""

L'audit ISO 27001 des datas centers : entre maturité SSI et garantie de disponibilité

A la Une19/01/2026

Dans la jungle des certifications de sécurité (ISO 27001, HDS), il est parfois difficile pour les entreprises de s'y retrouver. Que garantissent ces certifications, réellement ? Comment auditer efficacement un Data Center où se mêlent enjeux énergétiques et sécurité physique ?

Nous avons questionné notre expert Christophe Célissé, Directeur Technique et responsable audit chez LSTI.

Dans cette parole d’expert, il revient sur les réalités du terrain et la méthodologie de l'auditeur.

Est-ce qu'une entreprise certifiée ISO 27001 est garantie contre toute fuite de données ?

 

C’est une confusion très courante, mais la réponse est non. La certification ISO 27001 ne garantit pas qu'il n'y aura pas de fuite de données. C'est avant tout un sujet de garantie de maturité en SSI (Sécurité des Systèmes d'Information).

Concrètement, cela signifie que l'organisme certifié a conscience des risques et des sujets liés à la sécurité de l'information. Mais cela ne constitue pas une garantie absolue de sécurité technique à l'instant T.

 

Vous intervenez souvent sur des data centers. Quelle est la spécificité de ces environnements, notamment vis-à-vis de la norme HDS (Hébergement de Données de Santé) ?

 

Pour un data center, l'approche est particulière car c'est avant tout un hébergeur physique. Le sujet HDS y est donc moins centré sur la sécurité logique de l'information que sur la sûreté.

La certification HDS, obligatoire pour héberger des données de santé, exige d'avoir une base ISO 27001. Mais sur le terrain, pour le data center, HDS valide surtout la mise en place d'éléments de sûreté rigoureux, comme le contrôle des accès physiques.

Au-delà de cette sécurité physique, un Data Center a une obligation de résultat envers ses clients. Comment l'audit ISO 27001 adresse-t-il cela ?

 

C'est un point capital. Dans l'audit d'un Data Center ISO 27001, la structure apporte, en plus de la sûreté, une garantie de la disponibilité des services qu'elle propose : le froid, la ventilation, l'énergie, la sécurité incendie...

Il est indispensable que l’organisme auditeur puisse vérifier la capacité de l'audité à tenir ce niveau de disponibilité. C'est généralement mentionné formellement dans les contrats clients, le plus souvent au travers de SLA (Service Level Agreements). Pour vérifier cela lors de l'audit, l’auditeur se base sur trois thématiques techniques précises :

  • La redondance des équipements
  • Le PCA / PRA / PUPA (Plan de Continuité / Reprise d'Activité et Plan d'Urgence de Poursuite d'Activité)
  • La maintenance des installations.

 

Ces vérifications semblent lourdes. Comment l'auditeur parvient-il à être pertinent sur des sujets aussi vastes en un temps limité ?

 

L'audit est un exercice en temps contraint. L’approche repose sur deux piliers : l'échantillonnage et la capacité de l'audité à prouver ses dires (l'approche fondée sur la preuve).

Sur un plan global, la réussite de l'audit de conformité dépend de la capacité de l’auditeur à cerner très rapidement les activités et les besoins spécifiques de l'audité.

C'est cette capacité qui nous permet de nous assurer ensuite, sur le fond, de la pertinence des contrôles organisationnels et techniques que nous allons conduire tout au long de la mission.

Vous avez mentionné la sûreté physique. Les accès doivent-ils être testés "comme un attaquant" ?

 

Non, pas “comme un attaquant”, il faudrait pour cela des autorisations et un encadrement, formels.
Les systèmes de contrôle d'accès physique doivent néanmoins être systématiquement vérifiés. C'est nécessaire car ces systèmes sont souvent techniquement vulnérables. Il existe aujourd'hui des dispositifs en vente libre qui permettent de faire des attaques par force brute sur des badges d’accès.
L’auditeur utilise des outils discrets pour vérifier la robustesse de la technologie employée sur ces systèmes. Si le système est mal protégé, on pourrait entrer sans présenter un badge légitime. Il faut aussi contrôler les systèmes informatiques du bâtiment (GTC/GTB), car un attaquant pourrait déclencher une alarme incendie via le réseau pour forcer l'ouverture des portes.

 

Pour conclure, comment situez-vous l'audit ISO 27001 par rapport aux tests d'intrusion techniques ?

 

Ce sont deux niveaux complémentaires. L'ISO 27001 valide l'organisation et la maturité.
Pour garantir un vrai niveau de sécurité technique, il faut réaliser un audit technique spécifique (pentests) qui identifiera les vulnérabilités et proposera des actions de remédiations.
Ces tests sont réalisés par des cabinets qualifiés par l’ANSSI : les PASSI. Chez LSTI, nous sommes l'organisme qui évalue et qualifie (avec l’ANSSI) ces entreprises PASSI. Nous couvrons ainsi la chaîne de confiance de bout en bout.

 

Téléchargez le Retour d'expérience client 

 

Découvrez nos actualités