Skip to content
← Blog
Entreprise

Notre parcours SOC 2 : bâtir la confiance enterprise pour la gouvernance d'agents IA

JieGou a commencé son audit SOC 2 Type II. Voici pourquoi SOC 2 compte pour les plateformes d'agents IA, ce que l'audit valide, et ce que cela signifie pour les clients enterprise évaluant la gouvernance d'agents.

JT
JieGou Team · · 5 min de lecture

Pourquoi SOC 2 compte pour les plateformes d’agents IA

Quand les entreprises évaluent les plateformes d’agents IA, la sécurité et la conformité sont systématiquement citées comme l’exigence n°1. 75 % des dirigeants enterprise affirment que la sécurité, la conformité et l’auditabilité sont leurs critères les plus critiques pour le déploiement d’agents.

SOC 2 Type II est le standard de référence pour démontrer qu’une plateforme SaaS dispose des contrôles nécessaires pour protéger les données clients. Ce n’est pas une auto-évaluation — c’est un audit tiers mené par un cabinet d’expertise comptable indépendant, examinant les contrôles sur une période d’observation prolongée.

Pour les plateformes d’agents IA en particulier, SOC 2 valide que :

  • Les données clients traitées par les agents IA sont protégées
  • Les contrôles d’accès empêchent les actions non autorisées des agents
  • Les pistes d’audit capturent toute l’activité du système
  • Les procédures de réponse aux incidents sont en place
  • Les contrôles de gestion des changements gouvernent les mises à jour de la plateforme

Ce que nous auditons

L’audit SOC 2 Type II de JieGou couvre les cinq Trust Service Criteria :

1. Sécurité (Critères communs)

La fondation de SOC 2. Nos contrôles de sécurité incluent :

  • Chiffrement AES-256-GCM pour les clés API BYOK (Bring Your Own Key) au repos
  • Firebase Authentication avec gestion de cookies de session
  • RBAC à 6 rôles (Owner > Admin > Manager > Editor > Viewer) avec 20 permissions granulaires
  • Limitation de débit Redis sur les endpoints LLM (30 req/min par utilisateur)
  • Circuit breaker par fournisseur pour la résilience LLM

2. Disponibilité

Contrôles de disponibilité et fiabilité de la plateforme :

  • Déploiement Kubernetes sur EKS avec auto-scaling
  • Endpoints de health check avec monitoring structuré
  • File d’attente de messages morts pour les opérations asynchrones échouées avec logique de réessai par catégorie
  • Watchdog de runs bloqués pour la récupération d’exécution de workflows

3. Intégrité du traitement

Assurer que les sorties des agents IA sont complètes, valides et précises :

  • Framework de test Bakeoff avec évaluation LLM-as-judge
  • CI de santé des templates avec scoring de qualité automatisé
  • Boucles de convergence pour l’amélioration itérative de la qualité
  • Évaluation multi-juges avec confiance statistique (tau de Kendall, rho de Spearman)

4. Confidentialité

Protection des données business sensibles :

  • Contrôles de résidence des données avec classification par catégorie (HIPAA/GDPR/PCI-DSS/SOX/FedRAMP)
  • Chiffrement BYOK pour que les clés API clients ne quittent jamais leur contrôle
  • Accès aux données à portée départementale garantissant que les agents ne voient que les données pertinentes à leur département
  • Contrôles de visibilité des runs avec 4 portées : privé, département, compte, groupe

5. Confidentialité des données personnelles

Pratiques de gestion des données clients :

  • Journalisation d’audit avec 30 types d’actions, fire-and-forget
  • Chronologie de conformité pour l’historique visuel des événements de gouvernance
  • Export de preuves avec 17 contrôles TSC dans 8 catégories
  • Gestion des données conforme au RGPD avec politiques de rétention configurables

Le calendrier de l’audit

Notre audit SOC 2 Type II a débuté le 5 mars 2026, avec une période d’observation de 12 mois :

  • Mars 2026 : Début de la période de service, monitoring continu Vanta actif
  • En continu : Les contrôles sont surveillés et les preuves collectées automatiquement
  • Mars 2027 : Fin de la période d’observation, émission du rapport d’audit

Nous avons choisi le Type II (plutôt que le Type I) parce qu’il exige de démontrer que les contrôles sont non seulement conçus mais fonctionnent efficacement dans le temps. Un audit Type I est un instantané ponctuel. Un audit Type II prouve une conformité soutenue — ce dont les clients enterprise ont réellement besoin.

Ce que cela signifie pour les clients

Pour les entreprises évaluant JieGou :

  1. « SOC 2 Type II — Audit en cours » signifie que nous nous sommes engagés dans la validation tierce de nos contrôles de sécurité. L’audit est actif et surveillé en continu.

  2. Notre pile de gouvernance est la fondation de SOC 2. L’architecture de gouvernance à 10 couches, la journalisation d’audit, le RBAC et les contrôles de conformité que nous avons construits pour la gouvernance d’agents IA sont les mêmes contrôles que l’audit SOC 2 valide.

  3. L’export de preuves est déjà disponible. Vous n’avez pas besoin d’attendre la fin de l’audit. L’export de preuves de JieGou couvre 17 contrôles TSC dans 8 catégories — structuré pour votre propre équipe de conformité.

Comment JieGou se compare

La plupart des plateformes natives d’agents (CrewAI, LangGraph, AutoGen) n’ont pas de certification SOC 2 ni d’audits en cours. Les plateformes d’automatisation enterprise (Zapier, Make) ont SOC 2, mais ne fournissent pas de contrôles de gouvernance spécifiques aux agents. JieGou combine les deux : certification de sécurité enterprise-grade avec gouvernance d’agents IA dédiée.

En savoir plus sur la sécurité et la conformité de JieGou :

soc2 security compliance enterprise trust audit vanta

Explore more

📖 AI Governance ⚙️ Enterprise Plan ⚙️ Why JieGou?
Partager cet article

Articles connexes

Test de pénétration SOC 2 terminé : Ce que cela signifie pour les clients entreprise

Le test de pénétration SOC 2 de JieGou est terminé, tous les résultats ont été résolus. Découvrez ce que cette étape signifie pour notre posture de sécurité entreprise et le chemin vers la certification Type I.

Le marché a parlé : la gouvernance est #1

L'enquête 2026 State of Agentic AI de CrewAI confirme ce que JieGou a cru depuis le début : la sécurité et la gouvernance sont la priorité #1 des entreprises pour les plateformes d'agents IA à 34 % des acheteurs.

Pourquoi le versioning n'est pas de la gouvernance : l'écart entre contrôle de déploiement et sécurité IA

Zapier a lancé le versioning d'agents. C'est une bonne fonctionnalité — mais le versioning est du contrôle de déploiement, pas de la gouvernance. Voici la différence et pourquoi elle compte.

Vous avez aime cet article ?

Recevez des astuces workflows, des mises a jour produit et des guides d'automatisation dans votre boite de reception.

No spam. Unsubscribe anytime.

← Retour a tous les articles