TL;DR — le SOC 2 Type II en un paragraphe
Pour une startup SaaS en 2026, un SOC 2 Type II de six mois couvrant Security plus Availability et Confidentiality est ce qui débloque les contrats mid-market et entreprise — le Type I ne conclut plus les affaires. Prévoyez 50k–120k $ tout compris la première année entre les honoraires de l'auditeur, une plateforme de conformité (Vanta, Drata, Secureframe ou Sprinto) et 0,3–0,6 ETP d'ingénierie, et traitez le SOC 2 comme une cadence annuelle, pas comme un projet ponctuel.
Type I vs Type II — ce que les acheteurs entreprise exigent en 2026
Le SOC 2 existe en deux variantes, et la différence compte davantage en 2026 qu'il y a deux ans. Un rapport Type I est une attestation à un instant donné : à la date où l'auditeur a examiné votre système, vos contrôles étaient conçus de manière appropriée. Un rapport Type II atteste que ces contrôles ont également fonctionné efficacement sur une fenêtre définie — généralement six ou douze mois.
En 2026, le manuel d'achat de presque tous les Fortune 1000 et de la plupart des acheteurs SaaS Série C+ ressemble à ceci :
- En dessous de 25 000 € ACV : un Type I plus un questionnaire de sécurité est souvent acceptable.
- 25 000–250 000 € ACV : le Type II avec au moins une fenêtre de six mois est le minimum. Le Type I vous vaudra un « revenez quand vous avez le Type II ».
- Au-dessus de 250 000 € ACV ou tout acheteur réglementé (services financiers, santé, gouvernement fédéral) : Type II couvrant les douze mois précédents, ISO 27001 à côté est de plus en plus standard, et un rapport de test de pénétration d'un cabinet nommé.
Le Type I a un seul cas d'usage honnête en 2026 : servir de pont. Vous pouvez livrer un Type I en 4 à 6 semaines une fois la préparation terminée, le remettre à un acheteur pour débloquer le contrat, et livrer le Type II à la fin de la prochaine fenêtre d'observation. Dépensez le budget du Type I seulement si vous avez un acheteur spécifique qui l'attend. Sinon ignorez-le et allez directement à un Type II de six mois — votre renouvellement de deuxième année tombera sur une cadence plus propre et vous évitez de doubler les frais d'auditeur. Si les contrôles sous-jacents ne sont pas encore en place, c'est précisément là que démarrent nos équipes de développement de logiciels d'entreprise et Cloud & DevOps — architecture prête pour le SOC 2, SDLC sécurisé et durcissement IAM avant l'ouverture de la fenêtre d'observation.
Pour les fondateurs vendant principalement dans l'Union européenne, le SOC 2 est souvent associé à — ou remplacé par — l'ISO 27001 et une posture RGPD. Nous couvrons les mécanismes côté UE dans notre article RGPD pour les fondateurs américains vendant à l'UE, et les compléments spécifiques à l'IA dans la conformité à l'Acte IA de l'UE.
Trust Services Criteria — lesquels choisir
Le SOC 2 est défini par les cinq Trust Services Criteria (TSC), définis par l'AICPA. Un seul est obligatoire ; les quatre autres sont optionnels et chacun ajoute un vrai coût d'audit. Le bon choix dépend de ce que vos contrats promettent.
| Critère | Requis ? | Quand l'inclure | Impact sur le coût |
|---|---|---|---|
| Sécurité (Critères Communs) | Toujours | Obligatoire dans tout engagement | Base |
| Disponibilité | Optionnel | Vous vendez un SLA de disponibilité ou un engagement de page d'état | +10–15 % |
| Confidentialité | Optionnel | Vous traitez des données métier clients sous NDA (la plupart des SaaS B2B sont concernés) | +10–15 % |
| Intégrité du traitement | Optionnel | La précision des calculs est centrale au produit — fintech, paie, facturation, analytics | +15–20 % |
| Confidentialité des données | Optionnel | Vous collectez des données personnelles directement auprès des utilisateurs finaux et souhaitez le démontrer au-delà du RGPD/CCPA | +30–50 % |
La stack pragmatique pour une startup SaaS B2B Série A/B en 2026 est Sécurité + Disponibilité + Confidentialité. Cela couvre les questions du questionnaire que vous rencontrez réellement, signale un engagement SLA et maintient les frais d'audit dans la fourchette 20 000–35 000 €. Ajoutez l'Intégrité du traitement seulement si un régulateur ou un acheteur parmi vos trois principaux le demande explicitement. Ignorez la Confidentialité des données pour la première année — le RGPD et le CCPA ont plus de poids lors des achats en 2026, et les contrôles se chevauchent largement.
Périmètre : systèmes dans le périmètre et exclusions de sous-organisations
La définition du périmètre est là où la plupart des programmes SOC 2 perdent du temps. Le périmètre est le système de production livrant le service aux clients — pas votre site marketing, pas votre Notion RH interne, pas votre cluster de test dogfood. Décidez ce qui est dans le périmètre en vous demandant : « Ce système traite-t-il ou stocke-t-il des données clients, ou fait-il partie du chemin de production qui le fait ? » Si oui, dans le périmètre. Sinon, hors périmètre.
Pour une startup SaaS typique, les systèmes dans le périmètre ressemblent à :
- Le compte AWS / GCP / Azure de production hébergeant l'application, incluant tout le calcul, le stockage, les bases de données, les files d'attente et les gestionnaires de secrets.
- Le système de contrôle de source contenant la base de code de production (GitHub, GitLab, Bitbucket) et ses protections de branches.
- Le pipeline CI/CD qui livre en production (GitHub Actions, CircleCI, Buildkite, Argo).
- Le fournisseur d'identité utilisé par les employés pour accéder à la production (Okta, Google Workspace, Microsoft Entra ID).
- La stack de monitoring et de journalisation (CloudWatch, Datadog, Grafana, Splunk, Wiz, Sentry).
- Le système de ticketing et de gestion des changements (Linear, Jira, GitHub Issues) — car c'est là que vous produisez des preuves d'approbations.
- La solution MDM gérant les ordinateurs portables des employés qui touchent aux identifiants de production (Jamf, Kandji, Intune).
Hors périmètre : le WordPress marketing, le CRM commercial, le portail de support (sauf s'il traite des données clients) et les environnements sandbox de pré-production qui n'ont pas de données clients et pas d'identifiants partagés avec la prod.
Sous-organisations de service — la méthode d'exclusion
Presque toutes les startups SaaS s'appuient sur des tiers : AWS pour le calcul, Stripe pour les paiements, Auth0 pour l'identité, Twilio pour la messagerie, Datadog pour le monitoring. La méthode d'exclusion dit à l'auditeur : « Ces fournisseurs ont leurs propres rapports SOC 2 / ISO 27001. Faites-leur confiance, ne les ré-auditez pas à travers moi. »
C'est la bonne réponse dans 99 % des cas. La mécanique :
- Listez les sous-organisations de service dans la description de votre système SOC 2.
- Collectez leurs rapports SOC 2 Type II / ISO 27001 actuels chaque année (AWS Artifact, portail de confiance Stripe, trust center Auth0, etc.).
- Mettez en œuvre les contrôles d'entité utilisateur complémentaires (CUEC) que le rapport de chaque fournisseur vous demande d'appliquer. Ce sont les choses que vous devez faire — ils ne peuvent pas les faire. Exemples : activer la MFA sur le compte root AWS, ne jamais stocker la clé du compte root dans le code, faire tourner les clés restreintes Stripe tous les 90 jours, configurer la protection contre la force brute d'Auth0, chiffrer les buckets S3 gérés par les clients avec SSE-KMS.
- Maintenir des preuves que chaque CUEC est appliqué. La plateforme d'automatisation de la conformité automatise la majeure partie de cette collecte.
Familles de contrôles avec exemples concrets
Les Critères Communs se décomposent en neuf familles (CC1 à CC9). La plupart des équipes ingénierie se préoccupent concrètement de cinq d'entre elles dans leur travail quotidien. Voici à quoi ressemble chacune dans une startup SaaS en 2026 — pas le langage de politique, mais les mécaniques réelles.
Gestion des accès
- SSO partout. Okta ou Google Workspace comme source d'identité unique. Provisionnement SCIM là où le SaaS le supporte. Pas de comptes de service partagés se connectant avec des mots de passe.
- MFA imposée sur chaque système adjacent à la production. Clés matérielles (YubiKey, Titan) pour les admins ; TOTP au minimum pour tout le monde. La MFA par SMS uniquement est une constatation en 2026.
- RBAC avec moindre privilège. Groupes IAM AWS, pas de politiques inline. Équipes GitHub, pas de collaborateurs individuels. Revues d'accès annuelles enregistrées dans le système de tickets — trimestriel pour les rôles de niveau production.
- Déprovisionnement dans un jour ouvré. Liste de contrôle documentée couvrant Okta, AWS, GitHub, Slack, Notion, Linear, Datadog, Sentry et chaque autre locataire. La plupart des audits échoués commencent ici.
Gestion des changements
- Chaque changement en production passe par une pull request. Pas de commits directs sur
main; branches protégées. - Au moins un relecteur indépendant. Approbation de PR requise avant la fusion ; CODEOWNERS pour les chemins sensibles.
- Porte de test automatisée. La CI doit passer sur la PR avant la fusion. Les échecs de test ne peuvent pas être contournés sans exception documentée.
- Déploiements en production traçables jusqu'à une PR et un ticket. Les journaux de déploiement sont liés au SHA Git ; les messages de commit référencent des identifiants Linear/Jira.
- Procédure de changement d'urgence documentée et rarement utilisée. Les auditeurs vérifient que « l'urgence » n'est pas votre mode par défaut.
Monitoring et détection
- Journaux centralisés. CloudWatch + Datadog ou Splunk ; journaux conservés 365 jours et plus ; accès aux journaux eux-mêmes journalisé.
- Alertes sur les événements de sécurité. Pics de tentatives de connexion échouées, changements de politiques IAM, changements de clés KMS, changements de groupes de sécurité, utilisation du compte root.
- Couverture CSPM / CNAPP. Wiz, Orca, Lacework ou Prowler tournant en continu contre le compte cloud. Constatations triées dans un SLA documenté.
- Détection sur les endpoints. CrowdStrike, SentinelOne ou Jamf Protect sur chaque ordinateur portable avec accès à la production.
- Gestion des vulnérabilités. Dependabot / Renovate plus Snyk ou GitHub Advanced Security ; le SLA pour les critiques (généralement 30 jours) est le contrôle qui est testé, pas le choix du scanner.
Réponse aux incidents
- Plan IR écrit avec échelle de gravité, rotation d'astreinte, modèle de communication et seuils de notification clients.
- Au moins un exercice de table (tabletop) par an avec les minutes archivées.
- Post-mortem sur chaque incident visible par les clients avec des actions tracées jusqu'à la clôture.
- Chemin de forensique et de notification de violation documenté — même si vous ne l'avez jamais utilisé, l'auditeur posera la question.
Gestion des fournisseurs
- Inventaire des fournisseurs. Une liste vivante de chaque sous-traitant et SaaS qui touche aux données clients. Les plateformes de conformité le maintiennent pour vous si connectées.
- Niveau de risque par fournisseur (faible/moyen/élevé) basé sur la sensibilité des données et la profondeur de l'intégration.
- Rapport SOC 2 / ISO 27001 collecté annuellement pour les fournisseurs de niveau moyen et supérieur.
- DPA / BAA signé là où requis. Si vous vendez dans le secteur de la santé, vous avez également besoin de BAA de niveau HIPAA en plus.
Plateformes d'automatisation de la conformité comparées
Vous pouvez gérer un programme SOC 2 sur des feuilles de calcul. Nous l'avons fait en 2018. En 2026, personne ne devrait — le coût d'une plateforme d'automatisation de la conformité est récupéré en environ 80 heures de collecte de preuves économisées sur une fenêtre d'observation.
Les quatre plateformes qui se font vraiment concurrence en 2026 :
| Plateforme | Prix 2026 (niveau startup) | Points forts | Points faibles |
|---|---|---|---|
| Vanta | 18 000–30 000 €/an | Plus grand catalogue d'intégrations (300+), interface la plus soignée, fonctionnalité trust center mature, plus grand réseau d'auditeurs | Le plus cher ; dépendance via les contrôles personnalisés |
| Drata | 15 000–28 000 €/an | Automatisation de collecte de preuves la plus précise, vues de monitoring continu solides, couverture AWS/GCP/Azure profonde | Moins mature côté modèles de politiques ; gestion des fournisseurs plus légère que Vanta |
| Secureframe | 12 000–22 000 €/an | Meilleur rapport qualité/fonctionnalités pour un premier SOC 2 ; bon marketplace d'auditeurs intégré | Moins d'intégrations que Vanta/Drata ; les rapports semblent plus anciens |
| Sprinto | 8 000–18 000 €/an | Moins cher au niveau startup ; fort en APAC ; onboarding rapide | Réseau d'auditeurs plus petit aux États-Unis ; densité de l'interface à prendre en main |
Ce que les quatre font bien : collecter en continu des preuves depuis AWS / GCP / Azure / GitHub / Okta / Jamf / Datadog / Linear et similaires ; mapper ces preuves sur des tests de contrôle ; signaler les dérives quand un contrôle échoue ; livrer des modèles de politiques ; fournir un portail auditeur au moment de l'audit.
Ce qu'aucune ne fait : écrire votre SDLC sécurisé, effectuer la modélisation des menaces, corriger les constatations, effectuer réellement le déprovisionnement, mener la table. Prévoyez un propriétaire à temps partiel à l'intérieur de l'ingénierie — généralement DSI, responsable de la plateforme ou ingénieur DevOps senior — pour piloter le programme. Déléguer le rôle de propriétaire au fournisseur de la plateforme est la raison la plus courante pour laquelle un premier audit échoue ou dérape.
Fenêtre d'observation — 3, 6 ou 12 mois ?
Le minimum qu'un auditeur réputé accepte est trois mois, et plusieurs cabinets Big Four ne descendent pas en dessous de six. Les valeurs par défaut que nous recommandons :
- Trois mois : seulement si un acheteur entreprise spécifique l'a accepté par écrit. Fragile, et presque certain de nécessiter un deuxième engagement immédiat.
- Six mois : le premier Type II standard. Assez long pour que les auditeurs échantillonnent les preuves de manière convaincante, assez court pour que la fatigue du programme ne s'installe pas.
- Douze mois : la valeur par défaut à partir de la deuxième année, car elle correspond à la période de validité du rapport et à la cadence de renouvellement attendue par les acheteurs.
Séquençage pratique pour une startup sans conformité préalable : 8 à 12 semaines de travail de préparation, puis un Type I (optionnel) pour débloquer les acheteurs immédiats, puis une fenêtre d'observation de 6 mois pour le Type II. Temps total de « décision de faire SOC 2 » à « rapport Type II en main » : 9 à 12 mois.
Sélection de l'auditeur et coût
Seul un cabinet CPA agréé peut émettre un rapport SOC 2. Le marché en 2026 se répartit en trois niveaux :
| Niveau | Exemples | Honoraires typiques (année 1) | Quand les choisir |
|---|---|---|---|
| Big Four | Deloitte, EY, KPMG, PwC | 40 000–60 000 €+ | L'acheteur exige explicitement une « signature Big Four » — peu courant en dehors du Fortune 100 et des secteurs réglementés |
| Cabinets CPA nationaux | BDO, Schellman, A-LIGN, Coalfire, Moss Adams | 25 000–40 000 € | Vous voulez une marque reconnue et une équipe solide sans tarifs Big Four |
| Cabinets CPA boutiques | Insight Assurance, Prescient, Johanson, Sensiba, Linford, Risk3sixty | 15 000–25 000 € | Premier Type II, budget startup, pas de demande spécifique de l'acheteur |
Choisissez le plus petit niveau que vos acheteurs accepteront. Nous n'avons pas encore vu d'acheteur refuser un rapport Schellman, A-LIGN ou Insight Assurance en 2026. Nous avons vu des acheteurs refuser des rapports de cabinets que personne ne connaît — vérifiez que le cabinet a une liste de clients publique et au moins 100 rapports SOC 2 émis.
Coûts cachés au-delà des honoraires d'auditeur : un test de pénétration d'un cabinet nommé (Cobalt, NetSPI, Bishop Fox : 8 000–25 000 €), la plateforme de conformité (12 000–30 000 €/an), le temps d'ingénierie (0,3 à 0,6 ETP sur la fenêtre), et la remédiation des constatations pendant l'audit (généralement 40 à 80 heures d'ingénierie). Total réaliste première année tout compris pour une startup SaaS Série A/B : 50 000–120 000 €.
Constatations d'audit courantes à éviter
Sur l'ensemble des engagements SOC 2 que nous avons observés, quatre constatations apparaissent sur environ 70 % des premiers rapports annuels. Chacune est évitable avec de la discipline, pas de l'ingénierie.
- Employé résilié toujours actif dans au moins un système. Le déprovisionnement a couvert Okta et AWS mais pas le locataire Datadog autonome créé il y a deux ans, ni l'équipe Postman, ni l'organisation Sentry. Correctif : maintenir une liste de contrôle de déprovisionnement qui liste chaque locataire par nom ; la revoir mensuellement ; faire signer les RH quand un employé part.
- Changement en production sans ticket correspondant. Un correctif urgent est sorti en commit direct, ou une migration de base de données manuelle a été exécutée sans PR. Correctif : imposer les branches protégées ; imposer que chaque journal de déploiement référence une PR ; avoir une procédure d'urgence documentée (et rarement utilisée).
- Reprise après sinistre non testée. Le runbook existe mais personne n'a effectivement restauré depuis une sauvegarde dans la fenêtre d'observation. Correctif : planifier un exercice trimestriel de restauration depuis une sauvegarde, archiver les minutes, même si l'exercice prend 30 minutes.
- Évaluation de fournisseur ignorée. Un nouveau sous-traitant a été ajouté en milieu de fenêtre sans évaluation des risques et sans SOC 2 collecté. Correctif : conditionner chaque décision « ajouter une intégration » à un formulaire d'admission fournisseur de 15 minutes dans votre plateforme de conformité.
Conformité continue après le rapport
Le jour où le rapport Type II est émis, la prochaine fenêtre d'observation commence. Il n'y a pas de pause. La fraîcheur des preuves se dégrade immédiatement ; les contrôles dérivent au fur et à mesure que l'équipe ingénierie livre des fonctionnalités ; de nouveaux fournisseurs sont ajoutés ; des personnes partent et arrivent. Trois habitudes maintiennent le programme en bonne santé :
- Revue mensuelle des dérives. 30 minutes dans la plateforme de conformité à regarder les vérifications qui échouent. Presque toujours trivial — une réinitialisation MFA qui a été annulée, un utilisateur Datadog pas dans SSO, un rapport SOC 2 expiré d'un sous-traitant.
- Mini-audit interne trimestriel. Échantillonnez cinq contrôles au hasard, faites comme si vous étiez l'auditeur, collectez les preuves. Si vous ne pouvez pas, corrigez l'écart avant que l'auditeur réel ne le trouve.
- Revue annuelle du programme. Re-définissez le périmètre au fur et à mesure que le produit évolue — nouveaux TSC, nouvelles sous-organisations de service, nouvelles lignes métier.
Le SOC 2 se chevauche également avec des cadres adjacents dont vous pourriez avoir besoin : ISO 27001 (plus courant en Europe), HIPAA (santé américaine — voir notre liste de contrôle de développement logiciel HIPAA), RGPD (résidence des données UE et droits — voir RGPD pour les fondateurs américains), et les nouvelles obligations de l'Acte IA de l'UE pour les SaaS augmentés par l'IA (voir la conformité à l'Acte IA de l'UE). Environ 70 % des contrôles se chevauchent, donc une fois que le SOC 2 est sain, ajouter un deuxième cadre est incrémental, pas dupliqué.
FAQ
Les acheteurs entreprise en 2026 acceptent-ils encore le SOC 2 Type I ?
Rarement, et seulement comme solution provisoire. En 2026, les équipes d'achat mid-market et entreprise traitent le Type I comme une preuve que vous avez l'intention d'être conforme, pas que vous l'êtes. Un Type I débloque une conversation sur le questionnaire de sécurité ; un Type II débloque le contrat. Si votre acheteur est réglementé (services financiers, santé, secteur public), attendez-vous à ce qu'il refuse catégoriquement le Type I et demande un Type II couvrant au moins les six mois précédents.
Quels Trust Services Criteria une startup SaaS devrait-elle choisir ?
La Sécurité (les Critères Communs) est obligatoire dans tout engagement SOC 2. Pour un SaaS multi-tenant typique, ajoutez Disponibilité si vous vendez un SLA de disponibilité, et Confidentialité si vous traitez des données métier clients sous NDA. Ajoutez l'Intégrité du traitement uniquement quand les garanties de précision sont centrales au produit (calculs fintech, paie, facturation). La Confidentialité des données vaut rarement le coup au premier engagement — le RGPD ou le CCPA a généralement plus de poids auprès des acheteurs et la Confidentialité des données ajoute 30 à 50 % au coût d'audit.
Quelle doit être la durée de la fenêtre d'observation SOC 2 Type II ?
Le minimum que les auditeurs acceptent est de trois mois et presque tous les cabinets Big Four refusent moins de six. La valeur par défaut pragmatique pour un premier Type II est de six mois. Étendez à douze seulement si un acheteur entreprise stratégique l'exige explicitement ou si vous envisagez de sauter le Type I et aller directement au Type II pour le calendrier de renouvellement.
Combien coûte réellement un SOC 2 Type II en 2026 ?
Pour une startup SaaS Série A/B, attendez 15 000–25 000 € de frais d'auditeur dans un cabinet CPA reconnu, 25 000–40 000 € dans un cabinet national, et 40 000–60 000 €+ dans un Big Four. Ajoutez 12 000–30 000 €/an pour une plateforme d'automatisation de la conformité (Vanta, Drata, Secureframe, Sprinto), plus 0,3 à 0,6 ETP de temps d'ingénierie et d'opérations de sécurité sur la fenêtre d'observation. Total première année tout compris : 50 000–120 000 €.
Vanta, Drata ou Secureframe remplace-t-il vraiment un ingénieur sécurité ?
Non. Ils remplacent la feuille de calcul qui suit les preuves et le consultant qui copie-colle des modèles de politiques. Les plateformes collectent en continu des preuves depuis AWS, GCP, Azure, GitHub, Okta, Jamf et sources similaires, les mappent sur des tests de contrôle et signalent les dérives. Elles n'écrivent pas votre SDLC sécurisé, ne font pas de modélisation des menaces ni ne corrigent les constatations. Prévoyez un propriétaire à temps partiel à l'intérieur de l'ingénierie pour la première année — généralement le DSI ou un ingénieur DevOps senior.
Les sous-organisations de service comme AWS, Stripe et Auth0 peuvent-elles être exclues du périmètre ?
Oui — et elles le devraient presque toujours. La méthode d'exclusion supprime les contrôles de la sous-organisation du périmètre et oriente l'auditeur vers leurs propres rapports SOC 2 / ISO 27001. Les contrôles d'entité utilisateur complémentaires (CUEC) publiés par AWS, Stripe et Auth0 s'appliquent quand même à vous — vous devez les mettre en œuvre (par exemple, activer la MFA sur le compte root AWS, faire tourner les clés restreintes Stripe) et disposer de preuves que l'auditeur peut échantillonner.
Quelles sont les constatations d'audit SOC 2 Type II les plus courantes ?
Quatre apparaissent de manière fiable lors des premiers audits annuels : (1) des employés résiliés toujours actifs dans au moins un système car le déprovisionnement ne couvrait pas chaque locataire SaaS, (2) des changements en production déployés sans ticket ou approbation de PR correspondant, (3) un test de reprise après sinistre ou de restauration de sauvegarde planifié mais jamais exécuté, (4) des évaluations de fournisseurs ignorées ou des questionnaires de sécurité manquants pour les sous-traitants. Les quatre sont évitables avec de la discipline et un examen mensuel de 30 minutes.
Que se passe-t-il après le rapport — le SOC 2 est-il un événement unique ?
Non. Les rapports SOC 2 Type II sont valides douze mois à compter de la date d'émission et les acheteurs entreprise attendent un renouvellement annuel sans interruption. Le problème de la « conformité continue » est que la fraîcheur des preuves se dégrade, les contrôles dérivent au fur et à mesure que l'équipe ingénierie livre des fonctionnalités, et la prochaine fenêtre d'observation commence le jour où la précédente s'arrête. Traitez le SOC 2 comme une cadence annuelle avec des mini-audits internes trimestriels et une plateforme d'automatisation de la conformité surveillant les dérives.
Dernière mise à jour le 3 juillet 2026. Les honoraires d'auditeur, les tarifs des plateformes et les normes d'achat reflètent les grilles tarifaires et les observations terrain à jour mi-2026.


