Tôt ou tard, un client potentiel envoie le courriel : « Pouvez-vous nous transmettre votre rapport SOC 2 ? » Pour beaucoup d'éditeurs de logiciels B2B, cette demande est le moment où SOC 2 devient un frein à la vente plutôt qu'un objectif lointain.
SOC 2 n'est pas une certification, et il n'y a aucun logo à afficher. C'est un rapport d'attestation, émis par un cabinet comptable (CPA) indépendant selon le cadre de l'AICPA, qui décrit vos contrôles et donne l'opinion d'un auditeur sur ceux-ci. Les clients le demandent parce qu'il leur permet de déléguer une partie de leur diligence raisonnable : au lieu de vous croire sur parole, ils font confiance à l'examen d'un auditeur agréé. Voici ce que le rapport couvre, et où les premiers audits déraillent.
Les cinq critères des services de confiance
SOC 2 repose sur cinq critères des services de confiance, et vous n'incluez dans le périmètre que ceux qui concernent votre service.
- Sécurité. Aussi appelés critères communs, c'est le socle et ils sont toujours requis. Ils couvrent la protection des systèmes et des données contre l'accès, la divulgation et les dommages non autorisés.
- Disponibilité. Vos systèmes sont-ils disponibles comme convenu, pertinent si vous vendez sur la base de la disponibilité ou de la continuité.
- Intégrité du traitement. Le traitement est-il complet, valide, exact, effectué à temps et autorisé, pertinent lorsque vous traitez des transactions ou des calculs pour vos clients.
- Confidentialité. L'information désignée comme confidentielle est-elle protégée tout au long de son cycle de vie, pertinent lorsque vous manipulez des données d'affaires sensibles.
- Vie privée. Les renseignements personnels sont-ils collectés, utilisés, conservés et détruits conformément à vos engagements, pertinent lorsque vous traitez directement des données personnelles.
La plupart des premiers audits n'incluent que la Sécurité, ou la Sécurité avec la Disponibilité et la Confidentialité. Ajouter des critères que vous ne pouvez pas soutenir ne fait qu'élargir la surface qu'un auditeur va tester.
Type I versus Type II
Il existe deux types de rapports, et la différence compte davantage que le nom ne le laisse croire.
Un rapport Type I évalue la conception de vos contrôles à un instant donné. Il répond à une seule question : les bons contrôles sont-ils en place aujourd'hui ? C'est un premier jalon utile, mais il ne dit rien sur le fait que ces contrôles fonctionnent au quotidien.
Un rapport Type II évalue l'efficacité opérationnelle sur une période, généralement de 3 à 12 mois. L'auditeur ne se contente pas de confirmer qu'un contrôle existe ; il échantillonne des preuves sur toute la fenêtre pour confirmer qu'il a fonctionné de façon constante. C'est ce que les clients veulent habituellement, et quand on vous demande « votre SOC 2 », il s'agit presque toujours du Type II.
Les domaines de contrôle qu'un auditeur évalue
Quels que soient les critères retenus, l'audit examine un ensemble constant de domaines de contrôle :
- Contrôle des accès. Attribution, retrait, moindre privilège et authentification multifacteur pour les accès privilégiés.
- Gestion des changements. Les changements de code et d'infrastructure sont revus, testés et approuvés avant la production.
- Évaluation des risques. Un processus documenté et récurrent pour identifier et traiter les risques.
- Surveillance et journalisation. Les systèmes sont journalisés, les alertes configurées et les anomalies investiguées.
- Gestion des fournisseurs. Les tiers ayant accès à vos données sont évalués et suivis dans le temps.
- Réponse aux incidents. Un processus défini pour détecter, traiter et tirer des leçons des incidents.
- Environnement de contrôle. La couche de gouvernance : politiques, responsabilités définies, et preuve que la direction soutient le programme.
La preuve, c'est tout le jeu
Le plus grand malentendu au sujet du Type II concerne le calendrier. Il exige des preuves collectées en continu sur toute la fenêtre d'audit, et non reconstituées à la fin. Un auditeur qui échantillonne des revues d'accès sur neuf mois remarquera que toutes portent la date de la semaine précédant les travaux. Si la preuve n'a pas été générée pendant que le contrôle fonctionnait, le contrôle n'a, dans les faits, pas fonctionné.
Pourquoi les premiers audits s'enlisent
- Problème : les équipes traitent SOC 2 comme un exercice documentaire et une poussée ponctuelle, alors qu'il repose sur des contrôles qui fonctionnent en continu et produisent leur propre preuve.
- Impact : un audit échoué ou retardé signifie des opinions avec réserve, des contrats d'entreprise bloqués et des mois de reprise, souvent après que le budget et les échéances ont déjà été engagés côté vente.
- Action : désignez un responsable clair, n'incluez que les critères que vous pouvez soutenir, et commencez à collecter la preuve dès l'ouverture de votre fenêtre d'audit, pas la semaine où débutent les travaux.
Les écarts qui reviennent le plus
Quatre angles morts reviennent constamment. D'abord, l'absence de responsable : le programme est l'affaire de tous, donc de personne. Ensuite, les contrôles sur papier : une politique existe mais ne produit aucune preuve que quelqu'un la suit. Puis la gestion des fournisseurs faible : les sous-traitants sont intégrés puis jamais réévalués. Enfin, le plus coûteux, commencer la collecte de preuves trop tard, ce qui raccourcit ou invalide discrètement la fenêtre d'audit.
Faites le point
Avant d'engager un auditeur, situez votre point de départ. Notre auto-diagnostic gratuit de préparation à SOC 2 parcourt les domaines de contrôle ci dessus, calcule un score de préparation et met en évidence vos priorités. Aucune inscription, aucune donnée transmise : tout est calculé dans votre navigateur.
Une fois vos écarts visibles, le module Conformité les transforme en plan priorisé et collecte la preuve en continu, de sorte que votre fenêtre d'audit s'appuie sur des enregistrements réels plutôt qu'une course de dernière minute.
SOC 2 n'est pas un formulaire à remplir une fois. C'est la preuve continue que les contrôles que vous décrivez à vos clients fonctionnent réellement. Ce diagnostic ne remplace pas un auditeur, mais il vous montre précisément par où commencer.