Si vous avez déjà rempli un questionnaire sécurité fournisseur de cinquante pages avant de pouvoir signer avec un grand compte, vous savez à quel point la sécurité de votre système d'information est devenue un sujet commercial à part entière. Bonne nouvelle : Odoo vient d'obtenir, le 21 avril 2026, la certification ISO/IEC 27001:2022. Une étape qui place l'éditeur dans la même cour que les ERP les plus établis du marché, sans le ticket d'entrée associé.
Une certification, pas un slogan
ISO 27001 est la norme internationale de référence pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Derrière l'acronyme, un audit indépendant — réalisé ici par SGS — qui vient passer au crible :
- la cartographie et la gestion continue des risques,
- les contrôles techniques en place (sauvegardes, gestion des accès, chiffrement, isolation des environnements),
- la gouvernance interne, avec des rôles et des responsabilités clairement attribués jusqu'au comité exécutif,
- la culture sécurité de l'ensemble des équipes, pas seulement de la DSI.
Le tout se mesure à l'aune des trois piliers historiques de la sécurité de l'information : confidentialité de la donnée, intégrité de cette donnée, et disponibilité du service quand vous en avez besoin pour produire, vendre, facturer.
Le périmètre, c'est tout l'écosystème Odoo
Une certification se juge à ce qu'elle couvre. Sur ce point, l'éditeur a vu large :
- la conception, le développement et le support des applications Odoo,
- les hébergements SaaS (Odoo Online) et Odoo.sh,
- les échanges électroniques sécurisés avec les banques et les administrations,
- les services professionnels — implémentation, migration, support.
Cette étendue est précisément ce qui rend la certification utile : elle ne s'arrête pas à un sous-ensemble cosmétique, elle englobe la chaîne complète, de la ligne de code jusqu'à votre projet de mise en production.
Pourquoi le timing change tout
Trois échéances se cumulent en 2026 et 2027 et propulsent la sécurité en haut de l'agenda des dirigeants.
Facturation électronique en France. À partir du 1er septembre 2026, toutes les entreprises assujetties à la TVA devront pouvoir recevoir des factures au format électronique. Les grandes entreprises et ETI devront aussi les émettre dès cette date ; les PME et TPE basculeront en émission au 1er septembre 2027. Le tout passe par des Plateformes de Dématérialisation Partenaires agréées par la DGFIP, qui doivent, par construction, justifier d'un haut niveau de sécurité.
Obligation belge déjà active. Pour les groupes franco-belges, le sujet est encore plus immédiat : depuis le 1er janvier 2026, la facturation électronique B2B est obligatoire en Belgique, exclusivement via le réseau Peppol. Odoo y est point d'accès Peppol opérationnel depuis la version 16.4, et le service est inclus dans la licence — sans coût par facture.
Directive NIS2. Le projet de loi Résilience, qui porte la transposition française de NIS2, est attendu mi-2026. L'ANSSI a publié dès le 17 mars 2026 son référentiel ReCyF pour permettre aux entreprises concernées d'anticiper. Entre 15 000 et 18 000 entités françaises sont dans le périmètre, dont une majorité de PME et d'ETI. Pour ces structures, s'appuyer sur un éditeur certifié ISO 27001 ne fait pas tout le travail, mais déblaie une part substantielle du chantier de mise en conformité.
L'effet immédiat sur vos appels d'offres
Le vrai changement opérationnel se joue ici. Les services achats des grands comptes, des collectivités et des secteurs régulés (santé, finance, défense, énergie) demandent désormais quasi systématiquement la preuve d'une démarche de sécurité formalisée chez les fournisseurs et leurs sous-traitants logiciels.
Avec ISO 27001 sur Odoo :
- les questionnaires sécurité se remplissent en grande partie par renvoi à la certification de l'éditeur,
- la comparaison avec les ERP propriétaires les plus chers du marché ne se fait plus au désavantage d'Odoo sur le volet sécurité,
- la chaîne de responsabilité est lisible en cas d'incident, ce qui rassure assureurs cyber et juristes.
Pour les ETI qui visent un référencement chez de plus gros donneurs d'ordre, c'est un verrou qui saute.
Ce qui reste de votre côté
La certification couvre l'éditeur et ses environnements gérés. Elle ne couvre pas, et c'est important :
- vos paramétrages d'accès, de droits et de groupes utilisateurs,
- vos développements spécifiques au-delà du périmètre standard,
- vos intégrations avec des outils tiers non certifiés,
- vos pratiques internes : gestion des mots de passe, départs de collaborateurs, sauvegardes locales, exports de données.
La sécurité d'un ERP est toujours un partage de responsabilité entre l'éditeur, l'intégrateur et le client. La différence, c'est qu'une part importante de ce travail est désormais faite, documentée et auditée.
Le positionnement Auguria
Cette certification valide une orientation que nous prenons depuis longtemps sur les projets sensibles : Odoo permet de combiner trois exigences que les autres acteurs du marché peinent à concilier en même temps.
- Une plateforme open source, donc auditable et sans verrou propriétaire.
- Un choix d'hébergement entre cloud Odoo, cloud souverain ou on-premise, selon vos contraintes réglementaires et vos données.
- Un standard de sécurité international, désormais reconnu par audit tiers.
Sur tous nos projets — ERP unifié, intégrations comptables, e-commerce, industrie, services — nous intégrons cette logique dès la phase d'analyse : modèle de droits, traçabilité, plan de reprise, conformité fiscale et e-invoicing. La certification ISO 27001 d'Odoo renforce ce que nous mettions déjà en œuvre, et simplifie le dialogue avec les RSSI et DPO côté client.
Et maintenant ?
Si vous êtes déjà en production sur Odoo, aucune action n'est requise. La certification s'applique sur les environnements concernés.
Si vous évaluez un changement d'ERP ou si vous vous préparez à NIS2 et à la facturation électronique de septembre 2026, c'est le bon moment pour en parler. Auguria accompagne les PME, ETI et groupes industriels sur l'ensemble de la chaîne — cadrage, paramétrage, développements, déploiement, support — avec une exigence constante sur la sécurité et la conformité.mmencez à écrire ici ...