Quels critères sont obligatoires ?

Seul Security (Common Criteria) est obligatoire. Vous ajoutez Availability, Processing Integrity, Confidentiality et Privacy selon votre service et les attentes de vos clients.

Faut-il commencer par le Type I ou le Type II ?

Le Type I est plus rapide et constitue souvent une première étape judicieuse ; le Type II est la preuve que la plupart des clients exigent finalement.

SOC 2 est le plus répandu sur le marché B2B américain et international ; ISO 27001 est la certification reconnue à l'international. Les deux se recoupent fortement — dans Sightadel, les preuves peuvent être réutilisées pour les deux.

À quelle fréquence SOC 2 doit-il être renouvelé ?

Les rapports SOC 2 Type II couvrent une période et sont généralement reconduits chaque année.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

SOC 2 · Trust Services Criteria

SOC 2 : prouver la confiance à vos clients

SOC 2 est une norme d'attestation de l'AICPA (American Institute of Certified Public Accountants) destinée aux prestataires de services qui traitent des données clients — en particulier les fournisseurs SaaS B2B et cloud. Le résultat n'est pas un certificat mais un rapport d'attestation que vous utilisez pour démontrer à vos clients que vos contrôles sont conçus de façon adéquate et fonctionnent efficacement. Cette page explique ce qu'est SOC 2, à qui il s'adresse (et à qui non), en quoi le Type I et le Type II diffèrent, et comment rester en permanence prêt pour l'audit avec Sightadel.

Qu'est-ce que SOC 2 ?

SOC 2 (System and Organization Controls 2) est un référentiel dans le cadre duquel un CPA agréé évalue les contrôles internes d'un prestataire de services. Il repose sur les Trust Services Criteria (TSC) :

Security (Common Criteria) : le socle obligatoire de tout rapport SOC 2.
Availability : disponibilité du service.
Processing Integrity : traitement complet et exact.
Confidentiality : protection des informations confidentielles.
Privacy : traitement des données personnelles.

Vous choisissez quels critères, au-delà de Security qui est obligatoire, sont inclus dans le rapport — selon votre service et les attentes de vos clients. Le rapport finalisé est généralement partagé avec les clients et prospects sous accord de confidentialité.

À qui SOC 2 s'adresse-t-il — et à qui non ?

SOC 2 vous concerne si…

… vous êtes un prestataire de services qui traite ou héberge des données clients, et vos clients attendent une preuve indépendante de vos contrôles de sécurité. Cas typiques :

fournisseurs SaaS B2B, en particulier ceux ayant des clients aux États-Unis ou à l'international,
fournisseurs cloud et d'hébergement,
fournisseurs pour lesquels SOC 2 apparaît régulièrement dans les appels d'offres et les questionnaires de sécurité.

Dans de nombreux processus de vente B2B, un rapport SOC 2 est désormais de fait un prérequis pour ne serait-ce qu'entrer dans la sélection finale.

SOC 2 n'est probablement pas une priorité pour vous si…

… vous ne traitez pas de données clients en tant que prestataire de services, ou vos clients n'exigent pas cette preuve. Dans des contextes purement nationaux où les clients attendent plutôt une certification ISO 27001 ou une attestation BSI C5, SOC 2 est souvent secondaire.

La nuance : SOC 2 est tiré par le marché, et non imposé par la loi. La question est donc rarement « Y suis-je obligé ? » mais « Mes clients cibles l'exigent-ils — et est-ce que je perds des contrats sans ce rapport ? »

Type I ou Type II — quelle différence ?

SOC 2 Type I évalue si les contrôles sont conçus de façon adéquate à une date donnée. Plus rapide à obtenir, souvent une première étape.
SOC 2 Type II évalue en outre si les contrôles ont fonctionné efficacement sur une période (souvent de 3 à 12 mois). Le Type II est plus probant et c'est ce que la plupart des clients souhaitent finalement voir.

Le défi typique de la préparation à SOC 2

Preuves sur toute la période. Pour le Type II, l'efficacité doit être démontrée en continu — pas seulement le jour de l'audit. Les organisations qui ne commencent à collecter que peu de temps avant se retrouvent avec des lacunes.
Preuves fragmentées. Revues d'accès, tickets de changement, dossiers d'intégration, journaux d'incidents — éparpillés dans de nombreux systèmes.
Travail en double avec d'autres normes. Les organisations qui mettent déjà en œuvre ISO 27001 ou NIS2 en maintiennent une grande partie deux fois, faute de liens entre les preuves.

Comment Sightadel simplifie la préparation à SOC 2

Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente les Trust Services Criteria sous la forme d'un catalogue structuré de contrôles auquel vous associez des mesures, des responsables et des preuves.

Prêt pour l'audit plus vite. Les Trust Services Criteria sont intégrés au portail. Vous mettez en correspondance vos contrôles existants et voyez immédiatement ce qui manque encore pour le périmètre choisi (Security plus les critères optionnels).

Preuves continues pour le Type II. Les tâches récurrentes — comme les revues d'accès — sont planifiées, rappelées et documentées dans le portail. Cela produit la chaîne de preuves continue sur toute la période d'évaluation.

Réutilisation des preuves. Un contrôle tel que l'authentification multifacteur est mis en correspondance simultanément avec SOC 2, ISO 27001 et NIS2. Une seule preuve, plusieurs référentiels — au lieu d'une maintenance en parallèle.

Plus de consultants externes comme béquille permanente. La logique de correspondance est intégrée au portail et soutenue par le cœur neoAI. Le CPA reste responsable de l'audit ; la préparation continue est assurée par votre équipe.

Prêt pour l'audit. Chaque contrôle est lié à un responsable, un statut, des preuves et un historique — l'élément que l'auditeur souhaite voir.

SOC 2 avec Sightadel en pratique

1
Définir le périmètre.Quels Trust Services Criteria, au-delà de Security, doivent figurer dans le rapport ?
2
Mettre en correspondance et combler les lacunes.Mettez en correspondance les contrôles existants, réalisez une analyse des écarts, établissez un plan d'action priorisé.
3
Maintenir les preuves.Collectez les preuves en continu sur toute la période du Type II — de façon récurrente et traçable.
4
Accompagner l'audit.Fournissez au CPA l'état requis de manière structurée.

Questions fréquentes sur SOC 2

Non. SOC 2 est un rapport d'attestation établi par un CPA agréé, et non un certificat.

La conformité SOC 2 comme un état, pas un projet annuel

Un rapport SOC 2 est une preuve récurrente sur une période. Sightadel maintient vos contrôles et vos preuves en permanence prêts pour l'audit — de sorte que chaque nouvelle période d'audit s'appuie sur un état maintenu plutôt que sur une course contre la montre.

Visualisez votre statut SOC 2 dans Sightadel.

Réserver une démo