Réponse GRC
SOC 2 ou ISO 27001 : quelle différence ?
Réponse directe
SOC 2 et ISO 27001 traitent tous deux des contrôles de sécurité de l’information, mais leur architecture diffère. ISO 27001 produit un certificat : délivré par un organisme de certification accrédité, valable trois ans, reconnu mondialement et vérifiable publiquement. SOC 2 produit un rapport d’attestation : émis par un cabinet d’experts-comptables agréé, distribué de manière privée, renouvelé chaque année, et devenu la norme sur le marché entreprise américain. ISO 27001 exige un SMSI formel avec un périmètre documenté, une analyse des risques et une Déclaration d’applicabilité pour les 93 contrôles de l’Annexe A. SOC 2 s’organise autour des critères de services fiduciaires de l’AICPA — la Sécurité (CC) est obligatoire, les quatre autres catégories sont optionnelles. Le recoupement des contrôles est important : CC6 (contrôles d’accès logiques) recoupe ISO 27001 A.5.15–A.5.18 ; CC9.2 (suivi des fournisseurs), A.5.19–A.5.23 ; CC7 (opérations), les contrôles ISO 27001 A.8.x. Les organisations qui courent les deux référentiels cartographient une fois et réutilisent les preuves plutôt que de maintenir des jeux parallèles. Le choix dépend de vos acheteurs. ISO 27001 est l’attente sur le marché entreprise européen et international. SOC 2 est la norme du marché américain et est fréquemment exigé par les services achats d’entreprises américaines avant signature. De nombreuses organisations actives sur les deux marchés — dont des sociétés françaises visant l’accès au marché américain — poursuivent les deux démarches.
Questions connexes