Fonctionnement

Un rapport SOC 2 documente la manière dont une organisation de service (centre de données, fournisseur cloud, prestataire de paie, cabinet de conseil, etc.) conçoit et maintient ses contrôles internes. Contrairement à un rapport SOC 1, qui porte spécifiquement sur les contrôles pertinents pour les états financiers des clients, un rapport SOC 2 couvre un spectre plus large : sécurité, disponibilité des systèmes, confidentialité des données et conformité.
L'auditeur effectuant un rapport SOC 2 évalue les contrôles selon un cadre de critères de fiabilité défini par le cabinet et documente ses conclusions dans un rapport destiné aux clients et partenaires. ISAE 3402 exige que l'auditeur recueille des éléments probants suffisants et appropriés pour étayer ses conclusions sur la conception et l'efficacité des contrôles (ISAE 3402.45). Pour un rapport Type II, cette période d'observation couvre généralement 6 à 12 mois.
Une distinction critique : un rapport SOC 2 s'adresse aux utilisateurs (clients et partenaires de l'organisation de service), tandis qu'un audit des états financiers selon ISA 320 s'adresse aux états financiers eux-mêmes. L'auditeur d'une entreprise cliente utilisant un service relevant d'un rapport SOC 2 existant peut réduire ses procédures de test de contrôles chez ce prestataire si le rapport SOC 2 fournit des éléments probants suffisants sur les risques pertinents (ISAE 402.A33).

Exemple pratique : Logistique Européenne S.A.R.L.

Client : Prestataire français de gestion logistique, 120 millions EUR de flux traités annuellement, 250 clients dans 8 pays.
Étape 1 : Identifier les critères de fiabilité pertinents
Logistique Européenne opère un système d'information entreposage-transport. Les critères de fiabilité critiques identifiés sont : sécurité (accès aux systèmes), intégrité (exactitude des enregistrements d'expédition), disponibilité (fonctionnement ininterrompu du système de suivi). L'organisation ne traite pas de données sensibles au sens RGPD au-delà des adresses client standard.
Note de documentation : Décrire dans le rapport SOC 2 chaque critère et justifier son inclusion ou exclusion. Pour chaque critère retenu, documenter le risque client que ce critère adresse.
Étape 2 : Évaluer la conception des contrôles
Pour le critère de sécurité, l'auditeur identifie les contrôles de conception : authentification multifacteur pour accès, séparation des rôles entre opérateurs et administrateurs, journalisation des modifications de données. Pour chaque contrôle, documenter : quelle assertion l'adresse, comment il fonctionne, qui le maintient.
Note de documentation : Créer une matrice de correspondance entre risque → assertion → contrôle. ISAE 3402.A48 exige de documenter le lien logique.
Étape 3 : Tester l'efficacité opérationnelle (Type II uniquement)
Sur 12 mois d'observation, l'auditeur teste : dix tentatives d'accès sans authentification valide (toutes bloquées), dix modifications de données (toutes tracées), disponibilité du système (99,7 % contre cible 99,5 %). Pour chaque test, documenter la date, la méthode, le résultat.
Note de documentation : ISAE 3402.50 exige un échantillonnage documenté. Inclure dans le rapport le nombre de tests effectués, la période, les écarts détectés.
Conclusion
Le rapport SOC 2 Type II de Logistique Européenne documente que la conception des contrôles s'aligne sur les critères de fiabilité énoncés et que l'efficacité opérationnelle a été observée sur 12 mois sans écarts significatifs. Une entreprise cliente utilisant ce service pour gérer ses expéditions peut désormais réduire ses tests de contrôles chez ce prestataire selon ISA 402, car le rapport SOC 2 fournit des éléments probants sur les risques de contrôle interne.

Ce que les auditeurs et les examinateurs ont tendance à mal interpréter

  • Un rapport SOC 2 Type I ne documente pas l'efficacité opérationnelle. Les auditeurs clients réduisent parfois leurs tests sur la base d'un Type I seul, violant ISA 402.A33 qui exige des éléments probants portant sur la période d'audit. Un Type I démontre uniquement la conception. L'efficacité doit être documentée ailleurs ou testée directement par le client.
  • La confidentialité dans SOC 2 ne couvre pas la conformité RGPD. Un rapport SOC 2 évalue si les données sont traitées conformément à la politique de confidentialité de l'organisation de service. Le rapport ne conclut pas sur la conformité RGPD de l'organisation elle-même. Les clients confondent souvent confidentialité SOC 2 et conformité RGPD, ce qui a entraîné des constats d'inspection dans le contexte des auditeurs utilisant des prestataires cloud.
  • L'absence de critère de confidentialité ne signifie pas qu'un service est sûr pour les données sensibles. Une organisation de service peut limiter intentionnellement ses critères SOC 2 à la sécurité et la disponibilité pour éviter le coût d'un audit de confidentialité. Cela ne signifie pas que les données confidentielles y sont protégées. L'auditeur client doit comprendre la limitation du périmètre du rapport.

Type I vs Type II

| Dimension | Type I | Type II |
|---|---|---|
| Ce qu'il démontre | Design des contrôles à une date donnée | Design plus efficacité sur 6-12 mois |
| Période d'observation | Point d'une journée ou une semaine | 6-12 mois minimum |
| Suffisant pour ISA 402 | Non, sauf pour risque faible + tests clients complets | Oui, si critères pertinents et résultats concluants |
| Coût pour prestataire | Moins élevé | Plus élevé (observation prolongée) |
| Fréquence de mise à jour | Plus fréquente (moins de valeur dans le temps) | Annuelle ou tous les 2-3 ans |

Quand cette distinction compte sur une mission

Vous auditez une entreprise française qui externalisé sa paie à un prestataire cloud. Le prestataire vous fournit un rapport SOC 2 Type I datant de janvier. Vous êtes en octobre. Le rapport Type I couvre la conception des contrôles à janvier, mais la norme ISA 402 exige que vous ayez des éléments probants sur l'efficacité des contrôles durant votre période d'audit (ISA 402.A33). Un Type I seul ne suffit pas pour réduire vos tests de contrôles en octobre, même s'il est récent. Vous devez obtenir soit un Type II couvrant la période du 1er janvier au 30 septembre, soit procéder à vos propres tests de contrôles chez le prestataire. Utiliser un Type I obsolète pour justifier une réduction des tests violerait ISA 402.

Terme connexe : Rapport SOC 1

Un rapport SOC 1 (aussi appelé rapport ISAE 3402 en Europe) évalue les contrôles d'une organisation de service qui sont pertinents pour les états financiers de ses clients. Il est plus étroit qu'un SOC 2. Un SOC 1 s'adresse aux auditeurs et utilisateurs concernés par les risques de transactions financières. Un SOC 2 s'adresse plus largement aux clients et partenaires concernés par la sécurité, la disponibilité et la confidentialité des données.

Termes connexes

ISAE 3402: La norme qui régit les rapports sur les contrôles des organisations de service (SOC 1 et SOC 2 en contexte nord-américain).
ISA 402: La norme qui gouverne la manière dont un auditeur utilise les rapports d'organisations de service dans un audit de comptes.
Matrice de correspondance risque-contrôle: Le document de fondation d'un rapport SOC 2 qui montre comment chaque contrôle adresse un risque spécifique.
Éléments probants suffisants et appropriés: ISAE 3402.45 exige que l'auditeur du rapport SOC 2 collecte des éléments probants pour soutenir ses conclusions.
Rapport de gestion de la sécurité de l'information: Évaluation complémentaire que certains prestataires commissionnent aux côtés d'un SOC 2 pour démontrer une conformité plus large.
Critères de fiabilité SOC 2: Les cinq domaines sur lesquels un rapport SOC 2 peut être basé : sécurité, disponibilité, intégrité, confidentialité, vie privée.
---

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.