L'écart de certification dans les achats d'entreprise
L'achat de SaaS d'entreprise a développé un filtre de qualification cohérent : la certification ISO 27001. Une enquête de 2025 auprès des CISO d'entreprise a révélé que "le manque de certification de sécurité reconnue" était la 2ème raison de disqualification des fournisseurs SaaS, juste derrière "l'architecture de cryptage insuffisante."
La raison est structurelle. Les équipes de sécurité des entreprises sont responsables de l'évaluation de dizaines à des centaines de fournisseurs chaque année. Réaliser une évaluation de sécurité personnalisée complète pour chaque fournisseur — examiner les politiques, tester les contrôles, évaluer l'architecture — nécessite une bande passante significative de l'équipe de sécurité. La certification ISO 27001 fournit un raccourci : un auditeur indépendant a déjà évalué le système de gestion de la sécurité de l'information du fournisseur par rapport à une norme reconnue avec 93 contrôles répartis sur 11 domaines.
Pour les fournisseurs sans ISO 27001, chaque contrat d'entreprise nécessite de construire le dossier de preuves à partir de zéro. Pour les fournisseurs avec ISO 27001, le paquet de preuves existe et a été validé de manière indépendante.
Ce que couvre réellement l'Annexe A de l'ISO 27001:2022
L'Annexe A de l'ISO 27001:2022 comprend 93 contrôles répartis sur quatre thèmes : organisationnel, personnel, physique et technologique. Pour les outils de confidentialité dans le cloud, les contrôles sur lesquels les équipes d'achat d'entreprise se concentrent le plus sont :
Contrôles cryptographiques (Annexe A 8.24) : Exige que l'organisation définisse des règles pour l'utilisation des contrôles cryptographiques, y compris la gestion des clés. La certification démontre que le fournisseur a une politique documentée et audité sur la manière dont les clés de cryptage sont générées, stockées, accessibles et détruites.
Contrôle d'accès (Annexe A 8.2-8.5) : Exige que l'accès à l'information soit restreint sur la base du principe du moindre privilège. La certification démontre que l'accès du personnel du fournisseur aux données clients est contrôlé et documenté.
Relations avec les fournisseurs (Annexe A 5.19-5.22) : Exige que les exigences de sécurité pour les relations avec les fournisseurs soient documentées et surveillées. Pertinent pour les entreprises dont les propres clients exigent qu'elles documentent la sécurité de leurs fournisseurs.
Le document de certification ISO 27001 ne répond pas à toutes les questions d'achat — il établit que les contrôles organisationnels et de processus existent. La certification réduit la portée de l'évaluation personnalisée aux questions spécifiques à l'architecture que la norme ne traite pas.
La question de l'architecture à laquelle la norme ne répond pas
La certification ISO 27001 répond aux questions de contrôle de processus et organisationnels. Elle ne répond pas à la question architecturale fondamentale qui préoccupe le plus les entreprises réglementées : "Le fournisseur peut-il accéder à nos données ?"
Un fournisseur avec une certification ISO 27001 peut encore fonctionner avec des clés de cryptage côté serveur. La certification confirme que la gestion des clés suit une politique documentée — pas que la politique empêche l'accès du fournisseur.
L'architecture zero-knowledge répond à la question que l'ISO 27001 laisse ouverte. L'architecture — dérivation de clé côté client, pas de stockage de clé côté serveur, cryptage AES-256-GCM avant transmission — rend la réponse à "le fournisseur peut-il accéder à nos données ?" définitivement négative.
L'impact sur les achats de la combinaison de l'ISO 27001 avec l'architecture zero-knowledge : l'ISO 27001 satisfait les exigences de contrôle organisationnel et de processus que les questionnaires d'achat vérifient. L'architecture zero-knowledge satisfait les exigences d'accès aux données qui sont la préoccupation prioritaire pour les industries réglementées. Ensemble, elles répondent aux deux principaux critères de qualification pour l'approbation des fournisseurs de cloud dans les secteurs de la santé, des services financiers et juridiques.
La réduction du temps en pratique
Les délais d'évaluation de la sécurité des fournisseurs dans les industries réglementées varient généralement de 3 à 6 mois sans certification reconnue. L'évaluation implique le remplissage d'un questionnaire de sécurité, l'examen de la documentation, l'examen de l'architecture technique, et souvent un appel avec l'équipe de sécurité.
Avec la certification ISO 27001, les entreprises peuvent raccourcir la phase d'examen de la documentation — le certificat et la Déclaration d'applicabilité associée fournissent les preuves. Avec la documentation de l'architecture zero-knowledge, la phase d'examen de l'architecture se résout rapidement. Le délai d'évaluation se comprime à 3 à 6 semaines pour les processus d'achat d'entreprise les plus efficaces.
Pour les fournisseurs ciblant des contrats d'entreprise dans des industries réglementées, le calcul coût-bénéfice de la certification ISO 27001 est simple : la certification réduit les cycles de vente de mois à semaines pour chaque contrat d'entreprise réglementée. À des tailles de contrats d'entreprise, la réduction du temps se traduit par une accélération substantielle des revenus.
Pour les entreprises achetant des outils de confidentialité, la combinaison de certifications offre une posture de risque qualitativement différente : un fournisseur qui ne peut pas accéder aux données clients (zero-knowledge) et qui a des contrôles organisationnels vérifiés de manière indépendante (ISO 27001) représente la preuve la plus forte d'engagement en matière de sécurité auprès d'un fournisseur de cloud.
Sources :