🇬🇧 English version
SOC 210 min de lecture

Collecte de preuves SOC 2 : le guide complet

Les preuves sont l'épine dorsale de votre audit SOC 2. Sans preuves appropriées, vous ne pouvez pas démontrer que vos contrôles sont conçus et fonctionnent efficacement. Ce guide couvre quelles preuves vous avez besoin, comment les collecter et les meilleures pratiques pour la gestion des preuves.

Points clés

Point Résumé
Types de preuves Documentaires, observationnelles, par entretien, par réexécution et analytiques
Méthodes de collecte Automatisées (APIs, intégrations) + Manuelles (screenshots, exports, documents)
Domaines de contrôle clés Gestion des accès, Gestion des changements, Monitoring sécurité, Gestion des vulnérabilités, RH, Gestion des vendors, Continuité d'activité
Échantillonnage Type 2 25-40 échantillons par contrôle récurrent sur toute la période d'observation
Bonne pratique Collecte automatisée continue, ne pas se précipiter avant l'audit

En bref : Les preuves prouvent que vos contrôles fonctionnent. Utilisez la collecte automatisée (intégrations API) pour les preuves continues comme les accès utilisateurs et les configs système. Collecte manuelle pour les policies, comptes-rendus de réunions et approbations. Collectez en continu, pas juste avant l'audit.

Qu'est-ce qu'une preuve SOC 2 ?

Les preuves sont de la documentation qui prouve que vos contrôles existent et fonctionnent comme prévu. Les auditeurs examinent les preuves pour former leur opinion sur votre environnement de contrôle.

Types de preuves

Type Description Exemples
Documentaire Policies et procédures écrites Policy de sécurité, procédure de contrôle d'accès
Observationnelle Observation directe des contrôles L'auditeur observe le processus de revue d'accès
Par entretien Interviews et discussions L'auditeur pose des questions sur le processus de réponse aux incidents
Par réexécution L'auditeur teste le contrôle lui-même L'auditeur tente un accès non autorisé
Analytique Analyse de données et tendances Métriques de sécurité, analyse des logs

Caractéristiques des preuves

Une bonne preuve est :

  • Pertinente : Se rapporte directement au contrôle testé
  • Fiable : Provient de sources dignes de confiance
  • À jour : De la période d'audit (pour le Type 2)
  • Complète : Couvre le scope complet du contrôle
  • Authentique : Non altérée ni fabriquée

Exigences de preuves par domaine de contrôle

Preuves de gestion des accès

Contrôle Preuves requises
Provisioning utilisateur Tickets de demande d'accès, registres d'approbation
Déprovisioning utilisateur Tickets de terminaison, preuves de suppression d'accès
Revues d'accès Documentation des revues, registres d'approbation
Configuration MFA Screenshots système, exports de configuration
Définitions de rôles Documentation RBAC, assignations de rôles
Accès privilégiés Liste des comptes admin, justifications de privilèges

Exemples de preuves :

  • Screenshot des paramètres d'application MFA
  • Export de la liste des utilisateurs avec dates de dernière connexion
  • Tableur de revue d'accès avec approbations
  • Tickets de suppression d'accès des employés terminés

Preuves de gestion des changements

Contrôle Preuves requises
Demandes de changement Tickets montrant la demande et la description
Approbations de changement Registres d'approbation avant déploiement
Tests Résultats de tests, sign-off QA
Code review Revues de pull requests, commentaires d'approbation
Déploiement Logs de déploiement, registres CI/CD
Capacité de rollback Procédures de rollback, registres de tests

Exemples de preuves :

  • Pull request GitHub avec commentaires de revue
  • Tickets JIRA pour les demandes de changement
  • Configuration du pipeline CI/CD
  • Logs de déploiement montrant les gates d'approbation

Preuves de monitoring sécurité

Contrôle Preuves requises
Collecte de logs Configuration de logging, échantillons de logs
Alerting sécurité Règles d'alerte, échantillons d'alertes
Détection d'incidents Capacités de détection, exemples d'alertes
Rétention des logs Paramètres de rétention, disponibilité des anciens logs
Couverture de monitoring Systèmes monitorés, documentation de couverture

Exemples de preuves :

  • Screenshots de configuration SIEM/outil de logging
  • Définitions des règles d'alerte
  • Échantillons d'alertes de sécurité (anonymisés si nécessaire)
  • Paramètres de policy de rétention des logs

Preuves de gestion des vulnérabilités

Contrôle Preuves requises
Scan de vulnérabilités Rapports de scan, plannings de scan
Remédiation Tickets de remédiation, preuves de clôture
Patch management Registres de patching, rapports de statut de patch
Penetration testing Rapport de pentest, preuves de remédiation

Exemples de preuves :

  • Rapports de scan de vulnérabilités (résumé et détails)
  • Tickets de remédiation montrant les corrections
  • Screenshots de dashboard de statut de patch
  • Rapport annuel de penetration test

Preuves ressources humaines

Contrôle Preuves requises
Vérification des antécédents Policy, échantillon de vérification (anonymisé)
Formation sécurité Contenu de formation, registres de completion
Onboarding Checklist, acknowledgments sécurité
Offboarding Checklist de terminaison, suppression d'accès
Acknowledgment de policies Acknowledgments signés, registres de suivi

Exemples de preuves :

  • Rapport de completion de formation depuis le LMS
  • Acknowledgment de policy signé
  • Confirmation de background check (noms anonymisés)
  • Checklists d'onboarding/offboarding

Preuves de gestion des vendors

Contrôle Preuves requises
Inventaire des vendors Liste des vendors, classifications de risque
Évaluation des risques Questionnaires d'évaluation, résultats
Revues de sécurité Rapports SOC des vendors, documentation sécurité
Exigences contractuelles Clauses de sécurité dans les contrats
Monitoring continu Plannings de revue, registres de monitoring

Exemples de preuves :

  • Tableur d'inventaire des vendors
  • Questionnaires d'évaluation des risques vendors
  • Rapports SOC 2 des vendors archivés
  • Extraits de contrats montrant les exigences de sécurité

Preuves de continuité d'activité

Contrôle Preuves requises
Plans BC/DR Documents de plans, registres de revue
Configuration backup Paramètres de backup, plannings
Tests de backup Résultats de tests de restauration, plannings de tests
Tests DR Documentation de tests DR, résultats
Métriques RTO/RPO Définitions des cibles, registres d'atteinte

Exemples de preuves :

  • Document de plan de continuité d'activité
  • Screenshots de configuration des backups
  • Résultats de tests de restauration de backup
  • Rapport et findings de test DR

Méthodes de collecte des preuves

Collecte manuelle

Quand utiliser : Preuves ponctuelles ou peu fréquentes
Processus : Screenshots, exports, collecte de documents
Avantages : Flexibilité, contrôle sur le contenu
Inconvénients : Chronophage, sujet aux gaps

Bonnes pratiques :

  • Utiliser des conventions de nommage consistantes
  • Inclure les timestamps dans les screenshots
  • Documenter le système source
  • Anonymiser les informations sensibles de façon appropriée

Collecte automatisée

Quand utiliser : Preuves continues, répétitives
Processus : Intégrations API, exports automatisés
Avantages : Continue, fiable, efficiente
Inconvénients : Setup requis, peut nécessiter personnalisation

Sources d'automatisation courantes :

  • APIs cloud providers (AWS, GCP, Azure)
  • Exports identity provider (Okta, Azure AD)
  • Intégrations HRIS (Rippling, Gusto)
  • APIs source control (GitHub, GitLab)
  • Exports système de ticketing (Jira, Linear)

Approche hybride (recommandée)

Combinez collecte automatisée et manuelle :

Type de preuve Méthode de collecte
Configurations système Automatisée
Listes d'utilisateurs et accès Automatisée
Policies et procédures Manuelle
Completion de formation Automatisée
Comptes-rendus de réunions Manuelle
Échantillons de tickets Sélection automatisée, revue manuelle
Rapports de scan Automatisée
Résultats de tests Mixte

Organisation des preuves

Structure de dossiers

SOC 2 Evidence/

  • 01-Access-Control/
    • User-Provisioning/
    • Access-Reviews/
    • MFA-Configuration/
    • Privileged-Access/
  • 02-Change-Management/
    • Change-Requests/
    • Code-Reviews/
    • Deployment-Records/
  • 03-Security-Operations/
    • Vulnerability-Scans/
    • Security-Monitoring/
    • Incident-Response/
  • 04-HR-Security/
    • Background-Checks/
    • Training-Records/
    • Onboarding-Offboarding/
  • 05-Vendor-Management/
    • Vendor-Inventory/
    • Risk-Assessments/
    • SOC-Reports/
  • 06-Business-Continuity/
    • BC-DR-Plans/
    • Backup-Testing/
    • DR-Testing/
  • 07-Policies/
    • Current-Policies/
    • Policy-Acknowledgments/

Conventions de nommage

Utilisez un nommage consistant :

Text 
[AAAA-MM-JJ]_[Catégorie]_[Description].[ext]

Exemples :
2024-01-15_Access-Review_Q1-Engineering.xlsx
2024-02-01_Vuln-Scan_External-Infrastructure.pdf
2024-03-10_Training_Security-Awareness-Completion.csv

Version control

Pour les policies et procédures :

  • Inclure les numéros de version
  • Suivre l'historique des changements
  • Maintenir les versions précédentes
  • Documenter les dates d'approbation

Preuves pour Type 1 vs Type 2

Preuves Type 1

Focus sur la conception à un instant T :

  • Documents de policies actuels
  • Configurations système actuelles
  • Listes d'utilisateurs actuelles
  • Documentation des processus
  • Screenshots montrant l'état actuel

Preuves Type 2

Focus sur le fonctionnement sur la période :

Tout ce qui est dans Type 1, plus :

  • Preuves de toute la période d'observation
  • Échantillons démontrant un fonctionnement consistant
  • Instances multiples des contrôles récurrents
  • Preuves de changements et réponses pendant la période

Populations d'échantillons pour Type 2 :

Contrôle Taille d'échantillon Période
Provisioning utilisateur 25 nouveaux employés Période complète
Terminaisons utilisateur Toutes les terminaisons Période complète
Revues d'accès Toutes les revues trimestrielles Période complète
Déploiements de changements 25-40 changements Période complète
Incidents de sécurité Tous les incidents Période complète
Scans de vulnérabilités Scans mensuels Période complète

Conseils de qualité des preuves

À faire

  • Timestamper tout : Montrer quand la preuve a été capturée
  • Montrer le contexte complet : Inclure nom du système, date, utilisateur
  • Utiliser des exports natifs : Exports système > screenshots quand possible
  • Anonymiser de façon appropriée : Protéger les données sensibles tout en maintenant la validité
  • Être consistant : Même format, nommage, organisation tout au long

À ne pas faire

  • Ne pas fabriquer : Ne jamais créer de fausses preuves
  • Ne pas cherry-pick : Fournir des échantillons complets, pas seulement les favorables
  • Ne pas sur-anonymiser : Les auditeurs doivent pouvoir vérifier les preuves
  • Ne pas tarder : Collecter les preuves en continu, pas juste avant l'audit
  • Ne pas supposer : Vérifier ce dont les auditeurs ont vraiment besoin

Préparer les preuves pour les auditeurs

Préparation pré-audit

  1. Organiser : Structurer les preuves par domaine de contrôle
  2. Indexer : Créer un inventaire des preuves avec descriptions
  3. Vérifier : Confirmer que toutes les preuves requises sont collectées
  4. Revoir : Vérifier la qualité et la complétude
  5. Mettre en place : Uploader vers un emplacement accessible par l'auditeur

Pendant l'audit

  • Répondre aux demandes rapidement (sous 24-48 heures)
  • Fournir des explications claires avec les preuves
  • Clarifier le scope ou contexte quand nécessaire
  • Suivre toutes les demandes et réponses
  • Escalader les blocages immédiatement

Gestion des demandes de preuves

Type de demande Objectif de réponse
Preuves standard 24 heures
Échantillons de population 48 heures
Clarifications Le jour même
Walkthroughs additionnels Planifier sous 3 jours

Pièges courants des preuves

Piège 1 : Gaps de preuves

Problème : Preuves manquantes pour certains contrôles

Prévention :

  • Utiliser la checklist de preuves SOC 2
  • Vérifier la couverture avant l'audit
  • Automatiser la collecte continue

Piège 2 : Preuves périmées

Problème : Preuves obsolètes ou de la mauvaise période

Prévention :

  • Collecter en continu tout au long de la période
  • Rafraîchir les preuves mensuellement
  • Timestamper toutes les preuves

Piège 3 : Preuves inconsistantes

Problème : Les preuves contredisent d'autres preuves ou les policies

Prévention :

  • Aligner les preuves avec les exigences des policies
  • Revoir la consistance avant soumission
  • Traiter les divergences de façon proactive

Piège 4 : Sur-anonymisation

Problème : Les preuves sont trop anonymisées pour être utiles

Prévention :

  • Consulter l'auditeur sur les besoins d'anonymisation
  • Préserver les informations essentielles
  • Proposer une visualisation non anonymisée si nécessaire

Piège 5 : Collecte de dernière minute

Problème : Précipitation pour collecter les preuves avant l'audit

Prévention :

  • Automatiser la collecte des preuves
  • Fixer des rappels mensuels de revue des preuves
  • Utiliser une plateforme de compliance avec monitoring continu

L'approche Bastion

Collecte automatisée des preuves

Bastion collecte automatiquement les preuves depuis :

  • Cloud providers (AWS, GCP, Azure)
  • Identity providers (Okta, Azure AD, Google Workspace)
  • Source control (GitHub, GitLab)
  • Systèmes RH (Rippling, Gusto, BambooHR)
  • Plateformes MDM
  • Et plus de 100 autres intégrations

Monitoring continu

  • Preuves collectées en temps réel
  • Gaps identifiés automatiquement
  • Alertes quand les preuves deviennent périmées
  • Prêt pour l'audit à tout moment

Portail auditeur

  • Bibliothèque de preuves organisée
  • Accès facile pour l'auditeur
  • Suivi des demandes
  • Historique des communications

Support expert

Votre vCISO dédié :

  • Revoit la complétude des preuves
  • Identifie les gaps avant les auditeurs
  • Prépare les narratifs de preuves
  • Supporte les demandes de l'auditeur

Besoin d'aide avec la collecte de preuves ? Parlons-en →

← PrécédentPolicies SOC 2 essentielles : ce dont vous avez besoin et pourquoiSuivant →Maintenir la compliance SOC 2 année après année
Retour aux guides SOC 2