Visiter Pure.ai Service commercial : +33 8 01 84 16 66
Visiter Pure.ai Service commercial : +33 8 01 84 16 66
Sélectionnez Votre Région
Sélectionnez Votre Région
Dismiss
Innovation
Une vision de l’IA pour tous

Une base unifiée et automatisée pour transformer les données en intelligence à grande échelle.

En savoir plus
Dismiss
Du 16 au 18 juin, Las Vegas
Pure//Accelerate® 2026

Découvrez comment exploiter la véritable valeur de vos données. 

S’inscrire maintenant
Dismiss
Rapport Gartner® Magic Quadrant™ 2025
En tête dans les catégories Exécution et Vision

Everpure s’est classé parmi les leaders dans le Gartner® Magic Quadrant™ 2025 pour les plateformes de stockage d’entreprise et se positionne en tête dans les catégories Exécution et Vision.

Obtenir le rapport
Notre plateforme Produits Solutions Support Partenaires Everpure Ressources
Nous contacter
Service commercial : +33 8 01 84 16 66
Nous contacter
Main Menu
Notre plateforme
Produits
Solutions
Support
Partenaires Everpure
Ressources
Nous contacter
  1. Connaissances Pure
  2. Qu’est-ce que la conformité SOC 2 Type II ?

Qu’est-ce que la conformité SOC 2 Type II ?

Qu’est-ce que la conformité SOC 2 Type II ?

La conformité SOC 2 Type II est un cadre pour les organisations de services qui démontre des contrôles appropriés pour les critères de sécurité des données.

Dans le paysage actuel axé sur les services, les données d’une organisation n’existent que rarement dans son propre environnement informatique. De nombreux fournisseurs et prestataires de services font souvent confiance à ces données. Une grande partie du choix du fournisseur avec lequel faire confiance est faite à l’aide de certifications, qui peuvent démontrer le respect de certaines normes de sécurité et de confidentialité. 

Les certifications de conformité entrent dans le cadre des normes et sont vérifiées par des auditeurs tiers. Ils peuvent donner aux clients un tampon d’approbation indiquant qu’un fournisseur dispose de tous les contrôles et protections nécessaires pour garantir la sécurité de leurs données. L’un de ces cadres est appelé le cadre Service Organization Control (SOC).

Si vous êtes un fournisseur ou un prestataire de services, il peut vous être demandé de fournir des rapports de conformité des données SOC 2. Si vous êtes un client, vous pouvez demander une certification SOC pour vérifier qu’un fournisseur dispose des contrôles appropriés pour la conformité des données. 

Voici un aperçu plus approfondi de cette norme de conformité spécifique aux fournisseurs de services, de ce qu’elle inclut et de l’importance de cette norme.

Qu’est-ce que le SOC 2 Type II ?

Présentation de SOC 2 Type II

Les certifications de conformité des données sont souvent requises comme condition préalable ou obligation contractuelle pour un engagement. La conformité SOC 2 Type II est spécialement conçue pour les organisations de services. SOC 2 Type II inclut des principes de sécurité des données, de disponibilité, de confidentialité, de confidentialité et d’intégrité du traitement des transactions. Le type II indique que l’audit a été effectué sur une période prolongée, souvent de six mois. 

Ces normes sont essentielles pour garantir une sécurité de l’information (InfoSec) de premier ordre sur les systèmes informatiques des fournisseurs et pour respecter les contrats fournisseurs-clients. 

Combien de critères SOC existe-t-il ?

Dans un rapport de conformité SOC 2, il existe cinq critères de service, ou principes de confiance. La sécurité est obligatoire, tandis que les autres critères peuvent être plus spécifiques au secteur ou à l’entreprise. Chacun de ces éléments déclenchera des exigences pour différents types de contrôles.

  • Sécurité : Il s’agit de la catégorie de service de référence la plus importante pour la conformité SOC 2.
  • Disponibilité : Cela est important pour les fournisseurs de services qui ont des SLA stricts à respecter pour les produits de logiciel à la demande (SaaS), de plateforme à la demande (PaaS) ou d’infrastructure à la demande (IaaS). Si le service informatique est considéré comme essentiel pour les clients, la disponibilité des données est essentielle.
  • Intégrité du traitement : Cela s’applique aux services qui traitent les transactions pour les clients du secteur financier ou du commerce électronique.
  • Confidentialité : Lorsque les données que vous traitez pour les clients sont sensibles (par exemple, la propriété intellectuelle), il s’agit d’un pilier essentiel de votre conformité SOC 2 Type II.
  • Confidentialité : À ne pas confondre avec la confidentialité ci-dessus, ce principe est spécifique aux informations personnellement identifiables (PII) telles que les dossiers médicaux.

Critères de service de confiance

Principes

Catégories

Sécurité

Disponibilité

Intégrité du traitement

Confidentialité

Confidentialité
  • Organisation
  • Communication
  • Évaluation des risques et gestion des contrôles
  • Surveillance des contrôles
  • Contrôle d’accès logique et physique aux données et systèmes sensibles (par exemple, cartes-clés ou identifiants de connexion)
  • Opérations et procédures du système (quotidiennes, hebdomadaires, mensuelles)
  • Gestion du changement
Slide

Qu’est-ce qui est évalué dans un SOC 2 Type II ?

Dans un audit de conformité SOC 2 Type II, les politiques et contrôles conçus pour répondre aux critères de service ci-dessus sont évalués pour leur efficacité, généralement sur une période de six mois. Les contrôles sont-ils adaptés aux critères ? Votre organisation est-elle cohérente dans leur exécution ?

Qu’est-ce qu’une certification SOC 2 Type II ?

La certification SOC 2 Type II est la preuve par un auditeur tiers que les politiques d’une organisation ont passé l’audit pour la conformité SOC 2 Type II.

Quels sont les avantages de la conformité SOC 2 Type II ?

Les avantages de la norme SOC 2 Type II sont d’améliorer la santé globale de la sécurité et de la protection des données au sein d’une organisation et entre ses fournisseurs. Pour les fournisseurs de services, la certification SOC 2 Type II peut aider à améliorer les chances de gagner un partenariat ou un client par rapport à la concurrence. Pour les clients, il est évident que vos données seront entre de bonnes mains avec des contrôles et des garanties appropriés.

Qui a besoin d’une conformité SOC 2 Type II ?

Tout fournisseur qui traite des données clients ou des informations sensibles et qui cherche à respecter ses obligations contractuelles en matière de conformité SOC 2 Type II peut bénéficier d’une certification.

Certifications de conformité SOC 2 et autres

Différences entre SOC 1 et SOC 2

Quelle est la différence entre SOC 1 et SOC 2 ? Le SOC 1 ne se concentre pas sur les critères de sécurité, mais sur les critères de reporting financier. SOC 1 a également été conçu pour les organisations de services, mais en particulier celles auxquelles certaines fonctions financières ont été externalisées. Notez que les audits SOC 1 s’alignent généralement sur les exercices financiers et incluent cinq critères de service, notamment l’environnement de contrôle, l’évaluation des risques, les activités de contrôle, la communication et l’information, et la surveillance. 

Différences entre SOC 2 et ISO-27001

SOC 2 Type II et ISO-27001 sont tous deux des structures axées sur la gestion d'InfoSec. Si la norme SOC 2 Type II évalue l’efficacité globale des contrôles de sécurité, la norme ISO-27001 est une approche très prescriptive et systématique des systèmes de gestion de la sécurité de l’information. La norme ISO-27001 se concentre principalement sur les systèmes et les contrôles internes, tandis que la norme SOC 2 Type II est un cadre pour la réalisation d’un audit.

SOC 2 Type II vs PCI DSS, HIPAA, RGPD 

Il existe un certain nombre de cadres de conformité : en quoi sont-ils différents et quelles sont les organisations qui en ont besoin ?

SOC 2 Type II et la norme PCI DSS (Payment Card Industry Data Security Standard) sont deux structures de conformité très différentes, avec peu ou pas de chevauchement. La norme PCI DSS est spécifiquement liée aux contrôles sur la manière dont les informations et les transactions relatives aux cartes de crédit sont traitées. La norme PCI DSS ne s’applique également qu’aux fournisseurs de services financiers, tandis que la norme SOC 2 Type II couvre un plus large éventail de secteurs. Enfin, la norme PCI DSS est menée chaque année, et non par une société de CPA.

Le SOC 2 Type II et la loi HIPAA (Health Insurance Portability and Accountability Act) sont également différents dans le domaine d’intervention des données protégées. La loi HIPAA ne s’applique qu’aux établissements de santé et aux prestataires de services qui traitent les données des patients (et est requise par la loi), tandis que la norme SOC 2 Type II peut inclure des établissements de santé, mais n’est pas obligatoire pour eux. Par ailleurs, bien que la norme SOC 2 Type II ne soit pas aussi normative dans la manière dont les critères de service sont satisfaits, l’HIPAA l’est, avec des normes très spécifiques qui doivent être respectées pour la conformité.

SOC 2 Type II et le Règlement général sur la protection des données (RGPD) sont deux cadres qui traitent de la sécurité et de la confidentialité des données. Le cadre RGPD ne s’applique qu’aux organisations qui traitent des données personnelles de résidents de l’Union européenne et se concentre sur la confidentialité et les droits de protection des données. Cela nécessite des contrôles sur la transparence de la manière dont les données sont utilisées, le « droit à l’oubli », la minimisation des données et le consentement. Bien que la norme SOC 2 Type II ne soit pas obligatoire, le RGPD le fait et le non-respect de cette règle peuvent entraîner des conséquences juridiques et des amendes.

Préparation à l’évaluation SOC 2 de type II

La préparation d’un audit SOC 2 de type II est un effort d’équipe et peut nécessiter quelques heures de personnel pour décoller du terrain. La décision de mettre en œuvre la conformité SOC 2 Type II peut également nécessiter une adhésion et un support internes suffisants pour faire avancer les choses et les intégrer dans les processus à long terme. 

Étapes pour préparer l’évaluation SOC 2 de type II

  1. Découvrez le « pourquoi » derrière votre demande de conformité SOC 2. Qu’il s’agisse d’une demande du client ou d’une autre raison, cela vous aidera à comprendre vos délais de certification de conformité, l’étendue des travaux impliqués, etc. Cela vous aidera également à identifier les politiques existantes qui peuvent vous aider et à fournir à l’auditeur le contexte et la portée.
  2. Rassemblez la bonne équipe de personnes au sein de votre organisation pour les intégrer au SOC 2 Type II. En fonction de votre calendrier de lancement de la norme SOC 2 Type II, vous devrez peut-être mobiliser davantage de personnes pour effectuer certaines tâches, recueillir des preuves et développer des projets. Ce groupe peut inclure :
    • Direction, comme le PDG, le directeur technique, le RSSI et d’autres cadres dirigeants
    • DevOps
    • Ressources humaines, car les employés peuvent entrer dans le champ d’application des audits
    • InfoSec
  3. InfoSecPrepare pour fournir la portée. Soyez prêt à répondre à des questions spécifiques aux données, telles que l’emplacement où votre service est hébergé (cloud public, sur site), les prévisions de capacité, les emplacements de bureau (s’agit-il d’un environnement Zero Trust ou les serveurs devront-ils être sur liste blanche ?), le stockage de données sensibles, etc.

Travailler avec des auditeurs tiers pour la conformité SOC 2 Type II

Le cadre SOC 2 a été développé par l’American Institute of Certified Public Accountants (AICPA) et un audit doit être effectué par un cabinet CPA.

Lorsque vous évaluez un cabinet pour vérifier sa conformité à la norme SOC 2 Type II, tenez compte de la qualité et de l’expérience, ainsi que des coûts, et si celui-ci est adapté pour travailler aux côtés de votre équipe au quotidien pendant des semaines ou des mois, et devenir un conseiller et un partenaire à long terme pour votre organisation.

Questions à poser : Disposent-ils d’une solide expérience en matière d’audits ? Le cabinet possède-t-il une expérience en audit spécifique à votre secteur ? N’hésitez pas à demander des évaluations par des pairs, à demander un examen par des tiers des documents destinés aux auditeurs et à recommander des personnes.

En outre, envisagez d’engager un auditeur dès que possible, car il peut vous aider à définir le périmètre du projet et à aligner les ressources appropriées en interne pour respecter votre échéance (le cas échéant).

  • Une fois que vous aurez choisi l’auditeur, vous passerez en revue : 
  • Un exercice de définition et de découverte pour définir les attentes
  • Une évaluation de la préparation, pour examiner les lacunes, ce dont vous aurez besoin pour commencer, les politiques déjà en place, etc.
  • Enregistrements, avant le test final
  • L’examen de certification

Au cours de l’audit, il vous sera demandé de fournir les politiques, les contrôles et les preuves pour chacun d’eux. 

Comment maintenir la certification SOC 2 Type II

Il est important de noter que la conformité SOC 2 Type II n’est pas une seule et même chose. Cela nécessite de la diligence et des efforts continus. Le maintien de la certification SOC 2 Type II nécessite une surveillance constante, une documentation, la divulgation et la réponse aux incidents, la formation des employés et des évaluations périodiques. Cela montre qu’une organisation s’engage en permanence à respecter la conformité et qu’elle apporte les modifications et mises à niveau nécessaires.

En tant qu’organisation certifiée ISO 27001, Pure Storage propose un certain nombre de produits et de services conçus pour offrir à ses clients une surveillance et un contrôle complets de leurs données. Découvrez notre suite de solutions modernes de protection des données pour découvrir comment nous pouvons vous aider à atteindre vos objectifs de conformité en matière de sécurité des données.

Nous vous recommandons également…

Voir toutes les ressources Voir toutes les ressources
12/2025
Data and Cybersecurity Capabilities from Everpure | Everpure
AI-driven cyber security from Everpure offers real-time threat detection, zero-trust protection & automated incident response for enterprises.
Présentation
3 pages
10/2025
Simplified Fleet-wide Cyber Resilience | Veeam | Everpure
Discover how Everpure and Veeam deliver a comprehensive unified cyber resilience solution fleet-wide.
Présentation
3 pages
01/2026

Parcourez les ressources clés et les événements

VIDÉO
À voir : Avantages d’Enterprise Data Cloud

Charlie Giancarno : l’avenir dépend de la gestion des données, pas du stockage Découvrez comment une approche unifiée peut transformer les opérations informatiques au sein de l’entreprise

Regarder maintenant
RESSOURCE
Le stockage traditionnel ne peut pas alimenter l’avenir.

Les charges de travail modernes exigent des vitesses, des mesures de sécurité et une évolutivité adaptées à l’IA. Votre pile est-elle prête ?

Lancer l’évaluation
PURE360-DEMOS
Pure Storage erkunden, kennenlernen und erleben.

Überzeugen Sie sich mit On-Demand-Videos und -Demos von den Möglichkeiten von Pure Storage.

Demos ansehen
LEADERSHIP ÉCLAIRÉ
La course à l’innovation

Les dernières informations stratégiques et perspectives fournies par des leaders du secteur, pionniers de l’innovation en matière de stockage.

En savoir plus
Votre navigateur n’est plus pris en charge !

Les anciens navigateurs présentent souvent des risques de sécurité. Pour profiter de la meilleure expérience possible sur notre site, passez à la dernière version de l’un des navigateurs suivants.

safari
chrome
firefox
edge
Close
Personalize for Me
Steps Complete!
1
2
3
Edit My Preferences
Start a Chat
Personalize your Everpure experience
Select a challenge, or skip and build your own use case.
Stratégies de virtualisation pérennes

Des options de stockage adaptées à tous vos besoins.

Favorisez les projets d’IA à n’importe quelle échelle

Stockage haute performance pour les pipelines de données, l’entraînement et l’inférence.

Prévenir la perte de données

Des solutions de cyber-résilience qui réduisent vos risques.

Réduire le coût des opérations cloud

Stockage économique pour Azure, AWS et les clouds privés.

Accélérer les performances des applications et des bases de données

Stockage à faible latence pour accélérer les performances des applications.

Réduire la consommation d’énergie et d’espace du datacenter

Stockage efficace en ressources pour améliorer l’utilisation du datacenter.

Build My Use Case
Confirm your outcome priorities
Your scenario prioritizes the selected outcomes. You can modify or choose next to confirm.
Primary
Reduce My Storage Costs
Lower hardware and operational spend.
Primary
Strengthen Cyber Resilience
Detect, protect against, and recover from ransomware.
Primary
Simplify Governance and Compliance
Easy-to-use policy rules, settings, and templates.
Primary
Deliver Workflow Automation
Eliminate error-prone manual tasks.
Primary
Use Less Power and Space
Smaller footprint, lower power consumption.
Primary
Boost Performance and Scale
Predictability and low latency at any size.
Start Over
Select an outcome priority
Select an outcome priority
Next
What’s your role and industry?
We've inferred your role based on your scenario. Modify or confirm and select your industry.
Select your industry
Financial services
Government
Healthcare
Education
Telecommunications
Automotive
Hyperscaler
Electronic design automation
Retail
Service provider
Transportation
Which team are you on?
Technical leadership team
Defines the strategy and the decision making process
Infrastructure and Ops team
Manages IT infrastructure operations and the technical evaluations
Business leadership team
Responsible for achieving business outcomes
Security team
Owns the policies for security, incident management, and recovery
Application team
Owns the business applications and application SLAs
Back
Select an industry
 Select a team
Select an industry
 Select a team
Next
Describe your ideal environment
Tell us about your infrastructure and workload needs. We chose a few based on your scenario.
Select your preferred deployment
Hosted
Dedicated off-prem
On-prem
Your data center + edge
Public cloud
Public cloud only
Hybrid
Mix of on-prem and cloud
Select the workloads you need
Databases
Oracle, SQL Server, SAP HANA, open-source

Key benefits:

  • Instant, space-efficient snapshots

  • Near-zero-RPO protection and rapid restore

  • Consistent, low-latency performance

 

AI/ML and analytics
Training, inference, data lakes, HPC

Key benefits:

  • Predictable throughput for faster training and ingest

  • One data layer for pipelines from ingest to serve

  • Optimized GPU utilization and scale
Data protection and recovery
Backups, disaster recovery, and ransomware-safe restore

Key benefits:

  • Immutable snapshots and isolated recovery points

  • Clean, rapid restore with SafeMode™

  • Detection and policy-driven response

 

Containers and Kubernetes
Kubernetes, containers, microservices

Key benefits:

  • Reliable, persistent volumes for stateful apps

  • Fast, space-efficient clones for CI/CD

  • Multi-cloud portability and consistent ops
Cloud
AWS, Azure

Key benefits:

  • Consistent data services across clouds

  • Simple mobility for apps and datasets

  • Flexible, pay-as-you-use economics

 

Virtualization
VMs, vSphere, VCF, vSAN replacement

Key benefits:

  • Higher VM density with predictable latency

  • Non-disruptive, always-on upgrades

  • Fast ransomware recovery with SafeMode™

 

Data storage
Block, file, and object

Key benefits:

  • Consolidate workloads on one platform

  • Unified services, policy, and governance

  • Eliminate silos and redundant copies

 

What other vendors are you considering or using?
Back
Select a deployment
 Select a workload
Select a deployment
 Select a workload
Finish
Thinking...
Your personalized, guided path
Get started with resources based on your selections.
Start a Chat