Tous les rapports SOC 2 ne se valent pas. Utilisez cet outil interactif pour évaluer rapidement la qualité et la fiabilité de tout rapport SOC 2 avant de l'accepter dans votre programme de gestion des risques fournisseurs.
Critères basés sur la rubrique SOC 2 Quality Guild, une initiative ouverte et communautaire visant à établir des indicateurs de qualité pour les rapports SOC 2.
Ouvrez le rapport SOC 2 que vous examinez, puis passez en revue chacun des signaux de qualité ci-dessous. Pour chaque signal, choisissez l'une des options suivantes :
Le rapport répond à ce critère de qualité.
Drapeau rouge détecté. Nécessite une attention particulière.
Sans objet ou impossible à déterminer.
Évaluez chaque signal pour voir votre score
L'auditeur est-il un cabinet d'experts-comptables agréé inscrit au programme d'évaluation par les pairs de l'AICPA ?
L'auditeur doit être un cabinet d'experts-comptables agréé inscrit au programme d'évaluation par les pairs de l'AICPA. Les experts-comptables individuels qui signent sans affiliation à un cabinet ou les cabinets non enregistrés indiquent que l'audit peut ne pas être légitime ou soumis à une surveillance appropriée.
Consultez le bas de la section 1 pour trouver le nom et la signature de l'entreprise. Vérifiez l'enregistrement sur nasba.org (conseil d'État) et aicpa.org (évaluation par les pairs). Si vous ne parvenez pas à confirmer l'enregistrement, refusez le rapport et demandez-en un à une entreprise dûment accréditée.
Le rapport est-il exempt de toute référence à une plateforme GRC qui n'est ni celle de l'auditeur ni celle de la société auditée ?
La forte présence de la marque d'une plateforme GRC (et non celle de l'auditeur ou de la société auditée) tout au long du rapport suggère que la plateforme a généré automatiquement du contenu sans personnalisation ni jugement suffisant de la part d'un auditeur indépendant.
Examinez l'intégralité du rapport à la recherche de logos et de marques. Seuls le cabinet d'audit et la société auditée doivent y figurer. Si la marque d'une plateforme de conformité y apparaît, examinez de plus près les procédures de test et vérifiez si l'audit comprenait une véritable vérification indépendante ou s'il s'agissait simplement d'un rapport généré automatiquement.
Le cabinet d'audit jouit-il d'une réputation crédible dans le secteur ?
Certaines entreprises sont connues dans le secteur pour prendre des raccourcis, pratiquer une politique de prix cassés ou produire des rapports standardisés. D'autres sont réputées pour leurs audits rigoureux et minutieux. La réputation est souvent un indicateur de qualité.
Recherchez le nom de l'entreprise sur G2, Gartner Peer Insights ou LinkedIn pour consulter les avis et les discussions. Demandez à votre réseau TPRM si quelqu'un a déjà travaillé avec cet auditeur. Si vous constatez des problèmes récurrents en matière de qualité, tenez-en compte dans votre évaluation et demandez des preuves supplémentaires.
La section 1 contient-elle tous les paragraphes exigés par l'AICPA ?
Les normes de l'AICPA imposent des paragraphes spécifiques : « Portée », « Opinion » et, pour le type 2, « Description des tests de contrôle ». Des paragraphes manquants ou incorrects indiquent que l'auditeur ne connaît pas les normes ou a pris des raccourcis.
Parcourez la section 1 à la recherche des paragraphes étiquetés. Pour le type 2, vérifiez qu'il existe un paragraphe faisant référence aux tests dans la section 4. Vérifiez que l'avis indique clairement si les contrôles ont été conçus de manière appropriée et fonctionnent efficacement. L'absence de formulation ou l'utilisation d'un langage générique constituent un signal d'alarme structurel : documentez et signalez le problème avant d'accepter.
Les descriptions des tests montrent-elles ce qui a réellement été examiné plutôt que des formules vagues et standardisées ?
Les descriptions vagues telles que « preuves examinées » ou « preuves inspectées » ne vous renseignent en rien sur ce qui a réellement été examiné. Recherchez les descriptions indiquant que le test a été refait ou observé. Des descriptions spécifiques telles que « inspection de 35 examens trimestriels d'accès sur toute la période et vérification de l'approbation par le responsable et de la suppression en temps opportun » démontrent une plus grande rigueur dans les tests.
Sélectionnez 5 à 7 contrôles essentiels à votre cas d'utilisation et lisez leurs procédures de test ligne par ligne. Recherchez : quelles preuves ont été examinées, combien d'échantillons, sur quelles périodes et qu'est-ce qui a été vérifié précisément. Si les procédures sont interchangeables, signalez ces contrôles et demandez des preuves directes au fournisseur.
Les échantillons sont-ils suffisamment importants et répartis sur toute la période d'audit ?
Tester 5 éléments une seule fois au début de la période pour un contrôle quotidien offre une assurance faible. Tester 40 éléments répartis sur 12 mois offre une assurance plus forte. La méthodologie d'échantillonnage révèle la rigueur de la vérification de l'efficacité.
Pour vos contrôles critiques, comptez les échantillons et vérifiez le calendrier. Pour les contrôles techniques (MFA, cryptage), recherchez les tests de configuration et les preuves générées par le système. Pour les contrôles périodiques (examens trimestriels), vérifiez que tous les cas ont été testés. Les petits échantillons (5 à 10) ou le regroupement en fin de période constituent une limitation — notez-le et envisagez une vérification directe.
La section 3 mentionne-t-elle des produits, des infrastructures et des structures organisationnelles réels ?
La section 3 doit mentionner les produits réels, les composants de la pile technologique, les fournisseurs d'infrastructure et la structure organisationnelle. L'utilisation de mots à la mode génériques pouvant décrire n'importe quelle entreprise suggère que l'auditeur ne s'est pas intéressé à l'environnement réel.
Recherchez des détails spécifiques : AWS/Azure/GCP, outils SaaS nommés, emplacements des centres de données, organigrammes, schémas d'architecture. Si le texte ressemble à un argumentaire marketing que vous pourriez coller dans n'importe quelle entreprise, l'auditeur n'a probablement pas approfondi ses recherches. Comparez ces informations avec ce que vous savez de la pile technologique réelle du fournisseur.
Les contrôles précisent-ils qui, quoi, quand et comment, ou se contentent-ils d'énoncés vagues ?
Des contrôles vagues tels que « La direction assure la sécurité » ne vous indiquent pas ce qui se passe réellement. Des contrôles clairs précisent ce qui se passe, qui le fait, à quelle fréquence et ce qui le rend efficace.
Lisez les descriptions des contrôles pour en vérifier la spécificité. Bon exemple : « L'équipe de sécurité examine l'accès à la production tous les trimestres, valide la justification commerciale avec les responsables et supprime les accès non justifiés dans les 24 heures. » Mauvais exemple : « L'accès est examiné périodiquement. » Si les contrôles sont systématiquement vagues, vous ne pouvez pas évaluer leur pertinence. Demandez au fournisseur de vous fournir la documentation relative aux contrôles effectifs.
Les contrôles correspondent-ils logiquement aux critères des services de confiance auxquels ils prétendent se conformer ?
Chaque contrôle correspond à des critères de services de confiance (comme CC6.1 pour l'accès logique). Les correspondances illogiques, telles que les « réunions annuelles » associées aux contrôles d'accès techniques, suggèrent que l'auditeur n'a pas réfléchi de manière critique à ce que les contrôles accomplissent réellement.
Vérifiez au hasard 10 correspondances de contrôles. Demandez-vous : ce contrôle répond-il logiquement à ce critère ? Si les contrôles techniques sont associés à des catégories erronées ou si des contrôles logiciels sont utilisés pour des exigences techniques strictes, la portée n'a pas été bien pensée. Documentez les correspondances douteuses et vérifiez si ces domaines sont bien conçus.
La déclaration de la direction est-elle présente, complète et signée par les dirigeants de l'entreprise ?
La direction doit officiellement certifier que la description de son système est exacte, que les contrôles sont correctement conçus et (type 2) fonctionnent efficacement. Des certifications manquantes ou incomplètes signifient que la direction n'a pas assumé ses responsabilités en matière d'environnement de contrôle conformément aux normes de l'AICPA.
Recherchez la déclaration de la direction dans la section 1 ou dans une section distincte. Vérifiez qu'elle comprend tous les éléments requis et qu'elle est signée par la direction de l'entreprise. Si elle est manquante, incomplète ou non signée, le rapport ne répond pas aux normes de base. Demandez une version complète avant de poursuivre votre évaluation.
Cette liste de contrôle vous indique où chercher. ISMS Copilot vous explique ce que cela signifie et ce qu'il faut faire ensuite.
Collez une description de contrôle, une procédure de test ou un extrait complet de la section 4 dans ISMS Copilot et demandez-lui d'évaluer la qualité par rapport aux normes SOC 2 / AICPA. C'est le ChatGPT du GRC, conçu par des professionnels de la conformité pour des professionnels de la conformité.
Gratuit pour commencer. Aucune carte de crédit requise.
Les indicateurs de qualité utilisés dans cet outil sont basés sur la rubrique SOC 2 Quality Signals créée et maintenue par la SOC 2 QualityGuild , une initiative communautaire collaborative visant à établir des lignes directrices généralement acceptées pour évaluer la qualité des rapports SOC 2. La rubrique originale est publiée sous la licence Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0).
Conformément à cette licence, cette adaptation interactive réalisée par ISMS Copilot est également partagée sous licence CC BY-SA 4.0. Nous n'avons pas modifié le contenu des signaux, nous les avons simplement reformatés pour en faire une liste de contrôle interactive avec un mécanisme de notation.
© 2026 SOC 2 Quality Guild (rubrique originale). Outil interactif par ISMS Copilot. Sous licence CC BY-SA 4.0.
Cet outil est fourni à titre informatif et éducatif uniquement. Il ne constitue en aucun cas un avis juridique, d'audit ou professionnel. ISMS Copilot n'est pas affilié, approuvé ou officiellement associé à SOC 2 Quality Guild, à l'AICPA ou à tout autre cabinet d'audit. Les résultats de cet outil de vérification ne remplacent en aucun cas l'avis d'un professionnel. Consultez toujours un professionnel qualifié avant de prendre des décisions en matière de gestion des risques liés aux fournisseurs.
