{"id":348,"date":"2026-04-11T07:40:00","date_gmt":"2026-04-11T07:40:00","guid":{"rendered":"https:\/\/blog.factero.ca\/?p=348"},"modified":"2026-04-29T02:49:17","modified_gmt":"2026-04-29T02:49:17","slug":"soc-2-vs-iso-27001-guide-accessible","status":"publish","type":"post","link":"https:\/\/factero.ca\/blog\/soc-2-vs-iso-27001-guide-accessible\/","title":{"rendered":"SOC 2 ou ISO 27001 : comprendre les certifications de cybers\u00e9curit\u00e9 (Guide 2026)"},"content":{"rendered":"\n<h1 class=\"wp-block-heading\"><\/h1>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Auteur :<\/strong> S\u00e9bastien Robert \u2014 Associ\u00e9 principal, Services conseils Factero <strong>Publi\u00e9 le<\/strong> 7 avril 2026 <strong>Temps de lecture :<\/strong> environ 11 minutes<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">En bref<\/h2>\n\n\n\n<p>Quand une entreprise veut prouver \u00e0 ses clients qu&rsquo;elle prot\u00e8ge bien leurs donn\u00e9es, elle peut viser une <strong>certification de cybers\u00e9curit\u00e9<\/strong>. Les deux principales sont :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SOC 2<\/strong> \u2014 la certification am\u00e9ricaine.<\/li>\n\n\n\n<li><strong>ISO 27001:2022<\/strong> \u2014 la certification internationale.<\/li>\n<\/ul>\n\n\n\n<p>Cet article explique ce que c&rsquo;est, \u00e0 quoi \u00e7a sert, et comment une PME qu\u00e9b\u00e9coise choisit l&rsquo;une ou l&rsquo;autre.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Le parall\u00e8le qui aide \u00e0 comprendre<\/h2>\n\n\n\n<p>Vous connaissez bien deux types de v\u00e9rifications en comptabilit\u00e9 :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>L&rsquo;audit des \u00e9tats financiers<\/strong> \u2014 un comptable ind\u00e9pendant examine les livres et \u00e9met une opinion. Le r\u00e9sultat est un <strong>rapport<\/strong> qui dit, par exemple : <em>\u00ab les \u00e9tats financiers donnent une image fid\u00e8le de la situation de l&rsquo;entreprise. \u00bb<\/em><\/li>\n\n\n\n<li><strong>La certification de qualit\u00e9 ISO 9001<\/strong> \u2014 un organisme ind\u00e9pendant v\u00e9rifie que l&rsquo;entreprise a un syst\u00e8me de gestion de la qualit\u00e9 conforme \u00e0 une norme internationale. Le r\u00e9sultat est un <strong>certificat<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p>Eh bien, en cybers\u00e9curit\u00e9, on a exactement les deux m\u00eames types de v\u00e9rifications :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SOC 2<\/strong> ressemble \u00e0 l&rsquo;audit des \u00e9tats financiers \u2014 c&rsquo;est un cabinet comptable am\u00e9ricain qui examine les contr\u00f4les de s\u00e9curit\u00e9 d&rsquo;une entreprise et \u00e9met un <strong>rapport<\/strong> avec son opinion.<\/li>\n\n\n\n<li><strong>ISO 27001:2022<\/strong> ressemble \u00e0 ISO 9001 \u2014 c&rsquo;est un organisme ind\u00e9pendant qui v\u00e9rifie qu&rsquo;une entreprise a un syst\u00e8me de gestion de la s\u00e9curit\u00e9 conforme \u00e0 une norme internationale, et qui \u00e9met un <strong>certificat<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p>Cette distinction explique tout le reste.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Pourquoi ces certifications existent<\/h2>\n\n\n\n<p>Imaginez une PME qu\u00e9b\u00e9coise qui d\u00e9veloppe un logiciel comptable en ligne. Cette PME stocke les donn\u00e9es financi\u00e8res de ses clients sur ses serveurs. Avant d&rsquo;acheter le logiciel, un nouveau client veut savoir : <em>\u00ab Comment je peux \u00eatre s\u00fbr que mes donn\u00e9es sont prot\u00e9g\u00e9es? Que vous avez de bonnes pratiques de s\u00e9curit\u00e9? Que vos employ\u00e9s ne peuvent pas voler mes informations? \u00bb<\/em><\/p>\n\n\n\n<p>La PME a deux choix :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Dire \u00ab faites-nous confiance \u00bb<\/strong> \u2014 peu convaincant.<\/li>\n\n\n\n<li><strong>Pr\u00e9senter une certification<\/strong> \u00e9mise par un tiers ind\u00e9pendant qui a v\u00e9rifi\u00e9 les pratiques.<\/li>\n<\/ol>\n\n\n\n<p>Les certifications de cybers\u00e9curit\u00e9 jouent exactement le r\u00f4le que joue un rapport d&rsquo;audit pour les \u00e9tats financiers : elles <strong>transf\u00e8rent la confiance<\/strong> d&rsquo;un tiers cr\u00e9dible vers l&rsquo;entreprise audit\u00e9e.<\/p>\n\n\n\n<p>Sans certification, chaque client devrait faire son propre examen \u2014 co\u00fbteux et inefficace. Avec une certification, l&rsquo;examen est fait une fois, et le r\u00e9sultat sert \u00e0 tous les clients.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">SOC 2 \u2014 la certification am\u00e9ricaine<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qui la fait<\/h3>\n\n\n\n<p>Un cabinet de CPA am\u00e9ricain licenci\u00e9. <strong>CPA am\u00e9ricain<\/strong>, pas CPA qu\u00e9b\u00e9cois \u2014 c&rsquo;est important. Les normes professionnelles, les juridictions de licence et les r\u00e8gles d&rsquo;attestation sont diff\u00e9rentes des n\u00f4tres au Canada.<\/p>\n\n\n\n<p>Le cabinet utilise les normes <strong>SSAE 18<\/strong> (l&rsquo;\u00e9quivalent am\u00e9ricain de nos NCA pour les missions d&rsquo;attestation). C&rsquo;est l&rsquo;AICPA \u2014 l&rsquo;association am\u00e9ricaine des CPA \u2014 qui \u00e9dicte ces normes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ce qu&rsquo;elle \u00e9value<\/h3>\n\n\n\n<p>SOC 2 se base sur cinq cat\u00e9gories appel\u00e9es <strong>Trust Services Criteria<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>S\u00e9curit\u00e9<\/strong> \u2014 toujours obligatoire (protection contre les acc\u00e8s non autoris\u00e9s).<\/li>\n\n\n\n<li><strong>Disponibilit\u00e9<\/strong> \u2014 optionnelle (le syst\u00e8me fonctionne quand on en a besoin).<\/li>\n\n\n\n<li><strong>Int\u00e9grit\u00e9 du traitement<\/strong> \u2014 optionnelle (les donn\u00e9es sont trait\u00e9es correctement).<\/li>\n\n\n\n<li><strong>Confidentialit\u00e9<\/strong> \u2014 optionnelle (les informations confidentielles sont prot\u00e9g\u00e9es).<\/li>\n\n\n\n<li><strong>Vie priv\u00e9e<\/strong> \u2014 optionnelle (les renseignements personnels sont g\u00e9r\u00e9s selon les engagements).<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;entreprise choisit quelles cat\u00e9gories inclure dans son audit, selon sa situation. Une entreprise qui ne traite pas de transactions financi\u00e8res n&rsquo;a pas besoin de l&rsquo;Int\u00e9grit\u00e9 du traitement, par exemple.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Le r\u00e9sultat<\/h3>\n\n\n\n<p>SOC 2 ne produit <strong>pas un certificat<\/strong> mais un <strong>rapport<\/strong> d\u00e9taill\u00e9 (souvent 100-200 pages). Ce rapport est partag\u00e9 avec les clients sous accord de confidentialit\u00e9.<\/p>\n\n\n\n<p>Il y a deux types de rapports :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SOC 2 Type 1<\/strong> \u2014 l&rsquo;auditeur regarde les contr\u00f4les \u00e0 un moment pr\u00e9cis. Rapide \u00e0 produire (quelques mois). Cr\u00e9dibilit\u00e9 limit\u00e9e.<\/li>\n\n\n\n<li><strong>SOC 2 Type 2<\/strong> \u2014 l&rsquo;auditeur teste les contr\u00f4les <strong>sur une p\u00e9riode<\/strong> de 6 \u00e0 12 mois. Beaucoup plus cr\u00e9dible. C&rsquo;est ce que les clients s\u00e9rieux veulent voir.<\/li>\n<\/ul>\n\n\n\n<p>Le rapport contient une <strong>opinion du CPA<\/strong> \u2014 exactement comme dans un rapport d&rsquo;audit financier. Quatre opinions possibles :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Opinion<\/th><th>Signification<\/th><\/tr><\/thead><tbody><tr><td><strong>Sans r\u00e9serve<\/strong> (unmodified)<\/td><td>Tout va bien. C&rsquo;est l&rsquo;objectif.<\/td><\/tr><tr><td><strong>Avec r\u00e9serve<\/strong> (qualified)<\/td><td>Il y a des exceptions identifi\u00e9es, mais l&rsquo;ensemble reste acceptable.<\/td><\/tr><tr><td><strong>D\u00e9favorable<\/strong> (adverse)<\/td><td>Les contr\u00f4les ne fonctionnent pas correctement. Mauvais signal.<\/td><\/tr><tr><td><strong>Impossibilit\u00e9 d&rsquo;exprimer une opinion<\/strong> (disclaimer)<\/td><td>L&rsquo;auditeur n&rsquo;a pas pu faire son travail. Tr\u00e8s mauvais signal.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Vous voyez le parall\u00e8le direct avec les opinions d&rsquo;audit financier que vos \u00e9tudiants apprennent.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c0 qui \u00e7a s&rsquo;adresse<\/h3>\n\n\n\n<p>Les fournisseurs de services en technologie qui vendent \u00e0 des clients am\u00e9ricains. Si une PME qu\u00e9b\u00e9coise d\u00e9veloppe un logiciel et veut percer aux \u00c9tats-Unis, ses prospects vont presque certainement demander un rapport SOC 2 avant de signer.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">ISO 27001:2022 \u2014 la certification internationale<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qui la fait<\/h3>\n\n\n\n<p>Un <strong>organisme de certification accr\u00e9dit\u00e9<\/strong>. Au Canada, ces organismes sont accr\u00e9dit\u00e9s par le Conseil canadien des normes (CCN). \u00c0 l&rsquo;international, par les organismes \u00e9quivalents dans chaque pays.<\/p>\n\n\n\n<p>Cette accr\u00e9ditation est ce qui donne \u00e0 un certificat ISO 27001 sa reconnaissance partout dans le monde.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ce qu&rsquo;elle \u00e9value<\/h3>\n\n\n\n<p>ISO 27001:2022 v\u00e9rifie que l&rsquo;entreprise a mis en place un <strong>syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information<\/strong>. C&rsquo;est un terme un peu lourd, mais le concept est simple : c&rsquo;est l&rsquo;ensemble des politiques, des proc\u00e9dures, des r\u00f4les, des outils et des contr\u00f4les que l&rsquo;entreprise utilise pour prot\u00e9ger ses informations.<\/p>\n\n\n\n<p>L&rsquo;id\u00e9e : la s\u00e9curit\u00e9 ne se r\u00e9sume pas \u00e0 acheter un antivirus et un pare-feu. C&rsquo;est un <strong>syst\u00e8me<\/strong> qui doit fonctionner en continu, avec :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Une politique formelle approuv\u00e9e par la direction.<\/li>\n\n\n\n<li>Une analyse des risques pour identifier ce qu&rsquo;il faut prot\u00e9ger.<\/li>\n\n\n\n<li>Des contr\u00f4les choisis pour r\u00e9duire ces risques.<\/li>\n\n\n\n<li>Une mesure r\u00e9guli\u00e8re de l&rsquo;efficacit\u00e9 de ces contr\u00f4les.<\/li>\n\n\n\n<li>Une am\u00e9lioration continue (ce qu&rsquo;on appelle le cycle PDCA \u2014 Planifier, Faire, V\u00e9rifier, Agir, qui ressemble au cycle d&rsquo;am\u00e9lioration continue que vous voyez en gestion de la qualit\u00e9).<\/li>\n<\/ul>\n\n\n\n<p>ISO 27001:2022 fournit aussi une <strong>liste de r\u00e9f\u00e9rence<\/strong> de 93 contr\u00f4les de s\u00e9curit\u00e9 (mots de passe, sauvegardes, formation des employ\u00e9s, etc.). L&rsquo;entreprise documente lesquels elle utilise, lesquels elle exclut, et pourquoi. Ce document s&rsquo;appelle la <strong>D\u00e9claration d&rsquo;applicabilit\u00e9<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Le r\u00e9sultat<\/h3>\n\n\n\n<p>Un <strong>certificat<\/strong> valide pour 3 ans. Pendant ces 3 ans :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ann\u00e9e 0<\/strong> \u2014 Audit initial complet en deux \u00e9tapes. Le certificat est \u00e9mis si tout est conforme.<\/li>\n\n\n\n<li><strong>Ann\u00e9e 1<\/strong> \u2014 Audit de surveillance (v\u00e9rification d&rsquo;une partie des contr\u00f4les).<\/li>\n\n\n\n<li><strong>Ann\u00e9e 2<\/strong> \u2014 Audit de surveillance (autre partie des contr\u00f4les).<\/li>\n\n\n\n<li><strong>Ann\u00e9e 3<\/strong> \u2014 Audit de re-certification complet pour renouveler.<\/li>\n<\/ul>\n\n\n\n<p>Le certificat peut \u00eatre affich\u00e9 publiquement \u2014 sur le site web de l&rsquo;entreprise, dans ses propositions commerciales, etc.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u00c0 qui \u00e7a s&rsquo;adresse<\/h3>\n\n\n\n<p>Les entreprises qui ont des clients \u00e0 l&rsquo;international (Europe, Asie, ailleurs hors \u00c9tats-Unis). C&rsquo;est le \u00ab gold standard \u00bb mondial de la s\u00e9curit\u00e9 de l&rsquo;information.<\/p>\n\n\n\n<p>Une particularit\u00e9 importante en 2026 : la directive europ\u00e9enne <strong>NIS2<\/strong> (entr\u00e9e en vigueur en octobre 2024) oblige beaucoup d&rsquo;entreprises europ\u00e9ennes \u00e0 exiger des pratiques de s\u00e9curit\u00e9 solides chez leurs fournisseurs. ISO 27001:2022 est la voie la plus directe pour r\u00e9pondre \u00e0 ces exigences.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Comparaison rapide<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Caract\u00e9ristique<\/th><th>SOC 2<\/th><th>ISO 27001:2022<\/th><\/tr><\/thead><tbody><tr><td><strong>Type<\/strong><\/td><td>Rapport d&rsquo;attestation<\/td><td>Certification<\/td><\/tr><tr><td><strong>\u00c9metteur<\/strong><\/td><td>Cabinet de CPA am\u00e9ricain<\/td><td>Organisme de certification accr\u00e9dit\u00e9<\/td><\/tr><tr><td><strong>Norme professionnelle<\/strong><\/td><td>SSAE 18 (AICPA)<\/td><td>ISO\/IEC 17021-1<\/td><\/tr><tr><td><strong>Approche<\/strong><\/td><td>Flexible \u2014 l&rsquo;entreprise d\u00e9crit comment elle atteint les objectifs<\/td><td>Structur\u00e9e \u2014 syst\u00e8me formel \u00e0 mettre en place<\/td><\/tr><tr><td><strong>Document final<\/strong><\/td><td>Rapport (100-200 pages) sous confidentialit\u00e9<\/td><td>Certificat affichable publiquement<\/td><\/tr><tr><td><strong>Validit\u00e9<\/strong><\/td><td>12 mois (Type 2)<\/td><td>3 ans avec audits annuels<\/td><\/tr><tr><td><strong>March\u00e9 principal<\/strong><\/td><td>\u00c9tats-Unis<\/td><td>International (Europe, Asie, etc.)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Combien \u00e7a co\u00fbte, combien de temps<\/h2>\n\n\n\n<p>Pour une PME qu\u00e9b\u00e9coise typique en premi\u00e8re certification :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Aspect<\/th><th>SOC 2 Type 2<\/th><th>ISO 27001:2022<\/th><\/tr><\/thead><tbody><tr><td><strong>Co\u00fbt total estim\u00e9<\/strong><\/td><td>30 000 $ \u00e0 300 000 $+<\/td><td>40 000 $ \u00e0 380 000 $+<\/td><\/tr><tr><td><strong>D\u00e9lai d&rsquo;obtention<\/strong><\/td><td>8 \u00e0 18 mois<\/td><td>9 \u00e0 18 mois<\/td><\/tr><tr><td><strong>Co\u00fbt r\u00e9current annuel<\/strong><\/td><td>25 000 $ \u00e0 70 000 $<\/td><td>20 000 $ \u00e0 60 000 $<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Pourquoi des fourchettes aussi larges? Parce que la majorit\u00e9 du co\u00fbt n&rsquo;est pas l&rsquo;audit lui-m\u00eame \u2014 c&rsquo;est la <strong>mise \u00e0 niveau technique<\/strong> qu&rsquo;il faut faire avant de passer l&rsquo;audit. Une entreprise qui a d\u00e9j\u00e0 de bonnes pratiques (sauvegardes test\u00e9es, mots de passe complexes, double authentification) paie moins. Une entreprise qui part de z\u00e9ro paie beaucoup plus, parce qu&rsquo;elle doit acheter des outils, former son personnel et refaire ses processus.<\/p>\n\n\n\n<p>C&rsquo;est exactement comme pr\u00e9parer une PME pour son premier audit financier formel : si la tenue de livres a toujours \u00e9t\u00e9 propre, l&rsquo;audit co\u00fbte peu. Si tout est d\u00e9sorganis\u00e9, il faut d&rsquo;abord r\u00e9organiser, et \u00e7a co\u00fbte cher.<\/p>\n\n\n\n<p><strong>Bonne nouvelle :<\/strong> les deux certifications partagent <strong>environ 80% des contr\u00f4les<\/strong>. Une entreprise qui obtient les deux en m\u00eame temps (en bundle) \u00e9conomise 30 \u00e0 40 %.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Comment choisir : trois questions<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Question 1 \u2014 O\u00f9 sont mes clients?<\/h3>\n\n\n\n<p>C&rsquo;est de loin le crit\u00e8re principal.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Majorit\u00e9 <strong>aux \u00c9tats-Unis<\/strong> \u2192 <strong>SOC 2<\/strong> d&rsquo;abord.<\/li>\n\n\n\n<li>Majorit\u00e9 <strong>en Europe ou ailleurs hors \u00c9tats-Unis<\/strong> \u2192 <strong>ISO 27001:2022<\/strong>.<\/li>\n\n\n\n<li><strong>Aux deux endroits<\/strong> \u2192 bundle des deux.<\/li>\n\n\n\n<li><strong>Uniquement au Canada<\/strong> \u2192 ni l&rsquo;un ni l&rsquo;autre n&rsquo;est urgent. Voir Question 3.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Question 2 \u2014 Mes clients m&rsquo;ont-ils d\u00e9j\u00e0 demand\u00e9 une certification?<\/h3>\n\n\n\n<p>Si un prospect ou un client vous a d\u00e9j\u00e0 demand\u00e9 un rapport SOC 2 ou un certificat ISO 27001, c&rsquo;est votre r\u00e9ponse. Ne devinez pas \u2014 r\u00e9pondez \u00e0 ce que les clients demandent.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Question 3 \u2014 Suis-je une PME canadienne avec des clients principalement domestiques?<\/h3>\n\n\n\n<p>Si oui, il y a une troisi\u00e8me option qui n&rsquo;est pas dans cet article : <strong>CAN\/DGSI 104<\/strong>, la certification canadienne pour PME. Elle co\u00fbte 5 \u00e0 20 fois moins cher (3 000 $ \u00e0 10 000 $), prend 3 \u00e0 6 mois, et est de plus en plus reconnue au Canada. C&rsquo;est typiquement le meilleur point d&rsquo;entr\u00e9e pour une PME qu\u00e9b\u00e9coise qui ne vend pas hors du Canada.<\/p>\n\n\n\n<p>Pour les d\u00e9tails sur cette option canadienne, voir notre <a href=\"\/blog\/iso-27001-vs-can-dgsi-104-comparaison-cybersecuritaire-canada\">comparaison ISO 27001 vs CAN\/DGSI 104<\/a>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Cas concrets<\/h2>\n\n\n\n<p>Pour rendre \u00e7a concret, voici trois situations typiques :<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Cas 1 \u2014 Logiciel SaaS qu\u00e9b\u00e9cois ciblant les \u00c9tats-Unis<\/h3>\n\n\n\n<p>Une PME qu\u00e9b\u00e9coise d\u00e9veloppe un logiciel de gestion pour PME am\u00e9ricaines. Elle a 12 employ\u00e9s, 2 millions de dollars de revenus, et veut percer le march\u00e9 am\u00e9ricain.<\/p>\n\n\n\n<p><strong>Recommandation :<\/strong> SOC 2 Type 2 d&rsquo;abord. C&rsquo;est ce que les prospects am\u00e9ricains vont demander. ISO 27001 viendra plus tard si l&rsquo;entreprise se d\u00e9veloppe en Europe.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Cas 2 \u2014 Bureau comptable qu\u00e9b\u00e9cois local<\/h3>\n\n\n\n<p>Un bureau comptable de 8 employ\u00e9s \u00e0 Saint-Jean-sur-Richelieu sert exclusivement des clients qu\u00e9b\u00e9cois. Il utilise des logiciels en ligne pour la tenue de livres, mais ne vend pas de produit technologique.<\/p>\n\n\n\n<p><strong>Recommandation :<\/strong> Ni SOC 2 ni ISO 27001 ne sont pertinents. Le bureau devrait viser CAN\/DGSI 104 (certification canadienne PME) ou simplement appliquer les bonnes pratiques de s\u00e9curit\u00e9 (Loi 25 oblige) sans certification formelle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Cas 3 \u2014 PME manufacturi\u00e8re exportatrice<\/h3>\n\n\n\n<p>Une PME manufacturi\u00e8re de 80 employ\u00e9s vend en Europe et aux \u00c9tats-Unis. Elle ne fait pas de logiciel mais traite des donn\u00e9es techniques de ses clients (designs, sp\u00e9cifications). Un grand client allemand vient de demander un certificat ISO 27001.<\/p>\n\n\n\n<p><strong>Recommandation :<\/strong> ISO 27001:2022 (parce que le client allemand le demande explicitement). SOC 2 pourrait s&rsquo;ajouter plus tard si un client am\u00e9ricain le demande.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Lire un rapport SOC 2 quand un fournisseur vous l&rsquo;envoie<\/h2>\n\n\n\n<p>Comme professionnelle ou enseignante en comptabilit\u00e9, vous pourriez recevoir un rapport SOC 2 d&rsquo;un fournisseur (par exemple le service infonuagique qui h\u00e9berge le logiciel comptable de votre c\u00e9gep). Voici comment le lire en 5 minutes :<\/p>\n\n\n\n<p><strong>Section 1 \u2014 Opinion du CPA.<\/strong> Cherchez le mot cl\u00e9. <em>Sans r\u00e9serve<\/em> = bon. <em>Avec r\u00e9serve<\/em> = \u00e0 examiner. <em>D\u00e9favorable<\/em> ou <em>impossibilit\u00e9<\/em> = \u00e0 signaler \u00e0 votre direction TI.<\/p>\n\n\n\n<p><strong>Section 2 \u2014 Affirmation de la direction.<\/strong> Ce que la direction du fournisseur affirme sur ses contr\u00f4les. Lecture rapide.<\/p>\n\n\n\n<p><strong>Section 3 \u2014 Description du syst\u00e8me.<\/strong> Ce que le fournisseur fait, comment il le fait, et avec quels sous-traitants. Important : v\u00e9rifiez qui sont les sous-traitants critiques (typiquement Microsoft Azure, AWS, Google Cloud).<\/p>\n\n\n\n<p><strong>Section 4 \u2014 Tests effectu\u00e9s et r\u00e9sultats.<\/strong> La partie technique. Cherchez les <strong>exceptions<\/strong> identifi\u00e9es. Si l&rsquo;auditeur dit qu&rsquo;il a trouv\u00e9 des probl\u00e8mes, lisez attentivement.<\/p>\n\n\n\n<p><strong>Section 5 \u2014 R\u00e9ponses de la direction.<\/strong> Comment le fournisseur a r\u00e9agi aux exceptions. Id\u00e9alement, des plans d&rsquo;action concrets.<\/p>\n\n\n\n<p>Vous y verrez aussi des <strong>CUEC<\/strong> (<em>Complementary User Entity Controls<\/em>) \u2014 des contr\u00f4les que <strong>vous<\/strong> devez impl\u00e9menter de votre c\u00f4t\u00e9 pour que la s\u00e9curit\u00e9 globale fonctionne. Par exemple : \u00ab le client doit utiliser des mots de passe complexes \u00bb ou \u00ab le client doit retirer les acc\u00e8s des employ\u00e9s qui partent \u00bb. Cette section vous concerne directement.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ rapide<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Une PME qu\u00e9b\u00e9coise ordinaire a-t-elle besoin de SOC 2 ou d&rsquo;ISO 27001?<\/h3>\n\n\n\n<p>Non, sauf si elle vend un produit technologique \u00e0 des clients am\u00e9ricains (SOC 2) ou internationaux (ISO 27001). Pour un service local au Qu\u00e9bec, viser CAN\/DGSI 104 est plus \u00e9conomique.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Une certification prot\u00e8ge-t-elle vraiment contre les cyberattaques?<\/h3>\n\n\n\n<p>Pas magiquement. La certification atteste que les bonnes pratiques sont en place, ce qui r\u00e9duit consid\u00e9rablement les risques. Mais une entreprise certifi\u00e9e peut quand m\u00eame \u00eatre victime d&rsquo;une attaque sophistiqu\u00e9e. Aucune certification n&rsquo;offre 100 % de garantie.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Combien d&rsquo;entreprises au Qu\u00e9bec ont SOC 2 ou ISO 27001?<\/h3>\n\n\n\n<p>Pas de chiffres officiels, mais tr\u00e8s peu (probablement quelques centaines au total). Ce sont surtout des entreprises de technologie qui exportent. La grande majorit\u00e9 des PME qu\u00e9b\u00e9coises n&rsquo;ont aucune certification de cybers\u00e9curit\u00e9 formelle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Pourquoi ces certifications viennent-elles toujours en anglais?<\/h3>\n\n\n\n<p>Parce qu&rsquo;elles sont \u00e9mises par des organismes am\u00e9ricains (AICPA pour SOC 2) ou internationaux (ISO). Les normes ISO sont disponibles en fran\u00e7ais, mais l&rsquo;\u00e9cosyst\u00e8me de cabinets et de plateformes outils reste majoritairement anglophone.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Est-ce qu&rsquo;un CPA qu\u00e9b\u00e9cois peut faire un audit SOC 2?<\/h3>\n\n\n\n<p>Non, pas directement. SOC 2 n\u00e9cessite un CPA licenci\u00e9 dans une juridiction am\u00e9ricaine. Certains cabinets canadiens ont des partenariats avec des cabinets am\u00e9ricains pour offrir le service, mais l&rsquo;opinion finale est \u00e9mise par un CPA am\u00e9ricain.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">En tant qu&rsquo;enseignante, comment puis-je int\u00e9grer ces concepts dans mes cours?<\/h3>\n\n\n\n<p>Le plus simple est de partir des parall\u00e8les avec les concepts comptables connus : opinion d&rsquo;auditeur, contr\u00f4le interne, attestation vs certification de qualit\u00e9. Les \u00e9tudiants comprennent vite si on construit sur leurs acquis. La cybers\u00e9curit\u00e9 ajoute simplement un nouvel objet d&rsquo;audit (les contr\u00f4les informatiques) \u00e0 des concepts qu&rsquo;ils ma\u00eetrisent d\u00e9j\u00e0.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Pour aller plus loin<\/h2>\n\n\n\n<p>Si vous voulez approfondir certains aspects, voici des articles plus d\u00e9taill\u00e9s :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/blog\/iso-27001-vs-can-dgsi-104-comparaison-cybersecuritaire-canada\">ISO 27001 vs CAN\/DGSI 104 (la version canadienne)<\/a><\/li>\n\n\n\n<li><a href=\"\/blog\/experience-certification-can-dgsi-104-factero\">Notre exp\u00e9rience de certification CAN\/DGSI 104 en 30 jours<\/a><\/li>\n\n\n\n<li><a href=\"\/blog\/gouvernance-ti\">Gouvernance TI : guide complet en 7 \u00e9tapes<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\u00c0 propos de l&rsquo;auteur<\/h2>\n\n\n\n<p><strong>S\u00e9bastien Robert<\/strong> est associ\u00e9 principal chez <strong>Services conseils Factero<\/strong>, une firme ind\u00e9pendante de conseils en gouvernance des technologies, en cybers\u00e9curit\u00e9 et en conformit\u00e9, \u00e9tablie \u00e0 Saint-Jean-sur-Richelieu (Qu\u00e9bec). Il pratique en TI depuis 2002 et collabore r\u00e9guli\u00e8rement avec des programmes de formation<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>\u00c0 propos de Factero.<\/strong> Notre firme est elle-m\u00eame certifi\u00e9e CAN\/DGSI 104 (Niveau 2). Nous accompagnons les organisations qu\u00e9b\u00e9coises et canadiennes dans leurs d\u00e9marches de gouvernance TI et de certification \u2014 ISO 27001:2022, SOC 2, CAN\/DGSI 104, et TGV (sant\u00e9 Qu\u00e9bec).<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Une question p\u00e9dagogique?<\/strong> Nous offrons des pr\u00e9sentations gratuites en classe (en pr\u00e9sentiel ou \u00e0 distance) sur la cybers\u00e9curit\u00e9 et la gouvernance TI pour les programmes coll\u00e9giaux en techniques administratives, comptabilit\u00e9 et informatique. <strong>Contactez-nous<\/strong> pour planifier.<\/p>\n<\/blockquote>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auteur : S\u00e9bastien Robert \u2014 Associ\u00e9 principal, Services conseils Factero Publi\u00e9 le 7 avril 2026 Temps de lecture : environ 11 minutes En bref Quand une entreprise veut prouver \u00e0 ses clients qu&rsquo;elle prot\u00e8ge bien leurs donn\u00e9es, elle peut viser une certification de cybers\u00e9curit\u00e9. Les deux principales sont : Cet article explique ce que c&rsquo;est, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-348","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/348","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/comments?post=348"}],"version-history":[{"count":2,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/348\/revisions"}],"predecessor-version":[{"id":505,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/posts\/348\/revisions\/505"}],"wp:attachment":[{"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/media?parent=348"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/categories?post=348"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factero.ca\/blog\/wp-json\/wp\/v2\/tags?post=348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}