Un commercial m'a un jour montré fièrement une plaquette avec 7 logos de certifications. Impressionnant sur le papier. Sauf que 3 d'entre elles étaient expirées depuis plus d'un an. Et une quatrième concernait uniquement leur datacenter luxembourgeois, pas les équipes françaises qui allaient gérer mon client. La leçon : un logo n'est pas une garantie.
Les certifications qui comptent vraiment en infogérance
Toutes les certifications ne se valent pas. Certaines sont des standards internationaux audités annuellement. D'autres sont des labels marketing sans contrôle réel. Voici le tri que je fais systématiquement sur les 40+ dossiers que j'ai accompagnés depuis 2021.
ISO 27001 : le standard de base
C'est LA certification de référence pour la sécurité de l'information. Un prestataire certifié ISO 27001 a mis en place un Système de Management de la Sécurité de l'Information (SMSI) audité par un organisme accrédité.
Mon observation terrain : sur les 23 contrats que j'ai audités en 2023, 18 prestataires affichaient ISO 27001. Mais seulement 11 avaient un périmètre de certification couvrant réellement les services proposés au client. Les 7 autres ? Certifiés uniquement sur leur siège social ou un service spécifique non concerné par le contrat.
Demandez systématiquement le certificat avec son périmètre exact et sa date de validité. Un certificat ISO 27001 est valide 3 ans, avec audits de surveillance annuels.
HDS : obligatoire pour les données de santé
L'Hébergeur de Données de Santé (HDS) est une certification française obligatoire pour tout prestataire manipulant des données de santé à caractère personnel. Délivrée par des organismes accrédités par le COFRAC, elle garantit un niveau élevé de sécurité et de confidentialité.
Si vous êtes dans le secteur médical, paramédical ou médico-social : pas de HDS, pas de discussion. Mais attention, la certification HDS comporte 6 niveaux d'activités. Vérifiez que votre prestataire est certifié sur les activités correspondant à vos besoins réels.
SecNumCloud : le graal français
Délivré par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), SecNumCloud est le plus haut niveau de qualification française pour les services cloud. Extrêmement exigeant à obtenir, il garantit une protection contre les législations extraterritoriales (CLOUD Act américain notamment).
À retenir
SecNumCloud est pertinent si vous manipulez des données sensibles (stratégiques, régaliennes, critiques). Pour une PME classique, c'est souvent surdimensionné. Mais si un prestataire l'affiche, c'est un signal fort de maturité sécurité.
SOC 2 : le standard américain
Service Organization Control 2 est un standard américain axé sur la sécurité, disponibilité, intégrité des traitements, confidentialité et protection de la vie privée. Très répandu chez les éditeurs SaaS et prestataires internationaux. Moins connu en France mais reconnu mondialement.
Les certifications à relativiser
Certaines certifications affichées en bonne place n'ont qu'une valeur limitée pour votre décision. Pas qu'elles soient frauduleuses, mais elles ne garantissent pas ce que vous pensez qu'elles garantissent.
ISO 9001 : qualité générale, pas sécurité IT
ISO 9001 certifie un système de management de la qualité. C'est bien, mais ça ne dit rien sur la sécurité informatique. Un prestataire peut être ISO 9001 et avoir des pratiques de sécurité catastrophiques. Je l'ai vu en 2019 chez un prestataire qui affichait fièrement cette certification tout en stockant les mots de passe clients en clair dans un fichier Excel partagé.
Partenariats éditeurs (Microsoft Gold, etc.)
Les niveaux de partenariat Microsoft, Cisco, VMware et autres indiquent une relation commerciale et un volume d'activité. Ils attestent que des collaborateurs ont passé des certifications techniques. Mais ils ne garantissent pas la qualité de service ni la sécurité des opérations.
Un prestataire "Microsoft Gold Partner" a été responsable de l'une des pires transitions d'infogérance que j'ai vécues en 2013. Compétence technique présente, mais gouvernance projet inexistante et communication désastreuse. Le badge doré n'y a rien changé.
Comment vérifier concrètement une certification
Ne vous contentez jamais d'un logo sur une plaquette ou un site web. Voici ma méthode de vérification systématique.
Checklist de vérification des certifications
- Demander le certificat original (pas une copie ou capture d'écran)
- Vérifier la date de validité (attention aux certificats expirés)
- Lire le périmètre exact (quels sites, quels services)
- Identifier l'organisme certificateur et vérifier son accréditation
- Croiser avec le registre officiel de l'organisme (AFNOR, BSI, etc.)
- Pour SecNumCloud : vérifier sur le site officiel de l'ANSSI
Les registres officiels à consulter
Chaque type de certification dispose d'un registre vérifiable :
- ISO 27001 : registre de l'organisme certificateur (AFNOR, BSI, Bureau Veritas, etc.)
- HDS : liste officielle sur le site de l'Agence du Numérique en Santé
- SecNumCloud : liste des prestataires qualifiés sur le site de l'ANSSI
- SOC 2 : demander le rapport complet au prestataire (il doit pouvoir le fournir)
Ce que les certifications ne garantissent pas
Soyons clairs : une certification n'est pas une garantie de résultat. Elle atteste que des processus sont en place et audités. Mais elle ne garantit ni la compétence individuelle des intervenants, ni la qualité de la relation client, ni la réactivité en cas de crise.
Retour d'expérience : le prestataire qui a failli nous couler en août 2020 était certifié ISO 27001 depuis 5 ans. Mais les sauvegardes n'étaient pas testées, les patchs critiques ignorés, et personne n'a répondu au téléphone pendant 6 heures. La certification n'a pas empêché le désastre. Elle a juste rendu leur assurance plus facile à activer après.
Une certification est une condition nécessaire mais pas suffisante. Elle doit s'accompagner de références vérifiables et d'une évaluation de la culture d'entreprise du prestataire.
Mes recommandations concrètes
Selon moi, la bonne approche consiste à définir d'abord vos exigences réglementaires et sectorielles, puis à vérifier systématiquement chaque certification affichée.
- PME classique sans données sensibles : ISO 27001 sur le périmètre concerné est un bon minimum
- Secteur santé : HDS obligatoire, ISO 27001 fortement recommandé
- Données stratégiques/régaliennes : SecNumCloud à considérer sérieusement
- Contexte international : SOC 2 Type II apporte une reconnaissance mondiale
Et dans tous les cas : demandez les preuves, vérifiez les dates, lisez les périmètres. Un prestataire sérieux n'aura aucun problème à fournir ces éléments. Celui qui hésite ou tarde devrait éveiller votre méfiance.
(Ça dépend vraiment de votre contexte, mais en général, les certifications sont un filtre utile, pas une garantie absolue. Utilisez-les comme un critère parmi d'autres dans votre évaluation globale.)
Loïc Kervella
Ex-DSI d'une PME industrielle bretonne (180 salariés, 4 sites), a vécu de l'intérieur 2 transitions d'infogérance : une catastrophique (2012-2014, grand compte parisien rigide) et une réussie (2016-2020, ESN régionale agile). A quitté son poste de DSI en 2021 après épuisement lié à la gestion de crise COVID + cyberattaque ransomware. Reconversion en consultant indépendant spécialisé dans l'accompagnement PME/ETI pour leurs choix d'externalisation IT.
Article mis à jour le
Sources et références
- IT for Business - Classement 2024 des ESN et ICT — Analyse du marché des ESN en France
- ChannelNews - Classement des 50 ESN/ICT les plus performantes — Données sur les certifications des principaux acteurs
- NDNM - Top 100 des ESN en France — Panorama des prestataires certifiés