ISO/IEC 27001 — Système de management de la sécurité de l'information
Norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI).
Définition
ISO/IEC 27001 est la norme internationale qui spécifie les exigences relatives à l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un Système de Management de la Sécurité de l'Information (SMSI). Elle est complémentaire de la norme ISO/IEC 27002 qui détaille les contrôles de sécurité applicables.
Publiée en 2005, révisée en 2013 puis 2022, la norme s'organise autour d'une approche par les risques : identification, analyse, traitement, surveillance. Un SMSI conforme couvre 93 contrôles de sécurité regroupés en 4 thèmes (contrôles organisationnels, humains, physiques, technologiques).
La certification ISO 27001 est délivrée par un organisme certificateur accrédité (AFNOR, Bureau Veritas, LNE, BSI, DNV, LRQA…) après audit initial puis audits de surveillance annuels et renouvellement à 3 ans.
Pourquoi c'est important pour un hébergeur HDS
ISO 27001 est présupposée par le référentiel HDS de l'Agence du Numérique en Santé. La certification HDS exige que l'hébergeur dispose d'un SMSI conforme à ISO 27001 sur le périmètre des activités hébergées. Sans 27001, pas de HDS.
Au-delà de l'obligation réglementaire, ISO 27001 apporte trois garanties :
- Approche systémique plutôt qu'une accumulation d'outils. Un acteur 27001 dispose d'une cartographie des risques à jour, de procédures d'incident formalisées, d'indicateurs de pilotage SMSI revus en revue de direction.
- Vérifiabilité externe : l'auditeur indépendant produit un certificat consultable. Le client peut en demander la copie.
- Continuité : audits de surveillance annuels — l'acteur ne peut pas relâcher la pression entre deux renouvellements.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié : le certificat ISO 27001 est référencé sur le site officiel de l'hébergeur (page conformité / trust center) avec mention de l'organisme certificateur. Vérification documentaire effectuée à la date de la dernière mise à jour.
- ◐ Revendiqué : l'hébergeur mentionne ISO 27001 sur ses pages publiques sans publier le certificat ni l'organisme.
- ? Non documenté : aucune trace de mention sur les sources publiques consultées.
Le périmètre exact de certification peut être restreint (un site, une activité). Pour les enjeux critiques, demander à l'hébergeur la copie du certificat et le périmètre exact certifié.
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Hôpital / EHPAD / Clinique | Critique — exigé contractuellement par les acheteurs publics et les ARS |
| Éditeur de logiciel santé | Critique — chaîne de certification (votre hébergeur doit être 27001 pour que vous puissiez le revendiquer indirectement) |
| Recherche clinique / Biobanque | Critique — exigé par les CPP, les promoteurs, les financeurs |
| Mutuelle / Assurance santé | Critique — alignement réglementaire ACPR + DORA pour la partie financière |
| Startup early-stage | Important — peut différer 12-18 mois mais doit être planifié |
Comment un hébergeur peut se conformer
Prérequis organisationnels :
- Désignation d'un RSSI (ou équivalent) avec mandat clair et budget.
- Cartographie des actifs et analyse des risques (méthode EBIOS RM recommandée en France).
- Politique de sécurité de l'information (PSI / PSSI) approuvée par la direction.
- Procédures d'incident, de gestion des accès, de gestion des vulnérabilités.
- Plan de sensibilisation des collaborateurs.
Prérequis techniques :
- Inventaire des actifs informatiques.
- Gestion des accès (IAM, MFA, principe du moindre privilège).
- Journalisation, supervision, détection.
- Chiffrement au repos et en transit.
- Plan de sauvegarde et de reprise testé.
Coût indicatif :
- TPE/PME (< 50 collaborateurs) : 30 000 - 80 000 € de mise en conformité initiale, audit ~10-15 k€, surveillance annuelle ~6-10 k€.
- Mid-cap (50-500 collaborateurs) : 80 000 - 250 000 € initial, audit ~20-40 k€.
Plus-value vs coût
Pour un hébergeur HDS, c'est un coût non-discrétionnaire : pas de certif 27001 = pas de HDS = pas de business. La question pertinente est donc « comment optimiser l'audit » plutôt que « vaut-il le coût ».
Pour un client qui choisit un hébergeur, exiger 27001 est le strict minimum si vous traitez des données de santé. La question pertinente est « le périmètre certifié couvre-t-il bien mon usage ».
FAQ
ISO 27001 est-il suffisant pour héberger des données de santé en France ? Non. Il faut en plus la certification HDS spécifique. ISO 27001 est nécessaire mais non suffisant. La certification HDS atteste de la conformité à des exigences additionnelles propres au contexte santé (référentiel ANS v2.0).
Quelle différence entre ISO 27001 et SecNumCloud ? ISO 27001 est une norme internationale du management de la sécurité. SecNumCloud est une qualification ANSSI française sur la même base + des exigences renforcées de souveraineté juridique (immunité Cloud Act notamment). SecNumCloud est plus strict et plus rare.
La version 2013 ou 2022 fait-elle une différence ? Oui. La version 2022 a réorganisé les contrôles (de 114 à 93) et introduit des contrôles modernisés (sur le cloud, la threat intel, le secret management). Les certificats émis avant 2024 peuvent être en 2013 ; ils doivent migrer en 2022 d'ici fin 2025.
Un certificat ISO 27001 sur le siège suffit-il ? Non, le périmètre doit explicitement couvrir l'activité d'hébergement. Demandez à voir le certificat et lisez attentivement la section « périmètre » du document.
Glossaire
- SMSI : Système de Management de la Sécurité de l'Information — ensemble de politiques, procédures, contrôles et responsabilités pour gérer la sécurité.
- PSSI : Politique de Sécurité du Système d'Information — document chapeau de la politique de sécurité interne.
- EBIOS RM : méthode française d'analyse de risque, publiée par l'ANSSI.
- Annex A : annexe normative de la norme listant les 93 contrôles applicables.
Hébergeurs satisfaisant ce critère
✓ Vérifié sur source publique (1)
◐ Revendiqué sur source publique (168)
- 123 C.S
- AB6 (ABSCISSE INFORMATIQUE)
- ABBANA
- ABICOM
- ACCESS GLOBAL SECURITY
- ACCESS HEBERGEMENT
- ACESI
- ACMI
- ACRONIS INTERNATIONAL GMBH
- ADISTA
- ADMI AGENCE DE MAINTENANCE INFORMATIQUE
- AGENA 3000
- AGORA CALYCE
- AIRON TELEMATICA
- AKENES
- ALPILINK CLOUD
- ALTER WAY
- APICEM SARL
- APX INTEGRATION EXERÇANT SOUS LA MARQUE COMMERCIALE AXIANS
- AQUA RAY
- ARCHE HOLDING
- ARKHN
- ARONDOR
- ASTEN CLOUD
- ATEMIS
- ATOL CONSEILS ET DEVELOPPEMENTS
- AUGUSTA VIROMANDUORUM NUMERICAM
- AURIC
- AVENIR TELEMATIQUE (ATE)
- AVEXION
- AVM INFORMATIQUE sous la marque commerciale AVM UP
- AXESS GROUPE
- AZNETWORK
- BE YS CLOUD France
- BE-YS HEALTH SOLUTIONS FRANCE
- BERGER LEVRAULT
- BRETAGNE TELECOM
- C’CHARTES INNOVATIONS NUMERIQUES (C’CIN)
- CASD
- CEGEDIM SANTE
- CEGEDIM.CLOUD
- CELEONET
- CELESTE
- CEOS-IT
- CERTIGNA
- CERTILIENCE
- CHEOPS TECHNOLOGY FRANCE
- CHU THUIR LEON JEAN GREGORY
- CIMUT
- CIRIL GROUP
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.