Réponse GRC

Qu’est-ce qu’un rapport SOC 2 et qui le consulte ?

Réponse directe

Un rapport SOC 2 est le document issu d’une mission d’attestation : un cabinet d’experts-comptables indépendant examine les contrôles d’une organisation de services au regard des critères de services fiduciaires de l’AICPA et émet une opinion formelle. Le rapport est un document privé — contrairement à un certificat ISO 27001, il n’est pas vérifiable publiquement. Il est communiqué sous NDA aux clients entreprises et prospects qui le demandent lors de la due diligence fournisseur. Les équipes achats et sécurité examinent trois éléments dans un rapport SOC 2 : l’opinion de l’auditeur (sans réserve ou avec exceptions), la description du système (quels services et systèmes étaient dans le périmètre), et le tableau des exceptions (contrôles en échec ou en déviation pendant la période d’audit). Un périmètre trop étroit ou une opinion avec réserve soulève des questions que l’acheteur posera. Un rapport Type II avec une opinion sans réserve et un périmètre adapté est l’artefact qui conclut des contrats entreprises là où un questionnaire sécurité fournisseur seul ne suffirait pas. Le rapport est généralement renouvelé chaque année — d’où le caractère continu de la période d’observation plutôt qu’un exercice ponctuel.

Et maintenant

Solution SOC 2 par Acuna