Nous avons une nouvelle dont nous sommes fiers, et qui nous l'espérons, changera la façon dont vous évaluez les outils que vous confiez à votre organisation : Aidi a officiellement obtenu son attestation SOC 2 Type II.
Ce n'est pas un badge qu'on accroche sur un site web. C'est le résultat de plusieurs mois de rigueur, d'une remise en question profonde de nos pratiques, et d'un engagement sincère envers les organisations publiques qui nous font confiance avec leurs données de projets.
Dans cet article, nous allons vous expliquer ce que cela signifie, comment nous l'avons vécu et, surtout, pourquoi cela devrait vous intéresser.
Qu'est-ce que la norme SOC 2 Type II — et en quoi diffère-t-elle des autres cadres de conformité ?
Le SOC 2 est un standard d'audit indépendant développé par l'AICPA (American Institute of Certified Public Accountants). Il évalue si une organisation a mis en place des contrôles efficaces pour protéger la sécurité, la disponibilité, la confidentialité et la vie privée des données de ses clients.
La différence fondamentale entre le type I et le type II tient en un seul mot : le temps.
Un rapport SOC 2 de type I indique : « À ce moment précis, les contrôles sont en place. »
Un rapport SOC 2 de type II indique : « Sur une période de plusieurs mois, ces contrôles ont été appliqués de façon constante, et un auditeur indépendant l'a vérifié. »
Notre rapport SOC 2 de type II ne comporte aucune exception. Cela signifie que chacun de nos contrôles a fonctionné comme prévu, sans écart, tout au long de la période d'observation.
«Obtenir la conformité SOC 2 Type II est l'aboutissement d'un an de transformation. Nous avons dû repenser notre entreprise de fond en comble pour incorporer la sécurité à chaque niveau et dans chaque département. Finalement, nous avons bâti une culture où la sécurité est devenue un réflexe au quotidien. »
— Cydrick Trudel, Directeur technique et CISO, Aidi
Ce que nous avons réellement mis en place — et ce qu’il a fallu pour y parvenir
Obtenir cette attestation n'était pas un projet de quelques semaines. C'est une transformation organisationnelle. Voici ce qu'elle a impliqué concrètement :
27 politiques formalisées et documentées, couvrant tout : de la gestion des accès aux procédures de reprise après sinistre, en passant par la gestion des vulnérabilités et la sensibilisation des employés.
88 contrôles conçus, implémentés et maintenus dans le temps, chaque contrôle répondant à un critère précis du cadre SOC2.
128 éléments probants collectées et transmises à l'auditeur pour démontrer que chaque contrôle fonctionnait réellement pendant toute la durée de l'examen.
« Au début, on sous-estimait l'ampleur. Quand on a réalisé ce que "démontrer l'efficacité opérationnelle" voulait dire, on a dû repenser plusieurs processus. Mais c'est précisément là que la valeur réelle se trouve : on ne fait pas ça pour l'auditeur, on le fait pour nos clients. »
— Cydrick Trudel, Directeur technique et CISO, Aidi
L'automatisation a joué un rôle clé. Plutôt que de mener chaque collecte d'évidences manuellement, notre équipe a développé des mécanismes d'automatisation pour que la conformité soit continue et reproductible pour les années à venir.
« Ce projet faisait partie de nos objectifs stratégiques de l'année. Ce n'est pas un projet de plus qu'on a glissé dans notre feuille de route. On a fait un choix délibéré de concentrer notre énergie là-dessus plutôt que sur d'autres opportunités de plus haute visibilité. Mais on a estimé que c'était la chose la plus importante qu'on pouvait faire pour nos clients. La sécurité de leurs données ne se négocie pas. »
— Marc Parenteau, PDG, Aidi
Ce que cela signifie concrètement pour vous
Pour un directeur général ou un directeur des technologies dans le secteur public, confier vos données à un fournisseur SaaS, c'est un acte de confiance et une responsabilité. Voici ce que l'attestation SOC 2 Type II d'Aidi vous apporte directement.
Une preuve vérifiable, pas une simple promesse: cette attestation n'est pas une autodéclaration. C'est le résultat d'un audit indépendant. Vous n'avez pas à nous croire sur parole, un tiers accrédité CPA l'a vérifié à votre place. Et dans notre cas, sans aucune exception au rapport.
Une analyse rigoureuse du critère fondamental de confiance Notre examen repose sur le critère de confiance « Sécurité ». En tant que pilier fondamental de la protection des données, il s'aligne directement sur les préoccupations légitimes des organisations publiques gérant des données sensibles dans le cadre de projets d'infrastructure et de construction.
Données hébergées exclusivement au Canada. Toutes vos données, bases de données et fichiers, résident dans la région AWS ca-central-1, à Montréal, Québec.
Une conformité permanente, et non un effort ponctuel. L’audit SOC 2 Type II n'est pas un examen qu'on passe une fois. Nous nous engageons à renouveler cette attestation annuellement. C'est une discipline intégrée dans nos opérations, non un effort exceptionnel.
« Nos clients nous posent des questions de plus en plus précises sur la sécurité. L'attestation SOC 2 Type II nous permet maintenant de leur répondre avec un rapport d’audit formel, pas seulement avec des mots. C'est un changement de conversation fondamental. »
— Alexis Ragusich, Directeur des opérations, Aidi
Pourquoi les entreprises devraient l'exiger de tous leurs fournisseurs
Voici une réalité inconfortable : la majorité des cyberincidents qui affectent les organisations ne viennent pas de l'intérieur. Ils arrivent par les portes que les organisations laissent ouvertes chez leurs fournisseurs.
Un logiciel de gestion de projets détient des informations stratégiques : calendriers, budgets, soumissions et contrats ainsi que communications entre équipes et entrepreneurs. Si ce logiciel ne respecte pas des standards de sécurité vérifiables, c'est votre organisation qui assume le risque.
Le standard SOC 2 Type II devrait être une exigence minimale dans tout appel d'offres pour un logiciel SaaS gérant des données sensibles. Voici pourquoi :
Il rend la sécurité vérifiable. Vous ne demandez pas au fournisseur s'il est sécuritaire, vous demandez la preuve que quelqu'un d'indépendant l'a vérifié sur une durée significative.
Il protège votre imputabilité. En exigeant cette attestation, vous démontrez que vous avez fait preuve de diligence raisonnable dans le choix de vos fournisseurs. Une protection importante dans un contexte de gouvernance transparente.
Il permet d'aligner les intérêts. Un fournisseur qui maintient son attestation SOC 2 Type II a tout intérêt à garder ses contrôles actifs, car ils seront audités de nouveau chaque année. Ce n'est pas un engagement ponctuel, c'est une culture.
Elle s'inscrit dans la même logique que la législation sur la protection de la vie privée. La conformité à la loi modernisant des dispositions législatives en matière de protection des renseignements personnels est une obligation pour les organisations québécoises. Le standard SOC 2 Type II n'est pas un substitut à la Loi 25, mais les deux s'articulent naturellement : un fournisseur ayant obtenu son attestation SOC 2 Type II a déjà mis en place les mécanismes qui soutiennent votre propre conformité.
« Ce qu'on voit de plus en plus, c'est que nos clients doivent eux-mêmes démontrer leur rigueur à leurs conseils d'administration, à leurs vérificateurs et à leurs différentes parties prenantes. Quand ils peuvent nous inclure dans leur dossier fournisseur avec une attestation SOC 2 Type II sans exception, ça allège leur propre fardeau de conformité. »
— Alexis Ragusich, Directeur des opérations, Aidi
Notre engagement constant
Obtenir l'attestation, c'était la première étape. La maintenir, c'est notre engagement permanent.
Nous préparons déjà notre renouvellement pour la prochaine année. Notre équipe continue d'automatiser la collecte d'évidences, d'améliorer nos contrôles, et de rester à l'affût des nouvelles menaces, notamment dans le contexte de l'intégration de l'IA dans nos opérations et dans notre produit.
La sécurité n'est pas un état. C'est une pratique.
« Mon objectif, c'est non seulement de maintenir nos engagements SOC 2 Type II, mais de faire en sorte que notre programme de sécurité évolue avec notre croissance. Chaque nouveau client, chaque nouvelle fonctionnalité doit respecter les mêmes standards. C'est non négociable. »
— Cydrick Trudel, Directeur technique et CISO, Aidi
Consultez notre Centre de conformité
Vous souhaitez consulter notre rapport SOC 2 Type II, en savoir plus sur nos mesures de sécurité ou demander de la documentation ? Tout est disponible sur notre Centre de conformité : https://trust.aidi.io
Car la confiance se mérite et se prouve.
