Accueil Normes Secteurs ✦ Évaluation IA Demander un devis →
AccueilNormes → SOC 2

SOC 2 Type I & II — Contrôles d'organisation de services

La norme de référence en matière d'assurance sécurité pour les prestataires SaaS, cloud et de services technologiques servant des clients grands comptes américains. BALTUM propose des programmes de préparation SOC 2 et coordonne la réalisation des audits Type I et Type II avec des cabinets CPA accrédités AICPA dans le monde entier.

SOC 2 Type ISOC 2 Type IIAICPA TSCCritères de services de confiance

Qu'est-ce que le SOC 2 ?

Le SOC 2 (System and Organisation Controls 2) est une norme d'audit développée par l'American Institute of Certified Public Accountants (AICPA). Elle évalue les contrôles d'une organisation de services par rapport aux critères de services de confiance (TSC) : Sécurité, Disponibilité, Intégrité du traitement, Confidentialité et Vie privée. La Sécurité (critères communs) est obligatoire ; les quatre autres sont optionnels selon le contexte métier.

SOC 2 Type I vs Type II

  • Type I — Évaluation ponctuelle confirmant que les contrôles sont correctement conçus. Délai habituel : 2 à 3 mois. Utile comme rapport intermédiaire en attendant le Type II.
  • Type II — Évaluation sur une période d'observation (généralement 6 à 12 mois) confirmant que les contrôles ont fonctionné efficacement pendant toute la période. Exigé par la plupart des acheteurs grands comptes et Fortune 500.

Qui a besoin du SOC 2 ?

  • Les éditeurs SaaS et logiciels cloud avec des clients grands comptes américains
  • Les fournisseurs d'infrastructure cloud, d'hébergement et de centres de données
  • Les prestataires de services de sécurité gérés et de services IT
  • Les éditeurs de plateformes RH, paie et avantages sociaux
  • Tout fournisseur technologique répondant à des questionnaires de sécurité d'entreprise

Critères de services de confiance — Aperçu des critères communs

  • CC1 — Environnement de contrôle (gouvernance, responsabilité)
  • CC2 — Communication et information
  • CC3 — Évaluation des risques
  • CC4 — Surveillance des contrôles
  • CC5 — Activités de contrôle (politiques et procédures)
  • CC6 — Contrôles d'accès logiques et physiques
  • CC7 — Opérations système (détection d'anomalies, réponse aux incidents)
  • CC8 — Gestion des changements
  • CC9 — Atténuation des risques

Accompagnement SOC 2 par BALTUM

  • Évaluation de préparation par rapport à tous les critères de services de confiance applicables
  • Registre des écarts et feuille de route de remédiation
  • Documentation des politiques et procédures alignée sur les exigences TSC
  • Mise en œuvre de plateformes GRC (Vanta, Drata, Sprinto ou similaire)
  • Coordination avec les cabinets CPA pour la réalisation des audits Type I et Type II
  • Maintenance continue de la conformité et accompagnement annuel des audits

Intégration SOC 2 + ISO 27001

Le cadre de preuves unifié de BALTUM fait correspondre les critères de services de confiance SOC 2 aux contrôles de l'Annexe A de l'ISO 27001:2022 — permettant une certification simultanée SOC 2 + ISO 27001 avec une bibliothèque de politiques unique, un processus d'évaluation des risques unique et une duplication d'audit considérablement réduite.