• blogangle-right
  • Qu'est-ce qu'un rapport SOC et pourquoi est-ce important?

Table of Contents

Qu'est-ce qu'un rapport SOC et pourquoi est-ce important?

  • October 18, 2023

Les violations de données sont en augmentation. Au deuxième trimestre 2023, elles ont augmenté de 156 % dans le monde par rapport au trimestre précédent.

En conséquence, il est plus important que jamais pour votre organisation de gagner la confiance des clients.

C'est là qu'interviennent les systèmes de contrôle organisationnel (SOC). Un rapport SOC est un moyen de prouver aux prospects que votre organisation dispose de contrôles suffisants pour protéger leurs données sensibles.

Ci-dessous, nous couvrirons ce qu'est un rapport SOC, les différents types de rapports SOC et comment en obtenir un.

Qu'est-ce qu'un rapport SOC?

Un rapport SOC est généré par un audit indépendant des systèmes de sécurité de l'information d'une entreprise et des contrôles qu'elle a mis en place pour sécuriser ces systèmes et les informations stockées, traitées et/ou transmises par eux. Seul un CPA ou une organisation accréditée par l'American Institute of Certified Public Accountants (AICPA) peut réaliser un audit SOC.

Hormis quelques critères communs liés à la sécurité, chaque rapport SOC est personnalisé pour l'entreprise spécifique sous audit. Un rapport SOC peut couvrir les contrôles liés à :

  • Sécurité
  • Disponibilité
  • Intégrité des traitements
  • Confidentialité
  • Vie privée
  • Rapport financier
  • Cybersécurité

C'est pourquoi aucun rapport SOC ne se ressemblera exactement.

Lectures recommandées

Audit SOC : Qu'est-ce que c'est, comment ça fonctionne et comment préparer votre organisation de services

À quoi sert un rapport SOC?

Un rapport SOC est utilisé pour vérifier la conception et l'efficacité opérationnelle des contrôles qu'une organisation de services a mis en place pour gérer en toute sécurité les données des clients.

Un client potentiel peut demander à une organisation de services d'obtenir un rapport SOC comme condition de collaboration. Cette pratique est courante parmi les entités utilisatrices, similaire à la demande de références avant d'embaucher un employé. Une entité utilisatrice est une organisation qui externalise une fonction commerciale à une organisation de services ou qui s'associe à elle.

Alternativement, une organisation de services pourrait décider de poursuivre la conformité SOC avant que quiconque ne la demande. Cela peut aider à attirer des clients potentiels en démontrant que l'entreprise est digne de confiance.

Qui a besoin d'un rapport SOC?

Le SOC est spécialement conçu pour tester la sécurité des systèmes d'information. Par conséquent, les personnes ou les entreprises qui recherchent la conformité SOC tendent à être dans le métier de la gestion de grandes quantités d'informations pour le compte d'autres entreprises.

Les exemples incluent, sans s'y limiter :

  • Comptables
  • Gestionnaires de fonds
  • Développeurs de logiciels tiers
  • Sociétés de recrutement
  • Agences de marketing
  • Plateformes de gestion de facturation
  • Sociétés fiduciaires
  • Sociétés de logiciels de reporting financier
  • Fournisseurs de services cloud
  • Organisations de services de gestion des ressources humaines
  • Plateformes de recrutement
  • Centres de données d'hébergement
  • Fournisseurs de SaaS
  • Traitants de réclamations d'assurance

Chez Secureframe, nous recherchons régulièrement la conformité SOC 2 et incluons l'intégrité des processus dans le cadre de notre audit pour pratiquer ce que nous prêchons. En tant que professionnels de l'automatisation de la conformité, nous sommes un exemple parfait d'une entreprise qui doit instaurer la confiance parmi ses clients. 

Lectures recommandées

Vignette de conformité SOC

Conformité SOC 2 : Exigences, processus d'audit, et avantages pour la croissance des entreprises

Quels sont les différents types de rapports SOC ?

Chaque type de rapport SOC a un ensemble d'utilisations légèrement différent.

Comme vous le lirez dans la section suivante, le SOC 1® et le SOC 2® sont subdivisés en Type 1 et Type 2. Les Types 1 et 2 se réfèrent à la façon dont l'audit est effectué, tandis que les SOC 1, 2, et 3 se réfèrent au sujet du rapport SOC.

SOC 1®

Un audit SOC 1 est destiné à toute organisation qui fournit à ses clients des services liés au reporting financier.

Pour le dire autrement : si une activité d'une entreprise peut impacter un audit financier d'un de ses clients, cette entreprise pourrait avoir besoin d'un rapport SOC 1.

Les exemples incluent les comptables, les processeurs de paie, ou les assistants de préparation fiscale.

Puisque les CPA gèrent le SOC et que les états financiers et d'autres informations sont souvent les plus sensibles, les contrôles financiers sont une zone d'intérêt particulière. Le processus SOC 1 examine la sécurité et les processus commerciaux de l'entreprise, recherchant tout risque pour les informations financières des utilisateurs.

Un auditeur de service devrait également vérifier si des risques provenant de l'entreprise auditée pourraient impacter les contrôles internes mis en place par les clients. Vous pouvez avoir la meilleure sécurité des informations au monde, mais cela ne vaut pas grand-chose si vous contractez avec des tiers qui ne respectent pas les mêmes standards.

SOC 1® Type 1 et 2

  • SOC 1 Type 1 : Un audit qui vérifie si vos systèmes sont conçus pour atteindre les critères propriétaires du SOC 1 (c'est-à-dire les objectifs de contrôle associés inclus dans la description) à un moment donné pour protéger les contrôles financiers. Les audits de Type 1 sont relativement bon marché et simples, mais ne sont pas aussi approfondis que ceux de Type 2. Pensez-y comme si vous trempiez vos orteils dans l'eau : vous obtenez une idée de ce qu'est un audit, mais vous ne plongez pas complètement.
  • SOC 1 Type 2 : Un audit qui examine comment vos systèmes sont conçus ET si les contrôles financiers sont mis en œuvre et efficaces sur une période de temps spécifiée. Un rapport de Type 2 prend plus de temps (entre 3 et 12 mois) car l'auditeur doit effectuer des tests de contrôle sur vos systèmes d'information. Alors que le Type 1 est comme tremper ses orteils dans l'eau, le Type 2 est comme aller pour une baignade complète.

SOC 2®

Le SOC 2 est de loin la forme de conformité SOC la plus recherchée. Il s'adresse à toute organisation fournissant des services tiers nécessitant que les clients leur fassent confiance avec des données sensibles. Il est particulièrement populaire parmi les entreprises de logiciels en tant que service (SaaS).

Au lieu d'une liste de contrôles prédéterminée comme celles qui composent la plupart des critères ISO, le SOC 2 est basé sur les "critères des services de confiance" (TSC). Cela regroupe les contrôles suggérés en cinq catégories :

  1. Sécurité
  2. Confidentialité
  3. Confidentialité
  4. Disponibilité
  5. Intégrité du traitement

Les principes de confiance que vous sélectionnez informent vos critères d'attestation. Selon l'AICPA, ils doivent être pertinents, objectifs, mesurables et complets.

Les contrôles regroupés sous Sécurité, connus sous le nom de « critères communs », sont les seuls à devoir subir un audit SOC 2. Il est demandé aux entreprises de documenter leur environnement de contrôle, leurs protocoles de communication et d'information, leurs processus de gestion et d'évaluation des risques, ainsi que la manière dont elles mettent en œuvre et surveillent les contrôles.

Tous les autres sont optionnels, bien que la plupart des auditeurs vérifieront plus que le strict minimum. La confidentialité et la disponibilité, bien que non requises, sont souvent incluses dans la portée. La confidentialité et l'intégrité du traitement sont généralement incluses en fonction de la nature des systèmes et des services de l'organisation. Par exemple, si votre système contient de nombreuses données personnelles sensibles, vous pouvez envisager d'inclure la confidentialité dans la portée. Si votre système traite beaucoup de données et/ou dispose d'intégrations, vous pouvez envisager d'inclure l'intégrité du traitement.

SOC 2® Type 1 et 2

  • SOC 2 Type 1 : Un audit qui teste si vos contrôles sont conçus selon les critères pertinents des services de confiance à un moment donné. Comme les audits et rapports SOC 2 Type 1 peuvent être réalisés en quelques semaines, ils peuvent aider les organisations qui disposent de peu de temps et de ressources à prouver rapidement aux prospects qu'elles sont sécurisées.
  • SOC 2 Type 2 : Un audit qui examine si vos contrôles sont conçus selon les critères pertinents des services de confiance ET si les contrôles sont mis en œuvre et efficaces pendant une période de temps spécifiée. Comme les rapports SOC 2 Type 2 couvrent le fonctionnement continu des contrôles sur une période de temps, les rapports SOC Type 2 sont beaucoup plus complets que les rapports de type 1 et ont plus de poids auprès des utilisateurs des entités.
Tableau comparatif des rapports SOC 2 type I et type II

SOC 3®

Une entreprise qui réalise un audit SOC 2 fournit généralement un service B2B ou un service B2B2C. Cependant, comme un rapport SOC 2 n'est pas nécessairement de notoriété publique (et n'est pas facile à déchiffrer pour un non-professionnel), l'entreprise pourrait obtenir un rapport SOC 3® à la place.

Un rapport SOC 3 est similaire à un SOC 2, sauf qu'il est plus court et public. C'est un produit plus digeste qui peut être utilisé pour le marketing ou mis gratuitement à la disposition des clients. Les rapports SOC 3 constituent un moyen simple de créer la confiance parmi de grands groupes d'individus.

Lectures recommandées

Qu'est-ce qu'un rapport SOC 3 et en avez-vous besoin ? [+ Exemple]

Autres engagements SOC

L'AICPA a ajouté à sa suite de services SOC au fil du temps. Examinons ci-dessous deux développements récents.

SOC pour la cybersécurité

Le SOC pour la cybersécurité est un cadre de reporting qui aide les organisations à communiquer des informations pertinentes et utiles sur l'efficacité de leurs programmes de gestion des risques de cybersécurité.

Un examen et un rapport SOC pour la cybersécurité évaluent la conception du programme de gestion des risques de cybersécurité à l'échelle de l'entreprise, basé sur les critères des services de confiance ou d'autres critères appropriés tels que ISO 27001 ou NIST CSF, et s'ils étaient efficaces pour atteindre les objectifs de cybersécurité spécifiés par l'organisation.

Alors que le SOC 2 est le mieux adapté aux organisations de services, le SOC pour la cybersécurité convient à pratiquement tous les types d'organisation.

Le but de ce type d'examen et de rapport est de fournir aux utilisateurs généraux, y compris la direction de l'organisation, les directeurs, les investisseurs, les partenaires commerciaux et autres parties prenantes, des informations sur le programme de gestion des risques de cybersécurité de l'organisation qui les aident à prendre des décisions éclairées.

Comme un rapport SOC 3, un rapport SOC pour la cybersécurité est approprié pour une utilisation générale.

SOC pour la chaîne d'approvisionnement

Le SOC pour la chaîne d'approvisionnement est un cadre de reporting qui aide les organisations à communiquer certaines informations sur les efforts de gestion des risques de la chaîne d'approvisionnement et à évaluer l'efficacité des contrôles système qui atténuent ces risques. En fin de compte, l'objectif de l'AICPA en développant cette solution était de favoriser une plus grande transparence dans la chaîne d'approvisionnement.

Comme le SOC 2, un examen et un rapport SOC pour la chaîne d'approvisionnement évaluent la conception des contrôles d'une organisation en fonction des critères des services de confiance.

Contrairement au SOC 2, le SOC pour la chaîne d'approvisionnement est le mieux adapté aux organisations qui produisent, fabriquent ou distribuent des produits. Le but de ce type d'examen et de rapport est d'aider les organisations ainsi que leurs clients et partenaires commerciaux à identifier, évaluer et traiter les risques découlant des relations commerciales avec leurs fournisseurs.

SOC Suite of Services SOC 1 SOC 2 SOC 3 SOC for Cybersecurity SOC for Supply Chain
Purpose Provide specific users with information about controls relevant to user entities’ internal control over financial reporting Provide specific users with information about controls related to security, availability, processing integrity, confidentiality or privacy Provides general users with easy-to-read report on organization’s controls related to security, availability, processing integrity, confidentiality, or privacy Provide general users with information about organization’s cybersecurity risk management program Provide specific users with information about controls related to security, availability, processing integrity, confidentiality or privacy to better understand and manage supply chain risks
Applicable to Service organizations that impact the financial operations of users Service organizations Service organizations Any type of organization Producers, manufacturers, and distributors
Intended users User entities and their auditors Management and specified parties, such as user entities Prospects and any other users with need of assurance of service organization’s controls Management, directors, investors, business partners and other stakeholders Management, customers, business partners
Distribution Restricted Restricted General audience General audience Restricted
Control criteria Control objectives that address the services being provided AICPA Trust Services Criteria AICPA Trust Services Criteria AICPA Trust Services Criteria (or other suitable criteria such as ISO 27001 or NIST CSF) AICPA Trust Services Criteria
Contents of report Description of system, management’s assertion, and CPA’s opinion (and Description of tests and results for Type 2) Description of system, management’s assertion, and CPA’s opinion (and Description of tests and results for Type 2) Management’s assertion and CPA’s opinion Description of cybersecurity risk management program, management’s assertion, and CPA’s opinion Description of the organization’s production, manufacturing, or distribution system, management’s assertion, CPA’s opinion, and Description of tests and results

Quels sont les contenus d'un rapport SOC ?

Bien que les contenus d'un rapport SOC varient en fonction du type, la plupart partagent des composants communs d'un rapport de type 2 du SOC 2.

quatre composants d'un rapport soc 2, y compris le rapport de l'auditeur, l'attestation de la direction, la description du système et les tests de contrôle

L'AICPA fournit un exemple illustré d'un rapport SOC sur son site web. Il compte 31 pages, une longueur assez typique. Une revue rapide des contenus révèle ce qui suit :

1. Lettre d'opinion : Un résumé de l'opinion de l'auditeur (ou du praticien), illustrant s'il pense que l'entreprise cible réussit l'inspection.

  • Une “opinion sans réserve” est un succès sans conteste.
  • Une “opinion avec réserve” signifie que l'entreprise est presque conforme, mais qu'un ou plusieurs domaines ne sont pas encore en règle.
  • Une “opinion défavorable” est un échec. L'entreprise échoue dans un ou plusieurs domaines non négociables.
  • Une “déclaration d'absence d'opinion” signifie que l'auditeur ne dispose pas de suffisamment de preuves pour étayer l'une des trois premières options.

2. Attestation de la direction : Résumé de ce que les gestionnaires de l'entreprise auditée ont dit à l'auditeur sur leurs contrôles de sécurité de l'information.

3. Description des systèmes : Explique ce que fait l'entreprise et comment elle décrit sa propre infrastructure. Remarque : Cela n'est pas inclus dans un rapport SOC 3. Dans un SOC pour la cybersécurité, une description du programme de gestion des risques de cybersécurité de l'organisation est incluse à la place.

4. Critères applicables : Énumère chaque contrôle interne que l'entreprise jugeait applicable à ses propres services, ainsi que les résultats des tests de contrôle. Remarque : Les tests de contrôle et les résultats ne sont pas inclus dans un SOC 1 de type 1, un SOC 2 de type 2, un SOC 3 ou un SOC pour la cybersécurité.

5. Autres informations : Informations fournies par l'entreprise que l'auditeur a jugées non pertinentes.

Maintenant que vous avez une meilleure idée de ce à quoi ressemble un rapport SOC, passons en revue le processus pour en obtenir un.

Lectures recommandées

Comment rédiger une description de système SOC 2 + Exemples réels

Comment obtenir un rapport SOC

Un rapport SOC est généré par un audit SOC réalisé par un analyste SOC. Il s'agit généralement d'un CPA ou d'une organisation accréditée par l'AICPA. Avant d'inviter un auditeur dans vos locaux, votre première étape est de décider exactement quel type de rapport SOC vous avez besoin.

Étape 1 : Choisir un type de rapport SOC.

Tout d'abord, choisissez parmi les trois catégories SOC dans la section précédente. Elles ne sont pas mutuellement exclusives. En fait, certaines entreprises pourraient chercher à obtenir les trois.

De nombreuses grandes entreprises offrent à la fois des services financiers et non financiers et veulent instaurer la confiance parmi les entreprises et le public.

Supposons que votre entreprise est une petite startup qui fournit des services cloud à de grandes entreprises. Évidemment, vous choisiriez le SOC 2.

Ensuite, vous devrez choisir entre un rapport SOC 2 de type 1 et de type 2. Choisissez en fonction de votre budget et de l'urgence de la production du certificat. De nombreuses organisations choisissent de commencer par un audit de type 1, puis utilisent ce rapport pour réaliser le type 2.

Étape 2 : Réaliser une évaluation de préparation.

Ensuite, réalisez une évaluation de préparation. Cela revient à étudier et à passer un test pratique — cela garantit que l'auditeur ne vous surprenne pas non préparé.

Pour faire une évaluation de préparation, il faut se familiariser avec les critères de services de confiance.

Soyez capable de répondre à des questions telles que :

  • « Comment mon système est-il protégé contre les attaques ? » (Sécurité)
  • « Comment décidons-nous quand rendre les données du système disponibles ? » (Disponibilité)
  • « Le système fonctionne-t-il comme il le doit ? » (Intégrité du traitement)
  • « Comment nous assurons-nous que le système garde les informations privées à l'abri des personnes non autorisées ? » (Confidentialité)
  • « Lorsqu'il est nécessaire de partager des informations, qu'est-ce qui rend l'échange sécurisé ? » (Confidentialité)

Considérez toutes les façons possibles dont les critères de services de confiance pourraient s'appliquer à votre infrastructure. Si vous découvrez des domaines dans lesquels votre système est en deçà, déterminez ce que vous devez faire pour devenir conforme. C'est ce qu'on appelle une « analyse des écarts » — combler l'écart entre l'état de votre système et l'état souhaité.

Étape 3 : Préparer la documentation pour votre auditeur.

Ensuite, documentez tout minutieusement. Vous devriez être en mesure de consulter une liste complète des critères TSC et de produire immédiatement une documentation expliquant comment votre sécurité des informations répond à chaque critère.

Bien que le type et la quantité de documentation requise pour la conformité varient en fonction du type et de la portée de votre audit, vous devrez fournir au minimum les documents suivants :

  • Déclaration de la direction
  • Description du système
  • Matrice de contrôle
  • Politiques

Étape 4 : Choisir votre auditeur.

Enfin, décidez qui vous souhaitez désigner en tant qu'auditeur tiers. Choisissez un CPA ou un cabinet d'audit bien noté qui a de l'expérience dans votre secteur. Ou choisissez un auditeur qui connaît bien votre outil d'automatisation de la conformité.

L'auditeur passera de quelques semaines à plusieurs mois à travailler avec votre équipe avant de produire un rapport SOC. Si vous obtenez une opinion non qualifiée dans votre rapport, félicitations ! Sinon, utilisez le rapport SOC comme leçons apprises pour combler les lacunes et réessayez pour obtenir un rapport amélioré.

Lectures recommandées

15+ conseils pour choisir un auditeur, selon les partenaires d'audit de Secureframe

Comment Secureframe peut vous aider à obtenir le rapport SOC dont vous avez besoin

Secureframe peut non seulement vous aider à décider quel type de rapport SOC votre entreprise a besoin, mais nous pouvons également vous aider à rationaliser le processus.

En simplifiant la conformité SOC 2 grâce à l'IA et l'automatisation, nous faisons économiser aux équipes des centaines d'heures et des milliers de dollars consacrés à la rédaction de politiques de sécurité, à la collecte des preuves, à l'embauche de consultants en sécurité et à la réalisation d'évaluations de préparation. Et parce que Secureframe surveille en continu votre infrastructure et vous alerte des vulnérabilités, vous pourrez obtenir et maintenir la conformité SOC plus facilement et rapidement.

Demandez une démonstration pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir le rapport SOC dont vous avez besoin.

FAQ

Que signifie le sigle SOC ?

SOC signifie "System and Organization Controls" (Contrôles du système et de l'organisation). Auparavant, il signifiait "Service Organization Controls" (Contrôles de l'organisation de service).

Qu'est-ce qu'un rapport SOC ?

Un rapport sur les contrôles d'une organisation de service (SOC) est une évaluation des contrôles mis en place dans une organisation de service pour sécuriser les informations et les systèmes d'information.

Quels sont les types de SOC ?

Il y a cinq types principaux :

  • SOC 1 : Fournit des informations sur les contrôles d'une organisation de service pertinents pour le contrôle interne des utilisateurs sur le reporting financier aux parties spécifiées
  • SOC 2 : Fournit des informations sur les contrôles d'une organisation de service pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la vie privée aux parties spécifiées
  • SOC 3 : Fournit des informations sur les contrôles d'une organisation de service pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la vie privée au grand public
  • SOC pour la cybersécurité : Fournit des informations sur le programme de gestion des risques de cybersécurité d'une organisation de service au grand public
  • SOC pour la chaîne d'approvisionnement : Fournit des informations sur les contrôles d'un producteur, fabricant et/ou distributeur pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la vie privée aux parties spécifiées

Quelle est la durée de validité d'un rapport SOC ?

Techniquement, les rapports SOC n'expirent pas, mais généralement, un rapport SOC est considéré valide pendant un an à compter de la date de délivrance du rapport. Tout rapport datant de plus d'un an devient « désuet » et a une valeur limitée pour les clients potentiels.

Pour cette raison, la grande majorité des organisations de services renouvellent leur rapport de vérification chaque année sans interruption.

Combien coûte un rapport SOC ?

La plupart des entreprises peuvent s'attendre à dépenser entre 20 000 $ et 100 000 $ pour se préparer à un audit SOC, le réaliser et obtenir leur rapport. Obtenez une répartition plus détaillée des coûts d'audit SOC 2 ici.

Cependant, de nombreux facteurs influencent le coût typique d'un audit SOC, y compris :

  • Type d'audit SOC
  • Portée de votre audit
  • Taille de votre organisation
  • Complexité de vos systèmes et politiques de contrôle interne
  • Services externalisés, comme l'embauche d'un cabinet de CPA pour réaliser la préparation et l'évaluation de l'état de préparation de l'audit
  • Outils de sécurité supplémentaires et formation des employés nécessaires pour combler les lacunes

Les logiciels d'automatisation de la conformité comme Secureframe font économiser des milliers de dollars aux entreprises et des centaines d'heures de préparation et de réalisation d'un audit SOC. Les bibliothèques de politiques intégrées, la formation en sécurité et les évaluations de l'état de préparation de notre plateforme signifient que vous ne payez pas les consultants.

Cela peut également vous aider à économiser les coûts de productivité de votre équipe et à obtenir plus rapidement un rapport SOC en rationalisant le processus de conformité et en collectant automatiquement les preuves pour votre auditeur.

Les rapports SOC sont-ils obligatoires ?

Les rapports SOC ne sont pas obligatoires. Cependant, ils sont de plus en plus considérés comme un standard pour les entreprises en croissance. Les clients recherchent des entreprises, petites et grandes, capables de protéger la sécurité et la confidentialité de leurs données et intérêts. Un rapport SOC est un moyen idéal de démontrer un engagement envers la sécurité et la confidentialité, tout en aidant les entreprises à débloquer leur croissance, à s'étendre sur de nouveaux marchés et à accélérer leurs revenus. 

Quelle est la différence entre SOC et ISO 27001 ?

Étant donné qu'ils sont tous deux des normes pour l'audit des protocoles de sécurité de l'information, SOC et ISO 27001 sont souvent confondus. Si vous les avez déjà mélangés, vous n'êtes pas seul : ISO et SOC partagent presque tous les mêmes contrôles, variant de seulement 4 %.

Mais ils ne sont pas identiques. Il existe deux différences clés entre SOC et ISO 27001 :

  • Type de sécurité. SOC est un ensemble de normes libres qui mesurent ce que fait votre entreprise pour protéger les informations des clients. ISO 27001 a le même objectif mais une méthode plus restreinte pour l'atteindre. Pour obtenir la conformité ISO 27001, les entreprises doivent élaborer et documenter un système de gestion de la sécurité de l'information (SGSI). C'est une norme légèrement plus stricte, et un ensemble de politiques qui ne sont pas requises pour SOC 2.
  • Zone géographique. Les audits SOC sont mieux connus en Amérique du Nord et ont donc plus de poids. ISO 27001 est plus populaire en dehors de l'Amérique du Nord. C'est presque toujours le facteur décisif. Pensez à l'ISO 27001 comme au système métrique par rapport au système impérial des SOC. Une grande partie du monde utilise l'ISO 27001 tandis que l'Amérique du Nord utilise les SOC.