SOC 2 pour les RSSI français : ce qu'il faut savoir
SOC 2 est devenu un standard B2B incontournable, même en France. Décryptage de ce qu'il est vraiment, pour qui, à quel coût.
C'est quoi SOC 2 exactement ?
SOC 2 = Service Organization Control 2. C'est un standard d'audit américain géré par l'AICPA (American Institute of CPAs) depuis 2010. Pas une loi, pas une certification, mais un rapport d'audit réalisé par un cabinet comptable habilité.
L'objectif : prouver que ton SaaS gère sérieusement la sécurité, la confidentialité et l'intégrité des données clients. C'est devenu le standard de facto demandé en due diligence par les acheteurs B2B sérieux — y compris en France.
SOC 2 Type I vs Type II : la différence essentielle
| Type | Période évaluée | Coût FR moyen | Délai |
|---|---|---|---|
| Type I | État à un instant T | 15-30 k€ | 2-3 mois |
| Type II | Sur 6 à 12 mois d'observation | 50-150 k€ | 9-15 mois |
Type I = photo. L'auditeur regarde si tes contrôles existent à un moment donné. C'est le ticket d'entrée.
Type II = film. L'auditeur observe pendant 6+ mois si tes contrôles fonctionnent réellement au quotidien. C'est le vrai standard exigé en B2B sérieux.
Règle simple : si on te demande "tu as SOC 2 ?", ils veulent du Type II. Le Type I sert surtout d'étape intermédiaire pour rassurer pendant qu'on prépare le Type II.
Les 5 critères (Trust Services Criteria)
SOC 2 couvre 5 domaines, dont Security est OBLIGATOIRE. Les 4 autres sont optionnels selon le besoin.
| TSC | Nom | Obligatoire ? | Pertinent pour qui ? |
|---|---|---|---|
| Security (CC1-CC9, 33 critères) | Sécurité de l'information | ✅ OUI | Tous |
| Availability | Disponibilité du service | Non | SaaS critique (SLA fort) |
| Processing Integrity | Intégrité du traitement | Non | Finance, paiement |
| Confidentiality | Confidentialité contractuelle | Non | Données business sensibles |
| Privacy | Vie privée (PII) | Non | B2C, données médicales |
90 % des SOC 2 audités ne couvrent que Security. C'est largement suffisant pour rassurer un acheteur B2B classique.
Qui te demande SOC 2 en France ?
Le mythe : "SOC 2 c'est pour les US, en France c'est ISO 27001". Faux.
Les acheteurs FR qui demandent SOC 2 en 2026 :
- Toute scale-up B2B avec investisseurs US (Sequoia, a16z, Insight)
- Entreprises FR qui revendent leurs services aux clients US : leur DSI américain exige SOC 2 sur l'ensemble de la supply chain
- Filiales françaises de groupes US (Microsoft France, AWS Paris, Salesforce France)
- Scale-ups SaaS B2B qui veulent grossir à l'international
- Cabinets de conseil & audit qui traitent des données financières de clients américains
Le marché US représente 60 % du SaaS B2B mondial. Si tu vises ces clients, SOC 2 n'est plus optionnel.
SOC 2 vs ISO 27001 : quel choix faire ?
Question fréquente. Réponse pragmatique :
| Critère | ISO 27001 | SOC 2 |
|---|---|---|
| Origine | International (ISO/IEC) | Américain (AICPA) |
| Démarche | Certification (système qualité) | Audit (rapport) |
| Coût FR | 30-80 k€ initial + 15 k€/an | 50-150 k€ Type II |
| Délai | 9-12 mois | 9-15 mois (Type II) |
| Reconnu en France | ✅ Fort (référence ANSSI) | 🟡 Moyen (plutôt B2B B2 international) |
| Reconnu aux US | 🟡 Moyen (preferé ISO ou SOC 2) | ✅ Fort (standard de facto) |
| Reconnu en UE | ✅ Très fort | 🟡 Moyen |
Recommandation pratique 2026 :
- Tu vends principalement aux PME/ETI françaises → ISO 27001 prioritaire
- Tu vends aux scale-ups & corporates internationaux → SOC 2 Type II prioritaire
- Tu vends aux deux → ISO 27001 d'abord (couvre 70 % des contrôles SOC 2), puis SOC 2 Type II en s'appuyant sur l'ISO
Combien ça coûte vraiment (chiffres FR 2026)
SOC 2 Type I :
- Audit : 15-30 k€ HT par un cabinet PASSI / cabinet US habilité (KPMG, Deloitte, EY, Grant Thornton, Mazars, Drata, Vanta-pilote)
- Préparation interne (RSSI temps partiel ou consultant) : 20-40 j
SOC 2 Type II (cycle 12 mois) :
- Audit annuel : 30-50 k€ HT
- Maintien continu : 1 ETP RSSI/Compliance ou logiciel automation (Drata, Vanta, Secureframe) ~12 k€/an
- Coût total annuel : 50-150 k€
À comparer au gain : ouvrir le marché US peut représenter +30 % à +200 % de CA selon le secteur. ROI positif dès la 1ère grosse signature.
Quels contrôles SOC 2 sont LES PLUS critiques ?
Sur les 33 Common Criteria, voici ceux qui font systématiquement l'objet de questions :
- CC6.1 : MFA obligatoire sur tous les comptes (TOTP minimum, FIDO2 pour admins)
- CC6.2 : Procédure documentée d'onboarding/offboarding utilisateurs (< 24h)
- CC6.3 : Revue trimestrielle des accès privilégiés (inventaire formalisé)
- CC7.2 : Détection d'anomalie en production (SIEM, logs centralisés)
- CC7.4 : Plan de réponse à incident testé annuellement
- CC8.1 : Code review obligatoire + CI/CD avec tests automatisés
- CC9.1 : Plan de continuité (DRP) testé annuellement
Si tu coches ces 7, tu as 80 % du SOC 2 Security. Le reste est du process et de la documentation.
Les pièges courants
Piège 1 - "Acheter un outil suffit"
Drata, Vanta, Secureframe automatisent la collecte de preuves. Ils n'auditent pas : c'est toujours un cabinet PASSI/CPA qui audite. L'outil ne te transforme pas en SOC 2 — il prépare ton SOC 2.
Piège 2 - "SOC 2 = sécurité"
SOC 2 c'est aussi de la gouvernance : organigramme, séparation des tâches, gestion RH, conduite des risques. Un solo founder excellent technique peut échouer SOC 2 sur la gouvernance.
Piège 3 - "On commence direct par Type II"
Type II demande 6+ mois d'observation. Si tu démarres direct, tu rates 6-12 mois de préparation. Type I d'abord, puis Type II avec un cycle d'observation maîtrisé.
Et Humanix dans tout ça ?
Humanix Académie n'est pas certifiée SOC 2 (la décision est en évaluation pour Q1 2028). En attendant, on publie sur /conformite/soc2 le mapping détaillé de nos contrôles alignés sur les 33 Common Criteria SOC 2 — pour faciliter les due diligence des clients qui en font la demande.
L'alignement actuel (auto-évaluation honnête) couvre les contrôles techniques (CC6.x, CC7.x, CC8.1) à ~95 %. Les contrôles de gouvernance (CC1.x, CC3.x) restent à formaliser quand l'effectif dépassera 5 personnes.
La règle d'or
SOC 2 n'est pas un cocher de cases. C'est un changement de culture organisationnelle : tout est documenté, tracé, revu périodiquement. Si tu démarres "pour fermer une vente", tu rateras. Si tu démarres "pour structurer ta boîte", tu réussiras.
Bonne nouvelle : la France a maintenant des cabinets habilités SOC 2 (KPMG, Deloitte, EY, Mazars) avec des consultants francophones. Plus besoin de tout faire en anglais avec un cabinet US.
Partage cet article
Quelqu'un autour de toi pourrait avoir besoin de ces réflexes. Le lien est gratuit, sans inscription.
Chaque partage te rapproche du badge « Ambassadeur cyber » 🎖️