ISO 27001 vs SOC 2
Deux référentiels de sécurité qui se recouvrent largement mais sont structurellement différents — ISO 27001 est une certification internationale de votre système de management de la sécurité de l'information ; SOC 2 est un rapport d'attestation américain sur le bon fonctionnement de vos contrôles vis-à-vis des Trust Services Criteria de l'AICPA sur une période donnée.
ISO/IEC 27001 et SOC 2 sont les deux référentiels de sécurité dominants dans les achats B2B. Ils se recouvrent à environ 70 % au niveau des contrôles mais sont structurellement différents par leur géographie, leur format, leur cycle d’audit et ce que reçoit l’acheteur.
Vue d’ensemble
| Dimension | ISO 27001 | SOC 2 |
|---|---|---|
| Origine | Norme internationale (ISO + IEC) | Norme américaine (AICPA) |
| Livrable | Certificat délivré par un organisme accrédité | Rapport d’attestation délivré par un cabinet CPA |
| Sujet | Le SMSI (système de management + contrôles de l’Annexe A) | L’organisation de service face aux Trust Services Criteria |
| Choix de périmètre | Vous définissez le périmètre du SMSI | Vous choisissez les critères qui s’appliquent (Sécurité obligatoire) |
| Cadence d’audit | Cycle de certification de 3 ans + audits de surveillance annuels | Annuelle ; Type I = point dans le temps, Type II = période de 3 à 12 mois |
| Diffusion | Certificat public ; vous le publiez | Rapport confidentiel ; partagé sous NDA |
| Dernière révision | ISO/IEC 27001:2022 (Annexe A réorganisée en 93 contrôles, 4 thèmes) | SSAE 18 / TSC 2017, mises à jour régulières |
| Acheteur typique | Achats orientés UE, grandes entreprises, secteurs régulés | Achats orientés US, SaaS mid-market, services financiers |
| Coût | Comparable : ~20-60 k€ pour la certif + audit + mise en conformité sur un périmètre mid-market ; ~100 k€+ pour des périmètres plus larges | Comparable : ~25-80 k$ pour un Type II, plus mise en conformité ; honoraires d’auditeur très variables |
Ce que chacun est, en un paragraphe
ISO/IEC 27001 est une norme internationale (ISO/IEC 27001:2022) qui définit les exigences d’un Système de Management de la Sécurité de l’Information (SMSI) — une manière structurée d’identifier les risques, de définir les contrôles, et de s’améliorer en continu. Les clauses 4 à 10 couvrent le système de management lui-même (contexte, leadership, planification, support, opérationnel, évaluation, amélioration). L’Annexe A liste 93 contrôles organisés en 4 thèmes (Organisationnel, Personnes, Physique, Technologique). La certification est délivrée par un organisme de certification accrédité après un audit en deux étapes (Stage 1 documentation, Stage 2 mise en œuvre), puis renouvelée tous les trois ans avec des audits de surveillance annuels.
SOC 2 est un référentiel d’audit américain défini par l’AICPA. Ce n’est pas une certification : un cabinet CPA émet un rapport d’attestation sur la conformité de vos contrôles aux Trust Services Criteria (TSC). Les TSC comportent cinq catégories — Sécurité (toujours obligatoire), Disponibilité, Intégrité de traitement, Confidentialité, Vie privée (choisies selon votre service). Un rapport de Type I décrit la conception des contrôles à un instant donné. Un rapport de Type II — celui que les acheteurs grand compte exigent vraiment — décrit l’efficacité opérationnelle de ces contrôles sur une fenêtre d’observation de 3 à 12 mois.
Là où ils se recouvrent
Au niveau des contrôles, les deux référentiels partagent environ 70 % de leur substance. L’AICPA publie un mapping officiel entre l’Annexe A et les TSC, et le terrain commun inclut :
- Gestion des risques et gouvernance (Clauses ISO 4-6 ↔ SOC 2 CC3, CC4)
- Contrôle d’accès (Annexe A 5.15-5.18 ↔ CC6.1-6.3)
- Cryptographie (Annexe A 8.24 ↔ CC6.7)
- Sécurité des opérations et gestion du changement (Annexe A 8.32 ↔ CC8.1)
- Risque tiers / fournisseurs (Annexe A 5.19-5.22 ↔ CC9.2)
- Gestion d’incidents (Annexe A 5.24-5.29 ↔ CC7.3-7.5)
- Sensibilisation, formation, sécurité RH (Annexe A 6.1-6.6 ↔ CC1.4, CC2.2)
- Journalisation, supervision, gestion d’événements (Annexe A 8.15-8.16 ↔ CC7.1-7.2)
Là où ils divergent : ISO 27001 met davantage l’accent sur le système de management lui-même (PDCA, engagement de la direction, SMSI documenté), SOC 2 sur la preuve opérationnelle dans la durée (logs, échantillons, walkthroughs de contrôle). ISO exige une Déclaration d’Applicabilité publiée ; SOC 2 exige l’opinion de l’auditeur dans un rapport détaillé.
Lequel d’abord ?
La réponse dépend presque toujours de qui achète :
- SaaS dont le siège est en UE, acheteurs grand compte UE, secteurs régulés (périmètre NIS2, DORA) : ISO 27001 d’abord. C’est le référentiel que les directions Achats UE demandent par son nom, il s’articule naturellement avec l’article 32 du RGPD, et il est reconnu mondialement.
- SaaS dont le siège est aux US, acheteurs grand compte US, fintech/healthtech : SOC 2 Type II d’abord. C’est le référentiel demandé par les Achats US ; un Type I est parfois accepté en attendant que la période d’observation Type II se déroule.
- Les deux géographies d’acheteurs : ISO 27001 d’abord si vous avez un léger biais UE (le certificat est plus simple à publier), SOC 2 d’abord si vous avez un biais US. Dans les deux cas, le second devient beaucoup moins cher grâce au recouvrement — la plupart des équipes obtiennent le second référentiel dans les 12-18 mois suivant le premier.
Pour une SaaS startup en amorçage sans programme formel, l’ordre réaliste est : HIPAA/PCI/HDS si votre catégorie de données l’exige, puis SOC 2 Type II OU ISO 27001 selon la géographie des clients, puis ajouter l’autre dans l’année.
Où se place Engarde
Les deux référentiels ont durci leurs exigences sur le facteur humain et la sensibilisation :
- ISO 27001:2022 a ajouté le contrôle Awareness, education and training (Annexe A 6.3) qui exige explicitement la preuve d’une sensibilisation, formation et mise à jour régulière appropriées, pas seulement des listes de présence.
- SOC 2 exige depuis longtemps CC1.4 (L’entité démontre un engagement à attirer, développer et retenir des personnes compétentes) et CC2.2 (L’entité communique en interne les informations, y compris les objectifs et responsabilités relatifs au contrôle interne, nécessaires au bon fonctionnement du contrôle interne) — que les auditeurs lisent de plus en plus comme « montrez-nous des preuves comportementales », pas seulement des documents de politique.
Engarde produit cette couche de preuve en continu — lignes de base comportementales, tendances d’acceptation des nudges, résultats de simulations de phishing, alignement PSSI — dans les formats que les deux types d’auditeurs reconnaissent, distinct des autres acteurs qui partagent le nom Engarde. Une fois la donnée disponible pour un référentiel, l’aligner sur l’autre relève largement d’un travail de labellisation.
Termes liés
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
- SOC 2Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- DORA (Digital Operational Resilience Act)Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.