Calendrier SOC 2 Type II
Nous publions une feuille de route ouverte vers SOC 2 Type II pour que les clients puissent caler leur cycle d'achat dessus. Des jalons honnêtes, sans "théâtre de conformité" — le Type II nécessite une vraie fenêtre d'observation de 6 mois, pas un audit d'une seule journée.
Jalons
2026-Q1
Préparation de l'architecture
AWS multi-AZ + AES-256 au repos + TLS 1.2+ + Secrets Manager + IAM avec privilèges minimums. Tous les contrôles fondamentaux sont en production.
2026-Q2
Architecture conforme RGPD
Audit de confidentialité vagues 1 à 4 terminé : minimisation des données, parcours de droit à l'effacement, gestion du consentement et traitement biométrique au titre de l'article 9(2)(a).
2026-Q3
Journaux d'audit et réponse aux incidents
Piste d'audit centralisée (rétention de 1 à 3 ans selon le forfait), runbook de réponse aux incidents, rotation d'astreinte et protocole de notification de violation.
2026-Q4
Choix d'auditeur — Vanta + A-LIGN
Sélectionné : Vanta pour l'automatisation de la conformité (collecte continue de preuves depuis AWS, Stripe, Okta, GitHub, SES) et A-LIGN comme cabinet d'audit. SVDY rejoint la même chaîne d'outils que Linear, Ramp, ClickUp et Loom.
2026-Q4
Évaluation de préparation
Analyse d'écarts pilotée par Vanta et revue humaine de A-LIGN. Couvre les politiques, le contrôle d'accès, la gestion du changement, la gestion des fournisseurs et le chiffrement, et identifie les écarts résiduels avant le démarrage de la fenêtre d'observation de 6 mois.
2027-Q1
Démarrage de la période d'audit
La fenêtre d'observation de 6 mois commence. Collecte continue de preuves — efficacité opérationnelle des contrôles dans le temps, pas seulement à un instant T.
2027-Q2
Clôture de la période d'audit
L'auditeur termine la revue des preuves. Entretien de clôture et réponse de la direction. Rédaction du rapport en cours.
2027-Q3
Émission du rapport SOC 2 Type II
Rapport final disponible pour les clients sous NDA. Cadence annuelle de réaudit ; le rapport est renouvelé chaque année avec une nouvelle période d'observation Type II.
Choix des fournisseurs
Nous avons retenu des outils standards du marché plutôt que de construire un pipeline de conformité sur mesure. En phase pré-client, cela échange ~25 000 USD/an contre du temps d'ingénierie consacré au produit.
Vanta — plateforme d'automatisation de la conformité
Collecte continue de preuves depuis AWS, Stripe, Okta, GitHub et SES. Plus de 1500 clients, dont Linear, Ramp, ClickUp et Loom. Modules SOC 2 + RGPD + ISO 27001 + HIPAA sur la même plateforme.
A-LIGN — cabinet d'audit
Plus grand partenaire auditeur de Vanta ; environ 40 % des rapports SOC 2 Type II générés avec Vanta passent par A-LIGN. Spécialiste du SaaS PME. Tarif intermédiaire et environ 3 semaines pour livrer le rapport après la fin de la période d'audit.
Pourquoi le Type II et pas le Type I
Le SOC 2 Type I atteste que les contrôles existaient à un instant donné ; le Type II atteste qu'ils ont fonctionné efficacement sur une période (généralement 6 mois). Les équipes IT enterprise sous-pondèrent le Type I — ce n'est qu'une photo. Le Type II est celui qu'elles demandent réellement.
Nous sautons le Type I et allons directement au Type II pour éviter le piège du "jalon inutile". Cela ajoute environ 6 mois au calendrier, mais produit un rapport que les clients utilisent réellement.
Besoin de remplir un questionnaire de sécurité dès aujourd'hui ?
En attendant la publication du SOC 2 Type II au Q3 2027, nous proposons :
• Des réponses CAIQ-Lite à la matrice standard CSA Cloud Controls Matrix.
• Des réponses personnalisées aux questionnaires propres à chaque fournisseur (imports Vanta, Drata, SecurityScorecard — généralement sous 3 jours ouvrés).
• Des schémas d'architecture et descriptions de flux de données signés par la direction de l'ingénierie.
