Aller au contenu
FortaRisks
Tous les outilsAttestation · SOC 2

Diagnostic de préparation à SOC 2

Évaluez votre préparation à un audit SOC 2, et repartez avec vos priorités.

≈ 5 minutes · sans inscription

SOC 2 prouve vos contrôles à vos clients. Répondez aux 18 énoncés ci-dessous : tout est calculé dans votre navigateur, aucune réponse n'est enregistrée.

Répondez à chaque énoncé selon votre situation réelle. Votre score et vos priorités s'affichent instantanément dans votre navigateur. Aucune donnée n'est transmise.

Progression0 / 18 répondu

1.Périmètre et critères

Vous avez déterminé quels critères des services de confiance s'appliquent (Sécurité, plus Disponibilité, Intégrité du traitement, Confidentialité et Vie privée si pertinent).

Vous avez déterminé quels critères des services de confiance s'appliquent (Sécurité, plus Disponibilité, Intégrité du traitement, Confidentialité et Vie privée si pertinent).

Vous avez choisi entre un rapport de Type I et de Type II selon vos besoins clients.

Vous avez choisi entre un rapport de Type I et de Type II selon vos besoins clients.

Le périmètre du système (personnes, processus, technologies) est défini et documenté.

Le périmètre du système (personnes, processus, technologies) est défini et documenté.

2.Sécurité (critères communs)

Les accès sont gérés selon le moindre privilège, avec MFA et revue périodique.

Les accès sont gérés selon le moindre privilège, avec MFA et revue périodique.

Un processus de gestion des changements est en place.

Un processus de gestion des changements est en place.

Vous réalisez une analyse des risques documentée.

Vous réalisez une analyse des risques documentée.

3.Surveillance et incidents

La journalisation centralisée couvre vos systèmes.

La journalisation centralisée couvre vos systèmes.

Vous surveillez et détectez les activités anormales.

Vous surveillez et détectez les activités anormales.

Un plan de réponse aux incidents est documenté et testé.

Un plan de réponse aux incidents est documenté et testé.

4.Gestion des fournisseurs

Vous tenez un inventaire de vos fournisseurs critiques.

Vous tenez un inventaire de vos fournisseurs critiques.

Vous évaluez la posture de sécurité de vos fournisseurs.

Vous évaluez la posture de sécurité de vos fournisseurs.

Vos ententes comportent des exigences de sécurité.

Vos ententes comportent des exigences de sécurité.

5.Gouvernance et environnement de contrôle

Un responsable du programme SOC 2 est désigné.

Un responsable du programme SOC 2 est désigné.

Vos politiques de sécurité sont formalisées et communiquées.

Vos politiques de sécurité sont formalisées et communiquées.

Le personnel suit une sensibilisation à la sécurité.

Le personnel suit une sensibilisation à la sécurité.

6.Preuve et préparation

Vous collectez la preuve des contrôles en continu, tout au long de la période.

Vous collectez la preuve des contrôles en continu, tout au long de la période.

La preuve est complète et disponible sur toute la fenêtre d'audit.

La preuve est complète et disponible sur toute la fenêtre d'audit.

Vous avez réalisé une revue de préparation (readiness) avant l'audit.

Vous avez réalisé une revue de préparation (readiness) avant l'audit.

Répondez à tous les énoncés pour afficher votre score.

FAQ

Qu'est-ce que SOC 2 ?

SOC 2 est un rapport d'attestation, émis par un cabinet comptable (CPA) selon le référentiel de l'AICPA, qui évalue vos contrôles au regard des critères des services de confiance. Ce n'est pas une certification.

Type I ou Type II ?

Le Type I évalue la conception des contrôles à un instant donné. Le Type II évalue leur efficacité opérationnelle sur une période, généralement de 3 à 12 mois. Les clients demandent le plus souvent un Type II.

Quels sont les critères ?

Cinq critères des services de confiance : Sécurité (les critères communs, toujours requis), Disponibilité, Intégrité du traitement, Confidentialité et Vie privée. Vous retenez ceux qui concernent votre service.

Combien de temps cela prend-il ?

Un Type II couvre une période d'observation, souvent de 3 à 12 mois, pendant laquelle la preuve doit être collectée en continu. La préparation en amont conditionne la réussite.

Ce diagnostic remplace-t-il l'auditeur ?

Non. C'est un outil indicatif pour situer votre préparation et prioriser vos actions. Seul un auditeur qualifié peut délivrer un rapport SOC 2.