Préparation SOC 2 — de l’analyse d’écarts au rapport de type 2
Votre plus gros client potentiel exige un rapport SOC 2 avant de signer. Nous menons les PME canadiennes sur tout le parcours — analyse d’écarts, correctifs, preuves automatisées avec Drata et liaison avec votre auditeur CPA, pour le type 1 comme le type 2. En français et en anglais, à distance partout au Canada, en personne à Gatineau et à Ottawa.
Un mandat SOC 2 a une forme, et la connaître d’avance enlève l’essentiel du stress : on comble les écarts, on prouve la conception, puis on laisse les contrôles fonctionner assez longtemps pour qu’un auditeur les mette à l’épreuve. Notre travail consiste à garder chaque étape courte et honnête — sans dorure, sans contrôles que vous abandonnerez la semaine suivant l’audit.
| Étape | Ce qui se passe | Ce que vous en retirez |
|---|---|---|
| Analyse d’écarts | Nous mesurons vos contrôles actuels au regard des critères des services de confiance qui seront audités. | Un plan de correctifs priorisé, avec un prix forfaitaire clair. |
| Correctifs | Politiques rédigées et adoptées, contrôles mis en place, preuves qui commencent à rentrer — automatisées dans Drata là où c’est possible. | Un environnement capable d’affronter un auditeur. |
| Type 1 | Votre cabinet CPA atteste que les contrôles sont bien conçus à une date précise. | Un rapport à remettre à vos clients potentiels dès maintenant. |
| Fenêtre d’observation du type 2 | Les contrôles fonctionnent sur une période pendant que les preuves s’accumulent; l’auditeur vérifie ensuite qu’ils ont réellement tourné. | Le rapport que la plupart des grands clients finissent par exiger. |
Les cinq critères, en langage clair
Sécurité
Les critères communs — la seule catégorie obligatoire. Contrôle d’accès, gestion des changements, surveillance, réponse aux incidents : la colonne vertébrale de tout rapport SOC 2.
Disponibilité
Engagements de disponibilité, capacité et reprise après sinistre. À ajouter quand vos clients dépendent de l’accessibilité de votre plateforme — le cas de la plupart des SaaS.
Intégrité du traitement
Le système fait-il ce qu’il promet — un traitement complet, valide, exact et ponctuel? Pertinent quand vous traitez des transactions ou des données pour le compte de vos clients.
Confidentialité
Comment l’information désignée confidentielle est protégée, puis détruite en fin de vie. Généralement ajouté quand vos contrats comportent des clauses de confidentialité.
Protection de la vie privée
Les renseignements personnels, évalués selon les critères de vie privée de l’AICPA. Si la Loi 25 ou la LPRPDE encadrent déjà vos obligations, nous arrimons les deux démarches plutôt que de les dédoubler.
Choisir votre portée
Plus de catégories, c’est plus de contrôles, plus de preuves et une facture d’audit plus élevée. Nous cadrons selon ce que vos contrats exigent réellement — la plupart des PME commencent par la sécurité seule.
Ce que nous faisons — et ce que fait votre auditeur CPA
SOC 2 est une attestation encadrée par les normes de l’AICPA — pas une certification, et il n’y a pas d’écusson à accrocher au mur. Seul un cabinet CPA agréé peut examiner vos contrôles et émettre le rapport. Nous ne sommes pas un cabinet CPA, et c’est voulu : le consultant qui bâtit vos contrôles ne devrait pas être celui qui les atteste. Voici comment le travail se partage.
| Sincennes TI | Votre cabinet d’audit CPA | |
|---|---|---|
| Analyse d’écarts et correctifs | Nous menons l’analyse et comblons les écarts avec vous | S’abstient — les règles d’indépendance le tiennent à distance |
| Politiques, contrôles et preuves | Rédigés, mis en place et constitués, automatisés dans Drata | Testés et échantillonnés pendant l’audit |
| L’audit lui-même | Nous préparons votre équipe et restons à vos côtés devant les questions | Il examine vos contrôles sur la période visée |
| Le rapport | Nous n’en émettons jamais — SOC 2 est une attestation, pas une certification | Il émet le rapport de type 1 ou de type 2 |
Des preuves automatisées, une livraison bilingue
Drata s’occupe de la partie fastidieuse. Connectée à votre environnement infonuagique et à vos applications SaaS, elle collecte les preuves en continu, les relie aux critères des services de confiance et signale tout contrôle qui dérive — la fenêtre du type 2 est surveillée toute l’année au lieu d’être reconstituée en catastrophe avant l’audit. Nous la configurons, lisons les constats et les transformons en correctifs.
Et la livraison est réellement bilingue : des politiques que votre équipe lira vraiment, en français ou en anglais, et une liaison avec l’auditeur dans la langue où travaille le cabinet CPA. Nous accompagnons des clients à distance partout au Canada, et en personne à Gatineau et à Ottawa.
- Certifié. Microsoft Cybersecurity Architect Expert (SC-100).
- Bilingue. Politiques et liaison avec l’auditeur, en français et en anglais.
- Automatisé. Preuves en continu avec Drata.
- Partout au Canada. À distance, avec des rencontres possibles dans la région d’Ottawa-Gatineau.
Questions fréquentes
Faut-il commencer par un rapport de type 1 ou viser directement le type 2?
La plupart des entreprises obtiennent d’abord un type 1. Il atteste que vos contrôles sont bien conçus à une date donnée — de quoi répondre à un client potentiel pendant que la fenêtre d’observation du type 2 suit son cours. Passer directement au type 2 économise des honoraires d’audit, mais vous laisse les mains vides pendant des mois. Si un contrat attend une preuve, le type 1 se rentabilise généralement; si personne ne presse, s’en passer est un choix défendable. Nous vous aidons à trancher selon votre carnet de commandes, pas selon une recette.
Combien de temps faut-il, de l’analyse d’écarts au rapport SOC 2?
Tout dépend de l’état actuel de vos contrôles, de la capacité de votre équipe à absorber les correctifs et du rapport visé — le type 2 ajoute une fenêtre d’observation pendant laquelle vos contrôles doivent fonctionner et produire des preuves. L’automatisation raccourcit nettement le volet des preuves, mais les politiques doivent quand même être adoptées et vécues. Plutôt que d’avancer un échéancier générique, nous menons d’abord l’analyse d’écarts et bâtissons le calendrier sur ce que nous y trouvons.
Combien coûte SOC 2 pour une petite entreprise?
Prévoyez trois coûts distincts. D’abord, la préparation — analyse d’écarts, politiques, contrôles et preuves, la partie que nous livrons : les fourchettes publiées au Canada vont d’environ 2 000 $ à 4 000 $ pour une analyse d’écarts légère, et davantage quand l’accompagnement de mise en œuvre s’ajoute. Ensuite, l’audit lui-même, payé à un cabinet CPA accrédité (nous n’en sommes pas un — nous vous y préparons et travaillons à ses côtés) : les sources canadiennes situent un rapport de type 1 autour de 6 500 $ à 12 000 $ et un type 2 entre 12 000 $ et 20 000 $, les cabinets spécialisés américains facturant souvent plus. Enfin, une plateforme d’automatisation comme Drata — les prix rapportés dans l’industrie vont généralement de 7 500 $ à 25 000 $ US par année selon le palier. Au total, les sources canadiennes situent une première attestation SOC 2 — préparation, plateforme et audit compris — entre environ 10 000 $ pour une jeune entreprise au parcours automatisé et 40 000 $ et plus pour une PME plus étoffée. Nous commençons par cerner vos écarts, pour que vous sachiez lesquels de ces chiffres s’appliquent réellement à vous.
Avons-nous quand même besoin d’un cabinet CPA si nous vous embauchons?
Oui. Seul un cabinet CPA agréé peut émettre un rapport SOC 2, et nous n’en sommes pas un — cette séparation est voulue. Notre rôle couvre tout ce qui précède et entoure l’audit : combler les écarts, constituer les preuves et épauler votre équipe devant les questions de l’auditeur. Si vous n’avez pas encore de cabinet d’audit, nous pouvons vous en suggérer qui travaillent bien avec les PME, puis coordonner directement avec celui que vous choisirez.
Pourquoi choisir un consultant SOC 2 établi au Québec?
Parce que vos politiques et vos preuves peuvent exister en français comme en anglais — utile quand vos équipes travaillent en français mais que l’auditeur, lui, travaille en anglais. Un consultant établi ici assure la liaison avec le cabinet d’audit, mène la conformité à la Loi 25 dans le même programme plutôt qu’en silo, travaille dans votre fuseau horaire et peut vous rencontrer en personne à Gatineau ou à Ottawa. Pour une PME d’ici, c’est beaucoup de friction en moins par rapport à un fournisseur lointain qui ne connaît ni la Loi 25 ni votre réalité linguistique.
Fourchettes de prix revues en juillet 2026.
À lire : SOC 2 ou ISO 27001 pour une PME? · Bilan de préparation SOC 2 gratuit
Vous visez plutôt une certification? Préparation ISO 27001 · Tous nos services de conformité
Un client attend votre rapport SOC 2?
Commençons par l’analyse d’écarts — un plan clair, à prix forfaitaire, adapté à votre environnement et à votre échéance.
Nous joindre