Quelle différence entre SOC 2 Type I et Type II ?

SOC 2 Type I évalue la conception des contrôles à un instant T : les contrôles sont-ils correctement définis et en place ? L'audit dure quelques semaines et produit un rapport valable à une date donnée. SOC 2 Type II évalue en plus le fonctionnement effectif des contrôles sur une période d'observation de 6 à 12 mois typiquement : les contrôles fonctionnent-ils comme prévu dans la durée ? Type II est beaucoup plus exigeant et a beaucoup plus de valeur commerciale — c'est celui que demandent les clients grands comptes. Stratégie courante : faire un Type I la première année pour valider la conception, puis enchaîner sur un Type II l'année suivante pour démontrer l'opérationnel. Les rapports Type II se renouvellent annuellement.

Faut-il SOC 2 ou ISO 27001 ?

Dépend principalement des marchés visés. SOC 2 est dominant aux USA et dans les entreprises américaines ou internationales à culture américaine — banques US, Fortune 500, startups B2B SaaS. ISO 27001 est dominant en Europe, Asie et dans les entreprises multinationales à culture internationale. Les deux se chevauchent à environ 70 % sur les contrôles effectifs. Différences principales : SOC 2 produit un rapport d'audit détaillé (100+ pages) partageable sous NDA, ISO 27001 produit un certificat synthétique public. SOC 2 est limité aux organisations prestataires de services, ISO 27001 s'applique à tout type d'organisation. Stratégie fréquente en 2026 : obtenir les deux pour couvrir l'Europe et les USA, les efforts se recoupent largement.

Combien coûte un rapport SOC 2 ?

Très variable. Pour un premier Type I d'une startup ou PME SaaS : 20 000 à 50 000 USD incluant audit et conseil. Pour un Type II : 30 000 à 80 000 USD la première fois, puis 20 000 à 50 000 USD en renouvellement annuel. Les grandes organisations avec périmètre étendu peuvent dépasser 200 000 USD. Ces coûts n'incluent pas le temps interne (souvent 3-6 mois de mobilisation équipe) ni les outils (GRC, monitoring). Depuis 2020, plusieurs plateformes automatisées (Vanta, Drata, Secureframe, Tugboat Logic, Sprinto) proposent un accompagnement outillé réduisant sensiblement les coûts et délais pour les startups — prix à partir de 10 000-20 000 USD en modèle SaaS. À comparer avec le ROI commercial : un rapport SOC 2 débloque souvent des deals enterprise qu'il serait impossible de signer sans.

Quels sont les 5 critères Trust Services ?

Sécurité (obligatoire), Disponibilité, Intégrité de traitement, Confidentialité et Protection de la vie privée. La Sécurité (Common Criteria) est systématiquement incluse et représente environ 70 % des contrôles. Les 4 autres sont optionnels — l'organisation choisit lesquels inclure selon ses activités : SaaS avec engagement SLA fort ajoutera Disponibilité, traitement de données financières ajoutera Intégrité de traitement, traitement de données sensibles client ajoutera Confidentialité, gestion de données personnelles ajoutera Privacy. Un rapport SOC 2 avec les 5 critères est rare et principalement vu dans les grands prestataires cloud. La majorité des rapports couvrent Sécurité + 1 ou 2 autres critères selon la nature du service.

SOC 2 : rapport d'audit, Trust Services Criteria et différences avec ISO 27001

Origine: AICPA (American Institute of CPAs), États-Unis
Standard d'audit: SSAE 18 (remplace SAS 70 et SSAE 16)
Nombre de critères: 5 — Sécurité (obligatoire) + 4 optionnels
Types de rapport: Type I (conception) · Type II (fonctionnement 6-12 mois)
Validité: 12 mois typiquement — renouvellement annuel

01 — DéfinitionQu'est-ce que SOC 2 ?

Source officielle : page SOC 2 (AICPA).

SOC 2 (Service Organization Control 2) est un rapport d'audit développé par l'AICPA (American Institute of Certified Public Accountants) qui évalue les contrôles mis en place par une organisation prestataire de services concernant le traitement et la protection des données de ses clients.

Contrairement à une certification comme ISO 27001, SOC 2 n'est pas une norme avec certificat binaire (conforme/non conforme). C'est un rapport détaillé produit par un cabinet comptable indépendant (CPA) qui :

Décrit les contrôles en place chez l'organisation auditée.
Documente les tests effectués par l'auditeur.
Présente les conclusions de l'auditeur (opinion sur l'efficacité).
Liste les exceptions éventuelles constatées.

Le rapport est confidentiel : partagé sous NDA avec les clients qui le demandent. Contrairement à un certificat ISO 27001 qui se publie sur un site web, un rapport SOC 2 complet ne se diffuse pas publiquement. C'est typiquement une pièce jointe à l'évaluation sécurité d'un fournisseur dans le cadre d'un appel d'offres ou d'une revue annuelle.

Origine et évolution

SOC 2 fait partie d'une famille de rapports SOC établie par l'AICPA :

SOC 1 : contrôles pertinents pour le reporting financier du client. Utilisé par les auditeurs financiers.
SOC 2 : contrôles relatifs à la sécurité, disponibilité et autres critères Trust Services. Usage cybersécurité et confiance opérationnelle.
SOC 3 : version publique, simplifiée et sans détails confidentiels d'un rapport SOC 2. Peut être publié sur le site web.

Le framework a succédé à SAS 70 (Statement on Auditing Standards No. 70) en 2010, puis le standard d'audit a évolué vers SSAE 16 puis SSAE 18 (Statement on Standards for Attestation Engagements) en 2017, toujours en vigueur en 2026.

Qui produit un rapport SOC 2 ?

Les rapports SOC 2 sont exclusivement produits par des cabinets de CPA (Certified Public Accountants) licenciés aux États-Unis. Les grandes firmes comme Deloitte, EY, PwC, KPMG produisent des rapports SOC 2 pour les grands comptes. De nombreux cabinets moyens se spécialisent (A-LIGN, Schellman, Prescient Assurance, Johanson Group, Insight Assurance). Un cabinet français peut produire du SOC 2 s'il dispose de CPAs qualifiés sur l'équipe ou en partenariat.

SOC 2 n'atteste pas d'un niveau de maturité standardisé — il atteste que les contrôles décrits par l'organisation fonctionnent comme annoncés. Une organisation peut avoir un rapport SOC 2 propre avec des contrôles limités ; la valeur se lit dans les détails du rapport, pas dans son existence seule.

02 — TypesType I versus Type II

SOC 2 Type I — conception des contrôles

Évalue la conception et la mise en place des contrôles à un instant T. L'auditeur vérifie que les contrôles :

Sont correctement conçus pour répondre aux critères choisis.
Sont effectivement en place à la date d'évaluation.
Couvrent les risques identifiés.

Durée typique d'audit : quelques semaines.

Valeur du rapport : atteste la maturité conceptuelle à la date du rapport — pas l'efficacité dans la durée.

Usage principal : première certification pour valider la structure avant passage au Type II, ou preuve rapide pour débloquer un deal commercial.

SOC 2 Type II — fonctionnement effectif

Évalue la conception ET le fonctionnement effectif des contrôles sur une période d'observation. L'auditeur teste le fonctionnement réel des contrôles par échantillonnage sur toute la période.

Durée de la période d'observation :

Premier rapport : souvent 3 mois (période courte) pour accélérer.
Standard : 6 à 12 mois.
Annuel ensuite : typiquement 12 mois consécutifs.

Durée totale du processus : 4 à 15 mois entre le début de la période d'observation et la production du rapport.

Valeur du rapport : beaucoup plus élevée que Type I — démontre que les contrôles fonctionnent réellement dans le temps.

Stratégie classique

Le schéma le plus courant pour une organisation découvrant SOC 2 :

Année 0 : mise en place des contrôles, tests internes, préparation (3-6 mois).
Année 1 — SOC 2 Type I : validation de la conception. Rapport disponible en quelques semaines.
Année 2 — SOC 2 Type II initial : période d'observation de 6 mois puis audit, rapport 3-9 mois plus tard.
Années suivantes : renouvellement Type II annuel sur périodes consécutives de 12 mois.

Les clients importants (banques, Fortune 500) exigent généralement un SOC 2 Type II à jour. Un Type I peut suffire pour débloquer des premiers deals en attendant le Type II.

Bridge letter

Entre deux rapports annuels, il peut exister une période non couverte. Pour maintenir la confiance des clients, l'auditeur peut produire une bridge letter (lettre de pont) confirmant qu'aucun changement significatif n'est intervenu depuis le dernier rapport. Non obligatoire mais apprécié par les clients lors des revues annuelles.

03 — CritèresLes 5 Trust Services Criteria

SOC 2 évalue les contrôles selon cinq Trust Services Criteria (TSC) définis par l'AICPA. La Sécurité est obligatoire — les 4 autres sont optionnels selon le périmètre.

1. Security (Sécurité) — OBLIGATOIRE

Aussi appelés Common Criteria (CC). Couvrent la protection contre l'accès non autorisé et les attaques. Environ 30-40 contrôles spécifiques répartis en 9 catégories :

CC1 — Environnement de contrôle : gouvernance, intégrité, structure organisationnelle.
CC2 — Communication et information : politiques, procédures, reporting.
CC3 — Évaluation des risques : identification et traitement des risques.
CC4 — Activités de surveillance : monitoring, audits internes.
CC5 — Activités de contrôle : conception et mise en œuvre des contrôles.
CC6 — Logique d'accès et contrôles physiques : IAM, MFA, sécurité physique.
CC7 — Opérations du système : détection de vulnérabilités, gestion des incidents.
CC8 — Gestion du changement : processus de déploiement contrôlé.
CC9 — Atténuation des risques : continuité, gestion des risques fournisseurs.

Inclus dans tous les rapports SOC 2 — représente ~70% des contrôles. Un rapport « SOC 2 minimum » couvre uniquement Security.

2. Availability (Disponibilité)

Contrôles garantissant que le système est disponible selon les engagements pris (SLA). Couvre :

Surveillance des performances et capacités.
Plans de continuité d'activité et plan de reprise.
Tests réguliers de restauration.
Sauvegardes et redondance.
Gestion des incidents affectant la disponibilité.

Critique pour les SaaS avec engagements SLA 99,9%+. Très fréquemment inclus.

3. Processing Integrity (Intégrité de traitement)

Contrôles garantissant que le traitement des données est complet, précis, autorisé et effectué en temps voulu. Couvre :

Validation des entrées.
Contrôles de traitement (balances, réconciliations).
Gestion des erreurs et exceptions.
Traçabilité des transactions.

Critique pour les services financiers, traitement de transactions, plateformes e-commerce. Souvent inclus pour les fintech, moins pour les SaaS généralistes.

4. Confidentiality (Confidentialité)

Contrôles protégeant les informations désignées comme confidentielles par contrat ou engagement. Couvre :

Classification des données.
Chiffrement des données sensibles.
Gestion de la rétention et destruction des données.
Contrôle d'accès aux données confidentielles.

Distinct de Privacy : Confidentiality couvre toute donnée confidentielle (secrets commerciaux, données propriétaires, code source client), Privacy est spécifique aux données personnelles. Fréquemment inclus pour les SaaS B2B traitant des données client sensibles.

5. Privacy (Protection de la vie privée)

Contrôles protégeant les données personnelles (PII) selon les principes Generally Accepted Privacy Principles (GAPP). Couvre :

Notice et information des individus.
Choix et consentement.
Collecte, utilisation, rétention conformes.
Accès, modification, suppression par les individus.
Divulgation à des tiers contrôlée.
Qualité des données.
Surveillance et application.

Complémentaire mais non équivalent au RGPD : chevauchement important mais GAPP est un framework distinct. Fréquemment inclus pour les organisations traitant des données personnelles à grande échelle (B2C, HR tech, health tech).

Combinaisons typiques

SaaS B2B simple : Security + Availability.
SaaS B2B avec données client sensibles : Security + Availability + Confidentiality.
Fintech : Security + Availability + Confidentiality + Processing Integrity.
HR tech / santé : Security + Availability + Confidentiality + Privacy.
Grand prestataire cloud : les 5 critères.

04 — ProcessusDéroulement d'un audit SOC 2

Phase 1 — Readiness assessment (préparation)

Avant l'audit officiel, beaucoup d'organisations réalisent un readiness assessment avec un cabinet (souvent le futur auditeur ou un consultant distinct). Objectifs :

Identifier les écarts avec les critères TSC.
Définir le périmètre exact.
Choisir les critères optionnels pertinents.
Prioriser les contrôles à mettre en place.
Estimer le calendrier et le budget.

Durée : 4-8 semaines. Produit un rapport interne avec plan d'action.

Phase 2 — Remédiation

Mise en œuvre des contrôles manquants. Durée typique : 3-6 mois selon l'état initial de maturité. Activités :

Documentation (politiques, procédures).
Déploiement technique (MFA, SSO, logs, chiffrement).
Mise en place des processus (gestion incidents, changements, accès).
Formation des équipes.
Contractualisation fournisseurs.
Audits internes et tests préliminaires.

Phase 3 — Audit Type I (si choisi)

L'auditeur CPA effectue :

Revue documentaire des politiques et procédures.
Entretiens avec les équipes clés.
Examen de preuves de mise en place des contrôles à la date de l'audit.
Tests de conception.

Durée : 2-4 semaines d'audit sur site ou à distance, puis 2-4 semaines de rédaction du rapport. Total : 1-2 mois.

Phase 4 — Période d'observation Type II

Durant la période (3-12 mois), l'organisation fonctionne avec ses contrôles en place et génère les preuves qui seront auditées : logs d'accès, tickets de changements, formations réalisées, tests de restauration, revues périodiques, incidents traités.

Conseil critique : automatiser la collecte de preuves via les plateformes GRC (Vanta, Drata, etc.) — sinon la reconstitution manuelle en fin de période est très lourde.

Phase 5 — Audit Type II

L'auditeur échantillonne les preuves sur toute la période d'observation et teste l'efficacité opérationnelle des contrôles :

Sélection d'échantillons aléatoires (ex. 25 tickets de changement, 40 accès utilisateur, 12 mois de logs).
Tests de fonctionnement sur chaque échantillon.
Documentation des exceptions trouvées.
Évaluation de l'impact des exceptions.

Durée : 4-8 semaines d'audit, puis 4-8 semaines de rédaction. Total : 2-4 mois.

Phase 6 — Rapport final

Le rapport SOC 2 typique comprend :

Section I : Lettre d'opinion de l'auditeur (Unqualified, Qualified, Adverse, Disclaimer).
Section II : Affirmation de la direction sur les contrôles.
Section III : Description du système et des services par l'organisation.
Section IV : Description des contrôles et résultats des tests (le cœur du rapport — 60-80% du volume).
Section V (optionnelle) : Informations complémentaires fournies par l'organisation.

Longueur typique : 80 à 200 pages. Diffusion confidentielle sous NDA aux clients et prospects.

05 — ComparaisonSOC 2 versus ISO 27001

Similitudes

Approche basée sur les risques.
Couvrent des contrôles proches (chevauchement ~70%).
Exigent gouvernance, documentation, processus formalisés.
Audit par tiers indépendant accrédité.
Renouvellement périodique.
Peuvent être menés en parallèle efficacement.

Différences structurelles

Critère	SOC 2	ISO 27001
Origine	AICPA (USA)	ISO/IEC (international)
Nature	Rapport d'audit	Certificat
Durée de validité	12 mois (période d'observation)	3 ans (avec audits annuels)
Diffusion	Confidentielle sous NDA	Publique (certificat)
Prestataires éligibles	Organisations de services uniquement	Toutes organisations
Auditeur	CPA (USA)	Organisme accrédité ISO
Prédominance	USA	Europe, Asie, international

Critères de choix

Choisir SOC 2 prioritairement si...

Cible commerciale principale aux USA.
Clients américains exigeants en B2B (Fortune 500, banques US).
Startup SaaS avec investisseurs américains.
Besoin d'un document détaillé pour les audits clients approfondis.
Activité de services uniquement.

Choisir ISO 27001 prioritairement si...

Cible commerciale européenne ou internationale.
Obligations réglementaires européennes à venir (NIS2, DORA, CRA).
Organisation au-delà des seuls services (industriel, distribution).
Souhait d'un certificat public valorisable marketing.
Intégration dans un système de management plus large (ISO 9001, 14001, 45001).

Faire les deux si...

Cibles mixtes USA + Europe.
Clients grands comptes mondiaux avec exigences multiples.
Budget permettant d'optimiser (les efforts se recoupent à 70%).
Stratégie de croissance internationale B2B.

De plus en plus d'éditeurs SaaS B2B sérieux obtiennent les deux : commencer généralement par SOC 2 Type I pour un time-to-value rapide, puis étendre à ISO 27001 + SOC 2 Type II en parallèle.

06 — DémarcheSe préparer à SOC 2

Mois 1-2 — Cadrage et planification

Identifier les besoins clients (quel type de rapport, quels critères).
Choisir les critères TSC au-delà de Security.
Définir le périmètre (produits, services, infrastructure couverts).
Sélectionner un auditeur CPA et faire un readiness assessment.
Budget et ressources.

Mois 2-6 — Mise en œuvre des contrôles

Politiques et procédures formelles (security policy, access control, change management, incident response, vendor management).
MFA obligatoire sur tous les accès sensibles.
Gestion des accès avec processus de revue trimestrielle.
Journalisation centralisée et surveillance.
Chiffrement des données au repos et en transit.
Processus formalisé de gestion des changements.
Plan de réponse à incident testé.
Plan de continuité et sauvegardes testées.
Évaluation et monitoring des fournisseurs critiques.
Sensibilisation sécurité des collaborateurs.

Mois 6-9 — Type I (si souhaité)

Audit de conception par le CPA.
Remédiation des écarts.
Rapport Type I disponible.
Début de la période d'observation pour Type II.

Mois 9-15 — Période d'observation Type II

Fonctionnement nominal avec contrôles en place.
Collecte systématique des preuves via plateforme GRC.
Revues trimestrielles internes.
Documentation des incidents et de leur traitement.
Maintenance de la documentation.

Mois 15-18 — Audit Type II et rapport

Audit par le CPA sur échantillons.
Traitement des exceptions.
Rédaction du rapport.
Rapport Type II disponible pour diffusion client.

Cycle récurrent annuel

Nouvelle période d'observation de 12 mois.
Audits internes trimestriels.
Audit annuel par le CPA.
Bridge letter si besoin entre deux rapports.
Mise à jour continue des politiques et procédures.

07 — OutilsPlateformes d'automatisation de la compliance

Depuis 2019-2020, une nouvelle génération de plateformes GRC SaaS automatisées a transformé la préparation SOC 2 pour les startups et scale-ups, en automatisant la collecte de preuves et la gestion de la compliance.

Leaders du marché

Vanta : pionnier du créneau, lancé 2018, levée massive en 2022. Référence startups SaaS US. Couverture multi-frameworks (SOC 2, ISO 27001, HIPAA, GDPR, PCI DSS).
Drata : concurrent direct de Vanta, très actif sur le marché US. Interface moderne, forte intégration cloud-native.
Secureframe : alternative également populaire aux USA, modèle similaire.
Tugboat Logic (OneTrust) : racheté par OneTrust, positionnement entreprise.
Sprinto : acteur indien à prix plus accessible, en croissance.
Thoropass (ex-Laika) : spécialisé services intégrés (plateforme + audit).

Ce que ces plateformes apportent

Intégrations automatiques avec AWS, Azure, GCP, GitHub, Jira, Slack, Google Workspace, Okta… Collecte automatique des preuves de sécurité.
Mapping aux frameworks : un seul effort pour SOC 2 + ISO 27001 + HIPAA + GDPR.
Templates de politiques prêts à personnaliser.
Gestion des risques intégrée.
Gestion des fournisseurs et revue périodique.
Monitoring continu de la conformité avec alertes en cas de déviation (ex. utilisateur sans MFA).
Trust portals : pages publiques pour partager les rapports aux prospects.
Réseau d'auditeurs partenaires : facilite le choix et accélère l'audit.

Avantages et limites

Avantages : réduction drastique du temps et coût de préparation (divisé par 2-3), automatisation des tâches répétitives, visibilité continue sur la posture, accélération du Type II.
Limites : ne remplace pas l'expertise humaine (compréhension du business, arbitrages de risque), couverture parfois superficielle pour les environnements complexes, risque de « compliance automatique » déconnectée du terrain, dépendance à la plateforme.

Coût type des plateformes

Startups : 10 000-30 000 USD/an.
Scale-ups : 30 000-80 000 USD/an.
Grandes entreprises : 80 000+ USD/an avec modules avancés.
Temps de démarrage : quelques jours à quelques semaines pour activer les intégrations et commencer la collecte.

Alternatives et compléments

Cabinets conseil spécialisés : accompagnement humain personnalisé (bcp utilisé en Europe).
Plateformes GRC classiques : ServiceNow GRC, MetricStream, LogicGate — plutôt grandes entreprises.
Solutions françaises : Egerie, Mirabilis, outils plus orientés ISO 27001 et NIS2 que SOC 2.

08 — FAQQuestions fréquentes

Un SOC 2 est-il utile pour une entreprise uniquement européenne ?

Rarement, sauf cas particuliers. Pour le marché européen, ISO 27001 est plus reconnu et facilite davantage les obligations réglementaires (NIS2, DORA, CRA). SOC 2 peut être utile si : certains clients européens ont des équipes internationales exigeant SOC 2 (filiales de groupes américains), ou si l'organisation prévoit une expansion US à moyen terme. Pour la majorité des entreprises françaises sans exposition USA, ISO 27001 seul suffit. Quelques grandes organisations françaises (OVH, Scaleway, Dassault Systèmes, Doctolib) obtiennent SOC 2 pour leur clientèle internationale.

Qu'est-ce qu'une « exception » dans un rapport SOC 2 ?

Une exception est un cas où l'auditeur a constaté qu'un contrôle n'a pas fonctionné comme prévu durant la période testée. Par exemple : un accès utilisateur n'a pas été révoqué dans les délais, un changement a été déployé sans approbation. Les exceptions sont documentées dans le rapport avec leur impact. Avoir des exceptions n'invalide pas le rapport — c'est la norme sur un périmètre complexe. Ce qui compte : nombre, gravité, et réponse de l'organisation (actions correctives). Un rapport sans aucune exception est suspect pour un auditeur expérimenté.

Peut-on partager publiquement un rapport SOC 2 ?

Non, SOC 2 Type I et Type II sont confidentiels par nature et partagés sous NDA. Pour une diffusion publique, utiliser le rapport SOC 3 — une version publique simplifiée sans détails sensibles, produite par le même auditeur sur la base du SOC 2. Peu coûteux à ajouter (quelques milliers de dollars supplémentaires) si on a déjà un SOC 2. Beaucoup d'éditeurs SaaS publient leur SOC 3 sur leur trust center.

Comment gérer les sous-traitants dans un SOC 2 ?

Deux approches. Inclusive method : inclure les contrôles du sous-traitant dans votre rapport (plus exigeant, demande coopération). Carve-out method : exclure les contrôles du sous-traitant mais démontrer que vous les surveillez (plus courant). Pratique habituelle : exiger un rapport SOC 2 du sous-traitant qui couvre les contrôles délégués, puis s'appuyer dessus. AWS, Google Cloud, Azure fournissent leurs propres SOC 2 que leurs clients peuvent s'approprier pour justifier les contrôles d'infrastructure.

Que faire si un audit identifie des défaillances ?

Trois niveaux selon la gravité :

Exceptions isolées : documentées dans le rapport avec plan d'action, opinion « unqualified » maintenue.
Défaillances matérielles : l'auditeur peut émettre une opinion « qualified » (avec réserve) — impact significatif sur la valeur commerciale du rapport.
Défaillances systémiques : opinion « adverse » — le rapport perd tout intérêt commercial. Remédiation profonde nécessaire avant nouvel audit.

L'anticipation via readiness assessment et audit interne évite 95% des mauvaises surprises.