Auteur : Sébastien Robert — Associé principal, Services conseils Factero Publié le 7 avril 2026 Temps de lecture : environ 11 minutes
En bref
Quand une entreprise veut prouver à ses clients qu’elle protège bien leurs données, elle peut viser une certification de cybersécurité. Les deux principales sont :
- SOC 2 — la certification américaine.
- ISO 27001:2022 — la certification internationale.
Cet article explique ce que c’est, à quoi ça sert, et comment une PME québécoise choisit l’une ou l’autre.
Le parallèle qui aide à comprendre
Vous connaissez bien deux types de vérifications en comptabilité :
- L’audit des états financiers — un comptable indépendant examine les livres et émet une opinion. Le résultat est un rapport qui dit, par exemple : « les états financiers donnent une image fidèle de la situation de l’entreprise. »
- La certification de qualité ISO 9001 — un organisme indépendant vérifie que l’entreprise a un système de gestion de la qualité conforme à une norme internationale. Le résultat est un certificat.
Eh bien, en cybersécurité, on a exactement les deux mêmes types de vérifications :
- SOC 2 ressemble à l’audit des états financiers — c’est un cabinet comptable américain qui examine les contrôles de sécurité d’une entreprise et émet un rapport avec son opinion.
- ISO 27001:2022 ressemble à ISO 9001 — c’est un organisme indépendant qui vérifie qu’une entreprise a un système de gestion de la sécurité conforme à une norme internationale, et qui émet un certificat.
Cette distinction explique tout le reste.
Pourquoi ces certifications existent
Imaginez une PME québécoise qui développe un logiciel comptable en ligne. Cette PME stocke les données financières de ses clients sur ses serveurs. Avant d’acheter le logiciel, un nouveau client veut savoir : « Comment je peux être sûr que mes données sont protégées? Que vous avez de bonnes pratiques de sécurité? Que vos employés ne peuvent pas voler mes informations? »
La PME a deux choix :
- Dire « faites-nous confiance » — peu convaincant.
- Présenter une certification émise par un tiers indépendant qui a vérifié les pratiques.
Les certifications de cybersécurité jouent exactement le rôle que joue un rapport d’audit pour les états financiers : elles transfèrent la confiance d’un tiers crédible vers l’entreprise auditée.
Sans certification, chaque client devrait faire son propre examen — coûteux et inefficace. Avec une certification, l’examen est fait une fois, et le résultat sert à tous les clients.
SOC 2 — la certification américaine
Qui la fait
Un cabinet de CPA américain licencié. CPA américain, pas CPA québécois — c’est important. Les normes professionnelles, les juridictions de licence et les règles d’attestation sont différentes des nôtres au Canada.
Le cabinet utilise les normes SSAE 18 (l’équivalent américain de nos NCA pour les missions d’attestation). C’est l’AICPA — l’association américaine des CPA — qui édicte ces normes.
Ce qu’elle évalue
SOC 2 se base sur cinq catégories appelées Trust Services Criteria :
- Sécurité — toujours obligatoire (protection contre les accès non autorisés).
- Disponibilité — optionnelle (le système fonctionne quand on en a besoin).
- Intégrité du traitement — optionnelle (les données sont traitées correctement).
- Confidentialité — optionnelle (les informations confidentielles sont protégées).
- Vie privée — optionnelle (les renseignements personnels sont gérés selon les engagements).
L’entreprise choisit quelles catégories inclure dans son audit, selon sa situation. Une entreprise qui ne traite pas de transactions financières n’a pas besoin de l’Intégrité du traitement, par exemple.
Le résultat
SOC 2 ne produit pas un certificat mais un rapport détaillé (souvent 100-200 pages). Ce rapport est partagé avec les clients sous accord de confidentialité.
Il y a deux types de rapports :
- SOC 2 Type 1 — l’auditeur regarde les contrôles à un moment précis. Rapide à produire (quelques mois). Crédibilité limitée.
- SOC 2 Type 2 — l’auditeur teste les contrôles sur une période de 6 à 12 mois. Beaucoup plus crédible. C’est ce que les clients sérieux veulent voir.
Le rapport contient une opinion du CPA — exactement comme dans un rapport d’audit financier. Quatre opinions possibles :
| Opinion | Signification |
|---|---|
| Sans réserve (unmodified) | Tout va bien. C’est l’objectif. |
| Avec réserve (qualified) | Il y a des exceptions identifiées, mais l’ensemble reste acceptable. |
| Défavorable (adverse) | Les contrôles ne fonctionnent pas correctement. Mauvais signal. |
| Impossibilité d’exprimer une opinion (disclaimer) | L’auditeur n’a pas pu faire son travail. Très mauvais signal. |
Vous voyez le parallèle direct avec les opinions d’audit financier que vos étudiants apprennent.
À qui ça s’adresse
Les fournisseurs de services en technologie qui vendent à des clients américains. Si une PME québécoise développe un logiciel et veut percer aux États-Unis, ses prospects vont presque certainement demander un rapport SOC 2 avant de signer.
ISO 27001:2022 — la certification internationale
Qui la fait
Un organisme de certification accrédité. Au Canada, ces organismes sont accrédités par le Conseil canadien des normes (CCN). À l’international, par les organismes équivalents dans chaque pays.
Cette accréditation est ce qui donne à un certificat ISO 27001 sa reconnaissance partout dans le monde.
Ce qu’elle évalue
ISO 27001:2022 vérifie que l’entreprise a mis en place un système de management de la sécurité de l’information. C’est un terme un peu lourd, mais le concept est simple : c’est l’ensemble des politiques, des procédures, des rôles, des outils et des contrôles que l’entreprise utilise pour protéger ses informations.
L’idée : la sécurité ne se résume pas à acheter un antivirus et un pare-feu. C’est un système qui doit fonctionner en continu, avec :
- Une politique formelle approuvée par la direction.
- Une analyse des risques pour identifier ce qu’il faut protéger.
- Des contrôles choisis pour réduire ces risques.
- Une mesure régulière de l’efficacité de ces contrôles.
- Une amélioration continue (ce qu’on appelle le cycle PDCA — Planifier, Faire, Vérifier, Agir, qui ressemble au cycle d’amélioration continue que vous voyez en gestion de la qualité).
ISO 27001:2022 fournit aussi une liste de référence de 93 contrôles de sécurité (mots de passe, sauvegardes, formation des employés, etc.). L’entreprise documente lesquels elle utilise, lesquels elle exclut, et pourquoi. Ce document s’appelle la Déclaration d’applicabilité.
Le résultat
Un certificat valide pour 3 ans. Pendant ces 3 ans :
- Année 0 — Audit initial complet en deux étapes. Le certificat est émis si tout est conforme.
- Année 1 — Audit de surveillance (vérification d’une partie des contrôles).
- Année 2 — Audit de surveillance (autre partie des contrôles).
- Année 3 — Audit de re-certification complet pour renouveler.
Le certificat peut être affiché publiquement — sur le site web de l’entreprise, dans ses propositions commerciales, etc.
À qui ça s’adresse
Les entreprises qui ont des clients à l’international (Europe, Asie, ailleurs hors États-Unis). C’est le « gold standard » mondial de la sécurité de l’information.
Une particularité importante en 2026 : la directive européenne NIS2 (entrée en vigueur en octobre 2024) oblige beaucoup d’entreprises européennes à exiger des pratiques de sécurité solides chez leurs fournisseurs. ISO 27001:2022 est la voie la plus directe pour répondre à ces exigences.
Comparaison rapide
| Caractéristique | SOC 2 | ISO 27001:2022 |
|---|---|---|
| Type | Rapport d’attestation | Certification |
| Émetteur | Cabinet de CPA américain | Organisme de certification accrédité |
| Norme professionnelle | SSAE 18 (AICPA) | ISO/IEC 17021-1 |
| Approche | Flexible — l’entreprise décrit comment elle atteint les objectifs | Structurée — système formel à mettre en place |
| Document final | Rapport (100-200 pages) sous confidentialité | Certificat affichable publiquement |
| Validité | 12 mois (Type 2) | 3 ans avec audits annuels |
| Marché principal | États-Unis | International (Europe, Asie, etc.) |
Combien ça coûte, combien de temps
Pour une PME québécoise typique en première certification :
| Aspect | SOC 2 Type 2 | ISO 27001:2022 |
|---|---|---|
| Coût total estimé | 30 000 $ à 300 000 $+ | 40 000 $ à 380 000 $+ |
| Délai d’obtention | 8 à 18 mois | 9 à 18 mois |
| Coût récurrent annuel | 25 000 $ à 70 000 $ | 20 000 $ à 60 000 $ |
Pourquoi des fourchettes aussi larges? Parce que la majorité du coût n’est pas l’audit lui-même — c’est la mise à niveau technique qu’il faut faire avant de passer l’audit. Une entreprise qui a déjà de bonnes pratiques (sauvegardes testées, mots de passe complexes, double authentification) paie moins. Une entreprise qui part de zéro paie beaucoup plus, parce qu’elle doit acheter des outils, former son personnel et refaire ses processus.
C’est exactement comme préparer une PME pour son premier audit financier formel : si la tenue de livres a toujours été propre, l’audit coûte peu. Si tout est désorganisé, il faut d’abord réorganiser, et ça coûte cher.
Bonne nouvelle : les deux certifications partagent environ 80% des contrôles. Une entreprise qui obtient les deux en même temps (en bundle) économise 30 à 40 %.
Comment choisir : trois questions
Question 1 — Où sont mes clients?
C’est de loin le critère principal.
- Majorité aux États-Unis → SOC 2 d’abord.
- Majorité en Europe ou ailleurs hors États-Unis → ISO 27001:2022.
- Aux deux endroits → bundle des deux.
- Uniquement au Canada → ni l’un ni l’autre n’est urgent. Voir Question 3.
Question 2 — Mes clients m’ont-ils déjà demandé une certification?
Si un prospect ou un client vous a déjà demandé un rapport SOC 2 ou un certificat ISO 27001, c’est votre réponse. Ne devinez pas — répondez à ce que les clients demandent.
Question 3 — Suis-je une PME canadienne avec des clients principalement domestiques?
Si oui, il y a une troisième option qui n’est pas dans cet article : CAN/DGSI 104, la certification canadienne pour PME. Elle coûte 5 à 20 fois moins cher (3 000 $ à 10 000 $), prend 3 à 6 mois, et est de plus en plus reconnue au Canada. C’est typiquement le meilleur point d’entrée pour une PME québécoise qui ne vend pas hors du Canada.
Pour les détails sur cette option canadienne, voir notre comparaison ISO 27001 vs CAN/DGSI 104.
Cas concrets
Pour rendre ça concret, voici trois situations typiques :
Cas 1 — Logiciel SaaS québécois ciblant les États-Unis
Une PME québécoise développe un logiciel de gestion pour PME américaines. Elle a 12 employés, 2 millions de dollars de revenus, et veut percer le marché américain.
Recommandation : SOC 2 Type 2 d’abord. C’est ce que les prospects américains vont demander. ISO 27001 viendra plus tard si l’entreprise se développe en Europe.
Cas 2 — Bureau comptable québécois local
Un bureau comptable de 8 employés à Saint-Jean-sur-Richelieu sert exclusivement des clients québécois. Il utilise des logiciels en ligne pour la tenue de livres, mais ne vend pas de produit technologique.
Recommandation : Ni SOC 2 ni ISO 27001 ne sont pertinents. Le bureau devrait viser CAN/DGSI 104 (certification canadienne PME) ou simplement appliquer les bonnes pratiques de sécurité (Loi 25 oblige) sans certification formelle.
Cas 3 — PME manufacturière exportatrice
Une PME manufacturière de 80 employés vend en Europe et aux États-Unis. Elle ne fait pas de logiciel mais traite des données techniques de ses clients (designs, spécifications). Un grand client allemand vient de demander un certificat ISO 27001.
Recommandation : ISO 27001:2022 (parce que le client allemand le demande explicitement). SOC 2 pourrait s’ajouter plus tard si un client américain le demande.
Lire un rapport SOC 2 quand un fournisseur vous l’envoie
Comme professionnelle ou enseignante en comptabilité, vous pourriez recevoir un rapport SOC 2 d’un fournisseur (par exemple le service infonuagique qui héberge le logiciel comptable de votre cégep). Voici comment le lire en 5 minutes :
Section 1 — Opinion du CPA. Cherchez le mot clé. Sans réserve = bon. Avec réserve = à examiner. Défavorable ou impossibilité = à signaler à votre direction TI.
Section 2 — Affirmation de la direction. Ce que la direction du fournisseur affirme sur ses contrôles. Lecture rapide.
Section 3 — Description du système. Ce que le fournisseur fait, comment il le fait, et avec quels sous-traitants. Important : vérifiez qui sont les sous-traitants critiques (typiquement Microsoft Azure, AWS, Google Cloud).
Section 4 — Tests effectués et résultats. La partie technique. Cherchez les exceptions identifiées. Si l’auditeur dit qu’il a trouvé des problèmes, lisez attentivement.
Section 5 — Réponses de la direction. Comment le fournisseur a réagi aux exceptions. Idéalement, des plans d’action concrets.
Vous y verrez aussi des CUEC (Complementary User Entity Controls) — des contrôles que vous devez implémenter de votre côté pour que la sécurité globale fonctionne. Par exemple : « le client doit utiliser des mots de passe complexes » ou « le client doit retirer les accès des employés qui partent ». Cette section vous concerne directement.
FAQ rapide
Une PME québécoise ordinaire a-t-elle besoin de SOC 2 ou d’ISO 27001?
Non, sauf si elle vend un produit technologique à des clients américains (SOC 2) ou internationaux (ISO 27001). Pour un service local au Québec, viser CAN/DGSI 104 est plus économique.
Une certification protège-t-elle vraiment contre les cyberattaques?
Pas magiquement. La certification atteste que les bonnes pratiques sont en place, ce qui réduit considérablement les risques. Mais une entreprise certifiée peut quand même être victime d’une attaque sophistiquée. Aucune certification n’offre 100 % de garantie.
Combien d’entreprises au Québec ont SOC 2 ou ISO 27001?
Pas de chiffres officiels, mais très peu (probablement quelques centaines au total). Ce sont surtout des entreprises de technologie qui exportent. La grande majorité des PME québécoises n’ont aucune certification de cybersécurité formelle.
Pourquoi ces certifications viennent-elles toujours en anglais?
Parce qu’elles sont émises par des organismes américains (AICPA pour SOC 2) ou internationaux (ISO). Les normes ISO sont disponibles en français, mais l’écosystème de cabinets et de plateformes outils reste majoritairement anglophone.
Est-ce qu’un CPA québécois peut faire un audit SOC 2?
Non, pas directement. SOC 2 nécessite un CPA licencié dans une juridiction américaine. Certains cabinets canadiens ont des partenariats avec des cabinets américains pour offrir le service, mais l’opinion finale est émise par un CPA américain.
En tant qu’enseignante, comment puis-je intégrer ces concepts dans mes cours?
Le plus simple est de partir des parallèles avec les concepts comptables connus : opinion d’auditeur, contrôle interne, attestation vs certification de qualité. Les étudiants comprennent vite si on construit sur leurs acquis. La cybersécurité ajoute simplement un nouvel objet d’audit (les contrôles informatiques) à des concepts qu’ils maîtrisent déjà.
Pour aller plus loin
Si vous voulez approfondir certains aspects, voici des articles plus détaillés :
- ISO 27001 vs CAN/DGSI 104 (la version canadienne)
- Notre expérience de certification CAN/DGSI 104 en 30 jours
- Gouvernance TI : guide complet en 7 étapes
À propos de l’auteur
Sébastien Robert est associé principal chez Services conseils Factero, une firme indépendante de conseils en gouvernance des technologies, en cybersécurité et en conformité, établie à Saint-Jean-sur-Richelieu (Québec). Il pratique en TI depuis 2002 et collabore régulièrement avec des programmes de formation
À propos de Factero. Notre firme est elle-même certifiée CAN/DGSI 104 (Niveau 2). Nous accompagnons les organisations québécoises et canadiennes dans leurs démarches de gouvernance TI et de certification — ISO 27001:2022, SOC 2, CAN/DGSI 104, et TGV (santé Québec).
Une question pédagogique? Nous offrons des présentations gratuites en classe (en présentiel ou à distance) sur la cybersécurité et la gouvernance TI pour les programmes collégiaux en techniques administratives, comptabilité et informatique. Contactez-nous pour planifier.