Conformité

ISO 27001 vs SOC 2 vs TISAX : quelle certification choisir pour vendre en EU en 2026 ?

Trois certifications, trois logiques différentes, trois budgets, trois publics. Matrice de décision pour ne pas certifier la mauvaise.

Aroua Biri

C'est probablement la décision la plus mal prise dans une scale-up SaaS B2B : "on va faire SOC 2 parce qu'un client US le demande". 18 mois et 80 k€ plus tard, le client a signé, et trois clients EU qui demandaient ISO 27001 sont partis. ISO et SOC 2 ne sont pas interchangeables vis-à-vis des acheteurs européens. TISAX encore moins.

Trois clients m'ont fait cette erreur depuis 2024. À chaque fois, on rattrape. Mais la deuxième certification coûte 60 à 80% de la première en temps, parce que la documentation se mutualise mal. Mieux vaut choisir bien la première fois.

Voici la matrice de décision qu'on déroule en kickoff de mission certification.

Les 3 certifications, vraiment expliquées

ISO 27001 : la lingua franca européenne

  • Émetteur : ISO (norme internationale), audit par organisme de certification accrédité COFRAC en France (LSTI, Bureau Veritas, etc.).
  • Principe : système de management de la sécurité de l'information (ISMS). Vous prouvez que vous avez un processus pour identifier, traiter, surveiller les risques sécu.
  • Durée d'obtention : 9 à 15 mois pour une PME de 30-80 personnes, partant de zéro.
  • Coût : 30 à 80 k€ tout compris (préparation + audit initial + années suivantes).
  • Validité : 3 ans, avec audits de surveillance annuels.
  • Reconnaissance : maximale en EU, en Asie, en moyen-orient. Moins forte aux US (où SOC 2 domine).

SOC 2 : la grammaire US

  • Émetteur : AICPA (USA). Audit par cabinet CPA américain.
  • Principe : attestation d'un cabinet sur cinq critères de service (Trust Services Criteria) : sécurité, disponibilité, confidentialité, intégrité, vie privée. Sécurité est obligatoire, les autres optionnels.
  • Types : Type I (à un instant T), Type II (sur 6-12 mois d'observation, exigible par la plupart des grands comptes).
  • Durée : 6-9 mois pour Type I, +6-12 mois d'observation pour Type II.
  • Coût : 50 à 120 k€ pour Type II la première année, ~40 à 60 k€ les suivantes.
  • Validité : rapport annuel, à renouveler.
  • Reconnaissance : standard de facto aux US, croissante en EU surtout chez les acheteurs habitués au marché US.

TISAX : la norme automobile européenne

  • Émetteur : ENX Association (consortium constructeurs allemands : BMW, VW, Daimler, etc.).
  • Principe : évaluation de la sécurité de l'information selon VDA-ISA (catalogue allemand dérivé d'ISO 27001 + exigences sectorielles : prototypes, données techniques, données à caractère personnel automobile).
  • Niveaux : AL1 (auto-déclaration), AL2 (vérification documentaire), AL3 (audit sur site + tests). AL3 est ce qui est demandé pour les données les plus sensibles.
  • Durée : 4-9 mois selon niveau et maturité initiale.
  • Coût : 25 à 80 k€ selon niveau et taille.
  • Validité : 3 ans.
  • Reconnaissance : indispensable pour fournir l'industrie automobile EU. Très limité hors automobile.

Les vraies questions à se poser

Question 1 — Qui sont vos 5 prochains gros clients ?

Le seul critère qui décide vraiment. Trois cas typiques :

  • 80% acheteurs EU mid-market et grands comptes hors auto → ISO 27001.
  • 80% acheteurs US, ou fonds d'investissement US → SOC 2.
  • Vous fournissez un constructeur automobile ou un équipementier de rang 1 → TISAX, sans alternative.

Si mix : la cible la plus stratégique gagne. Pas celle qui crie le plus fort.

Question 2 — Quel est votre cycle de vente ?

  • ISO 27001 : reconnue tôt dans le processus, sert dès la pré-qualification.
  • SOC 2 : demandée en due diligence sécu, souvent après la démo.
  • TISAX : exigée en RFP, parfois conditionnelle avant même de répondre.

Question 3 — Quelle maturité ISMS aujourd'hui ?

ISO 27001 et TISAX s'appuient sur un ISMS structuré. Si vous partez de zéro côté gouvernance, 9-12 mois minimum.

SOC 2 part plus vite parce qu'elle est principalement "attestation". Mais Type II demande 6-12 mois d'observation. Donc même délai au final.

Question 4 — Avez-vous des données techniques sensibles à protéger ?

Si vous traitez des prototypes industriels ou des données techniques de R&D pour un industriel : TISAX devient incontournable, même si tous vos autres clients préfèrent ISO.

Question 5 — Combien pouvez-vous investir ?

  • ISO 27001 first : ~50-70 k€.
  • SOC 2 Type II first : ~80-110 k€.
  • Faire les deux dans la foulée : ~120-160 k€ (mutualisation partielle).
  • TISAX seul : ~30-60 k€ (mais ne remplace pas les deux autres pour les clients hors auto).

Matrice de décision en une grille

| Votre profil | Première certification | À ajouter ensuite si besoin | |---|---|---| | SaaS B2B EU, mid-market et grands comptes | ISO 27001 | SOC 2 Type II si percée US | | SaaS B2B EU, automotive (constructeurs, équipementiers) | TISAX AL2 ou AL3 | ISO 27001 ensuite | | SaaS B2B US-first, série A | SOC 2 Type II | ISO 27001 si expansion EU | | SaaS B2B mixte EU + US | ISO 27001 d'abord (plus structurant) | SOC 2 Type II ~12 mois après | | Editeur de logiciel embarqué (CRA-concerné) | ISO 27001 (CRA s'appuie sur des bases ISMS) | TISAX si auto | | Service IA pour santé / finance régulés | ISO 27001 + ISO 42001 | SOC 2 si clients US |

Les pièges qu'on voit le plus

Choisir SOC 2 parce qu'un US le demande, sans regarder le reste

Le US qui demande SOC 2 représente combien de % du pipeline ? Si <20%, il est probablement plus rationnel de faire ISO et de négocier un rapport sécurité interne adapté pour ce client.

Penser que ISO 27001 = SOC 2 + traduction

Faux. ISO est un système de management (vous montrez le processus). SOC 2 est une attestation (vous montrez les contrôles à un instant T). Les artefacts produits ne sont pas les mêmes. La doc de l'un n'alimente que partiellement l'autre.

Sous-estimer TISAX si vous fournissez l'auto

Un fournisseur d'un sous-traitant Daimler m'a dit "on a ISO 27001, ça suffira". Réponse de Daimler : "non, TISAX AL3 ou pas de commande". Il a fallu rattraper en 6 mois sous pression.

Sur-estimer la mutualisation

ISO + SOC 2 dans la foulée mutualise ~30-40% de l'effort. Pas 70%. Beaucoup de cabinets vendent la mutualisation comme un argument et c'est à moitié vrai.

Faire la certification pour la certification

Trois clients me l'ont dit : "on s'est concentrés sur l'audit, on n'a pas profité pour vraiment améliorer la sécurité". C'est dommage. La certification est une excellente excuse pour structurer en profondeur — si vous l'utilisez comme ça.

Le contre-exemple instructif

Une scale-up MarTech française, fin 2024. Premier gros client US qui demande SOC 2. La scale-up engage un cabinet US, démarre SOC 2 Type II. 14 mois plus tard, certif obtenue, client US signé pour 200 k€/an. Dans les 18 mois, trois deals enterprise EU (Allianz DE, Société Générale, Carrefour) ont demandé ISO 27001 et sont partis chez un concurrent qui l'avait. Total perdu sur ces 3 deals : ~1,2 M€ ARR.

La rétrospective qu'on a faite : pour ~30 k€ de plus en année 1, ils auraient pu démarrer ISO 27001 en parallèle et l'obtenir à 16 mois. Les deals EU auraient probablement été tenus. La leçon : choisir la certification en fonction de votre pipeline 24 mois, pas du client qui crie le plus fort cette semaine.

Pour la roadmap ISO 27001 détaillée, voir ISO 27001 SaaS B2B roadmap. Pour SOC 2, voir SOC 2 Type II audit clients enterprise. Pour articuler les deux, voir ISO 27001 vs SOC 2 justification.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ArticleIso 27001 saas b2b roadmap 12 mois ArticleSoc2 type2 audit clients enterprise ArticleIso 27001 soc 2 justifier daybreak mythos