Odoo a annoncé le 21 avril 2026 l’obtention de la certification ISO/IEC 27001:2022, le standard international de référence pour les systèmes de management de la sécurité de l’information (SMSI). L’audit de certification a été conduit par SGS, l’un des principaux organismes de certification mondiaux.
Un périmètre de certification large
Contrairement à certains éditeurs qui ne certifient que leur infrastructure d’hébergement, le périmètre retenu par Odoo couvre l’ensemble de la chaine de valeur :
- Conception, développement et support des applications Odoo
- Hébergement SaaS (Odoo Online) et PaaS (Odoo.sh)
- Échanges de documents électroniques et de données financières avec les banques et administrations publiques
- Services professionnels : implémentation et migration de données
L’équipe d’audit de SGS a notamment relevé la robustesse de la gestion des sauvegardes, des contrôles d’accès logiques et du cycle de développement sécurisé (Secure Development Lifecycle), qualifié de “pilier fondamental” de la suite, selon le billet officiel d’Odoo.
Ce que ça change pour les entreprises
Pour un DSI ou un DAF qui évalue Odoo, cette certification lève un frein historique. Jusqu’ici, Odoo disposait de rapports SOC 1 (ISAE 3402) et SOC 2 (Type I et II) couvrant la sécurité, la disponibilité et la confidentialité de ses services cloud. Mais l’absence d’ISO 27001 restait un point de blocage dans les grilles d’évaluation des entreprises soumises à des exigences réglementaires strictes, en particulier dans la finance, la santé et le secteur public.
Conformité NIS2. La directive européenne NIS2, dont les obligations s’appliquent progressivement aux ETI et aux entités essentielles en 2026, impose aux organisations de s’assurer que leurs prestataires critiques — dont l’ERP — respectent des standards de sécurité reconnus. ISO 27001 est explicitement cité comme référentiel acceptable. Odoo passe donc d’un statut “à vérifier” à “conforme sur le papier” dans les audits de conformité NIS2.
Facturation électronique et échanges publics. Le fait que le périmètre certifié inclue les échanges de documents électroniques avec les administrations (Peppol, Chorus Pro en France) est un signal important pour les PME et ETI qui doivent se conformer aux obligations de facturation électronique. L’éditeur belge se positionne ainsi comme point d’accès de confiance dans plusieurs pays : Pays-Bas, Singapour, Japon, Émirats arabes unis.
Concurrence renforcée. Sur le segment PME-ETI européen, Odoo rejoint le cercle des ERP certifiés ISO 27001 aux cotés d’acteurs comme SAP, Microsoft Dynamics 365 ou Sage. Pour les solutions open source, c’est un jalon notable : Odoo est le premier ERP open source majeur à décrocher cette certification sur un périmètre aussi large.
Ce qu’il faut surveiller
Les clients existants d’Odoo Online ou Odoo.sh n’ont aucune action à entreprendre : la certification couvre déjà leurs environnements. En revanche, les entreprises qui hébergent Odoo on-premise doivent comprendre que la certification ne s’étend pas à leur propre infrastructure — elle ne couvre que les services gérés par Odoo SA.
Le prochain jalon à surveiller est le maintien de la certification lors de l’audit de surveillance annuel (généralement 12 mois après la certification initiale). C’est à ce moment que l’on vérifie si les pratiques restent conformes dans la durée, et non seulement le jour de l’audit.
Pour approfondir les enjeux de sécurité autour de votre ERP, consultez notre guide cybersécurité ERP pour PME et notre analyse de la directive NIS2 et ses implications pour les ETI.
