剣 KENSAI
← All posts · security · 2026-01-01 · 6 min

Tests de sécurité et gestion des vulnérabilités SOC 2

Les auditeurs SOC 2 Type II examinent votre programme de gestion des vulnérabilités tout au long de la période d'audit. L’époque des analyses ponctuelles satisfaisant les auditeurs est révolue. KENSAI fournit la piste de preuves continue requise par les audits SOC 2 modernes.

Démarrer l’évaluation SOC 2 → Réservez une démo

SOC 2 Critères communs pour la gestion des vulnérabilités

SOC 2 est basé sur les critères de services de confiance (TSC) de l'AICPA. Les preuves de gestion des vulnérabilités sont requises principalement dans le cadre de laCritères communs (CC)liés aux opérations du système et à la gestion du changement :

CC7.1 — Surveillance du système

L'entité utilise des procédures de détection et de surveillance pour identifier les modifications de configuration, les nouvelles vulnérabilités et les anomalies. Les auditeurs veulent voir : une analyse continue des vulnérabilités, des processus documentés et des preuves que la surveillance est continue, et pas seulement trimestrielle.

CC7.2 — Réponse aux incidents

Les incidents de sécurité (y compris l'exploitation des vulnérabilités) sont identifiés et traités. La gestion des vulnérabilités s’intègre directement dans le processus de réponse aux incidents.

CC8.1 — Gestion du changement

Les modifications apportées à l'infrastructure, aux données, aux logiciels et aux processus sont autorisées, conçues, développées, documentées, testées, examinées et mises en œuvre. L’analyse des vulnérabilités après les modifications est une preuve attendue.

CC9.2 — Atténuation des risques

L'entité sélectionne et développe des activités d'atténuation des risques, y compris l'identification et la remédiation des vulnérabilités. C’est ici que vos SLA de priorisation des vulnérabilités et de remédiation sont évalués.

💡 Type I contre Type II :SOC 2 Type I est une évaluation ponctuelle. Le type II couvre une période (généralement de 6 à 12 mois). Pour le type II, les auditeurs échantillonneront les preuves de l'analyse des vulnérabilités tout au long de la période d'audit et rechercheront une exécution cohérente et reproductible. Une seule analyse au cours du 11e mois ne réussira pas.

Ce que demandent réellement les auditeurs SOC 2

Sur la base des demandes courantes des auditeurs dans les missions SOC 2, voici ce que vous devrez fournir :

Type de preuveFréquenceCe que veulent les auditeurs
Résultats de l'analyse des vulnérabilitésMensuel ou continuHorodatages, portée, nombre de résultats, répartition de la gravité
Rapport de test d'intrusionAnnuelMéthodologie, portée, conclusions, état d’assainissement
Suivi des mesures correctivesContinuParcours de billetterie, de la découverte à la correction, puis au nouveau test
Enregistrements de gestion des correctifsContinuCorrectifs critiques appliqués dans le cadre du SLA (généralement 30 jours)
Politique de gestion des vulnérabilitésLors de l'auditPolitique écrite avec définitions de gravité et SLA de remédiation
Documentation d'acceptation des risquesPar exceptionAcceptation des risques signée pour les vulnérabilités connues non corrigées

Tests d'intrusion pour SOC 2

Bien que SOC 2 n'exige pas explicitement la fréquence des tests d'intrusion, pratiquement tous les rapports SOC 2 crédibles incluent des preuves de tests d'intrusion annuels. Les auditeurs considèrent cela comme la preuve d’un programme de gestion des vulnérabilités mature.

Exigences clés pour les preuves pentest SOC 2 :

Comment KENSAI prend en charge la conformité SOC 2

✓ Preuve d'analyse continue

Des analyses quotidiennes ou hebdomadaires avec des rapports horodatés fournissent la piste de preuves continue dont les auditeurs SOC 2 Type II ont besoin tout au long de la période d'audit.

✓ Suivi des SLA de remédiation

Définissez et suivez les SLA de remédiation par gravité. KENSAI génère des rapports montrant le respect de vos délais de correction des vulnérabilités documentés.

✓ Analyse déclenchée par un changement

Déclenchez automatiquement des analyses après des modifications de l'infrastructure pour répondre aux exigences CC8.1 en matière de tests de sécurité des modifications.

✓ Rapports prêts pour l'auditeur

Exportez l’historique des analyses, les mesures de correction et l’analyse des tendances dans des formats conçus pour l’examen par les auditeurs. Réduisez considérablement le temps de préparation des audits.

✓ Flux de travail d'acceptation des risques

Documentez les décisions d’acceptation des risques pour les vulnérabilités qui ne peuvent pas être immédiatement corrigées, avec les signatures des approbateurs et les dates d’examen.

✓ Rapports de couverture des actifs

Démontrez aux auditeurs que tous les systèmes concernés sont couverts par votre programme de gestion des vulnérabilités avec un inventaire complet des actifs.

Création d'un programme de gestion des vulnérabilités compatible SOC 2

  1. Définir votre politique de gestion des vulnérabilités— Documenter les définitions de gravité, les SLA de remédiation (par exemple, Critique : 7 jours, Élevé : 30 jours, Moyen : 90 jours)
  2. Inventorier tous les actifs concernés— L'inventaire complet des actifs constitue la base ; tu ne peux pas scanner ce que tu ne connais pas
  3. Mettre en œuvre une analyse continue— Au minimum des analyses hebdomadaires ; quotidien préféré pour les systèmes connectés à Internet
  4. Établir des workflows de remédiation— Billets, propriétaires, délais et critères de clôture avec preuves
  5. Tests d'intrusion annuels— Engager un tiers qualifié au moins une fois par an
  6. Documenter les exceptions— Pour les vulnérabilités qui ne peuvent pas être corrigées immédiatement, documenter l'acceptation du risque avec une justification commerciale
  7. Démontrer une amélioration des tendances— Les auditeurs veulent voir un programme qui s'améliore au fil du temps, et non statique

Réussissez votre audit SOC 2 en toute confiance

KENSAI fournit l'analyse continue des vulnérabilités, le suivi des mesures correctives et les rapports prêts à l'auditeur requis par SOC 2 Type II. Commencez dès aujourd’hui à construire votre piste de preuves.

Démarrer la conformité SOC 2 → Parlez à un expert en conformité

Articles connexes