Le contrat perdu d'Abidjan
En février 2026, une healthtech abidjanaise nous appelle après avoir perdu un contrat de 180 millions FCFA avec un groupe hospitalier français. Le motif officiel : "absence de SOC2 Type II ou équivalent". Le fondateur pensait que son ISO 27001 en cours suffirait. Il n'a pas compris à temps que ses interlocuteurs en France lisaient "SOC2" comme synonyme de "sérieux SaaS américain", et que rien d'autre ne calmerait leur RSSI.
C'est la question que tout fondateur SaaS africain finit par se poser : faut-il SOC2 ? ISO 27001 ? Les deux ? À quel moment, à quel coût ?
Les différences réelles, sans jargon
SOC2 est un référentiel américain (AICPA). C'est un audit : un cabinet CPA observe vos pratiques sur 5 trust criteria (sécurité, disponibilité, intégrité, confidentialité, vie privée) et rend un rapport. Type I = photo à un instant T. Type II = observation sur 6 à 12 mois. Les clients américains et britanniques demandent Type II par défaut.
ISO 27001 est une certification internationale (ISO/IEC). Vous mettez en place un SMSI (système de management de la sécurité de l'information), un organisme accrédité audite, et délivre un certificat valable 3 ans avec audits de surveillance annuels. C'est le standard demandé en Europe, en Afrique francophone, et par les grands groupes internationaux.
En pratique : si vos clients cibles sont US/UK, allez SOC2 Type II. Si vos cibles sont UE, France, Afrique francophone, banques, télécoms, ministères, allez ISO 27001. Si vous chassez les deux marchés, faites ISO 27001 d'abord (le SMSI couvre 80% des contrôles SOC2) puis ajoutez SOC2 ensuite.
Prix réels et délais en 2026
| Certification | Préparation | Audit / cert | Total an 1 | Total FCFA |
|---|---|---|---|---|
| SOC2 Type I | 3-6 mois | 8-15k USD | 15-25k USD | 9 - 15 M FCFA |
| SOC2 Type II | 9-12 mois | 25-50k USD | 35-65k USD | 21 - 40 M FCFA |
| ISO 27001 cert initiale | 6-12 mois | 15-35k USD | 30-80k USD | 18 - 49 M FCFA |
| Surveillance ISO 27001 (an 2-3) | continue | 8-15k USD | 8-15k USD | 5 - 9 M FCFA |
Ajoutez à cela une plateforme GRC type Vanta ou Drata entre 11 000 et 25 000 USD/an (6,7 à 15,3 M FCFA) selon le module et le nombre d'employés. Ces plateformes automatisent la collecte de preuves (revues d'accès, logs MFA, configs cloud) et raccourcissent la préparation de 40 à 60%.
Le piège du "on commence l'an prochain"
La pire décision que nous voyons : repousser la certif d'un an "pour se concentrer sur le produit". Sauf que les certifications ont une fenêtre incompressible de 6 à 12 mois entre la décision et le rapport signé. Si vous avez un deal entreprise potentiel en juin 2027, votre décision doit être prise avant juin 2026 au plus tard.
Une fintech sénégalaise que nous accompagnons a commencé SOC2 Type II en janvier 2025, audit clôt en janvier 2026. Coût total : 48 000 USD (29 M FCFA) sur 12 mois, dont 18 000 USD de Vanta et 30 000 USD d'audit CPA. Sans ça, leur contrat avec un acquéreur britannique signé en mars 2026 ne serait pas passé.
Vanta vs Drata vs Tugboat Logic
Trois plateformes dominent. Vanta est la plus mature, UX la plus polie, prix 11-25k USD/an, intégrations cloud très complètes. Drata est plus orientée multi-frameworks (SOC2, ISO27001, HIPAA, PCI), pricing similaire, et propose des trust reports automatisés. Tugboat Logic (rachetée par OneTrust) est moins chère mais l'UX a vieilli. Pour 95% de nos clients SaaS africains, c'est Vanta ou Drata.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Important : ces plateformes n'auditent pas. Elles collectent les preuves. Vous payez en plus l'auditeur (CPA pour SOC2, organisme certificateur pour ISO 27001).
Centif et conformité locale
Pour un SaaS qui touche aux flux financiers au Sénégal, ajoutez les exigences CENTIF (Cellule Nationale de Traitement des Informations Financières) sur le volet LCB/FT. Les sanctions peuvent atteindre plusieurs centaines de millions FCFA et la suspension d'activité. Ce n'est pas substituable à SOC2/ISO mais c'est une couche additionnelle obligatoire qu'on intègre dans le SMSI ISO 27001 quand c'est pertinent.
FAQ
SOC2 Type I avant Type II, est-ce utile ?
Oui si vous avez besoin d'un rapport en 3 mois pour débloquer un deal. Sinon allez directement Type II, la marche financière entre les deux est faible.
Une startup pre-seed peut-elle commencer ?
Trop tôt en général. Démarrez quand vous avez 10+ employés et un premier deal entreprise signé. Avant, faites un pentest et un Trust Center maison.
ISO 27001 me couvre-t-il pour le RGPD ?
Partiellement. ISO 27701 est l'extension privacy d'ISO 27001 et complète le dispositif RGPD. À ajouter si l'UE est votre marché principal.
Combien de temps mobilise mon équipe interne ?
Comptez 0,3 à 0,5 ETP côté CTO/RSSI pendant 6-12 mois de prep, plus 0,1 ETP continu en run. Sous-estimer ce coût interne est l'erreur n°1.
On vous cadre le programme
Vous évaluez SOC2 vs ISO 27001 pour votre SaaS ? On vous fait un diagnostic 2h, on chiffre les deux pistes en FCFA, on vous présente nos partenaires auditeurs au Sénégal et à Maurice. WhatsApp +221 77 596 93 33 ou /fr/devis-gratuit.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.