ElasticFlow
HubToutes les compétencesPar départementPar rôlePar outilPar métriqueMCPsÉditeurs
Site principalConnexionS'inscrire
ElasticFlow

Transformez votre entreprise grâce à l'automatisation des workflows alimentée par l'IA. Une plateforme unifiée pour tous vos besoins enterprise.

Suivez-nous

Plateforme

  • Fonctionnalités
  • Avantages
  • Cas d'usage
  • Bibliothèque de workflows

Cas d'usage

  • Ventes
  • Marketing
  • Finance & Juridique
  • RH

Catalogue

  • Départements
  • Rôles
  • Outils
  • Métriques
  • Plateformes

Croissance

  • Programme de parrainage
  • Partenaires

Mentions légales

  • Politique de confidentialité
  • Conditions de service
  • Politique de cookies
  • Utilisation acceptable
  • Sécurité
  • SLA

© 2026 ElasticFlow. Tous droits réservés.

ElasticFlow
HubToutes les compétencesPar départementPar rôlePar outilPar métriqueMCPsÉditeurs
Site principalConnexionS'inscrire
ElasticFlow

Transformez votre entreprise grâce à l'automatisation des workflows alimentée par l'IA. Une plateforme unifiée pour tous vos besoins enterprise.

Suivez-nous

Plateforme

  • Fonctionnalités
  • Avantages
  • Cas d'usage
  • Bibliothèque de workflows

Cas d'usage

  • Ventes
  • Marketing
  • Finance & Juridique
  • RH

Catalogue

  • Départements
  • Rôles
  • Outils
  • Métriques
  • Plateformes

Croissance

  • Programme de parrainage
  • Partenaires

Mentions légales

  • Politique de confidentialité
  • Conditions de service
  • Politique de cookies
  • Utilisation acceptable
  • Sécurité
  • SLA

© 2026 ElasticFlow. Tous droits réservés.

ElasticFlow
HubToutes les compétencesPar départementPar rôlePar outilPar métriqueMCPsÉditeurs
Site principalConnexionS'inscrire
  1. Accueil
  2. Compétences
  3. Expert conformité SOC 2
Disponible en :🇬🇧 English🇫🇷 Français🇰🇷 한국어🇵🇹 Português🇹🇷 Türkçe
Compétence IAPréparer l'auditJuridique

Quand l'audit SOC 2 est dans 6 mois et que votre portefeuille commercial enterprise dépend du rapport, parcourez chaque contrôle TSC avec les preuves d'infrastructure prêtes. — Claude Skill

Une compétence Claude pour Claude Code par borghei — exécuter /soc2-compliance-expert dans Claude·Mis à jour le 5 juin 2026·v1.0.0

Compatible avecGChatGPTClaudeClaudeCCClaude CodeCDClaude DesktopXCodex / Codex CLICursorCursorGeminiGeminiHHermes (via Continue / Cline)OpenClawOpenClawWindsurfWindsurf

Passez en revue les contrôles des critères SOC 2 Trust Services avec des preuves prêtes pour l'audit.

  • Couvre Type I et Type II : conception et efficacité opérationnelle sur des périodes d'observation de 3 à 12 mois
  • Chaque catégorie TSC mappée : CC1-CC9 (critères communs), A1 (disponibilité), PI1 (intégrité du traitement), C1 (confidentialité), P1 (vie privée)
  • Validation d'infrastructure : cloud (AWS, GCP, Azure), DNS, TLS, endpoints, pipelines CI/CD
  • Collecte de preuves d'audit par contrôle : logs, tickets, captures d'écran, documents de politique
  • Sortie : rapport d'analyse des écarts, plan de remédiation et index de preuves prêt pour l'auditeur

Pour qui

Directeur juridique

Parcourez chaque contrôle TSC avec les preuves d'infrastructure avant l'arrivée de l'auditeur — plus de panique la première semaine d'audit

Voir les compétences de ce rôle
Juriste d'entreprise

Obtenez une synthèse de risque prête pour le board et une timeline de remédiation liée au portefeuille commercial de opportunités enterprise

Voir les compétences de ce rôle

Ce qu'il fait

Un client enterprise a demandé SOC 2 le trimestre dernier

Vous avez promis à l'équipe commerciale un rapport Type I d'ici le T4. Une analyse des écarts en 30 minutes fait ressortir les 12 contrôles encore non conçus, les 8 qui nécessitent des documents de politique et les 4 qui demandent des changements d'infrastructure, avec calendriers de remédiation.

La période d'observation Type II commence le mois prochain

Vous venez de terminer Type I. La fenêtre d'observation de 6 mois démarre lundi. Passez en revue les flux de preuves à automatiser (logs, revues d'accès, tickets de changement) avant le retour de l'auditeur, ce qui reste manuel et où les écarts apparaîtront.

Le portefeuille commercial CI/CD ne montre pas de preuves de contrôle des changements

Les contrôles CC8 (gestion des changements) sont faibles. Parcourez GitHub et le portefeuille commercial de déploiement. Identifiez où ajouter l'application obligatoire des revues de code, l'attachement automatique des numéros de tickets Jira aux commits et la structure CODEOWNERS requise.

Hygiène TLS et certificats pour CC6

Les contrôles d'accès logiques et physiques (CC6.6, CC6.7) exigent des contrôles cryptographiques. Auditez DNS, configurations TLS, suivi d'expiration des certificats et preuves de chiffrement au repos pour obtenir le tableau attendu par l'auditeur dans le dossier de preuves.

Fonctionnement

1

Commencez par une évaluation de préparation : quelles catégories TSC sont dans le périmètre (la plupart des SaaS couvrent CC1-CC9 plus A1).

2

Mappez vos contrôles actuels par critère. Le skill parcourt chaque critère avec des questions concrètes.

3

Faites ressortir les écarts : contrôles non conçus, conçus mais non opérationnels, opérationnels mais sans preuve.

4

Pour chaque écart : étapes de remédiation, modèle de validation d'infrastructure (cloud, DNS, TLS, endpoints, CI/CD) et preuve cible.

5

Sortie : rapport d'écarts, plan de remédiation classé par risque d'audit et index de preuves par critère prêt pour l'auditeur.

Exemple

Périmètre d'audit
Outil SaaS de gestion produit, 280 ingénieurs, hébergé sur AWS multi-région. L'audit Type II commence dans 4 mois. Rapport Type I de 2025. ISMS en place, mais la collecte des preuves est manuelle.
30 minutes plus tard
Résumé de préparation
CC1-CC5 (critères communs) : 23/27 contrôles conçus, 4 nécessitent une mise à jour des politiques. CC6-CC9 : 21 contrôles — forts sur les contrôles d'accès, faibles sur les preuves de gestion des changements (CC8.1-CC8.3). A1 (disponibilité) : 5 contrôles — les runbooks DR existent, mais le journal d'exercice DR manque pour 2024.
Top 5 des écarts à risque d'audit
1. CC8.1 — aucune application obligatoire des revues de PR GitHub sur le dépôt infrastructure-as-code. 2. CC7.4 — le calendrier des scans de vulnérabilités est documenté, mais le journal des preuves n'est pas centralisé. 3. CC6.8 — pas de revue automatisée des accès utilisateurs tous les 90 jours. 4. A1.2 — l'exercice DR de 2024 n'a pas de post-mortem documenté. 5. PI1.4 — la logique de validation des données n'est pas documentée par point de traitement.
Calendrier de remédiation
Mois 1 : politiques et documents de processus pour CC8 et CC7.4. Mois 2 : automatiser les revues d'accès CC6.8 via Okta et exports de rôles. Mois 3 : exécuter l'exercice DR et rédiger le post-mortem. Mois 4 : répétition d'audit avec toutes les preuves dans un seul espace.
Index des preuves prêt pour l'auditeur
Chaque critère pointe vers un dossier : /soc2-evidence/CC8.1/, /CC6.8/, etc. Chaque dossier contient un README.md décrivant le contrôle, les fichiers de preuve et un journal des changements.

Métriques améliorées

Couverture des écarts de conformité
Fait remonter chaque écart face aux catégories TSC avec étapes de remédiation avant que l'auditeur ne les trouve
Juridique
Travail stratégique vs réactif
Anticipe le travail de contrôle — l'équipe passe du mode panique en semaine d'audit à une préparation planifiée des mois avant
Juridique
Visibilité du risque fournisseur
Inventaire fournisseurs avec dates de dernière revue et statut SOC 2 de chaque sous-traitant
Juridique

Compatible avec

Google Sheets
manuel

Matrice de contrôles et spreadsheet de suivi des écarts, exportable pour l'auditeur

DocuSign CLM
manuel

Accords sous-traitants et attestations de politiques pour la gestion fournisseurs CC9

Jira
manuel

Source des tickets de change management (CC8) et de vulnérabilités (CC7.4)

Notion
manuel

Documentation politiques et process ; l'index de preuves par critère vit dans une base Notion

Compétences similaires

Suggérés automatiquement par chevauchement d'attributs. La comparaison côte à côte montre ce qui diffère.

Tout comparer (4) →

Rédacteur de contrats et propositions

par Alireza Rezvani
↳texte, accès à l'outil +1vstexte(Ce que vous fournissez)·Markdown, CSVvsMarkdown, DOCX(Formats de sortie)·approbation requisevsrevue requise(Revue humaine)

Réponse juridique depuis templates

par Anthropic✓
↳texte, accès à l'outil +1vstexte(Ce que vous fournissez)·Markdown, CSVvsMarkdown, e-mail(Formats de sortie)·approbation requisevsrevue requise(Revue humaine)

Préparation de réunion

par Anthropic✓
↳texte, accès à l'outil +1vstexte(Ce que vous fournissez)·Markdown, CSVvsMarkdown(Formats de sortie)·approbation requisevsrevue requise(Revue humaine)
Triés par chevauchement d'attributs × différenciation. Expert conformité SOC 2 partage 12+ attributs avec chacun.

Envie d'utiliser Expert conformité SOC 2 ?

Choisissez comment commencer.

Exécuter dans Claude Code
Gratuit. Open source.

Installez et exécutez cette compétence localement sur votre ordinateur.

1
Installer Claude Code

Ouvrez un terminal sur votre ordinateur et collez cette commande :

2
Installer la compétence

Cela télécharge la compétence avec tous ses fichiers sur votre ordinateur :

Ajoutez -g à la fin pour le rendre disponible dans tous vos projets.

3
Lancez-le

Démarrez Claude Code, puis tapez la commande :

puis
Voir la source sur GitHub
Utiliser sur ElasticFlow
Fonctionnalités d'équipe et de collaboration

Exécutez les compétences depuis votre navigateur. Partagez les résultats, gérez les accès, collaborez avec votre équipe. Sans terminal.

Essai gratuit de 14 jours. Annulez à tout moment.

Voir sur GitHub

Expert conformité SOC 2

Gestion de conformité SOC 2 Type I et Type II couvrant tous les Trust Services Criteria (TSC), la validation de sécurité d'infrastructure, la collecte de preuves et la préparation d'audit de bout en bout.


Vue d'ensemble SOC 2

Type I vs Type II

AspectType IType II
PérimètreConception des contrôles à un instant donnéConception ET efficacité opérationnelle sur une période
DuréeDate unique (snapshot)Période d'observation (3-12 mois, généralement 6-12)
Coût20 k$-60 k$ (premier audit)40 k$-150 k$ (premier audit)
Calendrier1-3 mois6-15 mois (inclut la période d'observation)
Préférence clientAcceptable en early-stageRequis par les clients enterprise

Commencez par le Type I pour valider la conception des contrôles, puis passez au Type II sous 6 mois.

Synthèse des Trust Services Criteria

CatégorieFocusContrôles
CC1-CC5Critères communs (basés sur COSO)Environnement de contrôle, communication, risque, monitoring, activités de contrôle
CC6Accès logique et physiqueAuthentification, autorisation, sécurité physique, chiffrement
CC7Opérations systèmeGestion des vulnérabilités, monitoring, réponse aux incidents, BCP
CC8Gestion du changementAutorisation, tests, contrôles de déploiement
CC9Mitigation des risquesGestion fournisseurs, interruption d'activité, transfert de risque
A1DisponibilitéPlanification de capacité, DR, tests de restauration
PI1Intégrité de traitementValidation des données, gestion d'erreurs, réconciliation
C1ConfidentialitéClassification, chiffrement, destruction
P1Confidentialité des données personnellesNotice, consentement, droits des personnes, rétention

Pour les exigences détaillées de contrôle par catégorie, voir REFERENCE.md.


Workflow d'évaluation de préparation

L'agent guide les organisations dans la préparation SOC 2 depuis l'analyse d'écarts jusqu'à la finalisation de l'audit.

Workflow : phase 1 -- Analyse d'écarts (semaines 1-4)

  1. Définir le périmètre -- déterminer les catégories TSC à inclure (Security est obligatoire), définir les frontières système, identifier les organisations sous-traitantes (carve-out vs inclusive), documenter les engagements principaux de service.
  2. Évaluer l'état actuel -- inventorier les politiques et procédures existantes, mapper les contrôles actuels aux exigences TSC, interviewer les responsables de processus et opérateurs de contrôle.
  3. Lancer l'analyse automatisée des écarts avec scripts/soc2_readiness_checker.py.
  4. Documenter les écarts -- contrôles manquants, contrôles sans preuve, contrôles qui ne fonctionnent pas efficacement.
  5. Prioriser les écarts par niveau de risque et effort de remédiation.
  6. Checkpoint de validation : l'analyse d'écarts couvre toutes les catégories TSC dans le périmètre ; chaque écart a une sévérité et un owner de remédiation assignés.

Workflow : phase 2 -- Remédiation (semaines 5-16)

  1. Développer/mettre à jour les politiques -- politique de sécurité de l'information, procédures de support par domaine de contrôle, workflows de revue et d'approbation des politiques.
  2. Implémenter les contrôles techniques -- configurer l'IdP avec enforcement SSO/MFA, déployer la sécurité endpoint (MDM, EDR, chiffrement disque), implémenter logs SIEM et monitoring, configurer backup et DR, renforcer l'infrastructure cloud.
  3. Établir les processus -- procédures de revue d'accès, workflow de change management, procédures de réponse aux incidents, programme de gestion fournisseurs, formation de sensibilisation sécurité.
  4. Mettre en place la collecte de preuves -- configurer la collecte automatisée, établir la structure du dépôt, définir la cadence de refresh par catégorie TSC.
  5. Checkpoint de validation : tous les écarts identifiés sont remédiés ; les contrôles techniques sont vérifiés via scripts/soc2_infrastructure_auditor.py ; la collecte de preuves produit des artefacts.

Workflow : phase 3 -- Pré-audit (semaines 17-20)

  1. Conduire une évaluation interne de préparation -- audit mock sur tous les TSC dans le périmètre, validation de la complétude et qualité des preuves, lancement de l'auditeur d'infrastructure pour validation technique.
  2. Remédier les constats de pré-audit -- traiter les écarts restants, renforcer les preuves.
  3. Sélectionner et engager le cabinet CPA -- négocier périmètre, calendrier et honoraires ; planifier le kickoff ; préparer le brouillon de description système.
  4. Checkpoint de validation : l'audit mock passe sans écart critique ; la description système est revue ; l'auditeur est engagé.

Workflow : phase 4 -- Exécution de l'audit

  1. Audit Type I (si applicable) -- l'auditeur examine la conception des contrôles ; le management fournit ses assertions ; traiter les constats avant le Type II.
  2. Période d'observation Type II (3-12 mois) -- les contrôles opèrent de façon cohérente, les preuves sont collectées en continu, auto-évaluations trimestrielles, points réguliers avec l'auditeur.
  3. Fieldwork (2-4 semaines) -- l'auditeur sélectionne des échantillons, teste les contrôles, interviewe le personnel ; revue du rapport draft ; émission du rapport final.
  4. Checkpoint de validation : opinion clean reçue ; tout constat a une réponse du management et un plan de remédiation.

Framework de collecte de preuves

Preuves par catégorie TSC

TSCType de preuveMéthode de collecteRefresh
CC1Accusés de réception du code de conduiteExport système RHAnnuel
CC2Registres de formation de sensibilisation sécuritéExport LMSContinu
CC3Rapport d'évaluation des risques, registre des risquesPlateforme GRCAnnuel/trimestriel
CC4Rapports de test d'intrusion, scans de vulnérabilitésTiers/scannerAnnuel/mensuel
CC5Documents de politiques avec historique de versionsGestion des politiquesRevue annuelle
CC6Revues d'accès, enrôlement MFA, offboardingIAM/IdP/HRISTrimestriel/par événement
CC7Remédiation de vulnérabilités, registres d'incidentsTicketing/ITSMContinu
CC8Tickets de changement avec approbations, revues de codeITSM/GitPar changement
CC9Évaluations de risque fournisseurs, rapports SOC 2 fournisseursPlateforme GRCAnnuel
A1Rapports d'uptime, tests DR, logs de backupMonitoring/backupMensuel/semestriel
PI1Rapports de validation/réconciliation des donnéesLogs applicatifsPar processus
C1Inventaire de classification des données, configs de chiffrementManuel/automatiséAnnuel/trimestriel
P1PIA, suivi des réponses DSROutil privacyPar événement

Exemple : commande de collecte de preuves

# Générer une checklist de preuves pour toutes les catégories TSC
python scripts/evidence_collector.py --generate-checklist --categories all

# Suivre le statut des preuves
python scripts/evidence_collector.py --status evidence-tracker.json

# Mettre à jour un élément de preuve spécifique
python scripts/evidence_collector.py --update evidence-tracker.json \
  --item CC6.1-MFA --status collected

# Générer un dashboard de préparation
python scripts/evidence_collector.py --dashboard evidence-tracker.json

# Exporter pour revue par l'auditeur
python scripts/evidence_collector.py --export evidence-tracker.json --format json

Stratégies d'automatisation

Plateformes GRC : Vanta, Drata, Secureframe, Laika, AuditBoard -- collecte automatisée de preuves via intégrations API, monitoring continu des contrôles, portails de collaboration avec l'auditeur.

Infrastructure-as-Evidence : snapshots de configuration cloud (AWS Config, Azure Policy, GCP Org Policies), état Terraform comme preuve de configuration, historique Git comme preuve de change management, logs de portefeuille commercial CI/CD comme preuve de contrôle de déploiement.


Validation de sécurité d'infrastructure

L'agent valide les configurations d'infrastructure face aux exigences SOC 2.

Référence rapide : checks d'infrastructure

DomaineChecks clésMapping SOC 2
Cloud (AWS/Azure/GCP)Chiffrement, IAM, logging, réseau, backup, secretsCC6, CC7, A1, C1
DNSSPF, DKIM, DMARC, DNSSEC, CAACC6.6, CC2.2
TLS/SSLTLS 1.2+, chiffrements AEAD, HSTS, renouvellement automatiqueCC6.7
EndpointMDM, chiffrement disque, EDR, patching, verrouillage écranCC6.1, CC6.8, CC7.1
RéseauSegmentation, WAF, DDoS, VPN/ZTNA, filtrage egressCC6.6, A1.1
ConteneurScan d'images, base minimale, pas de privileged, RBACCC6.1, CC7.1
CI/CDCommits signés, protection de branches, SAST/DAST, SBOMCC7.1, CC8.1
SecretsStockage Vault, politiques de rotation, scan GitCC6.1

Pour les mappings détaillés par provider, voir REFERENCE.md.

Exemple : commande d'audit d'infrastructure

# Audit complet de l'infrastructure
python scripts/soc2_infrastructure_auditor.py --config infra-config.json

# Auditer uniquement certains domaines
python scripts/soc2_infrastructure_auditor.py --config infra-config.json \
  --domains dns tls cloud

# Sortie JSON avec ratings de sévérité
python scripts/soc2_infrastructure_auditor.py --config infra-config.json --format json

# Générer un template de configuration exemple
python scripts/soc2_infrastructure_auditor.py --generate-template

Calendrier d'audit

Calendrier typique (premier SOC 2)

PhaseDuréeActivités
Scoping2-4 semainesDéfinir les TSC, frontières système, sélection de l'auditeur
Analyse d'écarts2-4 semainesÉvaluer les contrôles actuels, identifier les écarts
Remédiation8-16 semainesImplémenter les contrôles, politiques et procédures manquants
Audit Type I2-4 semainesÉvaluation ponctuelle de la conception des contrôles
Observation Type II3-12 moisContrôles opérés, preuves collectées en continu
Fieldwork Type II2-4 semainesTests auditeur, revue des preuves, interviews
Émission du rapport2-4 semainesRevue du draft, réponse du management, rapport final

Renouvellement annuel

  • Commencer la planification du renouvellement 3 mois avant la fin de la période d'observation
  • Maintenir la conformité continue entre périodes d'audit
  • Traiter les constats de l'année précédente avant la nouvelle période d'observation
  • Lettres de bridge disponibles pour les écarts entre rapports

Exigences de réponse aux incidents

Structure IRP

  1. Préparation -- équipe IR définie, canaux de communication établis, runbooks pour incidents courants, contacts juridiques/PR sous contrat.
  2. Détection et analyse -- couverture monitoring/alerting, classification de sévérité (SEV1-SEV4), procédures de triage, matrice d'escalade.
  3. Confinement, éradication, restauration -- isoler les systèmes affectés, préserver les preuves, identifier la cause racine, restaurer et valider.
  4. Post-incident -- post-mortem sans blâme sous 5 jours ouvrés, leçons apprises, améliorations de contrôles, évaluation de notification (suivi MTTD, MTTR, MTTC).

Pour les définitions de niveaux de sévérité et les délais de notification de violation, voir REFERENCE.md.


Outils

SOC 2 Readiness Checker

# Évaluation complète de préparation
python scripts/soc2_readiness_checker.py --config org-controls.json

# Sortie JSON pour usage programmatique
python scripts/soc2_readiness_checker.py --config org-controls.json --format json

# Vérifier des catégories TSC spécifiques
python scripts/soc2_readiness_checker.py --config org-controls.json \
  --categories security availability

# Inclure le mapping de contrôles par cloud provider
python scripts/soc2_readiness_checker.py --config org-controls.json --cloud-mapping

Evidence Collector

# Générer la checklist et suivre le statut
python scripts/evidence_collector.py --generate-checklist --categories all
python scripts/evidence_collector.py --status evidence-tracker.json
python scripts/evidence_collector.py --dashboard evidence-tracker.json

Infrastructure Auditor

# Valider l'infrastructure face aux exigences SOC 2
python scripts/soc2_infrastructure_auditor.py --config infra-config.json
python scripts/soc2_infrastructure_auditor.py --config infra-config.json --format json

Références

DocumentDescription
REFERENCE.mdContrôles TSC détaillés, checks d'infrastructure, specs de contrôle d'accès, gestion fournisseurs, formation, IRP, BC/DR
Trust Services Criteria GuideRéférence TSC complète avec objectifs de contrôle et questions d'audit
Infrastructure Security ControlsConfigurations de sécurité cloud, DNS, TLS, endpoint, conteneur, CI/CD
Audit Preparation PlaybookGuide de préparation d'audit de bout en bout avec calendriers, checklists, estimation des coûts

Dépannage

ProblèmeCause probableRésolution
Les scores du readiness checker sont à 0 % dans toutes les catégoriesLe JSON de contrôles manque de valeurs config_key ou elles sont toutes à falseVérifier que le JSON d'entrée mappe chaque contrôle TSC vers une valeur booléenne sous le bon config_key. Lancer --generate-sample > sample-config.json pour voir la structure attendue.
L'auditeur d'infrastructure signale tous les checks en "fail"Le JSON de configuration d'infrastructure est vide ou utilise de mauvais noms de clésLancer --generate-template pour produire un template valide. Renseigner DNS, TLS, cloud, endpoint et autres sections avec l'état réel de l'infrastructure.
La checklist d'evidence collector ne contient pas certaines catégoriesLe flag --categories filtre la sortieUtiliser --categories all pour générer la checklist complète. Catégories disponibles : security, availability, processing_integrity, confidentiality, privacy.
Le statut du tracker de preuves ne se met pas à jourChemin du fichier tracker incorrect ou fichier non inscriptibleVérifier que le chemin passé à --status ou --update pointe vers un fichier JSON tracker existant. Vérifier les permissions du fichier.
Le mapping cloud n'apparaît pas dans le rapport de préparationLe flag --cloud-mapping n'est pas inclusAjouter --cloud-mapping à la commande readiness checker pour inclure les mappings AWS/Azure/GCP dans la sortie.
La période d'observation Type II est trop courte pour l'auditeurLa période d'observation est inférieure à 3 moisLa plupart des cabinets CPA exigent au moins 3 mois d'observation pour le Type II. Une période de 6-12 mois a plus de poids. Planifier la fenêtre d'observation pendant la phase de scoping.
L'auditeur demande des preuves absentes du trackerLe catalogue de preuves ne couvre pas tous les sous-critères TSC du périmètre choisiCompléter la checklist auto-générée avec les demandes de preuves spécifiques à l'auditeur. Chaque cabinet CPA peut avoir des exigences supplémentaires au-delà des preuves TSC standard.

Critères de succès

  • Périmètre SOC 2 défini avec toutes les catégories TSC applicables sélectionnées, frontières système documentées et organisations sous-traitantes identifiées (carve-out vs inclusive)
  • Analyse d'écarts terminée avec chaque écart assigné à une sévérité, un owner de remédiation et une date cible de résolution
  • Score de préparation de 80 %+ sur toutes les catégories TSC dans le périmètre avant engagement du cabinet CPA, avec tendance vers 95 %+ avant le fieldwork Type II
  • Framework de collecte de preuves opérationnel avec dépôt centralisé, cadence de refresh définie par catégorie TSC et collecte automatisée lorsque possible
  • Audit d'infrastructure réussi sans constats critiques ou de haute sévérité sur DNS, TLS, cloud, endpoint ou domaines de contrôle d'accès
  • Période d'observation Type II d'au moins 6 mois avec opération continue des contrôles, auto-évaluations trimestrielles et aucun échec de contrôle significatif
  • Opinion SOC 2 Type II clean reçue, avec tout constat traité par réponse du management et plans de remédiation documentés

Périmètre et limites

Dans le périmètre :

  • Évaluation de préparation SOC 2 Type I et Type II face à toutes les catégories TSC (CC1-CC9, A1, PI1, C1, P1)
  • Validation de sécurité d'infrastructure (DNS, TLS, cloud, endpoint, réseau, conteneur, CI/CD, secrets)
  • Génération et suivi du framework de collecte de preuves
  • Analyse d'écarts avec constats notés par sévérité et guidance de remédiation
  • Planification du calendrier d'audit et préparation de l'engagement du cabinet CPA
  • Structure et exigences du plan de réponse aux incidents
  • Conception d'un programme de conformité continue

Hors périmètre :

  • Exécution de l'audit par le cabinet CPA (les outils préparent l'audit ; le vrai rapport Type I/II nécessite un cabinet CPA indépendant)
  • Évaluation SOC 1 (ICFR) (SOC 1 couvre les contrôles de reporting financier, pas sécurité/disponibilité/privacy)
  • Génération de rapport SOC 3 (SOC 3 est un résumé public dérivé de SOC 2 ; il nécessite un audit SOC 2 terminé)
  • Exécution de tests d'intrusion (utiliser infrastructure-compliance-auditor ou engager un pentest tiers)
  • Sélection ou implémentation de plateforme GRC (le skill est compatible avec Vanta, Drata, Secureframe, etc., mais ne les implémente pas)
  • Conseil juridique sur les exigences contractuelles clients pour les rapports SOC 2
  • Évaluations de sécurité physique (l'auditeur d'infrastructure couvre les contrôles logiques ; les audits physiques de datacenter nécessitent une évaluation sur site)

Points d'intégration

SkillIntégration
infrastructure-compliance-auditorFournit des checks d'infrastructure niveau Vanta sur cloud, DNS, TLS, endpoints, contrôles d'accès et CI/CD qui se mappent directement aux exigences TSC SOC 2
nist-csf-specialistLes fonctions NIST CSF se mappent aux catégories TSC SOC 2 ; utilisez le control mapper pour construire des matrices de contrôle unifiées pour les organisations qui poursuivent les deux
information-security-manager-iso27001Les contrôles ISO 27001 Annex A fournissent une ossature de système de management qui satisfait beaucoup d'exigences SOC 2 ; les preuves partagées réduisent la charge d'audit
pci-dss-specialistLes exigences PCI DSS chevauchent SOC 2 CC6 (accès), CC7 (opérations), CC8 (change management) ; contrôles partagés pour les organisations de traitement de paiements
gdpr-dsgvo-expertLes exigences GDPR s'alignent avec les critères Privacy (P1) SOC 2 ; les organisations traitant des données personnelles UE peuvent réutiliser des contrôles privacy partagés
nis2-directive-specialistLes mesures de sécurité minimales NIS2 chevauchent les critères sécurité SOC 2 ; les entités UE peuvent mapper réponse aux incidents, contrôle d'accès et chiffrement partagés

Référence des outils

soc2_readiness_checker.py

Évalue les contrôles organisationnels face aux Trust Services Criteria SOC 2 avec scoring par catégorie.

FlagRequisDescription
--configOui (ou --generate-sample)Chemin vers le fichier JSON des contrôles organisationnels avec valeurs booléennes pour chaque contrôle TSC
--formatNonFormat de sortie : json pour une sortie structurée, omettre pour un texte lisible humainement
--categoriesNonCatégories TSC séparées par espaces à évaluer (par exemple security availability). Omettre pour toutes.
--cloud-mappingNonInclure les mappings de contrôle cloud provider (AWS/Azure/GCP) dans la sortie
--generate-sampleNonGénérer un template JSON exemple de contrôles (rediriger vers un fichier avec > sample-config.json)

evidence_collector.py

Génère des checklists de collecte de preuves et suit le statut de collecte.

FlagRequisDescription
--generate-checklistNonGénérer une checklist de collecte de preuves pour les catégories spécifiées
--categoriesNonCatégories TSC séparées par espaces : security, availability, processing_integrity, confidentiality, privacy, ou all
--statusNonChemin vers le fichier JSON de suivi des preuves pour afficher le statut de collecte
--updateNonChemin vers le fichier JSON de suivi des preuves à mettre à jour (à utiliser avec --item et --status)
--itemNonIdentifiant de l'élément de preuve à mettre à jour (par exemple CC6.1-MFA)
--dashboardNonChemin vers le fichier JSON de suivi des preuves pour générer un dashboard de préparation
--exportNonChemin vers le fichier JSON de suivi des preuves à exporter
--formatNonFormat d'export : json pour une sortie structurée

soc2_infrastructure_auditor.py

Audite les configurations d'infrastructure face aux exigences SOC 2 avec constats notés par sévérité.

FlagRequisDescription
--configOui (ou --generate-template)Chemin vers le fichier JSON de configuration d'infrastructure avec DNS, TLS, cloud, endpoint et autres paramètres de domaine
--formatNonFormat de sortie : json pour des constats structurés avec ratings de sévérité, omettre pour un texte lisible humainement
--domainsNonDomaines d'infrastructure séparés par espaces à auditer (par exemple dns tls cloud). Omettre pour tous les domaines.
--generate-templateNonGénérer un template de configuration d'infrastructure exemple (rediriger vers un fichier avec > infra-config.json)
ElasticFlow

Transformez votre entreprise grâce à l'automatisation des workflows alimentée par l'IA. Une plateforme unifiée pour tous vos besoins enterprise.

Suivez-nous

Plateforme

  • Fonctionnalités
  • Avantages
  • Cas d'usage
  • Bibliothèque de workflows

Cas d'usage

  • Ventes
  • Marketing
  • Finance & Juridique
  • RH

Catalogue

  • Départements
  • Rôles
  • Outils
  • Métriques
  • Plateformes

Croissance

  • Programme de parrainage
  • Partenaires

Mentions légales

  • Politique de confidentialité
  • Conditions de service
  • Politique de cookies
  • Utilisation acceptable
  • Sécurité
  • SLA

© 2026 ElasticFlow. Tous droits réservés.