SOC 2 (Service Organization Control 2) est un cadre d'audit américain défini par l'AICPA, devenu standard de fait pour les SaaS B2B internationaux, notamment quand les clients sont aux États-Unis. Il évalue les contrôles selon 5 critères : sécurité, disponibilité, intégrité, confidentialité, vie privée.
Éditeurs SaaS B2B avec une clientèle américaine ou internationale, MSP / MSSP qui hébergent des données sensibles pour leurs clients, startups françaises qui visent le marché US.
Type I : audit ponctuel à un instant T (description du système et conception des contrôles). Plus rapide et moins cher (15-30 k€). Type II : audit sur une période de 6-12 mois (efficacité opérationnelle des contrôles). Plus exigeant et reconnu (30-60 k€).
SOC 2 et ISO 27001 partagent ~70-80% des contrôles. Une PME déjà certifiée ISO 27001 atteint SOC 2 Type II avec un effort modéré (3-6 mois). À l'inverse, démarrer par SOC 2 sans ISO 27001 est possible mais moins structurant à long terme.
Audit obligatoirement réalisé par un cabinet CPA américain agréé AICPA (Big 4, Schellman, Prescient, etc.). Cycle annuel pour Type II. La France a peu de cabinets habilités — la plupart des SaaS français passent par des cabinets US ou des partenariats.
Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.