Certifications cloud ISO 27001 et 27018 : celles qui comptent et les autres
Les certifications cloud, c’est un peu comme les etoiles sur un restaurant : il y a les etoiles Michelin (auditees, rigoureuses, revocables) et les etoiles autocollantes qu’on colle soi-meme sur la vitrine. Le probleme, c’est que pour un non-initie, elles se ressemblent toutes. Un fournisseur cloud qui affiche « certifie ISO 27001, SOC 2, HIPAA-ready, GDPR-compliant » sur sa page d’accueil peut etre irreprochable – ou peut avoir coche quelques cases dans un formulaire d’autocertification. Si vous venez du guide sur la souverainete et le RGPD dans le cloud europeen, vous savez que la conformite juridique est la premiere ligne de defense. Les certifications sont la deuxieme – a condition de savoir lesquelles ont de la substance. Le referentiel ISO 27001 est publie par l’Organisation internationale de normalisation et c’est la reference mondiale en securite de l’information.
Voici le tri : les certifications auditees par des tiers independants avec des consequences en cas de non-conformite sont serieuses. Les autocertifications et les labels autoproclameses ne le sont pas. C’est aussi simple que ca.
ISO 27001 : le socle incontournable
L’ISO 27001 est la norme internationale de reference pour les systemes de management de la securite de l’information (SMSI). Elle n’est pas specifique au cloud – elle s’applique a toute organisation qui gere de l’information. C’est a la fois sa force (elle couvre tout : politique de securite, gestion des acces, securite physique, cryptographie, relations avec les fournisseurs, continuite d’activite) et sa limite (elle ne traite pas des specificites du cloud).
Pour obtenir la certification, une organisation doit mettre en place un SMSI conforme a la norme, le faire auditer par un organisme accredite (comme SGS, Bureau Veritas ou TUV), puis se soumettre a des audits de surveillance annuels et un audit de renouvellement tous les trois ans. Ce n’est pas un formulaire a remplir. C’est un processus continu qui coute entre 20 000 et 100 000 euros selon la taille de l’organisation, et qui peut echouer.
L’ISO 27001 ne garantit pas l’absence de faille. Elle garantit l’existence d’un processus structure pour identifier, evaluer et traiter les risques de securite. C’est la difference entre une entreprise qui improvise quand un incident arrive et une entreprise qui a un plan documente, teste et audite. En 2026, ne pas avoir l’ISO 27001 pour un fournisseur cloud est un signal d’alarme.
La difference entre hebergement suisse et UE en matiere de certifications
Le cadre de certifications varie selon la juridiction. En France, l’ANSSI delivre le label SecNumCloud – le referentiel le plus exigeant d’Europe pour les services cloud. SecNumCloud va bien au-dela de l’ISO 27001 : il impose que le fournisseur soit de droit europeen, que les donnees soient hebergees en Europe, et que les operations soient realisees depuis l’UE. C’est explicitement concu pour exclure les fournisseurs soumis a des lois extraterritoriales comme le Cloud Act.
En Suisse, il n’existe pas d’equivalent exact de SecNumCloud. Les fournisseurs suisses s’appuient sur les normes ISO (27001, 27017, 27018) et sur la certification FINMA pour le secteur financier. L’avantage suisse est juridique plutot que certifiant : la nLPD et l’absence de soumission au Cloud Act offrent une protection structurelle que les certifications viennent completer, pas remplacer.
Le panorama 2026 des labels cloud : du serieux et du vent
L’ISO 27018 est le complement cloud de l’ISO 27001. Elle s’applique specifiquement aux fournisseurs de cloud public et traite de la protection des donnees personnelles (PII – Personally Identifiable Information) dans le cloud. Elle impose la transparence sur la localisation des donnees, les sous-traitants, et les demandes d’acces gouvernementales. Un fournisseur certifie ISO 27018 doit vous informer s’il recoit une demande legale d’acces a vos donnees – sauf si la loi le lui interdit (coucou, les gag orders du Cloud Act).
Le SOC 2 (Service Organization Control 2) est une norme americaine (AICPA) qui audite les controles de securite, disponibilite, integrite, confidentialite et vie privee. C’est une norme solide, mais americaine – ce qui veut dire qu’elle ne traite pas du RGPD et qu’elle est calibree sur le cadre legal US. Un fournisseur europeen certifie SOC 2 offre une couche supplementaire ; un fournisseur americain certifie SOC 2 n’offre aucune protection contre le Cloud Act.
HDS (Hebergeur de Donnees de Sante) est obligatoire en France pour heberger des donnees medicales. C5 est le referentiel allemand du BSI (Bundesamt fur Sicherheit in der Informationstechnik). EUCS (European Union Cybersecurity Certification Scheme for Cloud) est le futur schema europeen – encore en cours de finalisation en 2026, et sujet a des debats houleux sur l’inclusion ou l’exclusion des fournisseurs non europeens.
Pour un panorama complet du cloud souverain en 2026, les certifications a exiger au minimum sont : ISO 27001 (securite de l’information), ISO 27018 (protection des donnees personnelles dans le cloud), et un referentiel national si votre secteur l’impose (HDS pour la sante, SecNumCloud pour les administrations francaises). Tout le reste est du bonus – ou du marketing.