Aptible) — récemment racheté par OneTrust
Humanix Académie publie ses preuves de sensibilisation automatiquement vers ces outils via l'API /api/v1/evidence-export (cf. /integrations/ciso-assistant).
La règle d'or
Le choix du référentiel ne se fait pas en chambre. Demande à ton commercial : "Quels sont les 3 derniers questionnaires sécurité que nous avons reçus en RFP ?". Si tous parlent SOC 2, choisis SOC 2. Si tous parlent ISO 27001, choisis ISO 27001. Si tu n'as pas encore reçu de questionnaire, ne te certifie pas encore.
La conformité doit suivre le marché, pas l'inverse.
Partage cet article
Quelqu'un autour de toi pourrait avoir besoin de ces réflexes. Le lien est gratuit, sans inscription.
Chaque partage te rapproche du badge « Ambassadeur cyber » 🎖️