Quand l'audit SOC 2 est dans 6 mois et que votre portefeuille commercial enterprise dépend du rapport, parcourez chaque contrôle TSC avec les preuves d'infrastructure prêtes. — Claude Skill
Une compétence Claude pour Claude Code par borghei — exécuter /soc2-compliance-expert dans Claude·Mis à jour le 5 juin 2026·v1.0.0
Passez en revue les contrôles des critères SOC 2 Trust Services avec des preuves prêtes pour l'audit.
- Couvre Type I et Type II : conception et efficacité opérationnelle sur des périodes d'observation de 3 à 12 mois
- Chaque catégorie TSC mappée : CC1-CC9 (critères communs), A1 (disponibilité), PI1 (intégrité du traitement), C1 (confidentialité), P1 (vie privée)
- Validation d'infrastructure : cloud (AWS, GCP, Azure), DNS, TLS, endpoints, pipelines CI/CD
- Collecte de preuves d'audit par contrôle : logs, tickets, captures d'écran, documents de politique
- Sortie : rapport d'analyse des écarts, plan de remédiation et index de preuves prêt pour l'auditeur
Pour qui
Parcourez chaque contrôle TSC avec les preuves d'infrastructure avant l'arrivée de l'auditeur — plus de panique la première semaine d'audit
Voir les compétences de ce rôleObtenez une synthèse de risque prête pour le board et une timeline de remédiation liée au portefeuille commercial de opportunités enterprise
Voir les compétences de ce rôleCe qu'il fait
Vous avez promis à l'équipe commerciale un rapport Type I d'ici le T4. Une analyse des écarts en 30 minutes fait ressortir les 12 contrôles encore non conçus, les 8 qui nécessitent des documents de politique et les 4 qui demandent des changements d'infrastructure, avec calendriers de remédiation.
Vous venez de terminer Type I. La fenêtre d'observation de 6 mois démarre lundi. Passez en revue les flux de preuves à automatiser (logs, revues d'accès, tickets de changement) avant le retour de l'auditeur, ce qui reste manuel et où les écarts apparaîtront.
Les contrôles CC8 (gestion des changements) sont faibles. Parcourez GitHub et le portefeuille commercial de déploiement. Identifiez où ajouter l'application obligatoire des revues de code, l'attachement automatique des numéros de tickets Jira aux commits et la structure CODEOWNERS requise.
Les contrôles d'accès logiques et physiques (CC6.6, CC6.7) exigent des contrôles cryptographiques. Auditez DNS, configurations TLS, suivi d'expiration des certificats et preuves de chiffrement au repos pour obtenir le tableau attendu par l'auditeur dans le dossier de preuves.
Fonctionnement
Commencez par une évaluation de préparation : quelles catégories TSC sont dans le périmètre (la plupart des SaaS couvrent CC1-CC9 plus A1).
Mappez vos contrôles actuels par critère. Le skill parcourt chaque critère avec des questions concrètes.
Faites ressortir les écarts : contrôles non conçus, conçus mais non opérationnels, opérationnels mais sans preuve.
Pour chaque écart : étapes de remédiation, modèle de validation d'infrastructure (cloud, DNS, TLS, endpoints, CI/CD) et preuve cible.
Sortie : rapport d'écarts, plan de remédiation classé par risque d'audit et index de preuves par critère prêt pour l'auditeur.
Exemple
Outil SaaS de gestion produit, 280 ingénieurs, hébergé sur AWS multi-région. L'audit Type II commence dans 4 mois. Rapport Type I de 2025. ISMS en place, mais la collecte des preuves est manuelle.
CC1-CC5 (critères communs) : 23/27 contrôles conçus, 4 nécessitent une mise à jour des politiques. CC6-CC9 : 21 contrôles — forts sur les contrôles d'accès, faibles sur les preuves de gestion des changements (CC8.1-CC8.3). A1 (disponibilité) : 5 contrôles — les runbooks DR existent, mais le journal d'exercice DR manque pour 2024.
1. CC8.1 — aucune application obligatoire des revues de PR GitHub sur le dépôt infrastructure-as-code. 2. CC7.4 — le calendrier des scans de vulnérabilités est documenté, mais le journal des preuves n'est pas centralisé. 3. CC6.8 — pas de revue automatisée des accès utilisateurs tous les 90 jours. 4. A1.2 — l'exercice DR de 2024 n'a pas de post-mortem documenté. 5. PI1.4 — la logique de validation des données n'est pas documentée par point de traitement.
Mois 1 : politiques et documents de processus pour CC8 et CC7.4. Mois 2 : automatiser les revues d'accès CC6.8 via Okta et exports de rôles. Mois 3 : exécuter l'exercice DR et rédiger le post-mortem. Mois 4 : répétition d'audit avec toutes les preuves dans un seul espace.
Chaque critère pointe vers un dossier : /soc2-evidence/CC8.1/, /CC6.8/, etc. Chaque dossier contient un README.md décrivant le contrôle, les fichiers de preuve et un journal des changements.
Métriques améliorées
Compatible avec
Matrice de contrôles et spreadsheet de suivi des écarts, exportable pour l'auditeur
Accords sous-traitants et attestations de politiques pour la gestion fournisseurs CC9
Source des tickets de change management (CC8) et de vulnérabilités (CC7.4)
Documentation politiques et process ; l'index de preuves par critère vit dans une base Notion
Envie d'utiliser Expert conformité SOC 2 ?
Choisissez comment commencer.
Installez et exécutez cette compétence localement sur votre ordinateur.
Ouvrez un terminal sur votre ordinateur et collez cette commande :
Cela télécharge la compétence avec tous ses fichiers sur votre ordinateur :
Ajoutez -g à la fin pour le rendre disponible dans tous vos projets.
Démarrez Claude Code, puis tapez la commande :
Expert conformité SOC 2
Gestion de conformité SOC 2 Type I et Type II couvrant tous les Trust Services Criteria (TSC), la validation de sécurité d'infrastructure, la collecte de preuves et la préparation d'audit de bout en bout.
Vue d'ensemble SOC 2
Type I vs Type II
| Aspect | Type I | Type II |
|---|---|---|
| Périmètre | Conception des contrôles à un instant donné | Conception ET efficacité opérationnelle sur une période |
| Durée | Date unique (snapshot) | Période d'observation (3-12 mois, généralement 6-12) |
| Coût | 20 k$-60 k$ (premier audit) | 40 k$-150 k$ (premier audit) |
| Calendrier | 1-3 mois | 6-15 mois (inclut la période d'observation) |
| Préférence client | Acceptable en early-stage | Requis par les clients enterprise |
Commencez par le Type I pour valider la conception des contrôles, puis passez au Type II sous 6 mois.
Synthèse des Trust Services Criteria
| Catégorie | Focus | Contrôles |
|---|---|---|
| CC1-CC5 | Critères communs (basés sur COSO) | Environnement de contrôle, communication, risque, monitoring, activités de contrôle |
| CC6 | Accès logique et physique | Authentification, autorisation, sécurité physique, chiffrement |
| CC7 | Opérations système | Gestion des vulnérabilités, monitoring, réponse aux incidents, BCP |
| CC8 | Gestion du changement | Autorisation, tests, contrôles de déploiement |
| CC9 | Mitigation des risques | Gestion fournisseurs, interruption d'activité, transfert de risque |
| A1 | Disponibilité | Planification de capacité, DR, tests de restauration |
| PI1 | Intégrité de traitement | Validation des données, gestion d'erreurs, réconciliation |
| C1 | Confidentialité | Classification, chiffrement, destruction |
| P1 | Confidentialité des données personnelles | Notice, consentement, droits des personnes, rétention |
Pour les exigences détaillées de contrôle par catégorie, voir REFERENCE.md.
Workflow d'évaluation de préparation
L'agent guide les organisations dans la préparation SOC 2 depuis l'analyse d'écarts jusqu'à la finalisation de l'audit.
Workflow : phase 1 -- Analyse d'écarts (semaines 1-4)
- Définir le périmètre -- déterminer les catégories TSC à inclure (Security est obligatoire), définir les frontières système, identifier les organisations sous-traitantes (carve-out vs inclusive), documenter les engagements principaux de service.
- Évaluer l'état actuel -- inventorier les politiques et procédures existantes, mapper les contrôles actuels aux exigences TSC, interviewer les responsables de processus et opérateurs de contrôle.
- Lancer l'analyse automatisée des écarts avec
scripts/soc2_readiness_checker.py. - Documenter les écarts -- contrôles manquants, contrôles sans preuve, contrôles qui ne fonctionnent pas efficacement.
- Prioriser les écarts par niveau de risque et effort de remédiation.
- Checkpoint de validation : l'analyse d'écarts couvre toutes les catégories TSC dans le périmètre ; chaque écart a une sévérité et un owner de remédiation assignés.
Workflow : phase 2 -- Remédiation (semaines 5-16)
- Développer/mettre à jour les politiques -- politique de sécurité de l'information, procédures de support par domaine de contrôle, workflows de revue et d'approbation des politiques.
- Implémenter les contrôles techniques -- configurer l'IdP avec enforcement SSO/MFA, déployer la sécurité endpoint (MDM, EDR, chiffrement disque), implémenter logs SIEM et monitoring, configurer backup et DR, renforcer l'infrastructure cloud.
- Établir les processus -- procédures de revue d'accès, workflow de change management, procédures de réponse aux incidents, programme de gestion fournisseurs, formation de sensibilisation sécurité.
- Mettre en place la collecte de preuves -- configurer la collecte automatisée, établir la structure du dépôt, définir la cadence de refresh par catégorie TSC.
- Checkpoint de validation : tous les écarts identifiés sont remédiés ; les contrôles techniques sont vérifiés via
scripts/soc2_infrastructure_auditor.py; la collecte de preuves produit des artefacts.
Workflow : phase 3 -- Pré-audit (semaines 17-20)
- Conduire une évaluation interne de préparation -- audit mock sur tous les TSC dans le périmètre, validation de la complétude et qualité des preuves, lancement de l'auditeur d'infrastructure pour validation technique.
- Remédier les constats de pré-audit -- traiter les écarts restants, renforcer les preuves.
- Sélectionner et engager le cabinet CPA -- négocier périmètre, calendrier et honoraires ; planifier le kickoff ; préparer le brouillon de description système.
- Checkpoint de validation : l'audit mock passe sans écart critique ; la description système est revue ; l'auditeur est engagé.
Workflow : phase 4 -- Exécution de l'audit
- Audit Type I (si applicable) -- l'auditeur examine la conception des contrôles ; le management fournit ses assertions ; traiter les constats avant le Type II.
- Période d'observation Type II (3-12 mois) -- les contrôles opèrent de façon cohérente, les preuves sont collectées en continu, auto-évaluations trimestrielles, points réguliers avec l'auditeur.
- Fieldwork (2-4 semaines) -- l'auditeur sélectionne des échantillons, teste les contrôles, interviewe le personnel ; revue du rapport draft ; émission du rapport final.
- Checkpoint de validation : opinion clean reçue ; tout constat a une réponse du management et un plan de remédiation.
Framework de collecte de preuves
Preuves par catégorie TSC
| TSC | Type de preuve | Méthode de collecte | Refresh |
|---|---|---|---|
| CC1 | Accusés de réception du code de conduite | Export système RH | Annuel |
| CC2 | Registres de formation de sensibilisation sécurité | Export LMS | Continu |
| CC3 | Rapport d'évaluation des risques, registre des risques | Plateforme GRC | Annuel/trimestriel |
| CC4 | Rapports de test d'intrusion, scans de vulnérabilités | Tiers/scanner | Annuel/mensuel |
| CC5 | Documents de politiques avec historique de versions | Gestion des politiques | Revue annuelle |
| CC6 | Revues d'accès, enrôlement MFA, offboarding | IAM/IdP/HRIS | Trimestriel/par événement |
| CC7 | Remédiation de vulnérabilités, registres d'incidents | Ticketing/ITSM | Continu |
| CC8 | Tickets de changement avec approbations, revues de code | ITSM/Git | Par changement |
| CC9 | Évaluations de risque fournisseurs, rapports SOC 2 fournisseurs | Plateforme GRC | Annuel |
| A1 | Rapports d'uptime, tests DR, logs de backup | Monitoring/backup | Mensuel/semestriel |
| PI1 | Rapports de validation/réconciliation des données | Logs applicatifs | Par processus |
| C1 | Inventaire de classification des données, configs de chiffrement | Manuel/automatisé | Annuel/trimestriel |
| P1 | PIA, suivi des réponses DSR | Outil privacy | Par événement |
Exemple : commande de collecte de preuves
# Générer une checklist de preuves pour toutes les catégories TSC
python scripts/evidence_collector.py --generate-checklist --categories all
# Suivre le statut des preuves
python scripts/evidence_collector.py --status evidence-tracker.json
# Mettre à jour un élément de preuve spécifique
python scripts/evidence_collector.py --update evidence-tracker.json \
--item CC6.1-MFA --status collected
# Générer un dashboard de préparation
python scripts/evidence_collector.py --dashboard evidence-tracker.json
# Exporter pour revue par l'auditeur
python scripts/evidence_collector.py --export evidence-tracker.json --format json
Stratégies d'automatisation
Plateformes GRC : Vanta, Drata, Secureframe, Laika, AuditBoard -- collecte automatisée de preuves via intégrations API, monitoring continu des contrôles, portails de collaboration avec l'auditeur.
Infrastructure-as-Evidence : snapshots de configuration cloud (AWS Config, Azure Policy, GCP Org Policies), état Terraform comme preuve de configuration, historique Git comme preuve de change management, logs de portefeuille commercial CI/CD comme preuve de contrôle de déploiement.
Validation de sécurité d'infrastructure
L'agent valide les configurations d'infrastructure face aux exigences SOC 2.
Référence rapide : checks d'infrastructure
| Domaine | Checks clés | Mapping SOC 2 |
|---|---|---|
| Cloud (AWS/Azure/GCP) | Chiffrement, IAM, logging, réseau, backup, secrets | CC6, CC7, A1, C1 |
| DNS | SPF, DKIM, DMARC, DNSSEC, CAA | CC6.6, CC2.2 |
| TLS/SSL | TLS 1.2+, chiffrements AEAD, HSTS, renouvellement automatique | CC6.7 |
| Endpoint | MDM, chiffrement disque, EDR, patching, verrouillage écran | CC6.1, CC6.8, CC7.1 |
| Réseau | Segmentation, WAF, DDoS, VPN/ZTNA, filtrage egress | CC6.6, A1.1 |
| Conteneur | Scan d'images, base minimale, pas de privileged, RBAC | CC6.1, CC7.1 |
| CI/CD | Commits signés, protection de branches, SAST/DAST, SBOM | CC7.1, CC8.1 |
| Secrets | Stockage Vault, politiques de rotation, scan Git | CC6.1 |
Pour les mappings détaillés par provider, voir REFERENCE.md.
Exemple : commande d'audit d'infrastructure
# Audit complet de l'infrastructure
python scripts/soc2_infrastructure_auditor.py --config infra-config.json
# Auditer uniquement certains domaines
python scripts/soc2_infrastructure_auditor.py --config infra-config.json \
--domains dns tls cloud
# Sortie JSON avec ratings de sévérité
python scripts/soc2_infrastructure_auditor.py --config infra-config.json --format json
# Générer un template de configuration exemple
python scripts/soc2_infrastructure_auditor.py --generate-template
Calendrier d'audit
Calendrier typique (premier SOC 2)
| Phase | Durée | Activités |
|---|---|---|
| Scoping | 2-4 semaines | Définir les TSC, frontières système, sélection de l'auditeur |
| Analyse d'écarts | 2-4 semaines | Évaluer les contrôles actuels, identifier les écarts |
| Remédiation | 8-16 semaines | Implémenter les contrôles, politiques et procédures manquants |
| Audit Type I | 2-4 semaines | Évaluation ponctuelle de la conception des contrôles |
| Observation Type II | 3-12 mois | Contrôles opérés, preuves collectées en continu |
| Fieldwork Type II | 2-4 semaines | Tests auditeur, revue des preuves, interviews |
| Émission du rapport | 2-4 semaines | Revue du draft, réponse du management, rapport final |
Renouvellement annuel
- Commencer la planification du renouvellement 3 mois avant la fin de la période d'observation
- Maintenir la conformité continue entre périodes d'audit
- Traiter les constats de l'année précédente avant la nouvelle période d'observation
- Lettres de bridge disponibles pour les écarts entre rapports
Exigences de réponse aux incidents
Structure IRP
- Préparation -- équipe IR définie, canaux de communication établis, runbooks pour incidents courants, contacts juridiques/PR sous contrat.
- Détection et analyse -- couverture monitoring/alerting, classification de sévérité (SEV1-SEV4), procédures de triage, matrice d'escalade.
- Confinement, éradication, restauration -- isoler les systèmes affectés, préserver les preuves, identifier la cause racine, restaurer et valider.
- Post-incident -- post-mortem sans blâme sous 5 jours ouvrés, leçons apprises, améliorations de contrôles, évaluation de notification (suivi MTTD, MTTR, MTTC).
Pour les définitions de niveaux de sévérité et les délais de notification de violation, voir REFERENCE.md.
Outils
SOC 2 Readiness Checker
# Évaluation complète de préparation
python scripts/soc2_readiness_checker.py --config org-controls.json
# Sortie JSON pour usage programmatique
python scripts/soc2_readiness_checker.py --config org-controls.json --format json
# Vérifier des catégories TSC spécifiques
python scripts/soc2_readiness_checker.py --config org-controls.json \
--categories security availability
# Inclure le mapping de contrôles par cloud provider
python scripts/soc2_readiness_checker.py --config org-controls.json --cloud-mapping
Evidence Collector
# Générer la checklist et suivre le statut
python scripts/evidence_collector.py --generate-checklist --categories all
python scripts/evidence_collector.py --status evidence-tracker.json
python scripts/evidence_collector.py --dashboard evidence-tracker.json
Infrastructure Auditor
# Valider l'infrastructure face aux exigences SOC 2
python scripts/soc2_infrastructure_auditor.py --config infra-config.json
python scripts/soc2_infrastructure_auditor.py --config infra-config.json --format json
Références
| Document | Description |
|---|---|
| REFERENCE.md | Contrôles TSC détaillés, checks d'infrastructure, specs de contrôle d'accès, gestion fournisseurs, formation, IRP, BC/DR |
| Trust Services Criteria Guide | Référence TSC complète avec objectifs de contrôle et questions d'audit |
| Infrastructure Security Controls | Configurations de sécurité cloud, DNS, TLS, endpoint, conteneur, CI/CD |
| Audit Preparation Playbook | Guide de préparation d'audit de bout en bout avec calendriers, checklists, estimation des coûts |
Dépannage
| Problème | Cause probable | Résolution |
|---|---|---|
| Les scores du readiness checker sont à 0 % dans toutes les catégories | Le JSON de contrôles manque de valeurs config_key ou elles sont toutes à false | Vérifier que le JSON d'entrée mappe chaque contrôle TSC vers une valeur booléenne sous le bon config_key. Lancer --generate-sample > sample-config.json pour voir la structure attendue. |
| L'auditeur d'infrastructure signale tous les checks en "fail" | Le JSON de configuration d'infrastructure est vide ou utilise de mauvais noms de clés | Lancer --generate-template pour produire un template valide. Renseigner DNS, TLS, cloud, endpoint et autres sections avec l'état réel de l'infrastructure. |
| La checklist d'evidence collector ne contient pas certaines catégories | Le flag --categories filtre la sortie | Utiliser --categories all pour générer la checklist complète. Catégories disponibles : security, availability, processing_integrity, confidentiality, privacy. |
| Le statut du tracker de preuves ne se met pas à jour | Chemin du fichier tracker incorrect ou fichier non inscriptible | Vérifier que le chemin passé à --status ou --update pointe vers un fichier JSON tracker existant. Vérifier les permissions du fichier. |
| Le mapping cloud n'apparaît pas dans le rapport de préparation | Le flag --cloud-mapping n'est pas inclus | Ajouter --cloud-mapping à la commande readiness checker pour inclure les mappings AWS/Azure/GCP dans la sortie. |
| La période d'observation Type II est trop courte pour l'auditeur | La période d'observation est inférieure à 3 mois | La plupart des cabinets CPA exigent au moins 3 mois d'observation pour le Type II. Une période de 6-12 mois a plus de poids. Planifier la fenêtre d'observation pendant la phase de scoping. |
| L'auditeur demande des preuves absentes du tracker | Le catalogue de preuves ne couvre pas tous les sous-critères TSC du périmètre choisi | Compléter la checklist auto-générée avec les demandes de preuves spécifiques à l'auditeur. Chaque cabinet CPA peut avoir des exigences supplémentaires au-delà des preuves TSC standard. |
Critères de succès
- Périmètre SOC 2 défini avec toutes les catégories TSC applicables sélectionnées, frontières système documentées et organisations sous-traitantes identifiées (carve-out vs inclusive)
- Analyse d'écarts terminée avec chaque écart assigné à une sévérité, un owner de remédiation et une date cible de résolution
- Score de préparation de 80 %+ sur toutes les catégories TSC dans le périmètre avant engagement du cabinet CPA, avec tendance vers 95 %+ avant le fieldwork Type II
- Framework de collecte de preuves opérationnel avec dépôt centralisé, cadence de refresh définie par catégorie TSC et collecte automatisée lorsque possible
- Audit d'infrastructure réussi sans constats critiques ou de haute sévérité sur DNS, TLS, cloud, endpoint ou domaines de contrôle d'accès
- Période d'observation Type II d'au moins 6 mois avec opération continue des contrôles, auto-évaluations trimestrielles et aucun échec de contrôle significatif
- Opinion SOC 2 Type II clean reçue, avec tout constat traité par réponse du management et plans de remédiation documentés
Périmètre et limites
Dans le périmètre :
- Évaluation de préparation SOC 2 Type I et Type II face à toutes les catégories TSC (CC1-CC9, A1, PI1, C1, P1)
- Validation de sécurité d'infrastructure (DNS, TLS, cloud, endpoint, réseau, conteneur, CI/CD, secrets)
- Génération et suivi du framework de collecte de preuves
- Analyse d'écarts avec constats notés par sévérité et guidance de remédiation
- Planification du calendrier d'audit et préparation de l'engagement du cabinet CPA
- Structure et exigences du plan de réponse aux incidents
- Conception d'un programme de conformité continue
Hors périmètre :
- Exécution de l'audit par le cabinet CPA (les outils préparent l'audit ; le vrai rapport Type I/II nécessite un cabinet CPA indépendant)
- Évaluation SOC 1 (ICFR) (SOC 1 couvre les contrôles de reporting financier, pas sécurité/disponibilité/privacy)
- Génération de rapport SOC 3 (SOC 3 est un résumé public dérivé de SOC 2 ; il nécessite un audit SOC 2 terminé)
- Exécution de tests d'intrusion (utiliser infrastructure-compliance-auditor ou engager un pentest tiers)
- Sélection ou implémentation de plateforme GRC (le skill est compatible avec Vanta, Drata, Secureframe, etc., mais ne les implémente pas)
- Conseil juridique sur les exigences contractuelles clients pour les rapports SOC 2
- Évaluations de sécurité physique (l'auditeur d'infrastructure couvre les contrôles logiques ; les audits physiques de datacenter nécessitent une évaluation sur site)
Points d'intégration
| Skill | Intégration |
|---|---|
| infrastructure-compliance-auditor | Fournit des checks d'infrastructure niveau Vanta sur cloud, DNS, TLS, endpoints, contrôles d'accès et CI/CD qui se mappent directement aux exigences TSC SOC 2 |
| nist-csf-specialist | Les fonctions NIST CSF se mappent aux catégories TSC SOC 2 ; utilisez le control mapper pour construire des matrices de contrôle unifiées pour les organisations qui poursuivent les deux |
| information-security-manager-iso27001 | Les contrôles ISO 27001 Annex A fournissent une ossature de système de management qui satisfait beaucoup d'exigences SOC 2 ; les preuves partagées réduisent la charge d'audit |
| pci-dss-specialist | Les exigences PCI DSS chevauchent SOC 2 CC6 (accès), CC7 (opérations), CC8 (change management) ; contrôles partagés pour les organisations de traitement de paiements |
| gdpr-dsgvo-expert | Les exigences GDPR s'alignent avec les critères Privacy (P1) SOC 2 ; les organisations traitant des données personnelles UE peuvent réutiliser des contrôles privacy partagés |
| nis2-directive-specialist | Les mesures de sécurité minimales NIS2 chevauchent les critères sécurité SOC 2 ; les entités UE peuvent mapper réponse aux incidents, contrôle d'accès et chiffrement partagés |
Référence des outils
soc2_readiness_checker.py
Évalue les contrôles organisationnels face aux Trust Services Criteria SOC 2 avec scoring par catégorie.
| Flag | Requis | Description |
|---|---|---|
--config | Oui (ou --generate-sample) | Chemin vers le fichier JSON des contrôles organisationnels avec valeurs booléennes pour chaque contrôle TSC |
--format | Non | Format de sortie : json pour une sortie structurée, omettre pour un texte lisible humainement |
--categories | Non | Catégories TSC séparées par espaces à évaluer (par exemple security availability). Omettre pour toutes. |
--cloud-mapping | Non | Inclure les mappings de contrôle cloud provider (AWS/Azure/GCP) dans la sortie |
--generate-sample | Non | Générer un template JSON exemple de contrôles (rediriger vers un fichier avec > sample-config.json) |
evidence_collector.py
Génère des checklists de collecte de preuves et suit le statut de collecte.
| Flag | Requis | Description |
|---|---|---|
--generate-checklist | Non | Générer une checklist de collecte de preuves pour les catégories spécifiées |
--categories | Non | Catégories TSC séparées par espaces : security, availability, processing_integrity, confidentiality, privacy, ou all |
--status | Non | Chemin vers le fichier JSON de suivi des preuves pour afficher le statut de collecte |
--update | Non | Chemin vers le fichier JSON de suivi des preuves à mettre à jour (à utiliser avec --item et --status) |
--item | Non | Identifiant de l'élément de preuve à mettre à jour (par exemple CC6.1-MFA) |
--dashboard | Non | Chemin vers le fichier JSON de suivi des preuves pour générer un dashboard de préparation |
--export | Non | Chemin vers le fichier JSON de suivi des preuves à exporter |
--format | Non | Format d'export : json pour une sortie structurée |
soc2_infrastructure_auditor.py
Audite les configurations d'infrastructure face aux exigences SOC 2 avec constats notés par sévérité.
| Flag | Requis | Description |
|---|---|---|
--config | Oui (ou --generate-template) | Chemin vers le fichier JSON de configuration d'infrastructure avec DNS, TLS, cloud, endpoint et autres paramètres de domaine |
--format | Non | Format de sortie : json pour des constats structurés avec ratings de sévérité, omettre pour un texte lisible humainement |
--domains | Non | Domaines d'infrastructure séparés par espaces à auditer (par exemple dns tls cloud). Omettre pour tous les domaines. |
--generate-template | Non | Générer un template de configuration d'infrastructure exemple (rediriger vers un fichier avec > infra-config.json) |