Ce qui augmente et diminue la confiance dans les normes SOC 2 et ISO 27001

La confiance dans un monde où l’abus semble régner

Il y a quatre ans, j’écrivais un article sur comment faire confiance à un rapport d’auditeur. Je posais la question : comment évaluer l’indépendance, la compétence et la rigueur de l’auditeur? Le problème était déjà réel. En 2026, il s’est industrialisé.

Ce qui s’est passé

En mars 2026, un lanceur d’alerte anonyme publie une analyse dévastatrice sur Delve, une startup financée par Y Combinator ayant levé 32 millions de dollars.

493 rapports SOC 2 sur 494 contiennent du texte identique, les mêmes erreurs grammaticales et les mêmes descriptions copiées-collées. Seuls le nom et le logo de l’entreprise changent. Les conclusions d’audit étaient rédigées avant même que les clients n’aient soumis leurs informations. Les 259 rapports SOC 2 Type II affirment tous zéro incident de sécurité, sans exception, pour tous les clients, sur toute la période d’observation.

Y Combinator a depuis demandé à Delve de quitter son programme. L’AICPA a confirmé enquêter. Les auditeurs présentés comme des « cabinets CPA américains » opéraient en réalité depuis l’Inde via des adresses de bureaux virtuels.

Ce n’est pas un cas isolé. En mai 2024, la SEC inculpait BF Borgers CPA PC et son propriétaire Benjamin Borgers pour défaillances délibérées et systématiques dans plus de 1 500 dépôts auprès de la SEC, entre janvier 2021 et juin 2023.

La SEC l’a qualifié de « moulin à audits de façade » (sham audit mill). Les charges sont précises : fabrication de documentation d’audit, fausses déclarations aux clients sur la conformité aux normes PCAOB, faux rapports dans plus de 500 dépôts d’entreprises publiques. Pénalité : 12 millions de dollars pour le cabinet, 2 millions personnellement pour Borgers, suspension permanente.

Les deux scandales partagent pourtant la même logique : le volume prime sur la rigueur, et personne ne vérifie jusqu’à ce que quelqu’un tire la sonnette d’alarme.

Ce que ça révèle

Quand la demande est « SOC 2 en quelques semaines pour le moins cher possible », il se trouve toujours quelqu’un pour y répondre. Le problème n’est pas la norme elle-même, c’est la pression commerciale qui transforme un instrument de confiance en badge à acheter.

SOC 2 et ISO 27001 sont des délégations de confiance. Votre client vous fait confiance parce qu’un tiers qualifié a vérifié vos contrôles à sa place. Quand ce tiers fabrique ses conclusions, toute la chaîne est compromise.

Au Québec, la Loi 25 exige que les organisations évaluent sérieusement les pratiques de leurs fournisseurs en matière de protection des renseignements personnels. Un rapport SOC 2 fabriqué ne constitue pas une évaluation sérieuse.

Ce qui augmente réellement la confiance

Un rapport SOC 2 Type 2 couvrant 6 à 12 mois est plus solide qu’un Type 1. L’auditeur doit être inscrit au programme de révision par les pairs de l’AICPA, sans relation d’affaires avec la plateforme GRC utilisée par le client. Voir le lien: https://peerreview.aicpa.org/

Un rapport qui contient des exceptions bien documentées est souvent plus crédible qu’un rapport parfait sur tous les points. Un auditeur qui a réellement testé les contrôles va en trouver.

Le problème canadien

SOC 2 est un cadre américain (AICPA). Un cabinet CPA canadien qui fait des audits SOC 2 doit théoriquement suivre les normes AICPA et s’inscrire au Peer Review Program, mais rien n’oblige un cabinet canadien à le faire.

Pour ISO 27001

La vérification est simple : le certificat doit être consultable dans la base IAF CertSearch (iafcertsearch.org). L’organisme de certification doit être accrédité par un membre IAF MLA. Et le périmètre de la certification doit couvrir réellement ce qui vous importe.

Ce qui devrait vous mettre sur vos gardes

Méfiez-vous du rapport sans aucune exception.

Méfiez-vous du cabinet que vous ne pouvez pas vérifier physiquement.

Méfiez-vous de la certification obtenue en quelques jours.

Méfiez-vous du logo ISO affiché partout sur un site, alors qu’ISO ne certifie personne directement.

La bonne question n’est pas « est-ce que ce fournisseur a un SOC 2? » La bonne question est « est-ce que ce fournisseur fait réellement ce que son SOC 2 prétend? »

Sources

• SOC 2 Is Broken. The Delve Scandal Is Showing Us How.
• SEC Charges Audit Firm BF Borgers and Its Owner with Massive Fraud
• AICPA – SOC Suite of Services Resources
• IAF CertSearch – Vérification des certifications ISO