Bureau Veritas a renouvelé nos deux certifications majeures de sécurité de l'information dans leurs versions les plus récentes : ISO/IEC 27001:2022 et HDS (Hébergeur de Données de Santé). Ces audits réguliers garantissent que la protection de vos données reste au plus haut niveau de standard du marché.
Pourquoi ces certifications comptent
La facturation électronique transporte des informations sensibles : montants, identités clients, références de marchés publics, conditions commerciales. Côté Plateforme Agréée, il est légitime — et exigé par la DGFIP — d'avoir un cadre de sécurité de l'information formellement audité par un tiers indépendant.
Ces deux certifications sont le standard que toute Plateforme Agréée doit tenir :
- ISO/IEC 27001 : norme internationale de management de la sécurité de l'information. Elle couvre la gouvernance, la gestion des risques, le contrôle d'accès, la continuité d'activité, la cryptographie, la sécurité des opérations et le traitement des incidents.
- HDS : hébergeur certifié pour les données de santé. Au-delà du périmètre strictement médical, le standard HDS couvre les exigences de souveraineté numérique, de localisation des données et de chiffrement renforcé.
ISO/IEC 27001:2022 : ce qui a changé
La version 2022 de la norme ISO/IEC 27001 a profondément refondu son annexe A, qui liste les contrôles de sécurité applicables. Les évolutions clés :
- Réduction du nombre total de contrôles (de 114 à 93) avec un regroupement plus logique
- Introduction de 11 nouveaux contrôles couvrant les enjeux modernes : sécurité du cloud, threat intelligence, sécurité du code source, configuration sécurisée, suppression sécurisée des données, masquage de données
- Réorganisation en 4 thèmes (organisationnel, humain, physique, technologique) au lieu des 14 catégories précédentes
Le renouvellement dans cette version implique une mise à niveau complète de notre Système de Management de la Sécurité de l'Information. Nous sommes passés par cet audit récemment, sans réserve.
HDS dans sa dernière version
La certification HDS, adossée au référentiel de l'Agence du Numérique en Santé (ANS), évolue régulièrement pour suivre les exigences réglementaires françaises et européennes — notamment le RGPD et le règlement européen sur la cybersécurité. Le renouvellement implique :
- Audit complet de l'infrastructure d'hébergement : datacenters, redondance géographique, plan de reprise d'activité
- Vérification de la chaîne de sous-traitance et des engagements contractuels avec nos prestataires
- Contrôle des procédures opérationnelles : gestion des accès, traçabilité des opérations, gestion des incidents de sécurité
- Test des dispositifs de chiffrement au repos et en transit
Ce que ça change pour vous
Concrètement, à votre niveau d'utilisateur, rien ne change — et c'est précisément le but. Vos factures continuent d'être traitées avec les mêmes garanties qu'avant, voire renforcées :
- Hébergement souverain en France
- Chiffrement des données au repos et en transit
- Accès strictement limité et tracé
- Plan de continuité et de reprise d'activité testé
- Audits annuels par un organisme tiers indépendant (Bureau Veritas)
Nos clients qui ont des exigences fortes — cabinets d'avocats, professions libérales du chiffre, secteur public, secteur santé, marchés publics — peuvent demander à tout moment l'attestation à jour de ces certifications via le formulaire de contact.
Et après
Ces audits sont annuels. Nous nous y soumettons sans pause depuis l'obtention de notre agrément en tant que Plateforme Agréée. À chaque cycle, c'est l'occasion de faire évoluer nos pratiques, d'identifier de nouveaux risques émergents (notamment liés à l'IA générative, à la chaîne d'approvisionnement logicielle, aux menaces étatiques) et de renforcer là où c'est nécessaire.
La sécurité de l'information n'est jamais un état acquis — c'est un effort continu. Et c'est exactement ce qu'attestent les certifications ISO 27001 et HDS, en exigeant un cycle d'amélioration continue plutôt qu'une certification figée.
Vous retrouvez nos certifications à jour, leurs périmètres et leurs dates de validité sur la page Certifications.