SOC 2
Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.
SOC 2 est un cadre d’attestation publié par l’AICPA (American Institute of Certified Public Accountants) au titre de ses Trust Services Criteria (TSC). Ce n’est pas une loi, pas une certification, pas un sceau public — c’est une opinion émise par un cabinet d’experts-comptables indépendant qui atteste que les contrôles d’un prestataire répondent aux critères définis par l’AICPA. Les acheteurs B2B nord-américains considèrent un rapport SOC 2 Type II comme le ticket d’entrée pour tout éditeur SaaS qui touche aux données de leurs clients.
Le cadre repose sur cinq critères : Sécurité (obligatoire), Disponibilité, Intégrité de traitement, Confidentialité, et Vie privée. La plupart des rapports couvrent la Sécurité seule, ou Sécurité plus un ou deux compléments. L’audit existe en deux variantes : Type I teste la conception des contrôles à un instant T ; Type II teste leur efficacité opérationnelle sur une fenêtre d’observation de 3 à 12 mois — c’est ce que les acheteurs demandent réellement.
Propriétés clés pour un acheteur sécurité :
- Les critères communs CC1.4 et CC2.2 exigent explicitement la preuve que les collaborateurs sont sensibilisés à leurs responsabilités sécurité — traditionnellement satisfaite par les logs de complétion d’une formation annuelle.
- Le niveau d’exigence monte. Les auditeurs acceptent — et parfois demandent — désormais une preuve comportementale plutôt qu’un simple certificat de complétion : les gens ont-ils fait le bon geste, ou seulement cliqué sur les slides.
- Pas de sceau étatique. Contrairement à ISO 27001, il n’existe pas d’organisme certificateur — la lettre de l’auditeur est le livrable.
- Mappings croisés. Les critères SOC 2 cartographient proprement sur l’Annexe A d’ISO 27001, raison pour laquelle beaucoup d’éditeurs SaaS poursuivent les deux en parallèle.
Là où SOC 2 rejoint la gestion du risque humain : le critère de sensibilisation a toujours été le contrôle le plus faible d’un dossier SOC 2 — facile à documenter via un export LMS, facile à contourner pour un attaquant. Remplacer l’export LMS par une piste de preuves comportementales ne change pas le verdict de l’auditeur, mais améliore matériellement le contrôle sous-jacent.
Termes liés
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.
- HIPAALoi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.
- PCI-DSSNorme de sécurité des données de cartes bancaires maintenue par le PCI Security Standards Council — l'exigence 12.6 impose un programme formel de sensibilisation.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- Formation à la sensibilisation à la sécurité (SAT)Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.