La réponse courte
Si vos clients sont américains, faites SOC 2 en premier. Si vos clients sont européens, faites ISO 27001 en premier. Si vous adressez les deux, prévoyez d'obtenir les deux — le recouvrement est suffisamment grand pour que la seconde certification coûte beaucoup moins que la première.
Certification vs attestation — ce n'est pas la même chose
La distinction la plus importante : ISO 27001 est une certification ; SOC 2 est une attestation. Cela change qui signe, ce que vous obtenez et comment vous le partagez.
- ISO 27001 est une norme internationale. Un organisme de certification accrédité audite votre système de management de la sécurité de l'information (SMSI) et, si vous réussissez, délivre un certificat valable trois ans (avec audits de surveillance annuels). Le certificat est public et reconnu dans le monde entier.
- SOC 2 n'est pas une norme que l'on « réussit ». C'est une mission menée selon les normes d'attestation de l'AICPA, où un cabinet CPA américain agréé examine vos contrôles au regard des Trust Services Criteria et émet un rapport assorti de son opinion. Il n'y a pas de certificat ; vous partagez le rapport — généralement sous NDA — avec vos clients et leurs auditeurs.
Un logo ISO 27001 sur votre page de confiance est donc légitime ; un badge « certifié SOC 2 » est techniquement un abus de langage. Vous êtes SOC 2 *attesté*, preuve à l'appui via un rapport.
Les Trust Services Criteria (et ce qui est réellement obligatoire)
SOC 2 repose sur cinq Trust Services Criteria (TSC). Vous n'êtes pas obligé de tous les couvrir :
| Critère | Obligatoire ? | Couvre |
|---|---|---|
| Security (Common Criteria) | Oui — toujours | Protection contre les accès non autorisés, socle de tout SOC 2 |
| Availability | Optionnel | Disponibilité, performance, reprise après sinistre |
| Processing Integrity | Optionnel | Traitement complet, valide, exact, dans les délais |
| Confidentiality | Optionnel | Protection des informations désignées confidentielles |
| Privacy | Optionnel | Collecte, usage, conservation et suppression des données personnelles |
La plupart des SaaS démarrent avec Security seul (souvent plus Availability et Confidentiality). Le critère Security correspond aux « Common Criteria » (série CC) et est non négociable ; les quatre autres ne sont inclus que s'ils comptent pour vos clients.
Type I vs Type II
- Type I évalue si vos contrôles sont correctement conçus à un instant donné. Plus rapide et moins cher, utile comme tremplin — mais les acheteurs grands comptes l'acceptent rarement seul.
- Type II évalue si ces contrôles ont fonctionné efficacement sur une période, généralement 3 à 12 mois. C'est le rapport que les clients veulent vraiment, car il prouve que les contrôles fonctionnent en pratique, pas seulement sur le papier.
Prévoyez le Type I uniquement comme passerelle ; budgétez le Type II comme le vrai livrable.
Ce qui se recouvre avec ISO 27001
Bonne nouvelle pour qui affronte les deux : un seul jeu de politiques bien rédigé satisfait une grande partie de chaque référentiel. Notez qu'ISO 27001:2022 a renuméroté l'Annexe A (désormais 93 mesures en quatre thèmes) ; le mapping ci-dessous utilise les références actuelles :
| Domaine | SOC 2 (TSC) | ISO 27001:2022 |
|---|---|---|
| Contrôle d'accès | CC6.1–CC6.3 | A.5.15, A.5.16, A.5.18 |
| Gestion des changements | CC8.1 | A.8.32 |
| Réponse aux incidents | CC7.3–CC7.4 | A.5.24, A.5.26 |
| Analyse de risque | CC3.1–CC3.4 | 6.1.2 |
| Gestion fournisseurs | CC9.2 | A.5.19, A.5.20 |
| Journalisation & surveillance | CC7.1–CC7.2 | A.8.15, A.8.16 |
PolicyForge tague chaque modèle avec les deux familles de contrôles : vous maintenez un seul jeu de politiques, pas deux.
Un exemple concret de réutilisation
Supposons que votre première cible soit SOC 2 Type II (Security + Availability) parce que vos plus gros prospects sont des grands comptes US. Vous rédigez une politique de contrôle d'accès, une politique de réponse aux incidents et une politique de gestion des changements, et votre auditeur les mappe à CC6, CC7 et CC8. Dix-huit mois plus tard, un contrat européen exige ISO 27001. Ces mêmes trois politiques satisfont déjà A.5.15/5.16, A.5.24/5.26 et A.8.32 — vous adaptez le cadrage au langage des chapitres du SMSI, ajoutez les documents ISO obligatoires (périmètre, traitement du risque, Déclaration d'applicabilité) et menez l'audit de certification. La rédaction des politiques — souvent l'étape la plus lente — n'est faite qu'une fois.
Coût et délai (chiffres 2026 réalistes)
| Poste | SOC 2 Type II | ISO 27001 |
|---|---|---|
| Honoraires auditeur | 15 k€–35 k€ | 8 k€–25 k€ |
| Outillage (Drata, Vanta, etc.) | 10 k€–25 k€/an | 10 k€–25 k€/an |
| Temps interne | 200–400 h | 150–350 h |
| Délai jusqu'au rapport / cert | 9–12 mois | 6–9 mois |
Ce sont des fourchettes indicatives pour un SaaS de 5 à 20 personnes — vos chiffres varient selon le périmètre, le nombre de TSC et le niveau d'automatisation déjà en place. Dans tous les cas, comptez un trimestre complet de travail concentré.
Notre recommandation
- Écrivez vos politiques d'abord (les 14 de base). C'est l'étape limitante pour les deux référentiels.
- Mettez en œuvre les contrôles — MFA partout, centralisation des logs, revue de code obligatoire.
- Choisissez votre premier référentiel en fonction de vos 5 plus gros prospects (US → SOC 2, UE → ISO 27001).
- Réutilisez 80 % du travail pour le second quand le chiffre d'affaires le justifie.
Sources primaires à lire
- Trust Services Criteria de l'AICPA — la source de référence pour SOC 2 (aicpa-cima.com).
- ISO/IEC 27001:2022 — la norme elle-même (iso.org/standard/27001).