Ce qu’il faut retenir : ISO 27001, HDS et SecNumCloud ne sont pas des alternatives : ils forment une pyramide. ISO 27001 certifie la gouvernance cyber. HDS y ajoute les exigences propres aux données de santé. SecNumCloud va plus loin avec une immunité extraterritoriale que les deux autres ne couvrent pas du tout.
En choisissant un prestataire cloud, la question revient systématiquement : suffit-il d’être certifié ISO 27001 ? Faut-il exiger HDS ? Et SecNumCloud, c’est pour qui ? La confusion est compréhensible, ces trois référentiels parlent tous de sécurité des données. Mais ils ne répondent pas aux mêmes risques et n’ont pas le même poids contractuel.
Ce qui les distingue fondamentalement, ce n’est pas leur niveau de technicité : c’est la question à laquelle chacun répond.
Trois référentiels, trois questions différentes
ISO 27001 : « gérez-vous votre sécurité de façon structurée ? »
ISO 27001 certifie qu’une organisation identifie ses risques, choisit des mesures adaptées et les fait vivre dans le temps. Sa logique est proportionnée et modulaire : elle ne prescrit pas un niveau de sécurité absolu, mais un processus cohérent avec les objectifs de la direction. C’est le socle, accessible à toute entreprise, reconnu mondialement. Sa limite : elle n’impose aucune localisation des données et ne protège pas contre les lois extraterritoriales.
HDS : « pouvez-vous héberger des données de santé en toute conformité ? »
La certification HDS prend ISO 27001 comme prérequis obligatoire et y ajoute des exigences sectorielles : chiffrement renforcé, audits fréquents, conformité RGPD et loi Informatique et Libertés. Elle est obligatoire pour toute entité hébergeant des données de santé à caractère personnel. Attention : un acteur américain peut être certifié HDS — cela ne l’immunise pas contre le Cloud Act.
SecNumCloud : « vos données peuvent-elles être réclamées par un État étranger ? »
SecNumCloud est une qualification ANSSI pour les prestataires cloud. Elle s’appuie sur 75 % des exigences d’ISO 27001, les dépasse avec 354 critères techniques précis, et y ajoute une dimension absente partout ailleurs : l’immunité extraterritoriale. Le prestataire doit être à capitaux majoritairement européens (≥ 76 %), héberger les données en France ou dans l’UE, et résister contractuellement à toute injonction d’un État non-européen.
Comparatif
| Critère | ISO 27001 | HDS | SecNumCloud |
| Nature | Norme internationale | Certification sectorielle FR | Qualification ANSSI |
| Portée | Tout secteur, toute organisation | Hébergeurs de données de santé | Prestataires cloud (IaaS, PaaS, SaaS) |
| Approche | Gestion du risque (SMSI modulaire) | ISO 27001 + exigences santé | Référentiel de354 exigences techniques précises |
| Protection extraterritoriale | Aucune | Partielle (RGPD) | Totale, immunité Cloud Act, FISA 702 |
| Localisation des données | Aucune exigence | Recommandée en UE | France / UE obligatoire |
| Capitaux requis | Aucun | Aucune | Europées (>76%) |
| Obligation légale | Non (standard de marché) | Oui pour les hébergeurs de données de santé | Oui pour le secteur public (décret SREN 2026) |
| Pré requis | Socle de base | Requiert ISO 27 001 |
Quel référentiel pour votre entreprise ?
| Votre situation | Ce dont vous avez besoin |
| ETI privée, pas de client public sensible | ISO 27001 |
| Startup SaaS santé / télémédecine | ISO 27001 + HDS (obligation légale) |
| Fournisseur cloud pour l’État | SecNumCloud (décret SREN, avril 2026) |
| Acteur financier (banque, assurance, fintech) | ISO 27001 + DORA + SecNumCloud si workloads sensibles |
| Éditeur SaaS ciblant marchés publics ou OIV | ISO 27001 → trajectoire SecNumCloud |
Questions fréquentes
Dans la plupart des cas, oui — pour les marchés ne traitant pas de données sensibles. Mais depuis le décret n° 2026-272 (loi SREN, avril 2026), les marchés impliquant des données sensibles d’une administration d’État imposent un prestataire conforme au référentiel SecNumCloud. ISO 27001 seul ne suffit pas dans ce périmètre.
Oui, et c’est la combinaison cible pour les acteurs ciblant le marché de la santé sensible. Les deux ne sont pas redondants : HDS répond à l’obligation légale sectorielle, SecNumCloud ajoute l’immunité extraterritoriale
Pas explicitement. Mais l’ANSSI recommande SecNumCloud pour les composants cloud critiques des entités essentielles et importantes soumises à NIS2. C’est un moyen direct de démontrer la conformité aux mesures techniques et organisationnelles appropriées requises par la directive.
Sources
ANSSI — Référentiel SecNumCloud v3.2, mars 2022. cyber.gouv.fr
Décret n° 2026-272 du 14 avril 2026 (art. 31, loi SREN). Légifrance
Agence du numérique en santé — Référentiel HDS, version révisée 2023.
ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l’information.
