Qu'est-ce que SOC 2 Type II et pourquoi ça compte
SOC 2 (Service Organization Control 2) est un référentiel d'audit de l'AICPA (American Institute of Certified Public Accountants), structuré autour des Trust Services Criteria (TSC) :
- Security (obligatoire — common criteria CC1 à CC9).
- Availability (optionnel selon contexte).
- Confidentiality (optionnel).
- Processing Integrity (optionnel).
- Privacy (optionnel — porté par l'AICPA Privacy Framework).
Type II (vs Type I) signifie que les contrôles sont audités sur 6 à 12 mois d'observation effective — c'est la version exigée par les clients enterprise. Type I est un constat à un instant T (peu valorisé).
SOC 2 Type II est devenu le standard de fait pour les SaaS B2B vendant aux États-Unis ou à des entreprises Fortune 500 / Global 2000. La majorité des appels d'offres SaaS aux US listent SOC 2 Type II en exigence dès qu'il y a manipulation de données client.
ISO 27001 vs SOC 2 — quelle différence et quel choix?
Les deux sont complémentaires mais répondent à des publics différents :
| Critère | ISO 27001 | SOC 2 Type II |
|---|---|---|
| Origine | Norme internationale (ISO/IEC) | Standard américain (AICPA) |
| Validité | 3 ans avec audits annuels | Rapport sur période 6-12 mois |
| Document final | Certificat | Rapport d'audit (40-80 pages) |
| Périmètre | Système de management de la sécurité | Contrôles opérationnels selon TSC |
| Public cible | Europe + global | États-Unis, multinationales |
| Coût initial | ||
| Coût récurrent annuel | (audit annuel obligatoire) |
Stratégie recommandée pour SaaS B2B : ISO 27001 d'abord (fondation ISMS), puis SOC 2 Type II à 6 mois (le rapport étant basé sur des contrôles déjà ISO 27001-compliants à 70-80%). Beaucoup de SaaS B2B européens visant l'enterprise obtiennent les deux.
Méthode WeeSec d'accompagnement SOC 2
Phase 1 — Gap analysis (3 semaines). Cartographie de votre situation vs les 5 TSC + 9 Common Criteria (CC1-CC9). Score de maturité par contrôle, identification des écarts, priorisation. Choix du périmètre (Security uniquement ou élargi à Availability/Confidentiality/Privacy).
Phase 2 — Mise en place des contrôles (3 à 5 mois). Documentation : politique de sécurité, gestion des accès, gestion des incidents, gestion des changements, supplier management. Mise en place opérationnelle : MFA partout, vulnerability management, monitoring, alerting, gestion des sauvegardes, plan de continuité. Outillage GRC pour la collecte de preuves (Drata, Vanta, Secureframe — selon votre choix).
Phase 3 — Période d'observation (6 mois minimum). Tous les contrôles sont opérés en réel pendant la période d'observation. Collecte automatique des preuves (snapshots mensuels de l'état des contrôles). Audit interne à mi-parcours pour identifier les contrôles défaillants.
Phase 4 — Audit AICPA (1 à 2 mois). Sélection de l'auditeur SOC 2 (cabinet d'audit accrédité AICPA). Préparation des preuves, walk-through des contrôles, gestion des findings. Délivrance du rapport SOC 2 Type II.
Articulation avec ISO 27001 et NIS2
ISO 27001 → SOC 2 : 70-80% des contrôles SOC 2 sont déjà couverts par un ISMS ISO 27001 mature. La progression naturelle est ISO 27001 d'abord, puis SOC 2 Type II en 6-9 mois supplémentaires.
SOC 2 → NIS2 : SOC 2 ne suffit pas pour NIS2 (la directive impose des obligations spécifiques : notification d'incident dans les 24h, responsabilité personnelle des dirigeants, gestion de la chaîne d'approvisionnement TIC). WeeSec couvre les deux dans une démarche unifiée.
SOC 2 → DORA : pour les SaaS servant des entités financières européennes, DORA s'ajoute en plus de SOC 2 (obligations contractuelles Article 30, TLPT pour les entités significatives). WeeSec articule SOC 2 et DORA.
Questions fréquentes.
Quelle différence entre SOC 2 Type I et Type II?
SOC 2 Type I est un constat à un instant T (test de conception des contrôles). SOC 2 Type II est un audit sur 6 à 12 mois d'observation effective des contrôles en fonctionnement. Les clients enterprise et les acheteurs US exigent Type II. Type I est rarement valorisé sauf comme étape intermédiaire.
Mon SaaS doit-il faire ISO 27001 ou SOC 2 d'abord?
Pour un SaaS B2B européen visant aussi le marché US enterprise, la séquence recommandée est ISO 27001 d'abord (9-12 mois), puis SOC 2 Type II en 6-9 mois supplémentaires (en réutilisant 70-80% des contrôles ISO 27001). Pour un SaaS focalisé US uniquement, SOC 2 Type II en direct est cohérent. La décision dépend de votre marché cible.
Quels sont les Trust Services Criteria de SOC 2?
SOC 2 s'appuie sur 5 TSC : Security (obligatoire — Common Criteria CC1 à CC9), Availability (disponibilité), Confidentiality (confidentialité), Processing Integrity (intégrité du traitement), Privacy (vie privée — basé sur l'AICPA Privacy Framework). Security est toujours inclus. Les autres dépendent du contexte du SaaS et des exigences clients.
Combien de temps prend la première certification SOC 2 Type II?
Compter 9 à 12 mois entre kick-off et délivrance du rapport : 3 semaines de gap analysis, 3-5 mois de mise en place des contrôles, 6 mois d'observation effective minimum (durée de l'audit Type II), 1-2 mois d'audit final AICPA et rédaction du rapport. Type I (constat à un instant T) prend 4-6 mois mais est rarement valorisé seul.
À propos
Aroua Biri
Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.
Stress-test gratuit · 3 minutes
Évaluez votre préparation CRA pour cadrer votre posture produit.
12 questions, score sur 24, trois zones de risque. Sans compte à créer, sans newsletter — juste un état des lieux franc.