Qu’est-ce que SOC 2 ?
Définition et utilisation
Moins connu sous le nom de version plus longue, “Systems and Organizations Controls 2”, SOC 2 (ou SOC II) est un cadre utilisé pour aider les entreprises à démontrer les contrôles de sécurité qui sont en place pour protéger les données des clients dans le cloud. Ces contrôles sont devenus connus sous le nom de Trust Services Principles : Security, Availability, Processing Integrity, Confidentiality et enfin Privacy.
Si votre organisation envisage des fournisseurs de solutions cloud, la conformité à SOC 2 devrait être une exigence minimale (consultez notre comparaison de SOC 2 avec le blog ISO27001 détaillant au-delà des exigences minimales).
Mise en garde SOC 2
SOC 2 n’est ni un proxy des meilleures pratiques de sécurité réelles ni une exigence légale. Il n’est pas motivé par la conformité HIPAA ou toute autre norme ou réglementation, bien que les évaluations couvrent en fait les principaux départements et processus qui interagissent avec les données sensibles.
Les auditeurs externes effectuent des certifications, et non un organisme ou une agence gouvernementale. Il n’y a pas d’objectif « réussite/échec » pour l’ensemble des rapports – le résultat est une conclusion subjective dans laquelle seule l’opinion de l’auditeur est consignée. Les rapports d’audit ne définissent pas la certification SOC 2 car ils sont uniquement attestés comme conformes, sur la base de l’interprétation d’un CPA agréé qualifié.
Néanmoins, SOC 2 est important dans le monde de la sécurité des données et ne doit pas être sous-estimé.
Contexte de la SOC 2
SOC 2 est un ensemble formel de rapports produits à la suite d’un audit. Cet audit est conduit par un CPA ou un organisme d’expertise comptable. Il a évolué à partir de la déclaration sur les normes d’audit (SAS) 70, qui était un audit plus ancien utilisé pour attester l’efficacité des contrôles internes d’une organisation. Il a ensuite été renommé Statement on Standards for Attestation Engagements (SSAE) 16, et à nouveau renommé Systems and Organizations Control 1 (SOC 1). Le SOC 2 a vu le jour en 2009 car il était nécessaire de se concentrer beaucoup plus sur la sécurité (les cinq principes de confiance).
Néanmoins, SOC 2 est important dans le monde de la sécurité des données et ne doit pas être sous-estimé.
Qu’est-ce que les critères de service de confiance (TSC)
Les cinq catégories quasi-chevauchantes qui fonctionnent vers les contrôles utilisés dans les rapports SOC 2 sont :
- Sécurité – Définit clairement que tous les systèmes et informations restent protégés contre les risques qui compromettraient l’intégrité et affecteraient la capacité des organisations à atteindre les objectifs définis.
- Disponibilité – Les systèmes et informations doivent toujours être disponibles à tout moment pour qu’une organisation puisse atteindre et maintenir ses objectifs.
- Intégrité du traitement– Tout traitement par le système doit fournir uniquement des informations fiables à tout moment lorsqu’il est demandé/autorisé afin qu’une organisation puisse atteindre ses objectifs.
- Confidentialité – Pour qu’une organisation puisse atteindre ses objectifs, les informations ne sont accessibles qu’au personnel autorisé.
- Intimité – les informations personnelles doivent être gérées (protégées et/ou stockées) d’une certaine manière permettant à l’organisation d’atteindre ses objectifs.
Qui devrait considérer SOC 2 en tant qu’organisation
Toute organisation qui stocke des données client sur le cloud doit considérer SOC 2 comme une démonstration des rôles de sécurité qu’elle utilise pour protéger les données client. En effet, toute entreprise SaaS peut utiliser SOC 2 comme attestation minimale de conformité.
SOC 2 et conformité
L’importance de la conformité SOC 2 signifie que regarder du point de vue de tout client travaillant avec un fournisseur potentiel qui est conforme à SOC 2 lui donne une sorte de garantie. Le client recevra les assurances et les informations dont il a besoin sur la manière dont le fournisseur traite les données des utilisateurs et en assure la confidentialité. Et cela va encore plus loin.
Les rapports AICPA jouent également un rôle important dans les domaines suivants :
- Veille réglementaire
- Gestion des fournisseurs
- Processus de gestion des risques et gouvernance interne de l’entreprise
Types de SOC 2
Dans l’ensemble, la conformité à SOC 2 prend environ six mois avec des évaluateurs tiers effectuant deux audits distincts. L’audit SOC 2 Type 1 examine la conception et constitue un instantané de vos processus de sécurité en place à ce moment précis. L’audit SOC 2 Type 2, quant à lui, vérifiera l’efficacité opérationnelle de vos contrôles internes sur le long terme. Vous devez remplir le type 1 comme condition préalable à l’attestation de type 2.
SOC 2 Type 1
- Former une équipe pluridisciplinaire
- Élire le parrain exécutif
- Identifier l’auteur qui collabore avec les chefs d’équipe pour élaborer des politiques à partir des besoins commerciaux fournis
- Utilisez les principes des services de confiance comme guide
- Sélectionnez ceux qui s’appliquent à votre entreprise
- Définir le périmètre de l’audit, rédiger/affiner les politiques
Attendez-vous à ce que ce processus dure environ deux mois pour permettre la mise en œuvre, les tests et l’ajustement des politiques. Une fois terminée, l’évaluation réservée impliquera généralement des entretiens avec les employés, des visites guidées et un examen détaillé de la documentation soumise.
Un rapport SOC 2 Type 1 sera généré une fois que toutes les clarifications sur les exceptions nécessaires auront été apportées.
COS 2 Type 2
- Le rapport SOC 2 Type 1 est terminé
- Vérification au fil du temps que toutes les politiques et processus répertoriés dans SOC 2 Type 1 sont utilisés en continu
En général, les rapports SOC 2 Type 2 durent généralement au moins six mois, mais peuvent souvent prendre jusqu’à un an ou plus. Cela est dû à de nombreux facteurs impliqués dans le cheminement vers l’attestation, qui peuvent être dus aux exigences de certification de l’entreprise qui doivent être respectées.
Par exemple, si une entreprise dispose d’une infrastructure informatique et de cybersécurité très diversifiée et étendue, le processus d’audit prendra probablement plus de temps que d’habitude pour un rapport SOC complet. D’autres facteurs affectant la portée de l’audit tels que le type, l’emplacement et le nombre d’utilisateurs dans l’entreprise (c’est-à-dire sur site et hors site) auront un impact considérable sur le processus d’attestation.
En fin de compte, bien que le principal facteur affectant le calendrier pour terminer le processus SOC 2 incombe au type de rapport SOC 2 que votre entreprise a sélectionné.
Contenu du rapport d’audit final SOC 2
Le contenu du rapport SOC 2 doit couvrir les éléments suivants :
- Affirmation de la direction– s’assurer que la direction confirme que tous les systèmes liés aux services fournis sont décrits avec précision et équité dans le rapport
- Le rapport de l’auditeur– comprend un résumé de tous les tests effectués ainsi que les résultats, y compris l’opinion de l’auditeur sur l’efficacité des contrôles par rapport (lorsqu’ils sont mis en correspondance avec) les critères des services de confiance
- Présentation des systèmes – Description détaillée du service ou du système examiné.
- Applicabilité des critères de service de confiance – décrit tous les contrôles en place, y compris l’efficacité de ces contrôles lorsque les critères de service de confiance sont pris en compte.


SOC 2 et certification
La conformité des organisations aux critères des services de confiance, comme expliqué ci-dessus (sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée), est essentielle à la certification SOC 2.
Toutes les organisations ne respecteront pas les cinq principes, car de nombreuses entreprises auront des critères qui ne sont pas pertinents pour leur activité particulière. Ce qui est important cependant, c’est que l’organisation choisisse les principes corrects dans sa demande de certification SOC 2 qui correspondent à la portée de l’audit.
Prenons un exemple. Votre centre de données n’offre de stockage aux clients que pour un client spécifique, car le client gère tout le traitement des données de son côté. Dans ce scénario, le principe de sécurité et de disponibilité s’applique, mais pas le principe d’intégrité du traitement. De plus, si ces données de stockage impliquent des informations personnelles, le principe de confidentialité s’appliquerait également.
ISO 27001 et SOC 2 travaillent ensemble
Découvrez notre comparatif ISO 27001 et SOC2
Nous ne devrions pas nous demander lequel des deux cadres utiliser simplement parce que SOC 2 est un rapport d’audit alors que ISO 27001 a été conçu comme une certification de normes établie pour créer un système de gestion de la sécurité de l’information spécifique. Cela signifie que le SOC 2 peut être considéré comme un résultat généré par la livraison d’une mise en œuvre du SMSI ISO 27001.
La relation entre le SOC 2 et l’ISO 27001 peut être mieux perçue car si ISO 27001 n’est pas obligatoire dans un rapport SOC 2, l’achèvement d’une mise en œuvre du SMSI ISO 27001 fournit (avec peu de coûts et d’efforts) une base solide pour la préparation du SOC 2 rapport. De plus, la confiance des clients est encore accrue avec l’utilisation des deux cadres, certifiés comme terminés au sein de votre organisation.

Comment Interfacing aide à alléger le fardeau de la documentation SOC 2 et ISO 27001
Avec la complexité croissante de la gestion des exigences SOC 2, l’organisation des informations dans un emplacement central devient de plus en plus importante. Lorsqu’un auditeur se rendra sur place, il évaluera la surveillance exercée par la direction sur ses fournisseurs de services tiers ainsi que les propres contrôles de l’entreprise. La majorité de cette surveillance tourne principalement autour de la documentation et de la capacité de l’examiner. Le prouver à un auditeur signifie lui fournir un système de gestion des enregistrements qui peut s’appuyer sur la vitesse d’accès aux objectifs de qui, quand et comment des opérations de l’organisation.
C’est en gardant cela à l’esprit qu’il s’agit de l’automatisation du workflow de documentation. La création d’un écosystème de données sûr, sécurisé et protégé est notre engagement à ce que votre organisation obtienne une certification SOC 2 ou ISO 27001 réussie.
Pourquoi Interfacing?
Le système de gestion intégré numérique (IMS) d’Interfacing vous fournit un outil pour contrôler la conformité en vous aidant à gérer l’audit, l’évaluation, la non-conformité, le CAPA, la formation et l’exécution de vos processus d’affaires sous-jacents. IMS prend en charge la documentation de contrôle, les tests de contrôle, l’automatisation des audits, etc., pour satisfaire à l’attestation SOC 2. En fin de compte, cela rendra la conformité plus facile et plus transparente dans toute votre organisation.
Seul notre système de gestion intégré donnera à votre entreprise la capacité de surveiller et de gérer automatiquement et en continu vos initiatives de conformité. La mise en œuvre de contrôles associés aux processus et aux tâches garantit que les exigences de conformité sont respectées, tandis que le suivi et la documentation automatiques de tous les changements de processus donnent à la direction une surveillance complète.
Si vous souhaitez en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, assurez-vous de cliquer ci-dessous.
Nous contacter pour plus d’informations.
Gagnez en transparence avec Enterprise Process Center®
Le logiciel Digital Twin Organization d’Interfacing fournit la transparence et la gouvernance pour améliorer la qualité, l’efficacité et assurer la conformité réglementaire.
Lisez nos blogs
Prenez un moment pour lire les blogs sur GXP, la conformité réglementaire, les tendances actuelles et bien plus encore!
Découvrez comment votre organisation bénéficie d’une solution d’Interfacing.
L’un des principaux facteurs de différenciation d’Interfacing par rapport aux autres sociétés de conseil en transformation numérique et d’affaire est qu’Interfacing propose sa propre solution technologique innovante pour soutenir les programmes de transformation. Les solutions logicielles d’Interfacing offrent la transparence nécessaire pour réduire la complexité, améliorer l’exécution et faciliter l’agilité et le changement.
Le système de gestion intégré d’Interfacing est un guichet unique pour la gestion des programmes de transformation. Nous savons que c’est un environnement très concurrentiel. C’est pour cette raison que notre force réside dans notre engagement à maintenir la flexibilité tout au long du cycle de vie du projet que ce soit dans nos produits innovants ou dans notre équipe d’experts.