Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

SOC 2

SOC 2 est un cadre d'audit nord-américain qui atteste de la maîtrise, par un prestataire de services, des données de ses clients. Il repose sur cinq critères de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée) et donne lieu à un rapport d'audit indépendant de type I ou de type II.

Mis à jour le 2 juillet 2026

Qu'est-ce que SOC 2 ?

SOC 2 (System and Organization Controls 2) est un cadre défini par l'AICPA, l'organisme des experts-comptables américains. Il évalue la manière dont une organisation de services protège les données que ses clients lui confient, selon les critères de confiance appelés Trust Services Criteria.

C'est devenu la référence de facto pour les entreprises technologiques et les fournisseurs SaaS nord-américains : un rapport SOC 2 est souvent le premier document qu'un client demande avant de signer.

Pourquoi c'est important pour votre organisation

SOC 2 est avant tout un accélérateur commercial. Sans rapport, un fournisseur se retrouve bloqué dans les processus d'achat des grands comptes, qui l'exigent pour valider un nouveau prestataire. Un rapport propre raccourcit les cycles de vente et réduit le nombre de questionnaires de sécurité à remplir.

C'est aussi un outil de gouvernance interne : préparer un audit SOC 2 force l'organisation à formaliser ses politiques, ses accès et sa gestion des incidents.

Les cinq critères de confiance

  • Sécurité : le critère commun, obligatoire, qui couvre la protection contre les accès non autorisés.
  • Disponibilité : les systèmes sont accessibles selon les engagements pris.
  • Intégrité du traitement : les traitements sont complets, exacts et autorisés.
  • Confidentialité : les informations désignées comme confidentielles sont protégées.
  • Vie privée : les renseignements personnels sont collectés et traités conformément aux engagements.

Seule la sécurité est obligatoire ; les autres critères sont inclus selon la nature du service.

Où les organisations pèchent le plus souvent

L'erreur classique est de traiter SOC 2 comme un projet ponctuel plutôt que comme un état permanent. Un rapport de Type II couvre une période : si les contrôles se relâchent après l'audit, le prochain rapport relèvera des exceptions. Les organisations sous-estiment aussi la collecte de preuves continue, qui devient vite ingérable sans outillage.

Questions fréquentes

Quelle différence entre SOC 2 Type I et Type II ?

Le Type I atteste que les contrôles sont correctement conçus à un instant donné. Le Type II va plus loin : il vérifie que ces contrôles fonctionnent efficacement sur une période, généralement de trois à douze mois. Les clients exigent le plus souvent un rapport de Type II, plus rigoureux et plus crédible.

SOC 2 est-il une certification ?

Non, à proprement parler. SOC 2 n'est pas une certification mais une attestation produite par un cabinet d'audit indépendant. Il n'existe pas de logo officiel : ce qui compte est le rapport lui-même, qui décrit les contrôles testés et les éventuelles exceptions relevées par l'auditeur.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.