🇬🇧 English version
SOC 28 min de lecture

Comment définir le scope de votre audit SOC 2

Définir le bon scope pour votre audit SOC 2 est l'une des décisions les plus importantes du processus. Bien le faire garantit que vous démontrez la sécurité qui compte pour vos clients tout en évitant une complexité et des coûts inutiles.

Points clés

Point Résumé
Le scope détermine l'effort Un scope plus large signifie plus de systèmes, contrôles et preuves à gérer
Commencez focalisé Beaucoup d'organisations débutent avec leur produit principal et leur infrastructure primaire
Les exigences clients comptent Laissez les besoins de vos clients guider ce que vous incluez
Systèmes, pas seulement critères Le scope inclut quels systèmes, services et infrastructure sont couverts
Documentez en détail Une documentation claire du scope aide à éviter les surprises pendant l'audit

En bref : Le scope SOC 2 définit quels systèmes, services et Trust Services Criteria sont inclus dans votre audit. Commencer avec un scope focalisé couvrant votre produit principal et la gestion des données clients primaires est souvent l'approche la plus efficace pour un premier audit.

Qu'est-ce que le scope SOC 2 ?

Votre scope SOC 2 a deux dimensions principales :

1. Trust Services Criteria (TSC)

Quels critères sont inclus :

  • Security (obligatoire pour tous les audits SOC 2)
  • Availability (optionnel)
  • Processing Integrity (optionnel)
  • Confidentiality (optionnel)
  • Privacy (optionnel)

Voir notre guide des Trust Services Criteria pour les détails sur chaque critère.

2. Systèmes et infrastructure

Quels systèmes, services et infrastructure sont couverts :

  • Applications et bases de données de production
  • Infrastructure cloud (comptes AWS, GCP, Azure)
  • Services et intégrations support
  • Outils internes qui traitent les données clients
  • Personnes et processus

Pourquoi le scope est important

Pour votre audit

Impact du scope Considération
Complexité Plus de systèmes = plus de contrôles à documenter et tester
Timeline Un scope plus large peut étendre le temps d'implémentation
Coût Un scope plus complet augmente généralement l'investissement
Charge de preuves Plus de systèmes signifie plus de preuves à collecter et maintenir

Pour vos clients

Impact du scope Considération
Couverture Le scope devrait couvrir ce qui intéresse les clients
Crédibilité Le scope devrait adresser votre service de manière significative
Questions Les clients peuvent demander pourquoi certaines choses sont exclues

Patterns de scope courants

Pattern 1 : Focus produit principal

Inclut :

  • Application principale face aux clients
  • Base de données de production
  • Infrastructure cloud support
  • Pipeline CI/CD
  • Systèmes des employés qui accèdent à la production

Exclut :

  • Outils internes ne touchant pas les données clients
  • Environnements de développement et staging
  • Systèmes marketing et sales

Idéal pour : Premier SOC 2, entreprises avec un produit focalisé

Pattern 2 : Couverture plateforme complète

Inclut :

  • Tous les produits et services face aux clients
  • Toute l'infrastructure support
  • Pipelines de traitement de données
  • Systèmes d'analytics et reporting
  • Outils internes accédant aux données clients

Idéal pour : Organisations matures avec plusieurs produits, clients enterprise avec des exigences complètes

Pattern 3 : Focus service spécifique

Inclut :

  • Un service ou ligne de produit spécifique
  • Seulement l'infrastructure supportant ce service
  • Accès employés pertinents

Exclut :

  • Autres produits ou services
  • Infrastructure non liée

Idéal pour : Organisations avec plusieurs produits distincts servant différents marchés

Comment déterminer votre scope

Étape 1 : Comprendre les exigences clients

Commencez par comprendre ce dont vos clients ont vraiment besoin :

  • Revoyez les questionnaires de sécurité que vous avez reçus
  • Identifiez les thèmes communs dans les exigences de sécurité clients
  • Considérez quels systèmes préoccupent le plus les clients
  • Notez tout critère spécifique demandé par les clients

Étape 2 : Cartographier vos flux de données

Documentez comment les données clients circulent dans vos systèmes :

  • Où les données entrent-elles dans vos systèmes ?
  • Où sont-elles stockées ?
  • Quels processus y accèdent ?
  • Où sortent-elles de vos systèmes ?
  • Quels tiers sont impliqués ?

Étape 3 : Identifier les systèmes critiques

Déterminez quels systèmes sont essentiels à inclure :

Catégorie système Questions à se poser
Applications Quelles applications gèrent les données clients ?
Bases de données Où les données clients sont-elles stockées ?
Infrastructure Quels comptes cloud et services supportent la production ?
Intégrations Quels services tiers traitent les données clients ?
Personnes Qui a accès aux données et systèmes clients ?

Étape 4 : Définir les frontières

Créez des frontières claires pour ce qui est dans et hors du scope :

Dans le scope :

  • Systèmes qui stockent, traitent ou transmettent des données clients
  • Infrastructure supportant ces systèmes
  • Personnes avec accès à ces systèmes
  • Tiers qui gèrent les données en votre nom

Potentiellement hors scope :

  • Environnements de développement (sauf s'ils ont accès aux données de production)
  • Outils internes n'accédant pas aux données clients
  • Systèmes marketing et sales
  • Systèmes corporate non liés à la délivrance du service

Considérations de scope par critère

Security (Obligatoire)

Toujours inclus. Couvre :

  • Contrôles d'accès
  • Gestion des changements
  • Gestion des vulnérabilités
  • Réponse aux incidents
  • Contrôles physiques et environnementaux

Availability

À considérer si :

  • Vous avez des SLAs avec les clients
  • L'uptime est critique pour votre service
  • Les clients posent des questions sur la disponibilité

Ajoute :

  • Planification de capacité
  • Disaster recovery
  • Continuité d'activité
  • Monitoring de performance

Processing Integrity

À considérer si :

  • Vous traitez des transactions ou calculs
  • La précision des données est critique
  • Les clients dépendent d'un traitement correct

Ajoute :

  • Validation des données
  • Contrôles de précision du traitement
  • Gestion des erreurs
  • Procédures de réconciliation

Confidentiality

À considérer si :

  • Vous gérez des informations business sensibles
  • Les clients partagent des données propriétaires
  • Des engagements de confidentialité existent

Ajoute :

  • Classification des données
  • Accords de confidentialité
  • Procédures de manipulation des données
  • Contrôles de divulgation

Privacy

À considérer si :

  • Vous traitez des informations personnelles
  • GDPR ou réglementations similaires s'appliquent
  • Les clients demandent une attestation privacy

Ajoute :

  • Exigences de notice privacy
  • Gestion du consentement
  • Droits des personnes concernées
  • Évaluations d'impact privacy

Erreurs de scope courantes

Erreur 1 : Over-scoping

Problème : Inclure trop de systèmes ou critères crée une complexité inutile.

Solution : Commencez focalisé. Vous pouvez étendre le scope les années suivantes selon les retours clients.

Erreur 2 : Under-scoping

Problème : Exclure des systèmes que les clients s'attendent à voir couverts.

Solution : Assurez-vous que le scope couvre votre service principal et la gestion des données clients primaires. Vérifiez les exigences clients.

Erreur 3 : Frontières floues

Problème : Un scope ambigu crée des problèmes d'audit et de la confusion client.

Solution : Documentez le scope clairement avec des systèmes nommés spécifiquement. Revoyez avec votre auditeur avant de commencer.

Erreur 4 : Ignorer les organisations de sous-service

Problème : Les tiers qui traitent des données en votre nom ne sont pas considérés.

Solution : Identifiez toutes les organisations de sous-service. Soit incluez leurs contrôles, soit appuyez-vous sur leurs rapports SOC 2 (méthode carve-out).

Organisations de sous-service

Si vous utilisez des services tiers qui gèrent les données clients, vous avez deux approches :

Méthode inclusive

Vous prenez la responsabilité des contrôles du tiers :

  • Plus complexe
  • Nécessite de tester leurs contrôles
  • Plus grande assurance pour les clients

Méthode carve-out

Vous vous appuyez sur le propre rapport SOC 2 du tiers :

  • Approche la plus courante
  • Plus simple à gérer
  • Référencez leur rapport dans le vôtre

La plupart des organisations utilisent la méthode carve-out pour les grands fournisseurs cloud (AWS, GCP, Azure) et autres vendors certifiés SOC 2.

Documenter votre scope

Votre documentation de scope devrait inclure :

Description du système

  • Vue d'ensemble des services fournis
  • Composants du système
  • Engagements de service principaux
  • Exigences système
  • Critères Trust Services applicables

Frontières

  • Systèmes et applications spécifiques inclus
  • Infrastructure couverte
  • Types de données dans le scope
  • Organisations de sous-service et méthode utilisée
  • Ce qui est explicitement hors scope

Trust Services Criteria

  • Quels critères sont inclus
  • Justification pour l'inclusion/exclusion

Évolution du scope dans le temps

Élargir le scope

Raisons courantes d'élargir :

  • Demandes clients pour des critères supplémentaires
  • Nouveaux produits ou services
  • Exigences réglementaires
  • Considérations compétitives

Processus :

  • Identifier ce qui est ajouté
  • Implémenter les contrôles supplémentaires
  • Mettre à jour la documentation
  • Inclure dans le prochain cycle d'audit

Réduire le scope

Soyez prudent en réduisant le scope :

  • Les clients peuvent questionner les éléments retirés
  • Peut nécessiter des explications
  • Considérez le timing avec soin

Travailler avec votre auditeur

Avant l'audit

  • Revoyez le scope proposé avec l'auditeur
  • Confirmez la compréhension de vos systèmes par l'auditeur
  • Mettez-vous d'accord sur les frontières
  • Clarifiez les organisations de sous-service

Pendant le scoping

  • Parcourez l'architecture système
  • Identifiez les flux de données
  • Confirmez les frontières système
  • Documentez toutes les hypothèses

Changements de scope en cours d'audit

  • Communiquez les changements rapidement
  • Comprenez l'impact sur la timeline
  • Mettez à jour la documentation en conséquence

L'approche Bastion pour le scoping

Nous vous aidons à définir le bon scope via :

  • Analyse des exigences clients - Comprendre ce dont vos clients ont vraiment besoin
  • Cartographie des systèmes - Documenter vos flux de données et systèmes critiques
  • Recommandation de critères - Conseiller sur quels Trust Services Criteria font sens
  • Définition des frontières - Créer des frontières de scope claires et défendables
  • Documentation - Préparer une documentation de scope complète

Notre objectif est un scope qui adresse les exigences clients de manière significative sans complexité inutile.

Des questions sur la définition du bon scope pour votre SOC 2 ? Parlons-en →

Sources

← PrécédentSOC 2 vs HIPAA : lequel votre SaaS santé a-t-il besoin ?Suivant →Comprendre votre rapport SOC 2
Retour aux guides SOC 2