SOC 2 : des procédures prêtes pour l'audit, sans sprint de doc
Un auditeur SOC 2 ne veut pas de jolies pages Notion. Il veut la preuve qu'un contrôle a tourné. Un guide enregistré par le pilote du process, avec clics horodatés, est la preuve la plus propre que la plupart des auditeurs voient dans l'année.
- Bibliothèque reconstruite
- 6 semaines
- Couverture audit
- 100%
- Relances post-audit
- 0
- Clôture audit
- 2 semaines en avance
L'essentiel.
Un audit SOC 2 échoue rarement sur les contrôles. Il échoue sur la preuve. Les équipes ont mis en place les contrôles. Elles ne savent pas démontrer qu'ils tournent. La sortie tient en une règle : chaque pilote enregistre son process une fois, l'enregistrement porte horodatages et captures d'écran, le même artefact sert de SOP au quotidien et de pièce de preuve en semaine d'audit. Six semaines, 21 SOP, fintech B2B française de 38 personnes, Series A : 100% des contrôles couverts, zéro doc rédigée à partir d'une page blanche.
Le trou dans la doc SOC 2 dont personne ne parle
La plupart des fintech early-stage préparent SOC 2 en branchant un outil de conformité (Vanta, Drata, Secureframe) et en passant six semaines sur les politiques. Les politiques sont la partie facile. L'outil en template 90%.
Le trou apparaît en fieldwork. L'auditeur demande la preuve qu'un contrôle a tourné pendant la période d'audit. Pas la politique. L'exécution. Avec exemples.
Revue d'accès (CC6.3) : il veut la dernière revue trimestrielle, la liste utilisateurs, les actions prises. L'équipe l'a faite. La preuve est une capture rangée dans un Drive, qui colle plus ou moins au calendrier de la politique.
Gestion du changement (CC8.1) : il veut le déroulé d'une modif de code en prod. L'équipe a le process. Le déroulé devient un ingénieur senior au tableau pendant trente minutes, en plein audit.
Gestion fournisseurs (CC9.2) : il veut le process d'onboarding d'un sous-traitant et la preuve de l'évaluation. La preuve est une page Notion à cinq onglets, dont la moitié décrit l'ancien fournisseur.
Ce ne sont pas des trous de politique. Ce sont des trous de preuve. Coût de rattrapage en semaine d'audit : environ quarante heures de temps senior par contrôle. C'est la facture qui surprend tout le monde au premier audit.
Le réflexe "réécrire les SOP" aggrave la situation : dix-huit SOP à deux heures pièce, soit trente-six heures de rédaction pour de la doc qui périme deux mois plus tard. Les Trust Services Criteria SOC 2 de l'AICPA sont nets : la preuve est l'artefact du travail, pas la description du travail.
Ce que l'auditeur veut vraiment, versus ce que l'équipe rédige
L'évaluation d'une preuve passe par trois tests.
1. Le process a-t-il tourné pendant la période d'audit ? Une page Notion ne répond pas. Un enregistrement horodaté, oui. Un journal de clics, oui. L'auditeur ne cherche pas une description, il cherche une trace.
2. Le process est-il reproductible ? Une Loom unique de janvier 2024 n'est pas une preuve reproductible. Un guide qui dit "Pilote : Brigitte ; dernière mise à jour : avril 2026 ; revue d'accès Q1 attachée" l'est. L'auditeur veut savoir que le même process a tourné Q1, Q2, Q3, Q4.
3. Le process tient-il sans son auteur ? La question sur laquelle la majorité plante. Le DAF a enregistré la SOP, puis est parti, et la nouvelle DAF ne la déroule pas pareil. Les auditeurs appellent ça la "dépendance à une personne clé" et le flaguent en CC1.4.
La page Notion bien rangée échoue aux trois. Le guide enregistré par le pilote passe les trois. Quand une fintech B2B de 38 personnes a reconstruit sa bibliothèque de SOP en six semaines pour SOC 2, la note de l'auditeur tenait en une phrase : "la preuve SOC 2 la plus propre que j'aie vue cette année". Vingt-et-un guides, enregistrés par les pilotes, horodatages et captures intégrés. Pour les sujets données personnelles, la CNIL attend une logique équivalente côté RGPD : la preuve d'exécution prime sur la description.
| Question auditeur | Mauvaise réponse | Bonne réponse |
|---|---|---|
| Montrez-moi la revue d'accès Q1 | "Voici la politique" | "Voici la revue enregistrée avec horodatages, la liste des utilisateurs au 31 mars, et les déprovisionnements faits" |
| Comment une modif de code arrive en prod ? | "Un ingénieur senior fait le tour à l'auditeur" | "Voici la SOP enregistrée avec preuve écran des contrôles CI, de la revue de PR, et de l'étape de déploiement" |
| Que se passe-t-il quand un sous-traitant est ajouté ? | "Voici la page Notion" | "Voici le guide d'onboarding fournisseur enregistré et la preuve des trois dernières évaluations" |
Le pattern : SOP enregistrée par le pilote
Le pattern qui a produit 100% de couverture tient sur une règle unique : c'est le pilote du process qui enregistre la SOP, pas une équipe doc centralisée.
Trois raisons.
1. L'enregistrement capte le process réel. Un rédacteur central qui interviewe le pilote produit une description. Le pilote qui déroule son workflow produit le workflow. L'auditeur voit la différence immédiatement.
2. La boucle de maintenance est courte. Quand le process change (nouvel outil, nouveau valideur, nouveau seuil), le pilote ré-enregistre l'étape en deux minutes. Un rédacteur central est un goulot qui casse la boucle dès le premier trimestre.
3. La responsabilité devient auditable. SOC 2 CC1.4, dans les Trust Services Criteria de l'AICPA, exige des responsabilités définies. Une SOP avec pilote nommé, joignable pour démontrer le process, satisfait CC1.4. Une page Notion sans propriétaire, non.
Le setup tient en quatre étapes.
Étape 1. Lister les contrôles du périmètre SOC 2. Entre quinze et trente contrôles dans le scope d'un Type 2. Chaque contrôle a un pilote et une SOP.
Étape 2. Assigner un pilote par contrôle. Le pilote est la personne qui exécute le process aujourd'hui. Pas le détenteur de la politique. Pas l'auteur de la politique. La personne qui clique dans le workflow réel quand il tourne. Revue d'accès : en général le lead IT, pas le CISO. Gestion fournisseurs : Operations, pas Legal.
Étape 3. Chaque pilote enregistre la SOP une fois. Vingt-cinq minutes la première. Dix la troisième. Le pilote déroule son process comme un jour normal, commente le raisonnement, s'arrête à la fin. Sortie : un guide avec horodatages, captures et audio narrateur si demandé.
Étape 4. Ré-enregistrer l'étape qui change. Une étape change, on ré-enregistre cette étape. La bibliothèque reste à jour sans sprint de rédaction.
L'outil utilisé dans la mission était une extension Chrome qui capture les clics et les écrans automatiquement. D'autres outils marchent ; le modèle d'opération compte plus que l'outil. Ce qui ne marche jamais, ce sont les pages Notion monolithiques sans propriétaire.
Comment enregistrer la preuve au fil de l'eau
Le pattern précédent produit des SOP. La demande de la semaine d'audit, c'est la SOP plus la preuve d'exécution récente. Le truc consiste à faire que ce soit le même artefact.
Trois patterns.
1. Horodater l'exécution. Chaque enregistrement produit un artefact daté. Quand la revue d'accès tourne en Q1, le pilote enregistre la session. Le même enregistrement sert de SOP pour Q2 et de preuve pour Q1. Les auditeurs apprécient parce que la SOP et la preuve sont le même objet, traçable à une date.
2. Capter la vue donnée, pas la trace de code. La preuve attendue, c'est la donnée que l'opérateur a vue, pas les étapes que l'opérateur a faites. Un enregistrement de revue d'accès capte la liste utilisateurs telle qu'affichée dans l'IDP, les rôles assignés, les déprovisionnements. C'est la preuve. La séquence de clics, c'est la SOP.
3. Exporter en PDF brandé pour le pack de preuve. La majorité des plateformes d'audit ingèrent du PDF ou du HTML. Capture exporte avec horodatages, compteurs de clics et captures pas-à-pas. Le pilote dépose dans le dossier d'audit. Pas de compilation séparée.
L'effet de capitalisation est la surprise. Le premier audit demande plus de travail, parce que la bibliothèque se construit. Le second prend une fraction du temps : la bibliothèque existe, les pilotes connaissent le geste, le pack de preuve s'assemble depuis la SOP en production.
Si l'équipe n'a pas encore choisi son outil de doc pour l'effort SOC 2, le comparatif des meilleures alternatives à Scribe en 2026 couvre les sept candidats que les auditeurs voient le plus souvent dans les packs de preuve. Et si la question du chiffrage du livrable doc se pose en parallèle, voir comment facturer le livrable documentation.
La checklist de la semaine d'audit
À J-7, la bibliothèque doit répondre à toutes les questions standards d'auditeur sans qu'un senior écrive du contenu nouveau. La checklist ci-dessous est ce qui clôture l'audit deux semaines en avance.
- Chaque contrôle a un pilote nommé dans la métadonnée de la SOP. "Qui pilote ça" se lit sur l'artefact, pas dans une tête.
- Chaque SOP a été ré-enregistrée ou rafraîchie dans les six derniers mois. Au-delà, la pression remonte.
- La dernière exécution est horodatée et tombe dans la période. Q1 enregistrée en Q2, OK. Janvier sans mise à jour Q3, non.
- La SOP et la preuve sont le même artefact. Le PDF du pack est le guide qui pilote le process. Pas d'écart politique-pratique.
- Les métadonnées d'enregistrement sont auditables. Compteur de clics, horodatages et audio narrateur sont exportables. L'auditeur vérifie que l'enregistrement vient du système réel, pas d'une reconstitution.
- La bibliothèque a une page d'index unique. L'auditeur demande la liste maître, l'équipe envoie une URL.
À l'inverse, la semaine d'audit qui ne clôture pas dans les temps a au moins quatre de ces points absents. Le plus souvent les points 3 et 4.
Pour le COO de la mission, le scope SOC 2 tenait en trois lignes : la responsabilité est auditable, la preuve écran est auditable, ré-enregistrer une étape va plus vite que réécrire une page de wiki. Trois lignes, vingt-et-un contrôles, audit fermé deux semaines avant la date prévue. Pour les volets RGPD imbriqués (registre des traitements, sous-traitants), la même logique vaut côté CNIL.
Questions fréquentes.
- Le pattern marche-t-il pour SOC 2 Type 1 ou seulement Type 2 ?
Les deux. Type 1 est un test à un instant T : les SOP doivent être enregistrées à la date du test. Type 2 est un test sur période, et c'est là que le pattern capitalise : chaque exécution trimestrielle devient la preuve de la période précédente et la SOP de la suivante. La majorité des équipes construisent pour Type 2 parce que l'investissement par contrôle s'amortit sur toute la fenêtre.
- En quoi est-ce différent d'utiliser Vanta, Drata ou Secureframe ?
Les plateformes de conformité gèrent les templates de politiques, le monitoring de contrôles et la collecte de preuves depuis les systèmes connectés (cloud, IDP, ticketing). Elles ne génèrent pas les SOP. Le pattern d'enregistrement-d'abord remplit ce trou. Les équipes font tourner la plateforme pour le monitoring et un outil de guides pour les SOP. Les deux ensemble produisent le pack prêt pour audit.
- Et pour ISO 27001 ou HIPAA ?
Même pattern. ISO 27001 est plus lourd en doc que SOC 2, ce qui rend l'approche par pilote encore plus rentable : la charge capitalise avec le nombre de contrôles. HIPAA a un périmètre étroit mais le même principe de preuve d'exécution. Le pattern est agnostique au framework.
- Comment gérer les SOP qui touchent données sensibles (PII, financier) ?
Deux approches. Première : la rédaction. La plupart des outils de guide permettent de flouter ou masquer une zone d'écran. Avec Capture, le pilote pose un cache sur la zone PII avant publication. Deuxième : le sandbox. On enregistre la SOP sur un environnement de staging avec données synthétiques. Les auditeurs acceptent les deux, à condition que la SOP corresponde au process production et que la rédaction ou le sandbox soient documentés. Côté RGPD, la CNIL attend une logique équivalente sur les registres et accès.
- Combien de temps pour bâtir la bibliothèque depuis zéro ?
La fintech B2B française de 38 personnes a produit vingt-et-une SOP en six semaines, avec un pilote par SOP et une session d'enregistrement par pilote par semaine. Le pattern passe à l'échelle : une équipe de 60 personnes avec trente SOP boucle dans la même fenêtre de six semaines, parce que le travail est parallèle entre pilotes. Le goulot, c'est la disponibilité des pilotes, pas le temps d'enregistrement. L'enregistrement lui-même prend vingt-cinq minutes pour la première SOP et descend à dix minutes à la troisième.
Vos SOP doublent-elles déjà comme preuves d'audit ?
Capture enregistre la SOP, capte la preuve écran, et exporte un PDF brandé pour le pack d'audit. Extension Chrome gratuite, sans inscription. Chaque pilote enregistre une fois, la bibliothèque se met à jour étape par étape.
Guides pas à pas : six équipes, une seule mécanique
La personne senior qui connaît le workflow par cœur devient le goulot d'étranglement. Le wiki pourrit. La Loom que personne ne regarde s'empile dans un dossier. Les guides pas à pas cassent ce schéma dans les six équipes que nous avons vues le faire en production.
Comment facturer le livrable documentation en mission client
La documentation est le livrable le plus sous-facturé de toute mission client. Trois modèles ferment le trou, chacun avec un profil de marge et de reconduction différent.
La règle des 12 étapes : pourquoi la longueur prédit l'échec
La plupart des équipes documentent plus long qu'elles ne devraient. La longueur joue contre vous, et 12 étapes est le plafond opérationnel au-delà duquel le taux de complétion s'effondre.
Enregistrez un workflow.
Extension Chrome gratuite. Sans inscription.