Regards croisés entre rzilient et LightOn sur la certification SOC2

En 2025, rzilient et LightOn ont toutes les deux obtenu la certification SOC 2 type I. Mais alors dans un paysage numérique où les cyberattaques sont quotidiennes, et les politiques de conformité toujours plus exigeantes, qu’est-ce qui explique que la certification SOC2 (Service Organization Control 2) soit devenue le sésame indispensable pour les entreprises SaaS et Deeptech.

Quentin de Lambert (cofondateur de rzilient) et Fabien Moreau (developpeur & responsable IT chez LightOn) partagent leur retour d'expérience sur ce défi stratégique.

Pourquoi le SOC2 est-il devenu incontournable ?

Pour Quentin (rzilient), le contexte actuel ne laisse plus le choix : « Il ne se passe pas une journée sans attaques. En tant qu'infogérant, nous gérons des données complexes pour nos clients ; être irréprochable est une obligation vis-à-vis du marché et de nos concurrents. »

Chez LightOn, l'enjeu est directement lié au business.

« Nous permettons aux entreprises de déployer une IA sur leurs propres données privées. Le SOC2 montre que nous prenons la sécurité des documents très au sérieux. Cela nous permet d'ouvrir des discussions avec des prospects qui auraient été impossibles auparavant », explique Fabien.

Concilier conformité et agilité : le défi opérationnel

Un des pièges majeurs de la certification SOC 2 est sa rigidité. En imposant des protocoles très stricts, ces normes peuvent parfois alourdir les processus internes et faire perdre en efficacité opérationnelle.

C'est ici que l'accompagnement de rzilient prend tout son sens :

Le rôle de rzilient est d’apporter les bons conseils pour ne pas sacrifier cette efficacité. Certains aspects de la norme, très rigides sur le papier, peuvent être assouplis par la mise en place d'autres contrôles compensatoires. L'idée est d'être conforme sans pour autant paralyser l'organisation." — Quentin de Lambert.

Quel a été le rôle de rzilient dans ce processus de certification de Lighton ?

Pour LightOn, rzilient n'a pas seulement été un fournisseur de matériel, mais un véritable levier technique pour valider les critères d'audit.

Un déploiement simplifié

Le déploiement du MDM (Mobile Device Management) sur l'ensemble du parc a été entièrement géré via les équipes de rzilient, évitant une installation manuelle fastidieuse.

Inventaire et Preuves 

rzilient a permis de fournir instantanément l'inventaire complet de la flotte (numéros de série, état, utilisateurs), une pièce maîtresse pour les auditeurs.

Mises à jour critiques 

Via la plateforme, Lighton a pu s'assurer que chaque collaborateur disposait de la dernière version de l'OS et de pousser les mises à jour à distance si nécessaire.

Politique de sécurité stricte 

Déploiement d’une politique de mots de passe robustes dès la remise d'un nouvel ordinateur, bloquant par défaut les combinaisons trop simples (fini le fameux "12345").

Connectivité Audit

Le MDM via rzilient a pu être directement connecté au service de certification pour prouver en temps réel que 100% de la flotte était conforme (compliant).

In fine, c’est un gain de temps de plusieurs mois pour LightOn. Côté rzilient, l'obtention a également été plus rapide : en tant qu'infogérant, la sécurité est dans l'ADN de la boîte. Beaucoup de bonnes pratiques exigées par le SOC 2 étaient déjà implicites et appliquées chez rzilient depuis sa création.

Les défis : Coûts, Temps et Culture

Obtenir la certification n'est pas un long fleuve tranquille. Les deux experts s'accordent sur les principaux obstacles :

• L'investissement : Que ce soit en temps humain ou en budget (accompagnement par des prestataires comme Bastion pour rzilient).
• La rigidité des process : La mise en place de politiques de mots de passe ou de droits d'accès peut ralentir l'organisation au début.
• L'administratif : « C'est un gros travail documentaire sur les droits d'accès et les politiques de sécurité interne », précise Fabien.

Le parcours vers la certification (6 mois de travail)

Le chemin suivi par rzilient et LightOn comporte quatre étapes clés :

1. Auto-évaluation & Diagnostic : Comprendre son niveau actuel de maturité cyber.
2. Mise en conformité IT : Déploiement d'outils (MDM, Antivirus, réseau Wifi sécurisé, surveillance des activités anormales).
3. Documentation & Préparation : Création des preuves pour l'auditeur.
4. Validation : Audit final et délivrabilité de la certification.

Les conseils d'experts pour réussir

Le conseil de Quentin :

‍ Sachez quel est votre niveau de compréhension des enjeux cyber avant de foncer. Surtout, impliquez l'ensemble des collaborateurs via une communication transparente.

Le conseil de Fabien : ‍

Commencez tôt ! Et essayez d'utiliser des services qui centralisent vos politiques de sécurité pour ne pas vous éparpiller.

Et après ?

Pour rzilient, le SOC2 n'est que la première marche vers l'ISO 27001. Pour LightOn, l'objectif est de passer du SOC2 Type 1 (une photo à l'instant T) au Type 2, qui prouve l'efficacité des process sur une période donnée (vérification que les accès sont bien fermés lors d'un départ, par exemple).