SOC 27 min de lectureMis à jour mars 2026

Bridge letters SOC 2 : ce qu'elles sont et quand vous en avez besoin

Si votre rapport SOC 2 approche de son anniversaire et que vous attendez que votre prochain audit se termine, une bridge letter peut aider à maintenir la continuité avec les clients. Ce guide explique ce que sont les bridge letters, quand les utiliser, et comment les obtenir.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Points clés

Point	Résumé
Objectif	Faire le pont entre un rapport SOC 2 vieillissant et votre prochain audit
Timing	Généralement utilisée quand les rapports ont 9-12+ mois
Contenu	Confirme qu'aucun changement matériel n'a eu lieu depuis le dernier rapport
Source	Émise par votre auditeur ou le management
Limitations	Pas un substitut pour un rapport SOC 2 actuel

En bref : Une bridge letter SOC 2 est un document qui confirme qu'aucun changement matériel n'a eu lieu dans votre environnement de contrôle depuis l'émission de votre dernier rapport SOC 2. Elle aide à maintenir la confiance des clients quand votre rapport vieillit pendant que vous attendez le renouvellement.

Qu'est-ce qu'une bridge letter ?

Une bridge letter est une déclaration formelle couvrant la période entre votre dernier rapport SOC 2 et le présent. Elle confirme que :

Votre environnement de contrôle reste substantiellement inchangé
Aucune faiblesse matérielle n'a été identifiée
Votre prochain audit SOC 2 est en cours ou planifié

Les bridge letters sont parfois appelées "gap letters" ou "lettres d'assertion".

Quand vous avez besoin d'une bridge letter

Scénarios courants

Scénario	Bridge letter utile ?
Rapport de 10-12 mois, renouvellement en cours	Oui
Client nécessite documentation à jour pour un contrat	Oui
Gap entre la completion du Type 1 et Type 2	Potentiellement
Rapport de 6 mois, renouvellement commence bientôt	Généralement pas nécessaire
Rapport de 15+ mois sans renouvellement en cours	Peut ne pas suffire

Timeline typique

Text

1Mois 0:      Rapport SOC 2 Type 2 émis
2Mois 9-10:   Rapport vieillissant, clients peuvent poser des questions
3Mois 10-12:  Bridge letter devient utile
4Mois 12+:    Prochain rapport SOC 2 devrait être émis

L'objectif est d'avoir une couverture continue. Votre nouveau rapport devrait être émis avant que le précédent ne devienne obsolète.

Types de bridge letters

Bridge letter de l'auditeur

Émise par votre cabinet CPA, elle a plus de poids :

Confirme la connaissance de l'auditeur de l'environnement de contrôle
Déclare qu'aucun changement matériel n'a été porté à leur attention
Référence l'engagement en cours ou le prochain audit

Avantages : Validation tierce, plus de crédibilité
Inconvénients : Peut impliquer des frais supplémentaires, nécessite l'engagement de l'auditeur

Lettre d'assertion du management

Émise par le management de votre organisation :

Déclaration du management sur l'environnement de contrôle
Confirme qu'aucun changement matériel n'a eu lieu
Indique la timeline du prochain audit

Avantages : Peut être émise rapidement, pas de coût supplémentaire
Inconvénients : Moins indépendante, peut ne pas satisfaire tous les clients

Ce que contient une bridge letter

Éléments standard

Informations d'en-tête :

Date d'émission
Période couverte
Destinataire (ou "À qui de droit")

Assertions principales :

Référence au rapport SOC 2 précédent
Déclaration qu'aucun changement matériel n'a eu lieu
Confirmation des activités de compliance en cours
Timeline pour le prochain audit

Signature :

Signature de l'auditeur (pour les lettres d'auditeur)
Signature du management avec titre (pour les lettres du management)

Exemple de contenu de bridge letter du management

Text

1[Date]
2
3À qui de droit :
4
5Cette lettre est fournie en lien avec le rapport SOC 2 Type 2
6de [Nom de l'entreprise] daté du [Date du rapport original],
7couvrant la période [Période originale].
8
9Nous déclarons par la présente que :
10
111. La description du système dans notre rapport SOC 2 reste
12   exacte et complète à la date du [Date actuelle].
13
142. Aucun changement matériel n'a été apporté à notre
15   environnement de contrôle depuis l'émission du rapport.
16
173. Nous n'avons connaissance d'aucune faiblesse matérielle
18   ou déficience significative dans nos contrôles.
19
204. Notre prochain audit SOC 2 Type 2 est [prévu pour commencer /
21   actuellement en cours], avec une date d'émission de rapport
22   prévue le [Date prévue].
23
24Si vous avez des questions, veuillez contacter
25[Nom du contact] à [Coordonnées].
26
27Cordialement,
28
29[Nom]
30[Titre]
31[Nom de l'entreprise]

Comment obtenir une bridge letter

Bridge letter de l'auditeur

Contactez votre auditeur 2-3 mois avant que votre rapport ne vieillisse
Demandez une bridge letter ou gap letter
Fournissez toute mise à jour sur votre environnement de contrôle
Revoyez et approuvez la lettre
Recevez la lettre signée pour distribution

Timeline : 1-2 semaines typiquement
Coût : Variable ; certains auditeurs l'incluent dans l'engagement, d'autres facturent séparément

Lettre d'assertion du management

Rédigez la lettre en utilisant un template approprié
Faites revoir et approuver par l'exécutif approprié
Assurez-vous que les déclarations sont exactes et défendables
Signez et rendez disponible pour les clients

Timeline : 1-3 jours
Coût : Temps interne uniquement

Acceptation par les clients

Ce que les clients attendent généralement

Type de client	Acceptation de la bridge letter
Acheteurs enterprise	Acceptent généralement les lettres d'auditeur
Clients soucieux de sécurité	Peuvent préférer les lettres d'auditeur
Procurement standard	Les lettres du management suffisent souvent
Industries réglementées	Peuvent avoir des exigences spécifiques

Quand les bridge letters peuvent ne pas suffire

Certaines situations nécessitent un rapport SOC 2 actuel :

Exigences réglementaires spécifiant l'actualité du rapport
Contrats exigeant des rapports dans un délai spécifique
Incidents de sécurité majeurs survenus depuis le dernier rapport
Changements organisationnels significatifs

Meilleures pratiques

Planifier à l'avance

La meilleure approche est d'éviter le besoin de bridge letters :

Commencez votre audit de renouvellement assez tôt
Visez une couverture SOC 2 continue
Alignez les périodes d'observation avec les cycles de rapport

Si vous avez besoin d'une bridge letter

Demandez à l'auditeur en avance (n'attendez pas la dernière minute)
Soyez prêt à décrire tout changement depuis le dernier rapport
Ayez la timeline de votre prochain audit confirmée
Gardez les bridge letters à jour si la situation change

Communication avec les clients

Partagez proactivement la bridge letter si le rapport vieillit
Expliquez votre timeline de renouvellement
Proposez de notifier quand le nouveau rapport sera disponible

Limitations des bridge letters

Ce que les bridge letters ne fournissent pas

Bridge letter	Rapport SOC 2 actuel
Assertion du management ou auditeur	Opinion d'audit indépendante
Aucun test effectué	Contrôles testés
Déclaration ponctuelle	Couverture de la période d'observation
Attestation d'absence de changement	Preuve de l'efficacité opérationnelle

Quand prioriser l'obtention d'un nouveau rapport

La période de bridge letter s'étend au-delà d'un délai raisonnable
Les clients expriment des préoccupations
Des changements matériels doivent être reflétés
Nouvelles exigences clients

Transition de la bridge letter au nouveau rapport

Une fois votre nouveau rapport SOC 2 prêt :

Notifiez les clients qui ont reçu des bridge letters
Fournissez le rapport mis à jour (sous NDA)
Mettez à jour votre portail de partage
Archivez la bridge letter

L'approche Bastion

Nous vous aidons à maintenir une couverture SOC 2 continue :

Planification du renouvellement - Démarrer les audits assez tôt pour éviter les gaps
Coordination des bridge letters - Faciliter avec les auditeurs quand nécessaire
Communication client - Templates et guidance pour les conversations client
Monitoring continu - Identifier tout changement qui affecte les assertions

Notre objectif est de vous assurer d'avoir toujours une documentation actuelle et défendable pour les conversations client.

Des questions sur les bridge letters ou le timing du renouvellement SOC 2 ? Parlons-en →

Sources

AICPA SOC Suite of Services - Vue d'ensemble du reporting SOC et des pratiques d'attestation

← PrécédentComprendre votre rapport SOC 2 Suivant →Évaluation de préparation SOC 2 : évaluer votre point de départ

Retour aux guides SOC 2

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company

Points clés

Qu'est-ce qu'une bridge letter ?

Quand vous avez besoin d'une bridge letter

Scénarios courants

Timeline typique

Types de bridge letters

Bridge letter de l'auditeur

Lettre d'assertion du management

Ce que contient une bridge letter

Éléments standard

Exemple de contenu de bridge letter du management

Comment obtenir une bridge letter

Bridge letter de l'auditeur

Lettre d'assertion du management

Acceptation par les clients

Ce que les clients attendent généralement

Quand les bridge letters peuvent ne pas suffire

Meilleures pratiques

Planifier à l'avance

Si vous avez besoin d'une bridge letter

Communication avec les clients

Limitations des bridge letters

Ce que les bridge letters ne fournissent pas

Quand prioriser l'obtention d'un nouveau rapport

Transition de la bridge letter au nouveau rapport

L'approche Bastion

Sources