Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Norme sectorielle Actif

SOC 2 Norme

Le référentiel Service Organization Control de l'AICPA qui exige une gestion démontrable du cycle de vie des clés, des politiques de rotation des certificats, l'usage de HSM et une journalisation d'audit complète sur une période étendue.

En bref

Statut
Actif
Type
Norme sectorielle
Portée
Organisations de services

Vue d'ensemble

SOC 2 Type II, élaboré par l'AICPA, évalue les contrôles d'une organisation de services sur une période étendue (généralement 6 à 12 mois) au regard de cinq Trust Services Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.

Pour la PKI, les critères Sécurité et Confidentialité sont les plus pertinents : ils exigent des organisations qu'elles démontrent une gestion robuste des clés cryptographiques, des politiques de rotation des certificats, des contrôles d'accès et des pistes d'audit complètes. Contrairement au Type I (qui évalue la conception à un instant donné), le Type II exige des preuves de fonctionnement efficace des contrôles durant toute la période d'audit.

Les rapports SOC 2 sont de plus en plus exigés par les clients grands comptes qui évaluent les fournisseurs SaaS et cloud. Les organisations capables de démontrer une gestion mature du cycle de vie des certificats et de la gouvernance des clés bénéficient d'un avantage concurrentiel significatif dans les processus d'achat.

Exigences clés

CC6.1 — Contrôles d'accès logiques et physiques

Les organisations doivent mettre en œuvre des contrôles d'accès logiques et physiques, incluant l'authentification par certificat, pour restreindre l'accès aux systèmes et données sensibles.

CC6.6 — Chiffrement en transit (TLS)

Les données transmises sur les réseaux doivent être chiffrées via TLS avec des certificats correctement gérés, exigeant la preuve de la rotation des certificats et de la gestion des configurations.

CC6.7 — Chiffrement au repos

Les données sensibles au repos doivent être protégées par un chiffrement fort, exigeant des pratiques rigoureuses de gestion des clés, dont le stockage sécurisé et les procédures de rotation.

CC7.1 — Surveillance et détection

Les organisations doivent surveiller leurs systèmes pour détecter anomalies et événements de sécurité, y compris les alertes d'expiration de certificats, les changements non autorisés et les anomalies d'utilisation des clés.

CC8.1 — Gestion des changements

Tous les changements d'infrastructure, y compris les déploiements, rotations et révocations de certificats, doivent suivre des procédures de gestion des changements documentées, avec des pistes d'audit.

A1.2 — Contrôles de disponibilité et de reprise

Les systèmes doivent maintenir leur disponibilité par la redondance et les procédures de reprise, incluant des autorités de certification de secours et le basculement automatique des services PKI.

Grandes étapes

10
2010

Introduction du référentiel SOC 2

L'AICPA introduit le référentiel de reporting SOC 2, établissant les Trust Services Criteria pour évaluer les contrôles des organisations de services.

17
2017

Mise à jour des Trust Services Criteria

Révision majeure des Trust Services Criteria, alignement sur COSO 2013 et introduction d'exigences plus précises sur les contrôles cryptographiques.

22
2022

Adoption accélérée après la pandémie

La migration cloud accélérée entraîne une adoption massive de SOC 2, les clients grands comptes exigeant de plus en plus de rapports auprès de tous leurs prestataires.

24
2024 En vigueur

Révisions ponctuelles sur les contrôles cryptographiques

Les guides actualisés mettent l'accent sur la gestion des clés cryptographiques, les preuves de rotation des certificats et la documentation de l'usage des HSM dans le périmètre d'audit.

25
2025 Application

Importance croissante de la maturité de la gestion des clés

Les auditeurs évaluent de plus en plus l'automatisation du cycle de vie des certificats et la maturité de la gestion des clés dans le cadre des évaluations SOC 2 Type II.

Impact sur la PKI et les certificats

Les auditeurs SOC 2 Type II évaluent les contrôles PKI non pas seulement par leur conception, mais aussi par leur fonctionnement constant sur la période d'audit. Voici les domaines clés :
1

Démonstration du cycle de vie des clés

La gestion du cycle de vie des clés doit être démontrée sur toute la période d'audit, avec des preuves de génération, distribution, stockage, rotation et destruction correctes des clés cryptographiques.

2

Preuves de rotation des certificats

Les auditeurs exigent la preuve que les politiques de rotation des certificats sont non seulement documentées mais aussi appliquées de manière constante, avec des horodatages et des journaux d'audit pour chaque rotation.

3

HSM et protection des clés

Pour le critère Confidentialité, les auditeurs évaluent l'usage des HSM et les mécanismes de protection des clés, exigeant la documentation des configurations des modules matériels et des contrôles d'accès.

4

Journalisation complète des opérations

Chaque opération sur un certificat — émission, renouvellement, révocation et utilisation des clés — doit être journalisée avec des pistes d'audit immuables consultables par les auditeurs pour l'ensemble de la période évaluée.

Comment nous aidons

Evertrust & SOC 2

Preuves d'audit continuesHorizon fournit des pistes d'audit continues et immuables pour toutes les opérations sur les certificats, donnant aux auditeurs les preuves nécessaires sur l'ensemble de la période d'évaluation.

Rotation automatisée avec piste d'audit complèteLa rotation automatisée des certificats satisfait aux exigences CC6.6 et CC6.7 avec des preuves complètes et horodatées de chaque rotation.

Application des politiques dans la duréeDémontrez l'efficacité des contrôles sur la période d'audit grâce à des politiques de certificats appliquées, des contrôles de conformité automatisés et un suivi des exceptions.

Tableaux de bord et rapports prêts pour l'auditeurTableaux de bord et rapports exportables conçus pour la revue des auditeurs SOC 2, réduisant le temps de préparation et les frictions de l'audit.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts