La réponse courte
Si vos clients sont américains, faites SOC 2 en premier. Si vos clients sont européens, faites ISO 27001 en premier. Si vous adressez les deux, prévoyez d'obtenir les deux — le recouvrement est suffisamment grand pour que la seconde certification coûte beaucoup moins que la première.
L'audience compte plus que le contenu
SOC 2 est un audit Trust Services réalisé par un cabinet CPA américain. Le rapport est privé (partagé sous NDA). Il parle le langage attendu par les services achats US.
ISO 27001 est une norme internationale certifiée par un organisme accrédité. Le certificat est public et instantanément reconnu en Europe, en Asie et en Amérique latine.
Même objectif (prouver que vous prenez la sécurité au sérieux), artefact culturel différent.
Ce qui se recouvre
| Domaine | SOC 2 | ISO 27001 |
|---|---|---|
| Contrôle d'accès | CC6 | A.5.15, A.5.16 |
| Gestion des changements | CC8 | A.8.32 |
| Réponse aux incidents | CC7.4 | A.5.24 |
| Analyse de risque | CC3 | 6.1.2 |
| Gestion fournisseurs | CC9.2 | A.5.19 |
Un jeu de politiques bien rédigé satisfait les deux référentiels. PolicyForge tague chaque modèle avec les deux familles de contrôles pour vous éviter de maintenir deux versions.
Coût et délai (chiffres 2026 réalistes)
| Poste | SOC 2 Type II | ISO 27001 |
|---|---|---|
| Honoraires auditeur | 15 k€–35 k€ | 8 k€–25 k€ |
| Outillage (Drata, Vanta, etc.) | 10 k€–25 k€/an | 10 k€–25 k€/an |
| Temps interne | 200–400 h | 150–350 h |
| Délai jusqu'au rapport / cert | 9–12 mois | 6–9 mois |
Pour un SaaS de 5 à 20 personnes, comptez un trimestre complet de travail concentré dans tous les cas.
Notre recommandation
- Écrivez vos politiques d'abord (les 14 de base). C'est l'étape limitante pour les deux référentiels.
- Mettez en œuvre les contrôles — MFA partout, centralisation des logs, revue de code obligatoire.
- Choisissez votre premier référentiel en fonction de vos 5 plus gros prospects.
- Réutilisez 80 % du travail pour le second quand le chiffre d'affaires le justifie.