Préparation SOC 2 · Partout au Canada

Préparation SOC 2 — de l’analyse d’écarts au rapport de type 2

Votre plus gros client potentiel exige un rapport SOC 2 avant de signer. Nous menons les PME canadiennes sur tout le parcours — analyse d’écarts, correctifs, preuves automatisées avec Drata et liaison avec votre auditeur CPA, pour le type 1 comme le type 2. En français et en anglais, à distance partout au Canada, en personne à Gatineau et à Ottawa.

Un mandat SOC 2 a une forme, et la connaître d’avance enlève l’essentiel du stress : on comble les écarts, on prouve la conception, puis on laisse les contrôles fonctionner assez longtemps pour qu’un auditeur les mette à l’épreuve. Notre travail consiste à garder chaque étape courte et honnête — sans dorure, sans contrôles que vous abandonnerez la semaine suivant l’audit.

Étape Ce qui se passe Ce que vous en retirez
Analyse d’écartsNous mesurons vos contrôles actuels au regard des critères des services de confiance qui seront audités.Un plan de correctifs priorisé, avec un prix forfaitaire clair.
CorrectifsPolitiques rédigées et adoptées, contrôles mis en place, preuves qui commencent à rentrer — automatisées dans Drata là où c’est possible.Un environnement capable d’affronter un auditeur.
Type 1Votre cabinet CPA atteste que les contrôles sont bien conçus à une date précise.Un rapport à remettre à vos clients potentiels dès maintenant.
Fenêtre d’observation du type 2Les contrôles fonctionnent sur une période pendant que les preuves s’accumulent; l’auditeur vérifie ensuite qu’ils ont réellement tourné.Le rapport que la plupart des grands clients finissent par exiger.
Critères des services de confiance

Les cinq critères, en langage clair

Sécurité

Les critères communs — la seule catégorie obligatoire. Contrôle d’accès, gestion des changements, surveillance, réponse aux incidents : la colonne vertébrale de tout rapport SOC 2.

Disponibilité

Engagements de disponibilité, capacité et reprise après sinistre. À ajouter quand vos clients dépendent de l’accessibilité de votre plateforme — le cas de la plupart des SaaS.

Intégrité du traitement

Le système fait-il ce qu’il promet — un traitement complet, valide, exact et ponctuel? Pertinent quand vous traitez des transactions ou des données pour le compte de vos clients.

Confidentialité

Comment l’information désignée confidentielle est protégée, puis détruite en fin de vie. Généralement ajouté quand vos contrats comportent des clauses de confidentialité.

Protection de la vie privée

Les renseignements personnels, évalués selon les critères de vie privée de l’AICPA. Si la Loi 25 ou la LPRPDE encadrent déjà vos obligations, nous arrimons les deux démarches plutôt que de les dédoubler.

Choisir votre portée

Plus de catégories, c’est plus de contrôles, plus de preuves et une facture d’audit plus élevée. Nous cadrons selon ce que vos contrats exigent réellement — la plupart des PME commencent par la sécurité seule.

Ce que nous faisons — et ce que fait votre auditeur CPA

SOC 2 est une attestation encadrée par les normes de l’AICPA — pas une certification, et il n’y a pas d’écusson à accrocher au mur. Seul un cabinet CPA agréé peut examiner vos contrôles et émettre le rapport. Nous ne sommes pas un cabinet CPA, et c’est voulu : le consultant qui bâtit vos contrôles ne devrait pas être celui qui les atteste. Voici comment le travail se partage.

Sincennes TI Votre cabinet d’audit CPA
Analyse d’écarts et correctifsNous menons l’analyse et comblons les écarts avec vousS’abstient — les règles d’indépendance le tiennent à distance
Politiques, contrôles et preuvesRédigés, mis en place et constitués, automatisés dans DrataTestés et échantillonnés pendant l’audit
L’audit lui-mêmeNous préparons votre équipe et restons à vos côtés devant les questionsIl examine vos contrôles sur la période visée
Le rapportNous n’en émettons jamais — SOC 2 est une attestation, pas une certificationIl émet le rapport de type 1 ou de type 2
Notre façon de livrer

Des preuves automatisées, une livraison bilingue

Drata s’occupe de la partie fastidieuse. Connectée à votre environnement infonuagique et à vos applications SaaS, elle collecte les preuves en continu, les relie aux critères des services de confiance et signale tout contrôle qui dérive — la fenêtre du type 2 est surveillée toute l’année au lieu d’être reconstituée en catastrophe avant l’audit. Nous la configurons, lisons les constats et les transformons en correctifs.

Et la livraison est réellement bilingue : des politiques que votre équipe lira vraiment, en français ou en anglais, et une liaison avec l’auditeur dans la langue où travaille le cabinet CPA. Nous accompagnons des clients à distance partout au Canada, et en personne à Gatineau et à Ottawa.

  • Certifié. Microsoft Cybersecurity Architect Expert (SC-100).
  • Bilingue. Politiques et liaison avec l’auditeur, en français et en anglais.
  • Automatisé. Preuves en continu avec Drata.
  • Partout au Canada. À distance, avec des rencontres possibles dans la région d’Ottawa-Gatineau.
FAQ

Questions fréquentes

Faut-il commencer par un rapport de type 1 ou viser directement le type 2?

La plupart des entreprises obtiennent d’abord un type 1. Il atteste que vos contrôles sont bien conçus à une date donnée — de quoi répondre à un client potentiel pendant que la fenêtre d’observation du type 2 suit son cours. Passer directement au type 2 économise des honoraires d’audit, mais vous laisse les mains vides pendant des mois. Si un contrat attend une preuve, le type 1 se rentabilise généralement; si personne ne presse, s’en passer est un choix défendable. Nous vous aidons à trancher selon votre carnet de commandes, pas selon une recette.

Combien de temps faut-il, de l’analyse d’écarts au rapport SOC 2?

Tout dépend de l’état actuel de vos contrôles, de la capacité de votre équipe à absorber les correctifs et du rapport visé — le type 2 ajoute une fenêtre d’observation pendant laquelle vos contrôles doivent fonctionner et produire des preuves. L’automatisation raccourcit nettement le volet des preuves, mais les politiques doivent quand même être adoptées et vécues. Plutôt que d’avancer un échéancier générique, nous menons d’abord l’analyse d’écarts et bâtissons le calendrier sur ce que nous y trouvons.

Combien coûte SOC 2 pour une petite entreprise?

Prévoyez trois coûts distincts. D’abord, la préparation — analyse d’écarts, politiques, contrôles et preuves, la partie que nous livrons : les fourchettes publiées au Canada vont d’environ 2 000 $ à 4 000 $ pour une analyse d’écarts légère, et davantage quand l’accompagnement de mise en œuvre s’ajoute. Ensuite, l’audit lui-même, payé à un cabinet CPA accrédité (nous n’en sommes pas un — nous vous y préparons et travaillons à ses côtés) : les sources canadiennes situent un rapport de type 1 autour de 6 500 $ à 12 000 $ et un type 2 entre 12 000 $ et 20 000 $, les cabinets spécialisés américains facturant souvent plus. Enfin, une plateforme d’automatisation comme Drata — les prix rapportés dans l’industrie vont généralement de 7 500 $ à 25 000 $ US par année selon le palier. Au total, les sources canadiennes situent une première attestation SOC 2 — préparation, plateforme et audit compris — entre environ 10 000 $ pour une jeune entreprise au parcours automatisé et 40 000 $ et plus pour une PME plus étoffée. Nous commençons par cerner vos écarts, pour que vous sachiez lesquels de ces chiffres s’appliquent réellement à vous.

Avons-nous quand même besoin d’un cabinet CPA si nous vous embauchons?

Oui. Seul un cabinet CPA agréé peut émettre un rapport SOC 2, et nous n’en sommes pas un — cette séparation est voulue. Notre rôle couvre tout ce qui précède et entoure l’audit : combler les écarts, constituer les preuves et épauler votre équipe devant les questions de l’auditeur. Si vous n’avez pas encore de cabinet d’audit, nous pouvons vous en suggérer qui travaillent bien avec les PME, puis coordonner directement avec celui que vous choisirez.

Pourquoi choisir un consultant SOC 2 établi au Québec?

Parce que vos politiques et vos preuves peuvent exister en français comme en anglais — utile quand vos équipes travaillent en français mais que l’auditeur, lui, travaille en anglais. Un consultant établi ici assure la liaison avec le cabinet d’audit, mène la conformité à la Loi 25 dans le même programme plutôt qu’en silo, travaille dans votre fuseau horaire et peut vous rencontrer en personne à Gatineau ou à Ottawa. Pour une PME d’ici, c’est beaucoup de friction en moins par rapport à un fournisseur lointain qui ne connaît ni la Loi 25 ni votre réalité linguistique.

Fourchettes de prix revues en juillet 2026.

Un client attend votre rapport SOC 2?

Commençons par l’analyse d’écarts — un plan clair, à prix forfaitaire, adapté à votre environnement et à votre échéance.

Nous joindre