Skip to content

Un fournisseur vous envoie un rapport SOC 2. Que devez-vous réellement vérifier ?

Réponse courte

Un rapport SOC 2 ne vous rassure que si vous le lisez vraiment : confirmez le bon type (le Type II teste l'efficacité opérationnelle dans la durée, le Type I seulement la conception à un instant donné), vérifiez le périmètre et les critères des services de confiance couverts, que la période est récente et sans trou, l'opinion rendue par l'auditeur (sans réserve ou avec réserve), et examinez les exceptions relevées ainsi que les contrôles complémentaires de l'entité utilisatrice (CUEC) qui vous incombent. Se contenter de constater que le rapport existe — ou le juger à son logo de couverture ou à son nombre de pages — ne dit rien de l'efficacité réelle des contrôles du fournisseur ni de vos obligations résiduelles.

Un rapport SOC 2 est un artefact d'assurance par un tiers — mais en recevoir un ne vous garantit rien en soi. La valeur tient entièrement à le lire de façon critique, car un rapport peut exister tout en révélant de sérieux problèmes, des trous de périmètre ou des obligations qui retombent sur vous.

Ce qu'il faut réellement vérifier

Type : Un rapport Type II teste si les contrôles ont fonctionné efficacement sur une période (généralement 6 à 12 mois) ; un Type I décrit seulement la conception à un instant donné. Le Type II offre une assurance bien plus forte. Périmètre : Quels critères des services de confiance sont couverts — la Sécurité est la base, mais ont-ils inclus la Disponibilité, la Confidentialité, l'Intégrité du traitement ou la Vie privée si cela compte pour votre usage ? Le périmètre couvre-t-il le service réel que vous consommez ? Période : Est-elle récente, et y a-t-il un trou entre la date de fin du rapport et aujourd'hui (une lettre-pont peut être nécessaire) ? Opinion : L'auditeur a-t-il rendu une opinion sans réserve (« propre ») ou avec réserve signalant des déficiences ? Exceptions : Lisez les exceptions de test — les contrôles qui ont échoué pendant la période. CUEC : Surtout, examinez les contrôles complémentaires de l'entité utilisatrice — ce que le rapport suppose que vous ferez (par ex. gérer vos propres accès, configurer le chiffrement) pour que les contrôles du fournisseur soient efficaces.

Pourquoi les mauvaises réponses échouent

« Juste que le rapport existe » est le piège : la possession n'est pas l'assurance, et considérer la réception comme suffisante laisse le risque passer. « Le logo sur la couverture » et « le nombre total de pages » sont des non-signaux — ils ne disent rien de la conception des contrôles, de leur efficacité opérationnelle, du périmètre ou de vos obligations résiduelles. Un rapport épais avec une opinion avec réserve vaut moins qu'un rapport court et propre.

Le jugement évalué

L'intervieweur cherche quelqu'un qui traite le risque tiers comme une diligence active, et non comme des cases à cocher. Une réponse senior nomme la distinction Type I/Type II, relie le périmètre à l'usage réel que vous faites du fournisseur, prend au sérieux les exceptions et l'opinion de l'auditeur et — la marque d'une vraie expérience — signale les CUEC, car les contrôles d'un fournisseur ne vous protègent que si vous assumez votre part. Lire le rapport, et non le collectionner, voilà le contrôle.

Questions de suivi probables

  • Quelle est la différence entre un SOC 2 Type I et Type II, et pourquoi cela compte-t-il pour vous ?
  • Que sont les contrôles complémentaires de l'entité utilisatrice, et que se passe-t-il si vous les ignorez ?
  • Comment gérez-vous un rapport avec une opinion avec réserve ou un trou de couverture avant le début de votre contrat ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.