Accompagnement à la préparation SOC 2 (readiness)
SOC 2 n'est pas une certification. C'est un rapport. On vous prépare à l'obtenir.
Readiness Type 1 et Type 2 — on vous mène jusqu'au rapport d'attestation émis par un CPA indépendant.
Un accompagnement SOC 2 (readiness) est un mandat structuré qui prépare votre organisation à l'examen conduit par un cabinet CPA indépendant et à l'obtention d'un rapport SOC 2 conforme aux Trust Services Criteria (TSC) 2017 de l'AICPA (avec les points of focus révisés en 2022). Factero pilote la démarche côté client : sélection du type de rapport (Type 1 ou Type 2) et des critères (Sécurité obligatoire, Disponibilité, Intégrité du traitement, Confidentialité, Protection de la vie privée), analyse d'écart, implémentation des contrôles, rédaction de la description du système, audit interne, accompagnement pendant l'examen du CPA. Nous préparons — nous n'émettons pas le rapport. Le rapport SOC 2 est émis exclusivement par un cabinet CPA indépendant, conformément aux normes SSAE No. 23 de l'AICPA. C'est ce qui lui donne sa valeur. Démarche conduite par un associé principal certifié CISA, avec les TSC 2017 comme cible et NIST-CSF en appui.
Pour qui ?
Éditeurs SaaS, plateformes cloud et fournisseurs B2B qui reçoivent des questionnaires de sécurité de leurs clients corporatifs américains ou internationaux — où SOC 2 est devenu un prérequis commercial standard.
Entreprises technologiques québécoises et canadiennes qui vendent aux États-Unis et qui découvrent que SOC 2 est la langue commune du marché B2B nord-américain.
Organisations en croissance qui préparent une ronde de financement, une acquisition, ou une expansion internationale — et pour qui SOC 2 est un signal de maturité attendu par les investisseurs et acquéreurs.
Fournisseurs qui traitent des données sensibles pour des clients du secteur financier, de la santé, ou de la tech américaine — où l'absence de SOC 2 disqualifie dès l'étape des questionnaires.
Entreprises qui ont déjà un SOC 2 Type 1 et doivent maintenant franchir l'étape Type 2 (contrôles opérant sur la durée, typiquement 6 à 12 mois).
Organisations qui ont vu leur rapport SOC 2 précédent expirer ou contenir des exceptions (qualified opinion) et qui veulent structurer correctement la prochaine période d'observation.
Quand est-ce utile ?
Si vous vous reconnaissez dans l'une de ces situations, ce service est conçu pour vous.
- Un client américain exige un rapport SOC 2 récent (moins de 12 mois) et vous ne l'avez pas — ou votre rapport date de 2 ans.
- Vous remplissez de plus en plus de questionnaires de sécurité clients et vous voulez une démarche qui réponde à 80 % des questions une fois pour toutes, avec un rapport que vous pouvez transmettre sous NDA.
- Vous hésitez entre SOC 2 Type 1 (plus rapide, plus léger) et Type 2 (exigé par la majorité des gros clients) — et vous voulez un regard externe pour trancher.
- Votre cabinet CPA vous dit que vous êtes « prêts » — mais votre équipe interne sait que ce n'est pas tout à fait vrai.
- Vous avez reçu un rapport SOC 2 avec exceptions (qualified) la dernière fois et vous devez vous assurer que la prochaine période d'observation sera propre.
- Vous êtes déjà conformes à la Loi 25, à ISO 27001, ou à CAN/DGSI 104 et vous voulez capitaliser sur ce travail pour SOC 2 sans repartir à zéro.
- Vous envisagez une ronde de financement ou une acquisition dans les 12 prochains mois et vous savez que SOC 2 va être demandé en due diligence.
- Votre organisation a grandi vite, les contrôles informels qui suffisaient à 10 employés ne tiennent plus à 50 — et SOC 2 est l'occasion de structurer.
Qu'est-ce que vous obtenez ?
Une recommandation claire Type 1 ou Type 2, justifiée par votre calendrier commercial, vos contrats clients, votre maturité actuelle — pas par une préférence commerciale.
Une sélection des critères pertinents parmi les 5 Trust Services Criteria : Sécurité (obligatoire — aussi appelés « common criteria »), plus Disponibilité, Intégrité du traitement, Confidentialité, Vie privée selon vos engagements de service. On évite d'inclure des critères dont vous n'avez pas besoin — chaque critère ajoute du coût et du risque d'exception.
Une analyse d'écart complète entre votre posture actuelle et les TSC retenus, avec un plan priorisé par niveau de risque et d'effort.
La description du système (System Description) rédigée aux standards AICPA — un livrable central du rapport SOC 2, souvent sous-estimé et mal fait.
Les politiques, procédures et enregistrements requis, rédigés et adaptés à votre réalité — pas une pile de gabarits génériques copiés-collés.
L'implémentation des contrôles techniques manquants, en collaboration avec vos équipes produit et TI : MFA, chiffrement, journalisation, gestion des accès, revues périodiques, gestion du changement, etc.
Un audit interne préalable avec regard externe indépendant — pour identifier les exceptions potentielles avant le CPA, pas pendant.
Un dossier de preuve organisé et structuré selon les attentes de l'auditeur CPA : évidences par critère, échantillons prêts, documentation disponible sans course de dernière minute.
Un accompagnement pendant l'examen du CPA (walkthrough, sampling, remédiation) pour traduire les demandes de l'auditeur et structurer les réponses de vos équipes.
Un plan de continuité annuel : pour Type 2, les contrôles doivent opérer de manière continue — on met en place la cadence de collecte de preuves qui permettra à la prochaine période d'observation de passer sans friction.
Pas un bon fit ?
- SOC 2 est un engagement exigeant — surtout en Type 2, qui nécessite que les contrôles opèrent efficacement sur 6 à 12 mois. Il requiert un propriétaire interne (souvent le CTO, le VP Engineering ou un responsable conformité dédié) avec le mandat d'intégrer les contrôles dans les opérations courantes. Sans ce point d'ancrage, même le meilleur accompagnement externe ne tient pas.
- Si vos clients ne demandent pas SOC 2 et n'ont pas l'intention de le demander — par exemple une PME qui vend au Québec à d'autres PME, sans ambition d'exportation vers les États-Unis — ISO 27001 ou CAN/DGSI 104 sera probablement plus pertinent et moins coûteux. SOC 2 est une norme américaine : sa valeur vient du signal commercial qu'elle envoie aux clients nord-américains.
- Si votre client vous demande « SOC 2 » pour un déploiement dans le réseau de la santé québécois, il y a confusion — le réseau de la santé exige la certification TGV, pas SOC 2. On clarifie avant que vous investissiez dans la mauvaise démarche.
- Si vous êtes à un stade très précoce (produit en bêta, < 10 employés, pas encore de revenus significatifs), SOC 2 peut être prématuré. Un audit Factero ou une préparation CAN/DGSI 104 peut constituer une fondation plus rentable à court terme, avant de viser SOC 2 quand les premiers clients corporatifs arrivent.
Comment fonctionne le processus ?
Une approche rigoureuse et transparente, étape par étape.
Cadrage Type 1 ou Type 2
On débute par la question stratégique : quel type de rapport, et quels critères. Le Type 1 atteste de la conception des contrôles à un moment précis — plus rapide, mais souvent insuffisant pour des clients exigeants. Le Type 2 atteste que les contrôles opèrent efficacement sur une période d'observation (généralement 6 à 12 mois) — c'est ce que la majorité des gros clients veulent voir. On regarde votre calendrier commercial, vos contrats signés et en négociation, et votre maturité actuelle pour trancher. La sélection des critères (au minimum Sécurité, plus les critères pertinents) détermine la portée de l'examen. Livrable : recommandation motivée, plan de mandat, estimation réaliste du délai.
Analyse d'écart sur les TSC
On cartographie votre environnement contre les Trust Services Criteria 2017 applicables, avec les points of focus révisés en 2022 pour intégrer les évolutions technologiques récentes. On identifie ce qui est déjà en place et documentable, ce qui manque, et ce qui doit être ajusté. Livrable : rapport d'écart priorisé par risque et par effort.
Contrôles et System Description
On implémente les contrôles manquants avec vos équipes — MFA, chiffrement, journalisation, gestion des accès, gestion du changement, surveillance, gestion des incidents. Principe directeur : chaque contrôle doit être vécu, pas juste documenté. En parallèle, on rédige la description du système (System Description) — un livrable central du rapport SOC 2 qui décrit précisément le périmètre, l'infrastructure, les flux de données, les responsabilités. Mal faite, elle invalide le rapport. On la fait à votre place, puis on la fait valider par votre équipe.
Audit interne avant le CPA
On conduit un audit interne formel avant l'examen officiel — un regard externe indépendant qui identifie les exceptions potentielles pendant qu'il est encore temps de les corriger. C'est la différence entre « on espère passer » et « on sait qu'on va passer ». Cette étape est particulièrement critique pour un Type 2 : une exception identifiée après le début de la période d'observation est difficile à corriger sans prolonger le calendrier.
Période d'observation (Type 2)
Pour un Type 2, les contrôles doivent opérer pendant une période généralement comprise entre 3 et 12 mois (6 mois est le minimum courant pour un premier rapport, 12 mois pour les rapports de renouvellement). Pendant cette période, on met en place la cadence de collecte de preuves — revues périodiques documentées, journaux conservés, tickets de gestion du changement, évidences horodatées. Sans cette discipline, le CPA tombera sur des trous lors du sampling.
Accompagnement examen CPA
On vous accompagne pendant l'examen conduit par le cabinet CPA que vous aurez choisi. Notre rôle : traduire les demandes de l'auditeur en actions concrètes pour vos équipes, préparer les walkthroughs, gérer les exceptions éventuelles et les plans de remédiation. Le choix du CPA reste le vôtre — nous pouvons vous présenter plusieurs cabinets qualifiés, sans aucun lien commercial avec eux. Notre charte d'indépendance l'exige.
Renouvellement annuel
Un rapport SOC 2 couvre une période donnée. Les clients veulent un rapport récent (généralement moins de 12 mois). La plupart des organisations refont un rapport chaque année — ce qui signifie que la cadence de collecte de preuves et la discipline des contrôles doivent tenir sur la durée. On reste disponible pour préparer chaque cycle annuel, sans contrat récurrent imposé.
Foire aux questions
Les réponses aux questions que nos clients posent avant de nous contacter.
Type 1 ou Type 2 — lequel choisir ?
La réponse dépend de ce que vos clients acceptent. Le Type 1 atteste de la conception des contrôles à une date précise — c'est plus rapide (3 à 6 mois de préparation), moins coûteux, et souvent suffisant pour une première démonstration. Mais de plus en plus de clients corporatifs n'acceptent plus que le Type 2, qui atteste que les contrôles opèrent efficacement sur une période (typiquement 6 à 12 mois). Si vos clients acceptent un Type 1, c'est une étape intermédiaire intelligente qui vous permet de sortir un livrable rapide tout en préparant le Type 2 en arrière-plan. Si vos plus gros prospects exigent Type 2 dès le départ, on vise directement Type 2 — ça prend plus de temps mais ça évite de payer deux examens. Factero regarde avec vous vos contrats actuels et les questionnaires reçus récemment pour trancher — pas par défaut, pas par préférence commerciale.
Combien de temps ça prend ?
Pour un Type 1, comptez 4 à 6 mois du début du mandat à la réception du rapport. Pour un Type 2, 9 à 15 mois est réaliste. Le Type 2 inclut une période d'observation de 3 à 12 mois pendant laquelle les contrôles doivent opérer — on ne peut pas court-circuiter cette période, c'est structurel. Les délais très courts annoncés ailleurs (« SOC 2 en 90 jours ») s'appliquent uniquement au Type 1 et seulement à des organisations qui ont déjà tout en place. Factero donne une estimation réaliste dès l'analyse d'écart, basée sur votre situation actuelle — pas une fourchette marketing. Si votre échéance commerciale est plus courte que ce qui est atteignable proprement, on vous le dira et on regardera les alternatives (Type 1 d'abord, lettre d'intention chez l'auditeur, etc.).
Combien ça coûte — et qu'est-ce qui n'est pas inclus ?
L'accompagnement Factero couvre la préparation complète — cadrage, analyse d'écart, implémentation des contrôles, rédaction de la description du système, audit interne, accompagnement pendant l'examen du CPA. Les coûts non inclus et payés directement par vous : les honoraires du cabinet CPA (l'examen lui-même et l'émission du rapport), les éventuels investissements techniques identifiés pendant la démarche (licences MFA, outils de journalisation, solutions GRC comme Drata/Vanta/Secureframe si pertinent), et le temps de vos équipes internes — toujours l'investissement le plus important. On vous remet une estimation complète des trois postes dès l'analyse d'écart, pour éviter les surprises budgétaires.
Est-ce que SOC 2 est une certification ?
Non — et c'est important de le dire correctement à vos clients. SOC 2 est un rapport d'attestation émis par un cabinet CPA (Certified Public Accountant) indépendant conformément aux normes SSAE No. 23 de l'AICPA. Il n'y a pas de « certificat SOC 2 » ni d'organisme de certification accrédité comme pour ISO 27001. Le rapport est un document détaillé (souvent 40-80 pages) qui décrit votre système, les contrôles en place, les tests effectués par le CPA, et les éventuelles exceptions. Il est confidentiel — typiquement transmis à vos clients sous entente de confidentialité (NDA). Si vous voulez une version publique, c'est le SOC 3 — un résumé du SOC 2 destiné à diffusion générale, mais beaucoup moins utilisé en pratique. Dire « nous sommes certifiés SOC 2 » est techniquement incorrect — la formulation exacte est « nous avons obtenu un rapport SOC 2 Type [1/2] pour la période du [date] au [date] ». (Source : AICPA, SSAE No. 23.)
Est-ce que SOC 2 remplace ISO 27001, CAN/DGSI 104, ou Loi 25 ?
Non — ces cadres ne sont pas interchangeables, mais ils se chevauchent beaucoup. SOC 2 est américain (AICPA), basé sur les Trust Services Criteria et conçu pour les organisations de services qui traitent des données pour le compte de leurs clients. ISO 27001 est international, axé sur le système de gestion de la sécurité de l'information (SGSI). CAN/DGSI 104 est canadien, sectoriel, basé sur un socle de contrôles pour PME. Loi 25 est une obligation légale québécoise spécifique à la protection des renseignements personnels. Les contrôles techniques se chevauchent à 60-80 % entre ces cadres — un bon SGSI ISO 27001 fournit une base solide pour SOC 2. Mais le public visé diffère : SOC 2 est exigé par les clients américains, ISO 27001 par les clients internationaux, CAN/DGSI 104 par le gouvernement fédéral canadien, Loi 25 par la législation québécoise. Factero peut mener plusieurs démarches en parallèle en réutilisant la documentation commune — c'est souvent la bonne stratégie quand vous visez plusieurs marchés.
Quels critères de confiance (TSC) choisir ?
La Sécurité (aussi appelée « common criteria » ou CC1–CC9) est obligatoire dans tout rapport SOC 2. Les 4 autres critères sont optionnels et se choisissent selon vos engagements de service envers vos clients : Disponibilité si vous vous engagez sur des SLA de disponibilité (la majorité des SaaS), Intégrité du traitement si vous traitez des transactions critiques (paiements, dossiers), Confidentialité si vous traitez des données sensibles non personnelles (propriété intellectuelle, données commerciales), Protection de la vie privée si vous traitez des renseignements personnels (au sens large — noms, courriels, adresses, etc.). Chaque critère ajouté augmente la portée de l'examen, les coûts et le risque d'exception. Factero regarde vos contrats clients, vos pages de politiques publiques, et vos engagements SLA pour recommander la combinaison minimale qui répond à vos besoins commerciaux — pas le maximum pour impressionner. (Source : AICPA, Trust Services Criteria 2017, points of focus révisés en 2022.)
Notre MSP gère déjà notre infrastructure. Peut-il aussi nous préparer à SOC 2 ?
Votre MSP est un acteur clé de la mise en œuvre technique — mais vous préparer à SOC 2 est un rôle distinct, et le CPA y sera attentif. SOC 2 exige de documenter les rôles et responsabilités, y compris ceux des fournisseurs (vendor management). Si votre MSP gère votre infrastructure et rédige vos politiques de sécurité et prépare votre description du système, le CPA posera des questions d'indépendance. Dans certains cas, le MSP doit lui-même fournir un SOC 2 ou une lettre d'assurance sur les contrôles qu'il opère chez vous — et c'est là que les tensions apparaissent. Factero n'a aucun lien commercial avec votre MSP : nous structurons la démarche, documentons la réalité, et laissons votre MSP faire ce qu'il fait bien — l'opération. On travaille avec lui, pas à sa place, exactement comme pour un audit indépendant.
Qu'est-ce qu'une « exception » dans un rapport SOC 2 et comment l'éviter ?
Une exception signifie que le CPA a trouvé un cas où un contrôle n'a pas fonctionné comme prévu pendant la période d'observation. Par exemple : un compte administrateur créé sans approbation documentée, un changement de production déployé sans revue, un accès non révoqué dans les délais après un départ. Les exceptions ne sont pas nécessairement des échecs — elles sont documentées dans le rapport final, et vos clients les verront. Un rapport avec exceptions (on parle parfois de qualified opinion) est généralement acceptable si les exceptions sont peu nombreuses, mineures, et accompagnées de plans de remédiation. Mais un rapport avec beaucoup d'exceptions perd sa valeur commerciale. Factero met l'accent sur la prévention des exceptions : cadence de collecte de preuves, revues périodiques documentées, audit interne avant le CPA. C'est là que se joue la différence entre « on a passé SOC 2 » et « on est fiers de partager notre rapport ».
Quelle méthodologie utilisez-vous ?
Factero s'appuie sur les Trust Services Criteria 2017 de l'AICPA (avec les points of focus révisés en 2022) comme cible, complétés par le NIST Cybersecurity Framework (NIST-CSF) pour structurer l'évaluation des risques et prioriser les recommandations. Les contrôles SOC 2 sont intégrés au cadre COSO 2013 — les 17 principes COSO forment la colonne vertébrale des common criteria. Le principal associé détient la certification CISA (Certified Information Systems Auditor) délivrée par l'ISACA — la référence internationale en audit des systèmes d'information. La démarche est adaptée à la taille et à la complexité de chaque organisation : on ne construit pas le même dispositif pour un SaaS de 20 employés et une plateforme financière de 300 employés. Chaque contrôle est évalué selon son applicabilité réelle et son ratio coût/risque.
Faut-il utiliser un outil GRC comme Drata, Vanta ou Secureframe ?
Ce sont des outils utiles, mais ce ne sont pas des raccourcis. Les plateformes GRC (Drata, Vanta, Secureframe, Thoropass, etc.) automatisent la collecte de preuves en se connectant à vos systèmes (AWS, Azure, GitHub, Okta, etc.) et en extrayant automatiquement les évidences de contrôle. Elles facilitent réellement la gestion de la période d'observation en Type 2 — moins de captures d'écran manuelles, moins d'oublis. Factero n'a aucun partenariat commercial avec ces éditeurs : si l'outil est pertinent pour vous, on vous accompagne dans son déploiement ; sinon, on documente autrement. Le piège à éviter : ces outils sont d'excellents automates de collecte, mais ils ne remplacent ni la réflexion sur les contrôles, ni la rédaction de la description du système, ni le jugement humain devant une exception. Les organisations qui réussissent SOC 2 utilisent souvent un outil GRC ; celles qui échouent pensent parfois que l'outil suffit.
Comment choisir notre cabinet CPA ?
Pas tous les cabinets CPA sont équivalents pour SOC 2. Un bon auditeur SOC 2 est un cabinet CPA (pas un consultant) qui a une pratique SOC régulière, connaît votre secteur, et a la capacité d'émettre des rapports dans des délais raisonnables. Pour une entreprise québécoise, les grands cabinets canadiens (Deloitte, KPMG, EY, PwC, Grant Thornton, BDO, Richter, MNP) offrent tous des services SOC 2. Plusieurs cabinets nord-américains spécialisés (A-LIGN, Schellman, Prescient Assurance, Johanson Group, Insight Assurance, Barr Advisory, Linford & Co) ciblent aussi le marché canadien. Les critères qui comptent : expérience SOC 2 avec des entreprises de votre taille et secteur, rapports récents lisibles, capacité à émettre dans vos délais, honoraires transparents, et compatibilité humaine avec votre équipe (vous allez interagir 3 à 6 mois avec eux). Factero peut vous présenter plusieurs options sans aucun lien commercial — la charte d'indépendance l'exige. Le choix final reste le vôtre.
Est-ce que c'est confidentiel ?
Oui, chaque mandat d'accompagnement mené par Factero est encadré par un engagement de confidentialité formel en faveur du client, signé avant le début des travaux. Aucune information — constats, documents analysés, politiques rédigées, résultats d'audit interne — n'est partagée avec un tiers, un fournisseur ou un partenaire sans votre autorisation écrite explicite, conformément à notre politique de protection des renseignements personnels et aux exigences de la Loi 25. Les éléments remis au cabinet CPA le sont sous votre contrôle et avec votre validation. Cette rigueur s'applique à l'ensemble de nos mandats, sans exception.
Est-ce qu'on s'engage dans un suivi récurrent ?
Non. L'accompagnement se termine naturellement à l'émission du premier rapport SOC 2. Pour les renouvellements annuels — maintien de la cadence de preuves, préparation de la prochaine période d'observation, ajustements si votre périmètre évolue — certaines organisations préfèrent nous garder sur une cadence légère. D'autres internalisent après le premier cycle, souvent avec un responsable conformité dédié et un outil GRC. Notre charte d'indépendance interdit la création de dépendance artificielle — on ne recommande jamais un suivi dont vous n'avez pas besoin. Si votre équipe peut reprendre le relais, c'est un bon résultat.
Pourquoi Factero pour ce mandat — qu'est-ce qui vous différencie ?
Avant de signer avec un cabinet d'accompagnement, vérifiez quelques éléments fondamentaux. Un cabinet sérieux les démontre sans hésitation et par écrit.
Cabinet lui-même certifié — Factero détient la certification CyberSécuritaire Canada (CAN/DGSI 104:2021 / Rev 1:2024), vérifiable publiquement au registre IAF CertSearch et via notre Trust Center. Nous appliquons à notre propre organisation les standards que nous accompagnons chez nos clients. Un cabinet qui vous accompagne vers une certification reconnue devrait, par cohérence, en détenir une lui-même.
Entreprise incorporée et établie depuis 2022 — Factero Service Conseil est dûment incorporée au Registre des entreprises du Québec (REQ) depuis 2022, sans procédure d'insolvabilité ni de faillite. Le statut juridique de tout cabinet candidat se vérifie gratuitement au REQ ; les procédures d'insolvabilité et de faillite figurent au registre du Bureau du surintendant des faillites Canada (osb-bsf.ic.gc.ca).
Équipe complète et continuité opérationnelle — Factero s'appuie sur une équipe interdisciplinaire couvrant les technologies de l'information, les ressources humaines et la comptabilité — les trois dimensions qui se croisent dans la plupart des mandats de gouvernance. Un mandat de certification s'étend sur 6 à 18 mois ; le cabinet qui vous accompagne doit avoir la profondeur d'équipe pour tenir la distance, pas seulement la disponibilité d'une seule personne.
Assurance responsabilité professionnelle et cyberassurance — Factero détient une couverture responsabilité professionnelle (E&O) et une cyberassurance actives, adaptées à ses activités de conseil en gouvernance TI et en cybersécurité. Un cabinet qui vous recommande une cyberassurance devrait, par cohérence, en détenir une lui-même. Demandez l'attestation avant de signer.
Indépendance écrite et publique — Nos engagements sont encadrés par une Charte d'Indépendance publique qui interdit commissions, rétrocessions et arrangements commerciaux avec les fournisseurs, courtiers et marchés.
Inscription aux marchés publics — Factero est inscrit au SEAO (Québec) et au Ontario Tenders Portal — démarche qui implique vérifications réglementaires et attestations fiscales à jour.
Ces critères ne sont pas des arguments commerciaux. Ce sont les conditions minimales à demander à tout cabinet candidat. L'absence de réponse claire à l'une de ces questions est, en soi, une réponse.
Services complémentaires
Audit informatique Accompagnement ISO 27001 Accompagnement CAN/DGSI 104 Voir plusBesoin d'avancer sur ce sujet ?
Discutons de votre situation spécifique. Sans engagement, juste des conseils d'expert.