FR · EN
Accueil / Base de connaissances / Notre feuille de route SOC 2 Type II (en cours)

Notre feuille de route SOC 2 Type II (en cours)

Notre feuille de route SOC 2 Type II (en cours)

Cet article s'adresse au responsable des achats, RSSI ou responsable de la conformité qui pose la question qui revient dans 90 % de nos conversations de vente d'entreprise : *« Vous n'avez pas SOC 2. Quelle est votre feuille de route ? »* Voici la réponse honnête. Pas de jargon marketing, pas d'euphémisme « contrôles alignés SOC 2 », pas d'échéancier-bidon-TBD.

En bref

- **Cible SOC 2 Type II :** **T4 2026** - **État actuel :** Pré-audit. Contrôles mis en œuvre et opérationnels. Aucun audit externe encore. - **Auditeur :** À déterminer — engagement d'une firme de calibre Big-Four au T3 2026 pour la période d'observation - **Période d'observation :** T3 2026 - T4 2026 (minimum 90+ jours pour Type II) - **Trousses de preuves pré-audit :** Disponibles maintenant pour les achats d'entreprise sur demande — voir « Diligence d'achats aujourd'hui » ci-dessous - **Clients du palier Sovereign :** L'achèvement SOC 2 Type II est inclus dans votre engagement Sovereign; nous accélérons par client lorsque c'est contractuellement engagé

Pourquoi nous sommes publics au sujet d'un statut « pas encore »

La plupart des entreprises SaaS en démarrage trichent sur SOC 2. Elles disent des choses comme « contrôles alignés SOC 2 » ou « SOC 2 en cours » sans préciser *ce qui est et n'est pas fait*. Nous avons choisi le chemin plus difficile : être précis, même quand la précision est embarrassante.

Trois raisons :

1. **La doctrine de confiance.** L'argument de tarification de Manera dépend de la confiance de l'acheteur. Nous ne pouvons pas exiger la confiance sur nos affirmations de tarification tout en obscurcissant nos affirmations de sécurité. 2. **Réalité des achats.** Chaque RSSI qui tire un rapport SOC 2 d'un fournisseur sait si le rapport est réel. Prétendre que nous en avons un serait détecté en 30 secondes et nous ferait perdre l'affaire. 3. **La voie du milieu.** Prétendre au statut SOC 2 serait le piège de l'indulgence. Sauter SOC 2 entièrement serait le piège de l'ascétisme. La voie du milieu est de s'engager sur un échéancier réel et de l'exécuter.

Ce qui est mis en œuvre aujourd'hui

Ces contrôles sont opérationnels en production. Nous avons des preuves (journaux, configs, captures d'écran) pour chacun. La trousse de preuves pré-audit mentionnée ci-dessous est essentiellement cette liste, avec horodatages et chemins d'artefacts.

Critères de services de confiance — Critères communs (Sécurité)

- **CC6.1 — Contrôles d'accès logique.** Isolation monolocataire imposée à la couche de stockage (préfixes par locataire Cloudflare R2), à la couche applicative (requêtes restreintes à l'espace de travail) et à la couche d'identité (ID client Stripe comme clé primaire de l'espace de travail). - **CC6.2 — Authentification.** Auth par lien magique Stripe Checkout (aucun mot de passe stocké). SSO/OAuth optionnel via le fournisseur d'identité existant du client (Okta, Azure AD, Google Workspace). - **CC6.3 — Provisionnement d'accès utilisateur.** Le propriétaire de l'espace de travail ajoute des membres par courriel; auth par lien magique. Aucun compte fantôme, aucun identifiant partagé. - **CC6.4 — Chiffrement.** TLS 1.3 minimum (HSTS preload-listed), AES-256 au repos dans Cloudflare R2, secrets dans les variables d'environnement (aucune clé en dur). - **CC6.5 — Gestion des clés de chiffrement.** Géré par Cloudflare pour le stockage R2; géré par le fondateur pour les secrets webhook Stripe. - **CC6.6 — Protection des frontières.** WAF Cloudflare + limites de débit + protection bot + option de blocage géographique. - **CC6.7 — Restriction de l'accès physique.** Hérité des sous-traitants Cloudflare + Stripe (tous deux conformes SOC 2 Type II). - **CC6.8 — Protection contre les logiciels malveillants.** Aucun fichier client téléversé n'exécute dans notre couche de calcul. CSP et SRI sur le site marketing.

Critères communs (Disponibilité)

- **A1.1 — Planification de capacité.** Processus gérés par PM2 avec mise à l'échelle horizontale. Le CDN Cloudflare absorbe les pics de trafic. - **A1.2 — Sauvegarde.** Sauvegardes quotidiennes chiffrées vers stockage R2 répliqué interrégions; rétention 90 jours; exercices de restauration trimestriels. - **A1.3 — Détection d'incident.** PM2 + Cloudflare + moniteur de disponibilité personnalisé; escalade de style PagerDuty vers le mobile du fondateur.

Critères communs (Confidentialité)

- **C1.1 — Classification des données.** Données client, métadonnées de sous-traitant, journaux internes — étiquetés séparément, conservés séparément. - **C1.2 — Disposition des données confidentielles.** Fenêtre d'exportation des données de 90 jours après l'annulation; suppression définitive par la suite, y compris des sauvegardes.

Critères communs (Intégrité du traitement)

- **PI1.1 — Validation des intrants.** Toutes les entrées utilisateur validées à la frontière (validation de requête Flask + vérifications de schéma au niveau pétale). - **PI1.2 — Traitement système.** Hachage SHA-256 sur chaque sortie de synthèse inter-applications; lignée rejouable. - **PI1.3 — Intégrité des sorties.** Exportation PDF de classeur d'audit avec vérification de hachage.

Critères communs (Vie privée)

- **P1.1 — Avis.** Politique de confidentialité à /privacy (alignée Loi 25 + RGPD). - **P1.2 — Choix et consentement.** Adhésion Stripe Checkout + adhésion par pétale pour les permissions d'écriture. - **P1.3 — Limitation de la collecte.** Voir « Ce que nous ne collectons pas » dans [Loi 25 + RGPD + DPA](/kb/compliance-loi25-gdpr). - **P1.4 — Utilisation et conservation.** Conservation de 90 jours après l'annulation; suppression définitive par la suite.

Écarts que nous comblons

Voici les éléments pas encore à la qualité de preuve SOC 2 Type II. Chacun a un propriétaire, une date cible et une approche de vérification.

| Élément | Statut | Cible | Vérification | |---|---|---|---| | Politique formelle de sécurité de l'information | Rédigée, en revue | T2 2026 | Approbation fondateur + avocat externe | | Programme de gestion du risque fournisseur | Suivi par tableur | T2 2026 | Migration vers outillage SecureFrame / Vanta | | Politique de vérification des antécédents pour nouveaux employés | S.O. (fondateur solo) | À la première embauche (post T4 2026) | Fournisseur standard de vérification | | Cadence de revue d'accès | Trimestrielle informelle | T3 2026 (formalisée) | Revue journalisée avec horodatage | | Test d'intrusion (externe) | Équipe rouge interne uniquement | T3 2026 | Engagement firme externe (Cure53 / Trail of Bits) | | Cadence de gestion des vulnérabilités | Manuelle | T2 2026 | Automatisation Snyk / Dependabot | | Processus de gestion du changement | Git uniquement aujourd'hui | T3 2026 | Flux formel d'approbation des changements | | Test de reprise après sinistre | Trimestriel informel | T3 2026 | Exercice trimestriel documenté | | Plan de continuité des affaires | Rédigé, non formalisé | T3 2026 | Document PCA écrit + exercice sur table | | Évaluation des risques | Rédigée, non formalisée | T2 2026 | Registre des risques écrit + mise à jour trimestrielle |

L'échéancier réaliste

Nous avons appris (à la dure, en parlant à 30+ RSSI) que « SOC 2 Type II en 6 mois » est presque toujours une fiction marketing. Le Type II exige une période d'observation minimale de 90 jours, et l'auditeur a besoin de preuves de contrôles *opérationnels* durant cette fenêtre — pas seulement *mis en œuvre*.

**T1-T2 2026 (maintenant à juillet).** Combler les éléments d'écart ci-dessus. Engager une firme de préparation SOC 2 (probablement Vanta ou SecureFrame) pour gérer la collecte de preuves.

**T3 2026 (juillet-septembre).** La période d'observation formelle commence. Nous nous engageons à NE PAS modifier les contrôles critiques durant la fenêtre. Auditeur (à déterminer) engagé.

**T4 2026 (octobre-décembre).** Travaux d'audit. Rapport rédigé. Le rapport final est généralement émis 4-6 semaines après la fin des travaux.

**T1 2027 (janvier-mars).** Le rapport SOC 2 Type II est distribué aux clients d'entreprise + publié (avec accès contrôlé) sur /trust.

Ce n'est pas l'échéancier le plus rapide possible. C'est l'échéancier **réaliste**. Le plus rapide possible est « Type I en 90 jours puis Type II 6 mois plus tard » — ce qui est acceptable pour certains acheteurs mais largement compris par les achats comme une demi-mesure.

Diligence d'achats aujourd'hui

Si vos achats exigent des preuves SOC 2 pour intégrer un nouveau fournisseur, nous pouvons aider à combler l'écart :

- **Trousse de preuves pré-audit.** Disponible sur demande via [email protected]. Contient : matrice de contrôles, liste des sous-traitants, schémas de flux de données, configs de chiffrement au repos, configs de sauvegarde, runbook de réponse aux incidents, EFVP, registre des risques fournisseur, plan de continuité des affaires. - **Questionnaire de sécurité personnalisé.** Nous répondons aux CAIQ, SIG-Lite, SIG-Core et la plupart des questionnaires d'achats personnalisés. Délai : 5-10 jours ouvrables. - **Palier Sovereign avec inclusion de trousse d'audit.** Si vos achats ont besoin de SOC 2 pour intégrer, le palier Sovereign (1 500 $ à 7 500 $/mois) inclut la livraison de la trousse d'audit et accélère l'échéancier si l'engagement est confirmé. - **NDA mutuel + revue de confiance 1:1 avec le fondateur.** [email protected] pour planifier. Nous avons fait cela avec 12+ équipes d'achats d'entreprise; 11 sur 12 se sont intégrées après l'appel.

Le compromis honnête

Certains acheteurs ne transigeront tout simplement pas avec un fournisseur pré-SOC 2. Nous le respectons. Manera n'est pas le bon fournisseur pour cet acheteur jusqu'en 2027.

Pour tous les autres, le compromis est :

- **Ce à quoi vous renoncez :** l'insigne SOC 2 Type II attesté par tiers, jusqu'au T4 2026. - **Ce que vous obtenez :** un fournisseur qui vous dira la vérité sur sa posture de sécurité, avec des preuves, avec un échéancier, sans jargon marketing. Et une réduction de coût de 45x à 167x par rapport à la pile historique.

L'acheteur qui valorise l'insigne par-dessus tout achètera Bloomberg + CrowdStrike + Westlaw + outils connexes à 544 K$ à 2 M$/an aujourd'hui. L'acheteur qui valorise le *signal de confiance* — et qui est prêt à l'évaluer sur la substance, pas sur un logo — achètera le Mesh Tier de Manera à 11 988 $/an aujourd'hui et attendra six mois pour l'insigne.

Comment nous annoncerons l'achèvement SOC 2

Lorsque le rapport SOC 2 Type II sera émis (cible T4 2026), nous :

1. Mettrons à jour [/trust](/trust) et cet article (champ `last_updated:`) avec le nouvel état 2. Enverrons un courriel à chaque client existant avec la procédure d'accès au rapport 3. Publierons un blogue de sécurité public l'annonçant 4. Mettrons à jour les liens des sous-traitants et du DPA

Nous ne revendiquerons pas rétroactivement le statut SOC 2 avant que l'audit ne soit complété. Nous n'appellerons pas nos contrôles pré-audit « équivalents SOC 2 » ou « alignés SOC 2 » ou tout autre euphémisme.

Articles connexes

- [Loi 25 + RGPD + DPA](/kb/compliance-loi25-gdpr) - [Doctrine de confiance](/trust) - [Tarification décodée](/kb/pricing-decoded) - [Pourquoi 999 $/mois contourne les achats](/kb/single-approver-procurement)

---

[← Retour à la base de connaissances](/kb) · [Confiance](/trust) · [Confidentialité](/privacy) · [Demander la trousse de preuves](mailto:[email protected]?subject=Demande%20de%20trousse%20de%20preuves%20SOC%202)

© Manera Technologies Inc. — Base de connaissances · Accueil FR · English version