Certaines des questions les plus courantes que nous entendons de nos clients concernent le périmètre de l'audit. Des questions telles que : « Quels critères de services de confiance dois-je inclure dans mon rapport SOC 2 ? » 

« Quelle doit être la durée de ma fenêtre d'audit ? 

« Les contractants et les freelancers sont-ils inclus dans le périmètre de mon audit ? 

Ci-dessous, nous répondrons aux questions courantes concernant les employés et le périmètre de l'audit pour des cadres spécifiques tels que le SOC 2, l'ISO 27001, le PCI DSS et l'HIPAA, ainsi que d'autres questions fréquentes sur le périmètre de l'audit.

Comment définir le périmètre de l'audit du personnel

Avec le télétravail, les contractants tiers et les freelances devenant plus courants, comprendre quels employés sont inclus dans le périmètre d'un audit de sécurité de l'information est de plus en plus complexe. Savoir quels employés inclure ou exclure a un impact significatif sur le succès de votre audit et sur vos pratiques de sécurité de l'information en général. 

Examinons les critères pour déterminer quels employés sont inclus dans le périmètre des principaux cadres de sécurité de l'information. 

SOC 2

En général, tous les employés qui ont accès aux systèmes ou aux données auditées doivent être considérés comme inclus dans le périmètre.

Commencez par identifier les systèmes, processus et données qui sont pertinents pour vos critères de services de confiance sélectionnés. Ensuite, considérez quels employés ont accès. Cela peut inclure le personnel informatique, les administrateurs de réseau, les analystes de données, les ingénieurs, les concepteurs de produits - tous les employés qui jouent un rôle dans le développement, la mise en œuvre ou la gestion des systèmes ou des processus audités.

Qu'en est-il des contractants ?

Notre expert en conformité, Rob Gutierrez, l'a bien expliqué lors d'une récente session de questions-réponses Secureframe | Office Hours : « Le périmètre d'un SOC 2 concerne les données des clients, donc la question clé est : le contractant a-t-il accès aux données des clients ? Si la réponse est oui, ils doivent respecter ces exigences. Si la réponse est non, ils sont hors du périmètre et vous n'avez pas à vous en soucier. »

Pour déterminer si les contractants ou les travailleurs indépendants sont inclus dans le périmètre de votre audit, vous devez considérer la nature de leur travail et le niveau d'accès qu'ils ont aux systèmes et aux données de votre organisation. Par exemple, un contractant DevOps qui a accès aux données des clients ou de l'entreprise serait considéré comme inclus dans le périmètre de l'audit. Un designer freelance fournissant des services de conception de site web ou de branding qui n'a pas accès à des informations sensibles serait considéré comme hors du périmètre.

ISO 27001

Tous les employés qui ont accès à des informations ou des systèmes au sein du Système de Management de la Sécurité de l'Information (SMSI) audité doivent être considérés comme faisant partie du périmètre de l'audit.

Commencez par définir le périmètre de votre SMSI — quelles informations doivent être protégées et quels systèmes sont utilisés pour traiter ces informations ? Quels employés ont accès à ces systèmes ou données ? Tous les employés ayant accès aux e-mails de l'entreprise, aux services cloud ou aux disques réseau partagés doivent être considérés.

Tous les employés qui jouent un rôle dans le développement, la mise en œuvre ou la gestion du SMSI peuvent également être concernés. Pensez aux membres de l'équipe de sécurité de l'information, aux responsables de la conformité et aux cadres responsables de maintenir la posture de sécurité de l'organisation.

Les travailleurs contractuels ou freelances peuvent devoir être inclus dans votre audit ISO 27001 s'ils ont accès à des informations ou des systèmes pertinents pour le SMSI audité. Dans de nombreux cas, les travailleurs contractuels ou freelances sont considérés comme faisant partie de la main-d'œuvre étendue d'une organisation et peuvent avoir accès aux mêmes systèmes, processus et données que les employés réguliers.

HIPAA

Les réglementations HIPAA s'appliquent aux entités couvertes (fournisseurs de soins de santé, régimes de santé et centres de services de santé) ainsi qu'à leurs partenaires d'affaires (organisations qui traitent des informations de santé protégées pour le compte des entités couvertes, telles que les processeurs de réclamations et de paiements, les analystes de données, les cabinets d'expertise comptable et les sociétés de comptabilité).

Pour identifier le personnel concerné par la conformité HIPAA, prenez en compte les éléments suivants :

• Fournisseurs de soins de santé : Tous les personnels impliqués dans la prestation de services de santé, y compris les médecins, infirmiers, thérapeutes, personnel administratif, personnel de soutien et tout autre personnel ayant accès aux informations de santé protégées (PHI) sont concernés.
• Régimes de santé : Le personnel impliqué dans l'administration des régimes de santé, le traitement des réclamations, la gestion des inscriptions, le service client ou la gestion des PHI/ePHI est concerné.
• Centres de services de santé : Le personnel responsable du traitement ou de la transmission des transactions liées à la santé ou de la gestion des PHI/ePHI est concerné.
• Partenaires d'affaires : Tous les employés ou sous-traitants des partenaires d'affaires qui traitent ou ont accès aux PHI sont concernés par la conformité HIPAA.

En général, le personnel concerné comprend toute personne qui :

• Traite des PHI/ePHI
• A accès aux systèmes ou applications qui stockent ou transmettent des PHI/ePHI
• Joue un rôle dans le développement, la mise en œuvre ou la gestion des politiques et procédures HIPAA

Il est crucial de mener une analyse complète des opérations et des flux de travail spécifiques de votre organisation pour identifier tous les personnels qui traitent ou ont accès aux PHI/ePHI. Cette analyse doit inclure l'examen des rôles de travail, des privilèges d'accès et des responsabilités au sein de votre organisation.

Une fois que vous avez déterminé quels employés sont concernés, vous pouvez développer des politiques appropriées, des programmes de formation et des contrôles de sécurité pour assurer la conformité aux règles et exigences HIPAA.

PCI DSS

Quels employés ont accès à votre environnement de données des titulaires de carte (CDE) ? Ce sont les employés concernés par la conformité PCI.

Vous pouvez déterminer la portée de votre CDE en documentant comment les données des titulaires de carte et les informations de paiement circulent dans votre environnement et les systèmes connectés. Tous les systèmes qui stockent, traitent ou transmettent des données de titulaire de carte ou des données d'authentification - ainsi que tous les systèmes à l'intérieur du même réseau physique ou logique - font partie de votre CDE et sont soumis aux exigences PCI. Tous les employés, entrepreneurs ou freelances qui ont accès à ces systèmes sont inclus dans le périmètre.

De plus, la PCI SAQ-D 9.2 exige que les organisations établissent des procédures pour « distinguer le personnel sur site et les visiteurs », par exemple avec des badges d'identification. (Selon le PCI SSC, le personnel sur site comprend tous les employés à temps plein et à temps partiel, les employés temporaires, les contractants et les consultants.) Ainsi, un freelance en marketing ou en design qui n'interagit pas avec votre CDE serait généralement considéré comme hors périmètre, sauf si vous avez un emplacement physique. Dans ce cas, le contractant aura besoin d'un badge d'identification et sera inclus dans le périmètre.

FAQ sur la portée de l'audit

La phase de cadrage jette les bases de l'ensemble de l'audit de sécurité de l'information, en définissant les limites, les objectifs et les domaines de concentration. En répondant à certaines des questions les plus fréquemment posées sur la portée de l'audit, nous espérons démystifier le processus et éclairer les meilleures pratiques.

Pourquoi est-il important de définir correctement la portée d'un audit ?

Définir une portée trop large, et vous perdrez du temps et des ressources à mettre en place des contrôles pour traiter des risques qui n'existent pas pour votre organisation. L'audit prendra également plus de temps et coûtera plus cher à réaliser.

D'autre part, définir une portée trop étroite et vous pourriez négliger des risques de sécurité critiques. De plus, les clients n'auront probablement pas le niveau d'assurance dont ils ont besoin pour faire affaire avec vous.

La portée de l'audit peut-elle changer pendant le processus d'audit ?

Oui, il est possible que la portée de l'audit soit ajustée pendant le processus d'audit. Par exemple, si de nouveaux risques apparaissent ou si des changements significatifs surviennent dans l'environnement de l'organisation.

La portée de l'audit peut-elle inclure des fournisseurs ou partenaires tiers ?

Les fournisseurs ou partenaires tiers qui ont un impact direct sur la sécurité de l'information ou les processus de gestion des données de l'organisation sont généralement inclus dans la portée de l'audit. Cela aide à garantir que l'ensemble de la posture de sécurité de l'organisation soit correctement évalué et que le risque tiers soit pris en compte.

Comment puis-je déterminer ma fenêtre d'audit ?

La plupart des normes de sécurité de l'information recommandent une fenêtre d'audit de 6 à 12 mois. Certains cadres tels que le SOC 2 offrent une plus grande flexibilité et permettent des fenêtres d'audit plus courtes, de 3 mois.

Nos experts en conformité recommandent aux entreprises qui ont un besoin urgent d'un rapport SOC 2 Type II de sélectionner une période d'audit de 3 mois pour leur rapport initial, puis de passer à une période de 12 mois avec des audits annuels.

Ai-je besoin de rapports d'audit séparés pour différentes lignes de produits ou emplacements commerciaux ?

Certaines organisations choisissent de limiter la portée de l'audit à une seule ligne de produits ou à un emplacement de centre de données. Par exemple, Alphabet dispose de rapports SOC 2 séparés pour Google Workspace, Google Cloud, Apigee, AppSheet, Looker et Payment Gateway. La poursuite de rapports SOC 2 pour plusieurs produits et emplacements dépendra finalement des clients et prospects qui nécessitent un rapport d'audit.

Simplifiez vos audits de conformité avec Secureframe

Lorsqu'il s'agit de définir le périmètre d'un audit de sécurité de l'information, concentrez-vous sur l'information. Quelles données doivent être protégées ? Contre quoi doivent-elles être protégées et comment ? Qui y a accès ?

Que vous définissiez le périmètre de votre premier audit ou de votre cinquantième, Secureframe simplifie et renforce l'ensemble de votre programme de conformité. Notre plateforme permet de restreindre facilement le périmètre de votre audit à certains personnels, ressources, dispositifs, actifs, etc. au besoin pour accélérer le temps jusqu'à la conformité et fournir un audit efficace.

Conçue par des experts en conformité et d'anciens auditeurs, notre plateforme simplifie la préparation aux audits et aide des milliers d'entreprises à maintenir une conformité continue avec les normes de sécurité et de confidentialité les plus rigoureuses au monde. Pour en savoir plus, réservez une démo avec un expert produit dès aujourd'hui.