Outil gratuit · SOC 2

Bilan de préparation à SOC 2

Vos clients exigent un rapport SOC 2? Ce bilan gratuit de 2 minutes situe votre organisation par rapport aux critères des services de confiance (sécurité, disponibilité, confidentialité). Répondez en toute franchise : rien n’est enregistré, transmis ni suivi — tout se passe dans votre navigateur.

Ce bilan est fourni à titre informatif et ne constitue pas un avis d’audit.

Ce que le bilan couvre

Dix piliers d’un programme SOC 2

  • Politiques de sécurité documentées et approuvées
  • Contrôle d’accès au moindre privilège et MFA
  • Évaluation des risques annuelle
  • Gestion du risque des fournisseurs et sous-traitants
  • Gestion des changements
  • Journalisation et surveillance des événements
  • Plan de réponse aux incidents, mis à l’épreuve
  • Chiffrement au repos et en transit
  • Intégration/départ sécurisés et formation
  • Collecte continue de preuves pour l’audit

Le bilan attribue un pointage sur 20, réparti en trois niveaux : stade précoce, en bonne voie, et prêt pour l’audit.

Prêt à passer à l’action? Nous accompagnons votre démarche de conformité (SOC 2, ISO 27001, NIST), avec un RSSI virtuel pour piloter le programme. Pas certain du bon cadre? Voyez SOC 2 ou ISO 27001 pour une PME.

Questions fréquentes

SOC 2 : ce qu’il faut savoir

Qu’atteste réellement un rapport SOC 2?

SOC 2 est le rapport d’un auditeur indépendant sur la mesure dans laquelle vos contrôles respectent les critères des services de confiance de l’AICPA — la sécurité (toujours), puis au choix la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée. Ce n’est pas une certification ni une mention réussite/échec : c’est une attestation qu’un client peut lire pour juger si vos contrôles sont bien conçus et fonctionnent.

SOC 2 exige-t-il un test d’intrusion?

Pas en toutes lettres — les critères des services de confiance de l’AICPA n’inscrivent nulle part le test d’intrusion comme contrôle obligatoire. Ils exigent par contre de surveiller votre environnement et de gérer vos vulnérabilités, et un test d’intrusion compte parmi les preuves les plus courantes et les plus convaincantes que les auditeurs acceptent sur ces critères. Les clients et les assureurs qui liront votre rapport s’attendent d’ailleurs souvent à en voir un. On peut techniquement s’en passer; en pratique, il est plus simple, et plus solide, d’intégrer un test au programme.

Quelle est la différence entre SOC 2 Type I et Type II?

Le Type I évalue si vos contrôles sont bien conçus à un moment précis. Le Type II vérifie s’ils ont réellement fonctionné sur une période — généralement de 3 à 12 mois. La plupart des grands clients veulent un Type II; le Type I sert souvent d’étape intermédiaire, livrable plus tôt.

Combien de temps faut-il pour être prêt à l’audit?

Pour une PME qui part de zéro, mettre les contrôles en place et faire circuler les preuves prend généralement quelques mois avant même que la fenêtre d’observation du Type II ne commence. Les grands facteurs : ce qui est déjà documenté et l’automatisation de la collecte de preuves. On adapte la portée à votre taille.

Avons-nous besoin de SOC 2, d’ISO 27001 ou des deux?

Ça dépend de vos clients : SOC 2 est la norme pour la clientèle nord-américaine (surtout américaine), ISO 27001 pour l’international et l’Europe. Beaucoup de PME n’ont besoin que d’un seul. On vous aide à choisir avant de dépenser.

Prêt à viser SOC 2?

Parlez à une firme à propriété canadienne — accompagnement et automatisation de la conformité (Drata), en français comme en anglais.

Nous joindre