SOC 2

Suivre la préparation à un audit SOC 2 : posture, contrôles, sous-traitants, journal d'activité et revue d'accès.

La sous-rubrique SOC 2 rassemble, dans une seule page, les éléments factuels dont vous avez besoin pour préparer un audit SOC 2 : indicateurs de sécurité de votre instance, couverture des contrôles, liste des sous-traitants, journal d'activité et attestation de revue d'accès.

Contenu en cours de validation — son périmètre public dépend des engagements contractuels de l'instance.

Page Conformité SOC 2 — indicateurs de couverture, tableau des contrôles SOC 2 avec statut et journal des révisions

À quoi ça sert

La page d'en-tête s'intitule "Préparez votre audit". Elle propose deux onglets — ISO/IEC 27001:2022 et SOC 2 — qui partagent la même structure : seul le référentiel des contrôles change. Vous y trouverez de quoi constituer un dossier d'audit sans solliciter l'équipe Superfasttt : chiffres à jour, état des contrôles, sous-traitants et preuve datée de vos revues d'accès.

Pour ouvrir cette page : Menu → Conformité → SOC 2.

Posture

La section "Indicateurs de votre instance" affiche six cartes calculées en temps réel sur les données de votre instance.

Carte	Ce qu'elle indique
Utilisateurs	Nombre total de comptes utilisateurs.
Couverture MFA	Pourcentage de comptes protégés par une authentification à deux facteurs, avec le détail "nombre couvert / total".
Sessions actives	Nombre de sessions ouvertes à l'instant.
Clés API actives	Nombre de clés API non révoquées et non expirées.
Dernière revue d'accès	Date de la dernière attestation enregistrée, ou "Jamais" si aucune revue n'a été faite.
Résidence des données	Zone d'hébergement des données, suivie du nombre de sous-traitants.

Si les indicateurs ne se chargent pas, un message d'erreur s'affiche à la place des cartes. Réessayez en rafraîchissant la page.

Contrôles

La section "Couverture des contrôles" présente, sous forme de tableau, le mapping des critères SOC 2 (les Trust Services Criteria, par exemple CC1) et l'état de leur prise en charge.

Un menu "Filtrer par statut" permet d'afficher tous les contrôles ou de se limiter à un statut ; un compteur "affichés / total" indique le résultat du filtre.

Colonne	Contenu
Contrôle	Référence du critère (par exemple `CC1`).
Intitulé	Libellé du critère.
Statut	"Supporté", "Partiel" ou "Hors scope".
Scope	Périmètre de responsabilité : "Produit", "Organisation", "Client" ou "Partagé".
Évidence	Description de la preuve : où la constater dans l'interface.
Revue	Date de dernière revue et auteur de la revue.

Statut	Signification
Supporté	Le critère est couvert et observable dans l'instance.
Partiel	Le critère est partiellement couvert ; un complément peut être requis selon le contrat.
Hors scope	Le critère ne relève pas du périmètre de la plateforme.

Sous-traitants

La section "Sous-traitants traitant vos données" liste les sous-traitants mobilisés pour le traitement de vos données.

Colonne	Contenu
Nom	Nom du sous-traitant.
Finalité	Raison pour laquelle il traite des données.
Localisation	Zone géographique de traitement.
Catégories	Catégories de données concernées, sous forme d'étiquettes.
Depuis	Date de début de la relation de sous-traitance.
Opt-out	"Disponible" si vous pouvez refuser ce sous-traitant, sinon un tiret.

Journal d'activité

La section "Journal de votre instance (90 jours)" retrace les événements de sécurité de votre instance sur les 90 derniers jours.

Choisissez éventuellement un type d'événement dans le menu "Filtrer par type" : "Tous", "Connexion", "Clé API" ou "Workflow".

Parcourez le tableau — colonnes Date, Type, Utilisateur, Ressource. Les événements sont paginés par 20 ; utilisez "Précédent" et "Suivant" pour naviguer.

Cliquez sur "Exporter CSV" pour télécharger les événements (le filtre de type en cours est appliqué à l'export).

Une ligne "Sources actives" rappelle quelles sources alimentent le journal. Lorsqu'un utilisateur a été supprimé, son identifiant tronqué est affiché avec la mention "(supprimé)".

Si aucun événement ne correspond à la période ou au filtre, le tableau affiche "Aucun événement sur la période".

Revue d'accès

La section "Attestez votre revue d'accès" vous permet de consigner, de façon horodatée, que vous avez revu la liste de vos utilisateurs et leurs droits.

Relisez la liste de vos utilisateurs et leurs droits (rubrique Utilisateurs).

Dans le champ de notes, ajoutez si besoin un commentaire (facultatif, 2000 caractères maximum — un compteur vous indique où vous en êtes).

Cliquez sur "Attester aujourd'hui". La revue est enregistrée et horodatée.

L'Historique sous le formulaire récapitule les attestations précédentes — colonnes Date, Utilisateurs (nombre de comptes au moment de la revue), Revue par et Notes. La date de la dernière attestation alimente également la carte "Dernière revue d'accès" de la section Posture.

Tant qu'aucune attestation n'a été faite, l'historique affiche "Aucune revue enregistrée pour cette instance".