Selon une étude de Comparitech datant de janvier 2025, plus de 195 millions de données ont été compromises à la suite d’attaques de rançongiciels au cours de la dernière année.
Les entreprises – manipulant tous les jours une quantité astronomique de données confidentielles appartenant à leurs clients, ou aux clients de leurs clients – sont évidemment la cible majeure de ces cyberattaques.
Alors, sur quelles bases établir la confiance pour déléguer à une entreprise tierce la gestion de ses données confidentielles ? La réponse tient en un acronyme obscur : SOC 2 Type 2, une certification de sécurité internationale qui s’appuie sur des preuves tangibles. Pas de blabla, rien que du concret.
Par Anna Larrouy
SOC 2 Type 2 : une solide attestation de sécurité
Pour faire simple, SOC 2 Type 2 est une attestation qui confirme la capacité d’une entreprise à stocker et protéger les données, dans la durée et contre toute modification. Traditionnellement, la certification SOC 2 Type 2 s’adresse aux moyennes et grandes entreprises qui fournissent des services technologiques ou de traitement de données, en particulier les fournisseurs de services cloud, qui manipulent, stockent ou traitent des données sensibles pour le compte de leurs clients.
Aujourd’hui pourtant, l’on voit quelques petites entreprises, comme TechNuCom, qui accèdent à cette certification pour pouvoir gérer sereinement les données clients dans le cadre de projets d’implantation ERP et CRM.
Dans le détail, SOC signifie System and Organization Controls et a été élaboré par l’American Institute of Certified Public Accountants (AICPA). Il s’agit d’un audit très rigoureux effectué par un cabinet indépendant qui repose sur 5 principes de confiance :
- Sécurité : protéger les systèmes contre un accès non autorisé. En d’autres mots, pouvoir résister à une cyberattaque est le premier critère nécessaire pour obtenir l’attestation.
- Disponibilité : garder le système fonctionnel et accessible à tout moment.
- Intégrité du traitement : traiter les données de manière exacte, sans erreur ou bug.
- Confidentialité : protéger l’accès aux données sensibles.
- Vie privée : collecter, stocker et utiliser les données personnelles dans le respect des règles applicables.
Devenir SOC 2 Type 2 : un processus long et exigeant
Contrairement à la Loi sur la protection des renseignements personnels et les documents électroniques, la certification SOC 2 Type 2 n’est pas contraignante légalement parlant. Mais son processus d’obtention, en revanche, est un véritable parcours du combattant. Il mobilise souvent l’entièreté des équipes et nécessite une formation particulière.
L’entreprise commence par une phase de préparation durant laquelle elle analyse ses systèmes. Quelles sont les failles ? Quelles procédures de sécurité sont manquantes ? C’est l’étape où l’on définit les règles du jeu, où l’on choisit les contrôles nécessaires et où l’on passe beaucoup de temps à remettre toute l’organisation à plat.
La phase suivante est la période d’observation. Durant généralement 9 à 12 mois, les contrôles doivent être documentés de manière continue pour servir de preuves à la prochaine étape : l’audit. Rien n’est laissé au hasard : chaque procédure, chaque action, chaque mesure doit être prouvable.
À la fin de ces longs mois d’observation, un cabinet indépendant de comptables agréés analyse ces preuves, questionne l’entreprise et effectue une série de tests. Parmi ceux-ci, on retrouve évidemment le test de pénétration qui simule une cyberattaque. Durant cette phase, le cabinet effectue un réel travail d’orfèvre, tout étant analysé et testé dans les moindres détails. Il rédige à la suite de cela un rapport confidentiel qui évalue et résume tous les contrôles aux fins de certification.
Une fois que la quête du Saint Graal est terminée… on recommence. En effet, le rapport n’est valable qu’un an. Le processus, dans toute sa complexité, doit donc être répété chaque année pour maintenir l’attestation.
SOC 2 Type 2 : un indicateur du niveau d’exigence
Pour les clients des entreprises possédant cette attestation, c’est une garantie que leurs données sont stockées, traitées de manière confidentielle, et protégées contre les fuites potentielles. Ce n’est donc pas un hasard si la possession de la certification SOC 2 Type 2 est devenue une exigence quasi systématique des administrations et des grands donneurs d’ordres du secteur privé.
Le processus d’obtention étant particulièrement complexe, posséder une certification SOC 2 Type 2 est une preuve de sérieux et de rigueur. Et pour une PME, c’est faire partie d’une minorité d’organisations qui ont choisi de ne pas se contenter du minimum réglementaire.
La certification SOC 2 Type 2 permet également de gagner en transparence et en efficacité dans le processus de sélection de ses fournisseurs. Plutôt que de multiplier les vérifications ou les échanges techniques, tout est résumé dans un rapport – qui centralise autant qu’il clarifie les processus – et dont la crédibilité repose sur l’indépendance et la rigueur méthodologique du cabinet d’audit.
Enfin, le renouvellement nécessaire chaque année oblige les entreprises à maintenir leurs standards en matière de sécurité des données et à constamment s’adapter aux nouvelles menaces.
La certification SOC 2 Type 2, TechNuCom, en tant qu’intégrateur Odoo, l’a obtenue avec fierté pour la 3e fois en 2025 et se prépare à nouveau pour 2026.
