Quelle est la difference entre SOC 2 Type I et Type II ?

SOC 2 Type I evalue si vos controles sont convenablement concus a un instant donne. SOC 2 Type II evalue si vos controles sont convenablement concus ET operent efficacement sur une periode (generalement 6 a 12 mois). Le Type II est nettement plus precieux car il demontre que les controles fonctionnent effectivement dans la pratique, pas seulement qu'ils existent sur le papier. La plupart des acheteurs en entreprise exigent le Type II.

SOC 2 est-il exige par la loi ?

Non. SOC 2 est un cadre volontaire, pas une obligation legale. Cependant, il est de facto obligatoire pour les entreprises SaaS vendant aux entreprises americaines et de plus en plus attendu par les acheteurs europeens. De nombreux processus d'achat exigent un rapport SOC 2 Type II comme prerequis a la selection du fournisseur. Bien que non legalement impose, la pression commerciale pour obtenir SOC 2 en fait une necessite pratique pour les entreprises de logiciels B2B.

Quelle est la difference entre SOC 2 et ISO 27001 ?

SOC 2 est un rapport d'attestation emis par un cabinet CPA base sur les Trust Services Criteria de l'AICPA. ISO 27001 est une certification selon une norme internationale pour les systemes de management de la securite de l'information. Differences cles : SOC 2 est principalement oriente marche americain ; ISO 27001 est reconnu internationalement, en particulier en Europe. Les rapports SOC 2 sont limites dans le temps (couvrant generalement 12 mois) ; la certification ISO 27001 est valable 3 ans avec des audits de surveillance annuels. SOC 2 est prescriptif sur les controles specifiques ; ISO 27001 est base sur les risques et permet aux organisations de choisir les controles en fonction de leur evaluation des risques.

Combien de temps faut-il pour obtenir la certification SOC 2 ?

Pour un premier engagement SOC 2, prevoyez 3 a 6 mois de preparation suivis de la periode d'audit. Pour le Type I, l'audit evalue un instant donne, donc une fois pret, l'audit lui-meme prend 2 a 4 semaines. Pour le Type II, vous avez besoin d'une periode d'observation minimale de 6 mois (12 mois est la norme) pendant laquelle vos controles doivent fonctionner efficacement. Delai total de la decision au rapport Type II : 9 a 18 mois pour la plupart des organisations.

Combien coute la conformite SOC 2 ?

Les couts varient selon la taille de l'organisation, le perimetre et le niveau de preparation. Fourchettes typiques : honoraires d'audit (20 000 a 80 000 EUR pour le Type II), plateforme d'automatisation de la conformite (10 000 a 50 000 EUR/an), effort de preparation interne (100 a 300 jours-personnes) et accompagnement par un consultant si necessaire (10 000 a 40 000 EUR). Le cout total de la premiere annee se situe generalement entre 40 000 et 170 000 EUR. Les couts recurrents annuels sont inferieurs (30 000 a 100 000 EUR) car l'effort de preparation diminue considerablement apres le premier audit.

Quels Trust Services Criteria inclure dans mon SOC 2 ?

La securite (egalement appelee Common Criteria) est obligatoire pour tout rapport SOC 2. Les quatre autres criteres — disponibilite, integrite du traitement, confidentialite et vie privee — sont optionnels et doivent etre inclus en fonction de vos offres de services et des exigences de vos clients. La plupart des entreprises SaaS incluent la securite et la disponibilite au minimum. Si vous traitez des donnees sensibles ou reglementees, ajoutez la confidentialite. Si vous traitez des donnees personnelles, envisagez la vie privee. Consultez votre auditeur pour determiner le perimetre adapte.

Les entreprises europeennes ont-elles besoin de SOC 2 ?

Cela depend de votre base de clients. Si vous vendez aux entreprises americaines, SOC 2 est souvent une exigence d'achat. Pour les clients europeens, ISO 27001 est generalement plus reconnu et pertinent. De nombreuses entreprises SaaS europeennes en phase de croissance internationale obtiennent les deux — ISO 27001 pour la credibilite europeenne et SOC 2 pour l'acces au marche americain. Avec NIS2 et DORA desormais en vigueur, les entreprises europeennes doivent egalement s'assurer que leur programme de conformite couvre ces exigences reglementaires aux cotes des certifications volontaires.

Conformite SOC 2 : definition, destinataires et processus de certification

Published 7 mars 2026

By Emre Salmanoglu

Conformite SOC 2 : definition, destinataires et processus de certification

Q: Qu'est-ce que SOC 2 ?

SOC 2 (System and Organization Controls 2) est un cadre d'audit developpe par l'American Institute of Certified Public Accountants (AICPA). Il evalue la maniere dont les organisations de services gerent les donnees de leurs clients sur la base de cinq Trust Services Criteria : securite, disponibilite, integrite du traitement, confidentialite et vie privee. Un rapport SOC 2 est emis par un cabinet CPA independant apres examen de vos controles sur une periode definie.

Guide pratique sur la conformite SOC 2 — ce que c'est, en quoi elle differe de l'ISO 27001, ce que les Trust Services Criteria exigent, comment fonctionne le processus d'audit, et ce que les entreprises europeennes doivent savoir sur SOC 2 dans un contexte NIS2 et DORA.

SOC 2

conformite

Trust Services Criteria

audit

ISO 27001

certification securite

Conformite SOC 2 : definition, destinataires et processus de certification

SOC 2 est le cadre d'attestation de securite que les acheteurs en entreprise americains attendent. Developpe par l'AICPA (American Institute of Certified Public Accountants), il evalue la maniere dont les organisations de services protegent les donnees de leurs clients selon cinq Trust Services Criteria : securite, disponibilite, integrite du traitement, confidentialite et vie privee.

Pour les entreprises europeennes vendant sur le marche americain, SOC 2 est souvent la premiere exigence de conformite demandee par les acheteurs. Pour les entreprises deja certifiees ISO 27001, le recoupement est significatif — mais les differences comptent.

Ce guide couvre ce que SOC 2 exige, comment fonctionne l'audit, comment il se rapporte a ISO 27001, et ce que les entreprises europeennes doivent prendre en compte.

Qu'est-ce que SOC 2 ?

SOC 2 est un cadre d'attestation — pas une certification au sens traditionnel. Un cabinet CPA (Certified Public Accountant) examine vos controles au regard des Trust Services Criteria et emet un rapport decrivant ses constatations. Le rapport est votre preuve de conformite.

Il existe deux types :

SOC 2 Type I

Evalue la conception des controles a un instant donne
Repond a la question : « Les bons controles sont-ils en place ? »
Plus rapide a obtenir (semaines, pas mois)
Moins precieux pour les acheteurs — montre l'intention, pas l'execution

SOC 2 Type II

Evalue la conception et l'efficacite operationnelle des controles sur une periode (generalement 6 a 12 mois)
Repond a la question : « Les controles fonctionnent-ils reellement ? »
Exige une conformite soutenue pendant la periode d'observation
Le standard attendu par les acheteurs et le rapport reference par les auditeurs

Les cinq Trust Services Criteria

Securite (Common Criteria) — Obligatoire

Les criteres de securite sont inclus dans tout rapport SOC 2. Ils couvrent :

CC1 : Environnement de controle — Gouvernance, structure organisationnelle, engagement de la direction
CC2 : Communication et information — Communication interne et externe sur la securite
CC3 : Evaluation des risques — Identification, analyse et gestion des risques
CC4 : Activites de surveillance — Evaluation continue des controles
CC5 : Activites de controle — Politiques et procedures de mise en oeuvre des controles
CC6 : Controles d'acces logiques et physiques — Authentification, autorisation, securite physique
CC7 : Operations systeme — Surveillance, detection des incidents, reponse
CC8 : Gestion du changement — Changements controles de l'infrastructure et des logiciels
CC9 : Attenuation des risques — Gestion des fournisseurs, continuite d'activite

Disponibilite — Optionnel

Evalue si les systemes sont operationnels et disponibles comme convenu :

Surveillance de la disponibilite et gestion des performances
Reprise apres sinistre et continuite d'activite
Planification de capacite et resilience de l'infrastructure
Reponse aux incidents de disponibilite

Integrite du traitement — Optionnel

Evalue si le traitement systeme est complet, valide, exact et ponctuel :

Validation des donnees et gestion des erreurs
Surveillance du traitement et assurance qualite
Rapprochement et verification des resultats

Confidentialite — Optionnel

Evalue comment les informations confidentielles sont protegees :

Classification et traitement des donnees
Chiffrement et controles d'acces pour les donnees confidentielles
Conservation des donnees et elimination securisee
Accords et obligations de confidentialite

Vie privee — Optionnel

Evalue comment les informations personnelles sont collectees, utilisees, conservees, divulguees et eliminees :

Avis de confidentialite et gestion du consentement
Droits des personnes concernees (acces, correction, suppression)
Pratiques de conservation et d'elimination des donnees
Controles de partage de donnees avec des tiers

SOC 2 vs ISO 27001

Les deux demontrent la maturite securitaire, mais ils servent des marches differents et adoptent des approches differentes :

Aspect	SOC 2	ISO 27001
Origine	AICPA (Etats-Unis)	ISO/IEC (International)
Type	Rapport d'attestation	Certification
Marche	Principalement Etats-Unis	International, fort en Europe
Approche	Base sur les criteres (Trust Services Criteria)	Base sur les risques (controles Annexe A)
Validite	Le rapport couvre une periode specifique (generalement 12 mois)	Certificat valable 3 ans avec surveillance annuelle
Auditeur	Cabinet CPA agree	Organisme de certification accredite
Resultat	Rapport detaille avec opinion de l'auditeur	Certificat + declaration d'applicabilite
Flexibilite	Choisir les Trust Services Criteria a inclure	Choisir les controles bases sur l'evaluation des risques
Cout	Generalement 40 000 a 170 000 EUR la premiere annee	Generalement 30 000 a 100 000 EUR la premiere annee

Quand vous avez besoin des deux

De nombreuses entreprises SaaS europeennes obtiennent les deux :

ISO 27001 pour les acheteurs europeens, l'alignement NIS2/DORA et la credibilite internationale
SOC 2 pour les acheteurs americains et le marche americain

La bonne nouvelle : environ 70 a 80 % des controles se recoupent. Si vous avez l'un, obtenir l'autre necessite un effort incremental, pas de repartir de zero.

Le processus d'audit SOC 2

Phase 1 : Evaluation de preparation (1-3 mois)

Avant d'engager un auditeur :

Definir le perimetre — Quels systemes, services et Trust Services Criteria sont inclus ?
Analyse des ecarts — Comparer les controles actuels aux exigences SOC 2
Remediations — Implementer les controles manquants, corriger les deficiences
Documenter les politiques — Rediger ou mettre a jour les politiques et procedures
Collecter les preuves — Commencer a rassembler les preuves de fonctionnement des controles

Phase 2 : Periode d'observation (Type II uniquement, 6-12 mois)

Pendant la periode d'observation :

Les controles doivent etre en place et suivis de maniere coherente
Les preuves doivent etre collectees en continu (pas retroactivement)
Les exceptions doivent etre documentees et traitees
Les modifications des controles doivent etre gerees et documentees

Phase 3 : Travaux d'audit sur site (2-6 semaines)

L'auditeur :

Examine la documentation (politiques, procedures, preuves)
Teste les controles par entretien, observation, inspection et re-execution
Evalue la conception (Type I et II) et l'efficacite operationnelle (Type II uniquement)
Identifie les deficiences ou exceptions de controle
Discute des constatations avec la direction

Phase 4 : Emission du rapport (2-4 semaines)

L'auditeur emet le rapport SOC 2 contenant :

Section I : Assertion de la direction — Description du systeme par la direction
Section II : Rapport de l'auditeur — Opinion de l'auditeur sur la conception et l'efficacite des controles
Section III : Description du systeme — Description detaillee du systeme, incluant l'infrastructure, les logiciels, les personnes et les donnees
Section IV : Controles et tests — Description de chaque controle, du test realise et du resultat
Section V (optionnel) : Reponse de la direction — Reponse de la direction a toute exception relevee

Opinion de l'auditeur

L'auditeur emet l'une des trois opinions :

Sans reserve — Les controles sont convenablement concus et operent efficacement (rapport propre)
Avec reserve — Les controles sont generalement efficaces, mais une ou plusieurs exceptions ont ete relevees
Defavorable — Deficiences significatives des controles ; le systeme ne repond pas aux criteres

Controles SOC 2 courants

Gestion des acces

Authentification multifacteur pour les systemes de production
Controle d'acces base sur les roles avec le principe du moindre privilege
Revues d'acces trimestrielles
Revocation rapide des acces pour les employes sortants
Gestion des acces privilegies avec journalisation d'audit

Gestion du changement

Exigences de revue de code avant deploiement
Separation des environnements de developpement et de production
Workflows d'approbation des changements
Procedures de retour arriere pour les deploiements echoues

Surveillance et reponse aux incidents

Surveillance des evenements de securite et alertes
Plan et procedures de reponse aux incidents
Classification et escalade des incidents
Revue post-incident et suivi des remediations

Gestion des fournisseurs

Processus d'evaluation des risques fournisseurs
Exigences de securite dans les contrats fournisseurs
Revue periodique de la securite des fournisseurs
Gestion et notification des sous-traitants

Protection des donnees

Chiffrement au repos et en transit
Cadre de classification des donnees
Procedures de conservation et de suppression des donnees
Tests de sauvegarde et de restauration

SOC 2 pour les entreprises europeennes

Quand SOC 2 a du sens

Vous vendez des produits SaaS aux entreprises americaines
Vos prospects americains exigent SOC 2 lors des achats
Vous etes en concurrence avec des fournisseurs americains qui disposent deja de SOC 2
Vous souhaitez demontrer votre maturite securitaire sur les marches americain et europeen

Quand ISO 27001 peut suffire

Vos clients sont principalement europeens
La conformite NIS2 ou DORA est votre moteur principal
Vos acheteurs europeens demandent ISO 27001, pas SOC 2
Les contraintes budgetaires imposent de prioriser un seul referentiel

Le contexte reglementaire europeen

SOC 2 ne satisfait pas a lui seul les exigences NIS2 ou DORA :

NIS2 exige la conformite a des mesures specifiques de l'article 21 — les controles SOC 2 se recoupent significativement mais ne couvrent pas les dix domaines requis
DORA a des exigences specifiques de gestion des risques ICT qui depassent le perimetre de SOC 2
RGPD exige des controles specifiques de protection des donnees que les criteres de vie privee de SOC 2 ne couvrent que partiellement

Un SMSI construit sur ISO 27001 fournit un fondement plus solide pour la conformite reglementaire europeenne, avec SOC 2 ajoute pour l'acces au marche americain.

Erreurs courantes

Commencer par le Type II avant d'etre pret. Si vos controles ne sont pas matures, la periode d'observation revelera des exceptions qui figureront dans le rapport. Commencez par une evaluation de preparation, corrigez les lacunes, puis lancez la periode d'observation Type II.
Definir un perimetre trop etroit ou trop large. Trop etroit (excluant des systemes pertinents) cree des problemes de credibilite aupres des acheteurs. Trop large (incluant tout) augmente les couts et la complexite. Le perimetre doit couvrir les systemes et services que vos clients utilisent reellement.
Traiter SOC 2 comme un projet ponctuel. SOC 2 Type II est une exigence annuelle. Les controles doivent fonctionner en continu, les preuves doivent etre collectees tout au long de l'annee et l'audit se repete tous les 12 mois. Construisez des processus durables, pas un sprint pre-audit.
Choisir le mauvais auditeur. Tous les cabinets CPA n'ont pas la meme profondeur d'expertise en technologie et en securite. Choisissez un cabinet ayant de l'experience dans l'audit d'entreprises de votre taille, dans votre secteur, avec votre pile technologique.
Negliger la description du systeme. La section III du rapport SOC 2 decrit votre systeme en detail. Les acheteurs la lisent attentivement. Investissez du temps pour la rendre precise, complete et claire — elle facon la perception de l'acheteur de votre maturite securitaire.

Comment Orbiq accompagne la conformite SOC 2

Trust Center — Publiez la disponibilite de votre rapport SOC 2, le perimetre des Trust Services Criteria et les controles de securite pour la due diligence des acheteurs
Surveillance continue — Suivez l'efficacite des controles sur les criteres SOC 2 et identifiez les lacunes avant votre prochain audit
Gestion des preuves — Collecte automatisee des preuves mappee aux Trust Services Criteria pour une preparation d'audit simplifiee
Questionnaires IA — Repondez aux questionnaires de securite des acheteurs en utilisant les preuves de votre programme SOC 2

Pour aller plus loin

SMSI — Construire le systeme de management qui sous-tend SOC 2 et ISO 27001
Automatisation de la conformite — Automatiser la collecte de preuves et la surveillance SOC 2
Evaluation des risques fournisseurs — Comment les acheteurs evaluent votre rapport SOC 2
Politique de securite de l'information — Le fondement de gouvernance des controles SOC 2

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.