La porte de sécurité des achats publics
Les processus d'achat public pour les outils technologiques sont les plus systématiquement régulés par des certifications de sécurité. Les contrats fédéraux américains pour les services cloud nécessitent une autorisation FedRAMP (Federal Risk and Authorization Management Program) — un processus qui prend généralement 12 à 24 mois et coûte des centaines de milliers de dollars en préparation de conformité. La plupart des fournisseurs de logiciels ne poursuivent pas l'autorisation FedRAMP, les excluant effectivement des achats publics fédéraux américains.
Pour les organismes gouvernementaux de l'UE, la norme équivalente est l'ISO 27001, souvent combinée avec des certifications spécifiques à chaque pays (le BSI C5 de l'Allemagne pour les services cloud, le SecNumCloud de la France pour les données gouvernementales sensibles). Les achats publics du gouvernement britannique pour les logiciels traitant des données personnelles nécessitent généralement l'ISO 27001 comme norme de base, avec Cyber Essentials ou Cyber Essentials Plus comme exigence supplémentaire pour les outils ayant un accès direct aux systèmes gouvernementaux.
L'implication pratique : un outil SaaS sans certification ISO 27001 est généralement inéligible à l'examen dans les achats publics de l'UE et du Royaume-Uni, indépendamment de ses capacités fonctionnelles, de son prix ou de sa réputation. La porte de sécurité est appliquée avant l'évaluation fonctionnelle.
Marchés des gouvernements d'État et locaux
Les organismes gouvernementaux d'État et locaux et les organisations gouvernementales internationales (agences de l'UE, organes de l'ONU, OTAN) ont généralement des règles d'achat plus flexibles que les gouvernements nationaux. Beaucoup acceptent l'ISO 27001 comme leur norme de sécurité de base plutôt que d'exiger des programmes de certification spécifiques à chaque pays.
Pour les organismes gouvernementaux locaux traitant des données personnelles des résidents — conseils municipaux, autorités régionales, organisations de santé publique — la conformité au RGPD exige de sélectionner des sous-traitants de données qui mettent en œuvre des mesures techniques appropriées. La certification ISO 27001 est le mécanisme standard pour démontrer ces mesures dans les contextes d'achat public.
L'exigence des contrats gouvernementaux en aval
Les organisations détenant des contrats gouvernementaux ont souvent des exigences de protection des données "de contrat principal" qui se répercutent sur leurs sous-traitants et fournisseurs de technologie. Un entrepreneur de défense traitant des données adjacentes au gouvernement peut être tenu, en vertu de son contrat principal, d'utiliser uniquement des logiciels certifiés ISO 27001 pour le traitement des données. Un fournisseur de services d'agence de l'UE peut faire face à des exigences similaires pour les outils touchant aux données de projet.
Ce flux de contrat principal signifie que la certification ISO 27001 ouvre non seulement des opportunités d'achat public direct, mais aussi un marché gouvernemental indirect beaucoup plus vaste — fournisseurs de technologie pour les entrepreneurs principaux, cabinets de conseil servant des clients gouvernementaux, et revendeurs de technologie dont les clients incluent des organisations adjacentes au gouvernement.
Un programme de transformation numérique d'une agence gouvernementale britannique exigeant l'ISO 27001 pour tous les fournisseurs peut approuver l'outil immédiatement, sans évaluation de sécurité séparée. La certification est le package de preuve. Les délais de projet ne sont pas prolongés par des retards d'évaluation de sécurité des fournisseurs.
Sources :
- Targhee Security 2026 : Guide du questionnaire de sécurité pour les fournisseurs gouvernementaux et d'entreprise
- Centre national de cybersécurité du Royaume-Uni : Exigences Cyber Essentials pour les achats publics
- FedRAMP : Processus et calendrier d'autorisation des services cloud fédéraux américains