La vision de Cyber Academy
SOC 2 est le rapport d'attestation de l'AICPA portant sur les contrôles d'un prestataire de services, couvrant cinq critères de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée). Référence canonique nord-américaine pour les éditeurs SaaS ; ISO 27001 en est l'équivalent européen. Type I = constat à un instant donné ; Type II = efficacité opérationnelle sur 6 à 12 mois. Fréquemment exigé dans les processus d'achat des grandes entreprises.
Ce que SOC 2 atteste réellement
SOC 2 n'est pas une certification que l'on réussit ou que l'on échoue. C'est un rapport d'attestation produit par un cabinet de CPA agréé selon les normes d'attestation de l'AICPA, dans lequel un auditeur indépendant exprime une opinion sur la question de savoir si les contrôles d'une organisation de services sont conçus de manière appropriée et, pour le Type II, fonctionnent efficacement sur une période donnée. Le périmètre se construit autour des Trust Services Criteria : la sécurité (la seule catégorie obligatoire, aussi appelée common criteria), la disponibilité, l'intégrité de traitement, la confidentialité et la protection des données personnelles. Vous choisissez lesquels des cinq s'appliquent au service que vous offrez, et le rapport est dimensionné en fonction de ce choix.
Parce qu'il s'agit d'une opinion sur une description rédigée par la direction, deux rapports SOC 2 sont rarement identiques. Un fournisseur peut ne couvrir que la sécurité ; un autre peut y ajouter la disponibilité et la confidentialité. Lire le rapport, c'est lire la description du système, les critères inclus dans le périmètre, les tests réalisés et, surtout, toutes les exceptions relevées par l'auditeur. Un rapport sans réserve assorti d'un périmètre restreint peut constituer une preuve plus faible qu'un rapport comportant des exceptions mineures sur un périmètre large.
Type I face au Type II
La distinction qui importe le plus aux praticiens est celle entre le Type I et le Type II. Le Type I est un instantané : l'auditeur émet l'opinion que les contrôles sont conçus de manière appropriée à une date unique. Il prouve que les contrôles existent sur le papier et étaient en place ce jour-là. Le Type II est celui que les acheteurs grands comptes recherchent réellement, car l'auditeur teste si ces contrôles ont fonctionné efficacement sur une période d'examen qui couvre généralement six à douze mois, en échantillonnant les preuves tout au long de celle-ci. Un Type II répond à la véritable question des achats : le fournisseur a-t-il fait cela de manière constante, et pas seulement le jour de l'audit.
| Dimension | Type I | Type II |
|---|---|---|
| Ce qui est testé | Conception des contrôles | Conception et efficacité opérationnelle |
| Période | Un point unique dans le temps | Une période d'examen (couramment 6 à 12 mois) |
| Preuves | Contrôles en place à la date | Preuves échantillonnées sur la période |
| Usage typique | Premier rapport, fournisseurs en phase initiale | Ce qu'attendent les achats des grands comptes |
SOC 2 aux côtés d'ISO 27001
SOC 2 et ISO 27001 répondent à la même préoccupation de l'acheteur selon deux traditions. SOC 2 est le signal canonique nord-américain, une attestation d'auditeur liée aux Trust Services Criteria et renouvelée selon une période récurrente. ISO 27001 est la norme internationale et certifiable construite autour d'un système de management (le SMSI), avec une certification délivrée par un organisme accrédité et maintenue par des audits de surveillance.
SOC 2 rend compte des contrôles au regard de critères ; ISO 27001 certifie que vous exploitez un système fonctionnel doté d'une Déclaration d'applicabilité et d'une amélioration continue. De nombreux fournisseurs vendant des deux côtés de l'Atlantique finissent par détenir les deux, et les preuves de contrôle se recoupent largement même si les livrables diffèrent.
En pratique, les équipes GRC traitent les deux comme complémentaires plutôt que concurrents. Les mêmes contrôles d'accès, la gestion des changements, le traitement des vulnérabilités et la réponse aux incidents alimentent à la fois l'ensemble de contrôles de l'Annexe A d'ISO 27001 et les common criteria de SOC 2. Le travail consiste à cartographier une fois et à présenter deux fois.
Frequently asked questions
01SOC 2 est-il une certification ?
Non. SOC 2 est un rapport d'attestation comportant l'opinion d'un auditeur, et non un certificat de type réussite/échec. Il n'y a aucun certificat à afficher ; ce qui existe, c'est un rapport émis par un cabinet de CPA, que vous partagez sous NDA avec vos clients et prospects.
02Devrions-nous obtenir un Type I ou un Type II ?
Le Type I constitue une première étape raisonnable pour prouver que vos contrôles sont conçus correctement, et il peut être émis plus rapidement. La plupart des acheteurs grands comptes attendent finalement un Type II, car il démontre que les contrôles ont fonctionné efficacement sur une période prolongée.
03Avons-nous besoin des cinq Trust Services Criteria ?
Non. La sécurité (les common criteria) est la seule catégorie obligatoire. Vous ajoutez la disponibilité, l'intégrité de traitement, la confidentialité ou la protection des données personnelles en fonction des engagements que vous prenez envers vos clients et de la nature de votre service.
04Quel est le lien entre SOC 2 et ISO 27001 ?
Ils servent le même objectif de confiance par des mécanismes différents. SOC 2 est une attestation centrée sur les États-Unis au regard des Trust Services Criteria ; ISO 27001 est une certification internationale d'un système de management de la sécurité de l'information. Les contrôles sous-jacents se recoupent considérablement, de sorte que les preuves recueillies pour l'un soutiennent en grande partie l'autre.
05À quelle fréquence un rapport SOC 2 est-il renouvelé ?
Les rapports SOC 2 Type II couvrent une période d'examen définie et sont généralement actualisés selon un cycle récurrent afin que les clients disposent toujours d'une couverture à jour. Les fournisseurs planifient la période d'audit de manière à éviter tout écart entre deux rapports consécutifs.