Skip to content

Expliquez SOC 2 Type I vs Type II et les Trust Services Criteria.

Réponse courte

Un rapport SOC 2 Type I évalue si les contrôles d'une organisation de services sont conçus de façon adéquate à un instant unique. Un rapport Type II va plus loin : il teste si ces contrôles ont fonctionné efficacement sur une période d'examen, généralement de 3 à 12 mois. Les deux reposent sur les Trust Services Criteria de l'AICPA — la Sécurité (les critères communs obligatoires), plus en option la Disponibilité, l'Intégrité du traitement, la Confidentialité et la Vie privée.

SOC 2 est un rapport d'attestation produit par un cabinet de CPA indépendant au regard des Trust Services Criteria de l'AICPA. C'est le signal de confiance de facto que les éditeurs SaaS donnent aux acheteurs d'entreprise. Les recruteurs veulent savoir si vous comprenez ce que chaque rapport prouve réellement.

Type I vs Type II

  • Type I répond à : les contrôles sont-ils conçus de façon adéquate à une date précise ? C'est un instantané. Il confirme que les bons contrôles existent sur le papier au, disons, 30 juin.
  • Type II répond à : ces contrôles ont-ils fonctionné efficacement sur une fenêtre de temps ? L'auditeur échantillonne des preuves sur une période d'examen (couramment 3, 6 ou 12 mois) pour confirmer que les contrôles fonctionnaient réellement, et n'étaient pas seulement conçus.

Un Type I s'obtient plus vite et est souvent utilisé par les jeunes entreprises pour leur premier rapport. Un Type II a bien plus de poids car il démontre un fonctionnement durable — c'est pourquoi la plupart des équipes achats d'entreprise l'exigent.

Les Trust Services Criteria

SOC 2 est cadré selon cinq catégories :

  • Sécurité — les critères communs, obligatoires dans toute mission.
  • Disponibilité — engagements de temps de fonctionnement et de résilience du système.
  • Intégrité du traitement — le traitement est complet, valide, exact et opportun.
  • Confidentialité — protection des informations désignées comme confidentielles.
  • Vie privée — traitement des données personnelles conformément à l'avis de l'entité.

Seule la Sécurité est obligatoire ; l'organisation choisit lesquelles des autres inclure selon ses engagements clients.

Pourquoi c'est important

Un bon candidat explique que le Type II prouve l'efficacité dans le temps et que la Sécurité est le critère non négociable. Points bonus pour avoir noté que SOC 2 est une attestation (et non une certification réussite/échec) et l'avoir distingué de SOC 1, qui vise les contrôles liés au reporting financier.

Questions de suivi probables

  • Pourquoi un client exigerait-il un Type II plutôt que d'accepter un Type I ?
  • Quel critère des Trust Services est obligatoire dans toute mission SOC 2 ?
  • En quoi un rapport SOC 2 diffère-t-il d'un rapport SOC 1 (ICFR) ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.