Quand vous préparez votre premier audit SOC 2, mappez chaque Trust Service Criteria dans une matrice de contrôles que vous pouvez remettre à l'auditeur. — Claude Skill
Une compétence Claude pour Claude Code par Alireza Rezvani — exécuter /soc2-compliance dans Claude·Mis à jour le 5 juin 2026
Construisez une matrice de contrôles SOC 2 et une analyse des écarts pour un premier audit.
- Préparation au premier audit SOC 2 : évaluation de préparation Type I ou Type II
- Trust Service Criteria mappés vers un modèle de matrice de contrôles
- Analyse des écarts : contrôles manquants, contrôles nécessitant des preuves, contrôles faibles
- Section gestion fournisseurs pour les revues de sous-traitants
- Sortie : matrice de contrôles, rapport d'écarts et checklist de préparation à l'audit
Pour qui
Remettez à l'auditeur une matrice de contrôles dès le premier jour — pas 3 semaines d'allers-retours de cadrage
Voir les compétences de ce rôleLa section gestion fournisseurs + checklist de préparation audit rendent la conformité des sous-traitants traçable
Voir les compétences de ce rôleCe qu'il fait
Votre CEO a promis un rapport SOC 2 au plus gros opportunité du portefeuille commercial. Vous n'en avez jamais fait. Parcourez le framework : quelles catégories TSC s'appliquent (la plupart des SaaS = CC1-CC9 plus A1), ce que Type I vs Type II signifie dans votre cas, quels contrôles existent déjà et ce qui manque.
L'auditeur veut la matrice de contrôles avant le kickoff. Parcourez votre setup, générez le tableau qui mappe chaque critère à votre contrôle actuel (avec référence de preuve) ou à un écart (avec étape de remédiation).
L'auditeur a signalé que les revues de sous-traitants sont faibles. Construisez l'inventaire fournisseurs, classez par sensibilité des données, ajoutez la dernière date de revue et le statut du rapport SOC 2, puis faites ressortir les fournisseurs sans revue depuis 12+ mois.
Vous avez passé Type II. L'auditeur revient dans 12 mois. Mettez en place le rythme : quelles preuves se collectent automatiquement, lesquelles demandent une revue trimestrielle, quels signaux d'alerte comptent.
Fonctionnement
Commencez par décrire votre activité : produit SaaS, hébergement, types de données client, type d'audit (I ou II), taille d'équipe.
Parcourez les Trust Service Criteria un par un. Pour chacun : avez-vous un contrôle ? Où est la preuve ? Est-il opérationnel ?
Le skill construit la matrice de contrôles : chaque critère mappé à une description de contrôle, un pointeur de preuve et un statut (en place, partiel, manquant).
L'analyse des écarts classe les contrôles manquants ou faibles par risque d'audit et effort de remédiation.
Sortie : matrice de contrôles en tableau markdown plus rapport d'écarts, checklist de préparation à l'audit et inventaire fournisseurs.
Exemple
Outil SaaS PM, premier audit SOC 2, un client pousse pour Type II. Nous avons Okta SSO, GitHub, AWS, Stripe, HubSpot. Pas encore d'équipe sécurité.
Type I maintenant (3 mois de préparation plus 1 mois d'audit), puis observation Type II 6 mois plus tard. Les premières organisations sans équipe sécurité ne devraient PAS viser directement Type II.
27 contrôles mappés. En place : 14 (CC2-CC5 surtout documents de politique, plus accès pilotés par Okta). Partiels : 8 (CC6 nécessite centralisation des preuves, scan de vulnérabilités CC7 manquant). Manquants : 5 (processus formel de gestion des changements CC8, revues fournisseurs CC9).
1. Politique formelle de gestion des changements CC8 plus application obligatoire des revues de PR GitHub. 2. Inventaire fournisseurs CC9 plus revues sous-traitants pour AWS, Stripe, HubSpot. 3. Cadence de scans de vulnérabilités CC7.4 (hebdomadaire plus post-déploiement). 4. Revue trimestrielle des accès CC6.8. 5. Document d'évaluation des risques CC2.3.
Avant le kickoff avec l'auditeur : documents de politique centralisés, matrice de contrôles partagée, structure de dossiers de preuves créée (un par critère), inventaire fournisseurs complet, logs des revues d'accès des 90 derniers jours exportés.
Métriques améliorées
Compatible avec
La matrice de contrôles et l'inventaire fournisseurs vivent dans des spreadsheets, faciles à remettre à l'auditeur
Accords fournisseurs et attestations de sous-traitants pour CC9
Tickets de remédiation par écart, preuves de change management pour CC8
Documents de politique, checklist critère par critère, tracker de préparation audit
Envie d'utiliser Conformité SOC 2 ?
Choisissez comment commencer.
Installez et exécutez cette compétence localement sur votre ordinateur.
Ouvrez un terminal sur votre ordinateur et collez cette commande :
Cela télécharge la compétence avec tous ses fichiers sur votre ordinateur :
Ajoutez -g à la fin pour le rendre disponible dans tous vos projets.
Démarrez Claude Code, puis tapez la commande :
Conformité SOC 2
Préparation à la conformité SOC 2 Type I et Type II pour entreprises SaaS. Couvre le mapping des Trust Service Criteria, la génération de matrices de contrôles, la collecte de preuves, l'analyse d'écarts et l'évaluation de préparation à l'audit.
Table des matières
- Vue d'ensemble
- Trust Service Criteria
- Génération de matrice de contrôles
- Workflow d'analyse d'écarts
- Collecte de preuves
- Checklist de préparation à l'audit
- Gestion fournisseurs
- Conformité continue
- Anti-patterns
- Outils
- Références
- Références croisées
Vue d'ensemble
Qu'est-ce que SOC 2 ?
SOC 2 (System and Organization Controls 2) est un framework d'audit développé par l'AICPA qui évalue la façon dont une organisation de services gère les données client. Il s'applique à toute entreprise technologique qui stocke, traite ou transmet des informations client, principalement les fournisseurs SaaS, d'infrastructure cloud et de services managés.
Type I vs Type II
| Aspect | Type I | Type II |
|---|---|---|
| Périmètre | Conception des contrôles à un instant donné | Conception ET efficacité opérationnelle sur une période |
| Durée | Snapshot (date unique) | Fenêtre d'observation (3-12 mois, généralement 6) |
| Preuves | Descriptions des contrôles, politiques | Descriptions des contrôles + preuves opérationnelles (logs, tickets, screenshots) |
| Coût | 20 k$-50 k$ (frais d'audit) | 30 k$-100 k$+ (frais d'audit) |
| Calendrier | 1-2 mois (phase d'audit) | 6-12 mois (observation + audit) |
| Idéal pour | Première conformité, besoin marché rapide | Organisations matures, clients enterprise |
Qui a besoin de SOC 2 ?
- Entreprises SaaS qui vendent à des clients enterprise
- Fournisseurs d'infrastructure cloud qui hébergent des workloads client
- Data processors qui gèrent des PII, PHI ou données financières
- Fournisseurs de services managés avec accès aux systèmes clients
- Tout vendor dont les clients exigent une assurance tierce
Parcours typique
Évaluation des écarts → Remédiation → Audit Type I → Période d'observation → Audit Type II → Renouvellement annuel
(4-8 sem.) (8-16 sem.) (4-6 sem.) (6-12 mois) (4-6 sem.) (continu)
Trust Service Criteria
SOC 2 est organisé autour de cinq catégories de Trust Service Criteria (TSC). Security est requise pour chaque rapport SOC 2 ; les quatre autres sont optionnelles et sélectionnées selon le besoin métier.
Security (critères communs CC1-CC9) — requis
La base de tout rapport SOC 2. Mappée aux principes COSO 2013.
| Critère | Domaine | Contrôles clés |
|---|---|---|
| CC1 | Environnement de contrôle | Intégrité/éthique, supervision du board, structure organisationnelle, compétence, accountability |
| CC2 | Communication et information | Communication interne/externe, qualité de l'information |
| CC3 | Évaluation des risques | Identification des risques, risque de fraude, analyse d'impact des changements |
| CC4 | Activités de monitoring | Monitoring continu, évaluation des déficiences, actions correctives |
| CC5 | Activités de contrôle | Politiques/procédures, contrôles technologiques, déploiement via politiques |
| CC6 | Accès logique et physique | Provisioning d'accès, authentification, chiffrement, restrictions physiques |
| CC7 | Opérations système | Gestion des vulnérabilités, détection d'anomalies, réponse aux incidents |
| CC8 | Gestion du changement | Autorisation, tests, approbation, changements d'urgence |
| CC9 | Mitigation des risques | Gestion des risques vendors/partenaires métier |
Availability (A1) — optionnel
| Critère | Focus | Contrôles clés |
|---|---|---|
| A1.1 | Gestion de capacité | Scaling d'infrastructure, monitoring des ressources, planification de capacité |
| A1.2 | Opérations de restauration | Procédures de backup, disaster recovery, tests BCP |
| A1.3 | Tests de restauration | Exercices DR, tests de failover, validation RTO/RPO |
À sélectionner quand : vos clients dépendent de votre uptime ; vous avez des SLA ; le downtime cause un impact business direct.
Confidentiality (C1) — optionnel
| Critère | Focus | Contrôles clés |
|---|---|---|
| C1.1 | Identification | Politique de classification des données, inventaire des données confidentielles |
| C1.2 | Protection | Chiffrement au repos et en transit, DLP, restrictions d'accès |
| C1.3 | Destruction | Procédures de suppression sécurisée, nettoyage des supports, enforcement de rétention |
À sélectionner quand : vous manipulez des secrets commerciaux, données propriétaires ou informations contractuellement confidentielles.
Processing Integrity (PI1) — optionnel
| Critère | Focus | Contrôles clés |
|---|---|---|
| PI1.1 | Exactitude | Validation d'entrée, checks de traitement, vérification de sortie |
| PI1.2 | Complétude | Monitoring de transactions, réconciliation, gestion des erreurs |
| PI1.3 | Ponctualité | Monitoring SLA, alertes de retard de traitement, monitoring des batch jobs |
| PI1.4 | Autorisation | Contrôles d'autorisation de traitement, séparation des tâches |
À sélectionner quand : l'exactitude des données est critique (traitement financier, dossiers santé, plateformes analytics).
Privacy (P1-P8) — optionnel
| Critère | Focus | Contrôles clés |
|---|---|---|
| P1 | Notice | Politique de confidentialité, notice de collecte, limitation de finalité |
| P2 | Choix et consentement | Opt-in/opt-out, gestion du consentement, suivi des préférences |
| P3 | Collecte | Collecte minimale, base légale, spécification de finalité |
| P4 | Usage, rétention, destruction | Limitation de finalité, calendriers de rétention, destruction sécurisée |
| P5 | Accès | Demandes d'accès des personnes concernées, droits de correction |
| P6 | Divulgation et notification | Partage tiers, notification de violation |
| P7 | Qualité | Vérification d'exactitude des données, mécanismes de correction |
| P8 | Monitoring et enforcement | Monitoring du programme privacy, gestion des plaintes |
À sélectionner quand : vous traitez des PII et vos clients attendent une assurance privacy (complète la conformité GDPR).
Génération de matrice de contrôles
Une matrice de contrôles mappe chaque critère TSC à des contrôles spécifiques, owners, preuves et procédures de test.
Structure de la matrice
| Champ | Description |
|---|---|
| Control ID | Identifiant unique (ex. SEC-001, AVL-003) |
| Mapping TSC | Critères couverts par le contrôle (ex. CC6.1, A1.2) |
| Description du contrôle | Ce que fait le contrôle |
| Type de contrôle | Préventif, détectif ou correctif |
| Owner | Personne/équipe responsable |
| Fréquence | Continue, quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle |
| Type de preuve | Screenshot, log, politique, config, ticket |
| Procédure de test | Comment l'auditeur vérifie le contrôle |
Convention de nommage des contrôles
{CATEGORY}-{NUMBER}
SEC-001 à SEC-NNN → Security
AVL-001 à AVL-NNN → Availability
CON-001 à CON-NNN → Confidentiality
PRI-001 à PRI-NNN → Processing Integrity
PRV-001 à PRV-NNN → Privacy
Workflow
- Sélectionner les catégories TSC applicables selon les besoins métier
- Lancer
control_matrix_builder.pypour générer la matrice de base - Adapter les contrôles à votre environnement réel
- Assigner les owners et exigences de preuves
- Valider la couverture : chaque critère TSC sélectionné doit avoir au moins un contrôle
Workflow d'analyse d'écarts
Phase 1 : évaluation de l'état actuel
- Documenter les contrôles existants — inventorier toutes les politiques, procédures et contrôles techniques de sécurité
- Mapper aux TSC — aligner les contrôles existants avec les Trust Service Criteria
- Collecter des échantillons de preuves — rassembler la preuve que les contrôles existent et opèrent
- Interviewer les owners de contrôles — vérifier la compréhension et l'exécution
Phase 2 : identification des écarts
Lancer gap_analyzer.py sur vos contrôles actuels pour identifier :
- Contrôles manquants — critères TSC sans contrôle correspondant
- Partiellement implémentés — contrôle existant mais sans preuve ou cohérence
- Écarts de design — contrôle conçu mais ne couvrant pas suffisamment le critère
- Écarts opérationnels (Type II seulement) — contrôle bien conçu mais pas efficace en opération
Phase 3 : planification de remédiation
Pour chaque écart, définir :
| Champ | Description |
|---|---|
| Gap ID | Identifiant de référence |
| Critère TSC | Critère affecté |
| Description de l'écart | Ce qui manque ou est insuffisant |
| Action de remédiation | Étapes précises pour fermer l'écart |
| Owner | Personne responsable de la remédiation |
| Priorité | Critique / haute / moyenne / basse |
| Date cible | Deadline de complétion |
| Dépendances | Autres écarts ou projets à terminer d'abord |
Phase 4 : planification du calendrier
| Priorité | Remédiation cible |
|---|---|
| Critique | 2-4 semaines |
| Haute | 4-8 semaines |
| Moyenne | 8-12 semaines |
| Basse | 12-16 semaines |
Collecte de preuves
Types de preuves par catégorie de contrôle
| Domaine de contrôle | Preuve principale | Preuve secondaire |
|---|---|---|
| Gestion des accès | Revues d'accès utilisateur, tickets de provisioning | Matrice de rôles, logs d'accès |
| Gestion du changement | Tickets de changement, enregistrements d'approbation | Logs de déploiement, résultats de tests |
| Réponse aux incidents | Tickets d'incident, postmortems | Runbooks, registres d'escalade |
| Gestion des vulnérabilités | Rapports de scan, registres de patch | Timelines de remédiation |
| Chiffrement | Screenshots de configuration, inventaire de certificats | Logs de rotation de clés |
| Backup et restauration | Logs de backup, résultats de tests DR | Mesures de temps de restauration |
| Monitoring | Configurations d'alertes, screenshots de dashboards | Plannings d'astreinte, registres d'escalade |
| Gestion des politiques | Politiques signées, historique de versions | Registres de complétion de formation |
| Gestion fournisseurs | Évaluations fournisseurs, rapports SOC 2 | Revues de contrats, registres de risques |
Opportunités d'automatisation
| Domaine | Approche d'automatisation |
|---|---|
| Revues d'accès | Intégrer IAM avec ticketing (déclencheurs automatiques de revue trimestrielle) |
| Preuves de configuration | Snapshots infrastructure-as-code, outils compliance-as-code |
| Scans de vulnérabilités | Scans planifiés avec rapports auto-générés |
| Gestion du changement | Traçabilité Git (commits, PRs, approbations) |
| Monitoring d'uptime | Dashboards SLA automatisés avec données historiques |
| Vérification de backup | Tests de restauration automatisés avec logs succès/échec |
Monitoring continu
Passer de la collecte ponctuelle de preuves à la conformité continue :
- Collecte automatisée de preuves — scripts qui tirent les preuves selon un planning
- Dashboards de contrôles — visibilité temps réel sur le statut des contrôles
- Monitoring basé sur alertes — notifier quand un contrôle dérive hors conformité
- Dépôt de preuves — stockage centralisé, horodaté des preuves
Checklist de préparation à l'audit
Préparation pré-audit (4-6 semaines avant)
- Tous les contrôles documentés avec descriptions, owners et fréquences
- Preuves collectées sur toute la période d'observation (Type II)
- Matrice de contrôles revue et écarts remédiés
- Politiques signées et distribuées dans les 12 derniers mois
- Revues d'accès complétées à la fréquence requise
- Scans de vulnérabilités à jour (aucune critique/haute non patchée > SLA)
- Plan de réponse aux incidents testé dans les 12 derniers mois
- Évaluations de risque fournisseurs à jour pour toutes les organisations sous-traitantes
- DR/BCP testé et documenté dans les 12 derniers mois
- Formation sécurité employés complétée pour tout le personnel
Scoring de préparation
| Score | Rating | Signification |
|---|---|---|
| 90-100 % | Prêt pour audit | Avancer avec confiance |
| 75-89 % | Écarts mineurs | Traiter avant de planifier l'audit |
| 50-74 % | Écarts significatifs | Remédiation requise |
| < 50 % | Pas prêt | Construction majeure du programme nécessaire |
Constats d'audit courants
| Constat | Cause racine | Prévention |
|---|---|---|
| Revues d'accès incomplètes | Process manuel, pas de rappels | Automatiser les déclencheurs de revue trimestrielle |
| Approbations de changement manquantes | Les changements d'urgence contournent le process | Définir une procédure de changement d'urgence avec approbation post-hoc |
| Scans de vulnérabilités obsolètes | Scanner mal configuré | Scans hebdomadaires automatisés avec alerting |
| Politique non reconnue | Aucun mécanisme de tracking | Workflow annuel de signature électronique |
| Évaluations fournisseurs manquantes | Aucun inventaire fournisseurs | Maintenir un registre fournisseurs avec planning de revue |
Gestion fournisseurs
Évaluation des risques tiers
Chaque fournisseur qui accède, stocke ou traite des données client doit être évalué :
- Inventaire fournisseurs — maintenir un registre de tous les prestataires de services
- Classification du risque — catégoriser les fournisseurs par niveau d'accès aux données
- Due diligence — collecter rapports SOC 2, questionnaires sécurité, certifications
- Protections contractuelles — assurer DPA, exigences sécurité, clauses de notification de violation
- Monitoring continu — réévaluation annuelle, veille d'actualité continue
Tiers de risque fournisseur
| Tier | Accès aux données | Fréquence d'évaluation | Exigences |
|---|---|---|---|
| Critique | Traite/stocke des données client | Annuel + monitoring continu | SOC 2 Type II, test d'intrusion, revue sécurité |
| Haut | Accède à l'environnement client | Annuel | SOC 2 Type II ou équivalent, questionnaire |
| Moyen | Accès indirect, outils de support | Questionnaire annuel | Certifications sécurité, questionnaire |
| Bas | Aucun accès aux données | Questionnaire bisannuel | Questionnaire sécurité de base |
Organisations sous-traitantes
Quand votre rapport SOC 2 dépend de contrôles chez une organisation sous-traitante (ex. AWS, GCP, Azure) :
- Méthode inclusive — votre rapport couvre les contrôles de l'organisation sous-traitante (requiert sa coopération)
- Méthode carve-out — votre rapport exclut leurs contrôles mais référence leur rapport SOC 2
- La plupart des entreprises utilisent le carve-out et incluent les complementary user entity controls (CUECs)
Conformité continue
Du ponctuel au continu
| Aspect | Ponctuel | Continu |
|---|---|---|
| Collecte de preuves | Manuelle, avant audit | Automatisée, continue |
| Monitoring des contrôles | Revue périodique | Dashboards temps réel |
| Détection de dérive | Trouvée pendant l'audit | Basée sur alertes, immédiate |
| Remédiation | Réactive | Proactive |
| Préparation d'audit | Rush de 4-8 semaines | Toujours prêt |
Étapes d'implémentation
- Automatiser la collecte de preuves — cron jobs, intégrations API, snapshots IaC
- Construire des dashboards de contrôle — agréger le statut des contrôles en une seule vue
- Configurer les alertes de dérive — notifier quand les contrôles sortent de conformité
- Établir une cadence de revue — points hebdomadaires avec owners de contrôles, steering mensuel
- Maintenir le dépôt de preuves — centralisé, horodaté, accessible à l'auditeur
Cycle annuel de réévaluation
| Trimestre | Activités |
|---|---|
| T1 | Évaluation annuelle des risques, refresh des politiques, lancement de la réévaluation fournisseurs |
| T2 | Tests internes de contrôles, remédiation des constats |
| T3 | Revue de préparation pré-audit, vérification de complétude des preuves |
| T4 | Audit externe, assertion du management, distribution du rapport |
Anti-patterns
| Anti-pattern | Pourquoi ça échoue | Meilleure approche |
|---|---|---|
| Conformité ponctuelle | Les contrôles se dégradent entre audits ; les écarts sont trouvés pendant l'audit | Implémenter monitoring continu et preuves automatisées |
| Collecte manuelle de preuves | Chronophage, incohérente, sujette aux erreurs | Automatiser avec scripts, IaC et plateformes compliance |
| Évaluations fournisseurs manquantes | Les auditeurs signalent une due diligence fournisseur incomplète | Maintenir un registre fournisseurs avec calendrier d'évaluation par risque |
| Politiques copiées-collées | Les politiques génériques ne correspondent pas aux opérations réelles | Adapter les politiques à votre environnement et stack technologique réels |
| Théâtre de sécurité | Les contrôles existent sur papier mais ne sont pas suivis | Vérifier l'efficacité opérationnelle ; intégrer les contrôles aux workflows |
| Sauter le Type I | Passer au Type II sans préparation de base | Commencer par Type I pour valider le design des contrôles avant observation |
| Sur-scoper les TSC | Inclure les 5 catégories quand seule Security est nécessaire | Sélectionner les catégories selon les exigences client/business réelles |
| Traiter l'audit comme un projet | La conformité se dégrade après émission du rapport | Intégrer la conformité aux opérations quotidiennes et à la culture engineering |
Outils
Control Matrix Builder
Génère une matrice de contrôles SOC 2 à partir des catégories TSC sélectionnées.
# Générer la matrice Security complète en markdown
python scripts/control_matrix_builder.py --categories security --format md
# Générer une matrice pour plusieurs catégories en JSON
python scripts/control_matrix_builder.py --categories security,availability,confidentiality --format json
# Toutes les catégories, sortie CSV
python scripts/control_matrix_builder.py --categories security,availability,confidentiality,processing-integrity,privacy --format csv
Evidence Tracker
Suit le statut de collecte de preuves par contrôle.
# Vérifier le statut des preuves depuis une matrice de contrôles
python scripts/evidence_tracker.py --matrix controls.json --status
# Sortie JSON pour intégration
python scripts/evidence_tracker.py --matrix controls.json --status --json
Gap Analyzer
Analyse les contrôles actuels face aux exigences SOC 2 et identifie les écarts.
# Analyse d'écarts Type I
python scripts/gap_analyzer.py --controls current_controls.json --type type1
# Analyse d'écarts Type II (inclut l'efficacité opérationnelle)
python scripts/gap_analyzer.py --controls current_controls.json --type type2 --json
Références
- Trust Service Criteria Reference — Les 5 catégories TSC avec sous-critères, objectifs de contrôle et exemples de preuves
- Evidence Collection Guide — Types de preuves par contrôle, outils d'automatisation, exigences de documentation
- Type I vs Type II Comparison — Comparaison détaillée, calendrier, analyse de coût et chemin d'upgrade
Références croisées
- gdpr-dsgvo-expert — Les critères Privacy SOC 2 chevauchent fortement les exigences GDPR ; utiliser ensemble lors du traitement de données personnelles UE
- information-security-manager-iso27001 — Les contrôles ISO 27001 Annex A se mappent étroitement aux critères Security SOC 2 ; les organisations poursuivant les deux peuvent partager des preuves
- isms-audit-expert — La méthodologie d'audit et les patterns de gestion des constats se transfèrent directement à la préparation d'audit SOC 2