Préparer et réaliser un audit SOC 2 peut nécessiter des centaines d'heures de travail manuel, mais cela ne doit pas être le cas.

Lors de notre webinaire Secureframe Expert Insights qui s'est tenu le mardi 31 janvier, l'expert en conformité de Secureframe Marc Rubbinaccio, CISSP, CISA a été rejoint par des partenaires d'audit de Insight Assurance. Marc, Felipe Saboya Gomez, CPA, CIS LA, et Jesus Jimenez, CISA, CIS LA, CIS LI, QSA, CDPSE ont partagé des idées, des pratiques exemplaires et des conseils pour simplifier le processus de préparation et d'audit SOC 2.

Nous récapitulons ici les principaux points à retenir. Pour obtenir tous leurs conseils pour simplifier le processus d'audit SOC 2, regardez la rediffusion de la vidéo à la demande.

Comment se préparer à un audit SOC 2 : Points essentiels

La plateforme d'automatisation de la conformité tout-en-un de Secureframe et des partenaires d'audit de confiance comme Insight Assurance ont aidé des milliers de clients à obtenir et à maintenir leur conformité SOC 2 rapidement et facilement. Voici huit conseils de notre expert en conformité et de notre partenaire d'audit pour se préparer rapidement à un audit SOC 2.

1. Déterminez si le SOC 2 s'applique à votre organisation.

Le SOC 2 pourrait s'appliquer à votre organisation si vous stockez, traitez ou transmettez une quelconque donnée client. Si les données clients que vous gérez sont considérées comme sensibles, vos clients pourraient potentiellement demander un rapport SOC 2 de votre organisation avant de vous confier leurs données.

Il existe des situations où le SOC 2 est une responsabilité pour votre organisation même si vous n'impactez pas directement les données clients. Si vous êtes un prestataire de services, par exemple, vous pourriez être responsable de certaines exigences SOC 2 pour soutenir la sécurité de vos clients. Disons que vous hébergez des applications clients sur une plateforme et une infrastructure gérées. Il serait de votre responsabilité de vous assurer que la plateforme et l'infrastructure répondent aux exigences du SOC 2 pour soutenir les efforts de conformité de vos clients.

Si vous stockez, traitez ou transmettez des données clients ou impactez la sécurité des données de vos clients en tant que prestataire de services, le SOC 2 s'applique à votre organisation.

2. Choisissez entre un rapport SOC 2 Type I ou Type II.

Un rapport SOC 2 atteste de l'efficacité opérationnelle des protocoles de sécurité d'une organisation et aide à établir la confiance entre les prestataires de services et leurs clients.

Il existe deux types de rapports :

• Les rapports de type I sont axés sur la description par la direction du système de l'organisation de services et sur l'adéquation de la conception des contrôles à un moment donné.
• Les rapports de type II se concentrent sur la description par la direction du système de l'organisation de services et sur l'adéquation de la conception et de l'efficacité opérationnelle des contrôles sur une période de temps (généralement de 3 à 12 mois).

Si vous avez besoin de démontrer la conformité dès que possible parce qu'un prospect l'exige pour conclure l'affaire, un rapport de type I peut être une excellente solution à court terme, surtout si vous travaillez également vers un rapport de type II.

L'objectif de la plupart des organisations est finalement d'obtenir un rapport d'audit de type II qui couvre une période de révision annuelle de 12 mois. Ce type de rapport SOC prend plus de temps et de ressources, mais il est également plus précieux pour les clients. Les entreprises et certaines industries comme la finance préfèrent souvent travailler avec des entreprises ayant un rapport SOC 2 Type II.

3. Déterminez quels critères de service de confiance inclure dans votre audit.

Le SOC 2 comporte plusieurs critères de service de confiance que vous pouvez inclure dans votre audit. La sécurité est obligatoire, mais il y a aussi la disponibilité, la confidentialité, l'intégrité du traitement et la vie privée.

La meilleure façon de choisir est basée sur votre environnement et les demandes de tiers, y compris vos clients.

• Intégrité du traitement: Supposons que vous avez une solution logicielle qui traite des données et que le résultat final pour votre client est une sorte de données traitées auxquelles il doit faire confiance. Prenons Secureframe, par exemple. Nos tests comparent les données de configuration que nous recevons et les tests intégrés dans notre plateforme pour finalement donner un résultat de réussite ou d'échec. Pour gagner la confiance de partenaires d’audit comme Insight Assurance, nous avons passé un audit SOC 2 incluant les critères d'intégrité du traitement.
• Confidentialité: Ce critère de service de confiance est important si vos données sont particulièrement sensibles pour vos clients, comme les informations de santé, les données de carte de crédit ou les numéros de sécurité sociale.
• Disponibilité: Supposons que vous avez un logiciel pour des dispositifs médicaux et qu'il doit être disponible à 100% en tout temps pour éviter d'impacter la santé ou le traitement de vos clients ou quelque chose de ce genre. C’est dans ce cas que je recommanderais de prendre en compte la disponibilité.
• Vie privée: Pensez à ajouter la vie privée dans votre SOC 2 si vos clients ou fournisseurs de services posent des questions sur la confidentialité de leurs données mais n'ont pas de cadres spécifiques à respecter. S'ils vous demandent de vous conformer au GDPR ou au CCPA, alors passer un audit SOC 2 avec les critères de vie privée est toujours une excellente façon d'établir une base et de se préparer à la conformité avec ces lois plus complexes sur la confidentialité des données.

4. Identifier les tâches opérationnelles nécessaires pour préparer un audit SOC 2.

Il existe deux grandes catégories de contrôles à respecter pour le SOC 2 : les tâches opérationnelles et techniques.

Les tâches opérationnelles consistent en des processus, des procédures et des examens nécessaires pour maintenir la conformité tout au long de l'année. Cela inclut :

Intégration et formation des employés

Les exigences SOC 2 liées à l'intégration des employés consistent à mettre en place un processus de vérification des antécédents pour les futures recrues, établir un programme de formation à la sensibilisation à la sécurité qui inclut tous les modules requis, et obliger les employés à lire et accepter les politiques de sécurité de l'information, les politiques d'utilisation acceptable et un code de conduite.

Toutes les tâches opérationnelles doivent se rapporter à une politique établie incluant des délais pour mener ces activités, comme exiger la finalisation de la formation à la sensibilisation à la sécurité dans les 30 jours suivant l'embauche.

Gestion des changements

L'accès pour ces nouvelles recrues doit également être accordé de manière conforme. Cela signifie utiliser une matrice de rôles et de responsabilités pour attribuer l'accès aux systèmes, faire réviser et approuver l'accès accordé par un administrateur ou un responsable, et documenter le changement à des fins d'audit.

En fait, tous les changements doivent suivre un processus similaire qui doit être documenté et renvoyé à une politique. Les changements liés à l'infrastructure et au code doivent être examinés et approuvés par une personne autre que l'auteur, correctement testés et inclure des procédures de retour en arrière au cas où le changement doit être annulé.

Politiques et procédures

Des politiques et des procédures doivent être mises en œuvre pour toutes les exigences de sécurité opérationnelle et technique spécifiant comment les contrôles sont respectés dans tout l'environnement. Des exemples de politiques à maintenir sont :

• Gestion des vulnérabilités
• Gestion des risques
• Protection des données
• Sécurité du réseau
• Sécurité du développement logiciel

Ces politiques doivent inclure un libellé lié à toutes les exigences SOC 2, y compris qui est le propriétaire du contrôle, à quelle fréquence le contrôle est effectué, quels outils sont utilisés, et le processus de réalisation des contrôles.

Tâches récurrentes

De nombreuses tâches nécessitent des récurrences régulières pendant la période d'audit. Suivre ces tâches pour s'assurer qu'elles sont accomplies est crucial pour le succès de votre audit et votre capacité à maintenir la conformité tout au long de l'année.

Des exemples de ces tâches peuvent inclure des examens trimestriels d'accès logique, des analyses trimestrielles de vulnérabilité, un exercice annuel de simulation de réponse aux incidents, un test de pénétration annuel et des évaluations annuelles des risques. Il est possible que certains auditeurs exigent des fréquences différentes pour ces tâches, il est donc important d'utiliser un outil pour un suivi et des rappels faciles.

Gestion des risques

La mise en place d'un programme de gestion des risques approprié est nécessaire pour le SOC 2. Cela inclut la réalisation d'une évaluation des risques contre tous les risques opérationnels et techniques potentiels, l'évaluation et la notation des risques dans une documentation maintenue, puis la mise à jour des risques avec un calendrier d'atténuation incluant le processus de réévaluation des risques à une date ultérieure.

5. Identifier les tâches techniques nécessaires pour préparer un audit SOC 2.

Les tâches techniques sont la deuxième grande catégorie des exigences et types de contrôles. Les tâches techniques consistent à mettre en œuvre les configurations de sécurité réelles liées à vos données sensibles de clients, à garantir que les systèmes concernés sont sécurisés et à établir des contrôles autour de la surveillance et de la découverte des incidents de sécurité. Cela inclut :

Gestion des vulnérabilités

Les vulnérabilités doivent être identifiées et corrigées pour toute plateforme ou application gérée au sein de votre environnement. Une approche multi-couches de la découverte des vulnérabilités, qui inclut la surveillance des flux de sécurité tels que US-CERT et CISA.gov pour les vulnérabilités susceptibles d'affecter la technologie et les applications que vous utilisez en tant qu'organisation, est idéale.

Un autre aspect important de la gestion des vulnérabilités est la mise en place d’un processus de scan des vulnérabilités. Pour l'infrastructure cloud, cela pourrait impliquer l'utilisation d'un service cloud tel qu'AWS Inspector ou Azure Defender pour le cloud. Pour les applications, cela consisterait à utiliser SAST et DAST. Le SAST est un test d'analyse de sécurité contre le code source pendant le cycle de vie du développement logiciel et le DAST serait un scan de vulnérabilité externe contre votre application elle-même. Utiliser une combinaison de SAST et de DAST est la meilleure façon de mettre en place un programme solide de scan des vulnérabilités.

Enfin, vous devriez effectuer des tests de pénétration chaque année et lors de changements importants. Utiliser un partenaire externe pour réaliser un test de pénétration vous aidera à découvrir des vulnérabilités et des faiblesses allant au-delà des capacités d'un scanner de vulnérabilités.

Les clients de Secureframe peuvent travailler avec n'importe lequel des testeurs de pénétration de notre écosystème de partenaires de confiance.

Chiffrement

La mise en œuvre d'un chiffrement robuste pour les données sensibles au repos et lors du transit sur des réseaux publics est requise pour SOC 2 et essentielle pour la sécurité des données de vos clients.

Journalisation et surveillance

La journalisation et la surveillance des applications, des plateformes et des données sont essentielles pour garantir que les processus et les configurations établis fonctionnent comme prévu. Activer la journalisation dans l'environnement et définir des métriques de surveillance de la sécurité pour des événements tels que des tentatives d'accès logique multiples échouées, des modifications de systèmes de fichiers critiques et des actions entreprises par les administrateurs aidera votre équipe à découvrir rapidement les incidents de sécurité et les erreurs de configuration dans votre environnement.

Configuration sécurisée des serveurs, des postes de travail et du réseau

Sécuriser les serveurs, les postes de travail et les réseaux commence par garantir que toutes les ressources de votre environnement sont configurées conformément aux bases de sécurité standard du secteur et des fournisseurs, y compris les exigences de configuration définies par l'AICPA. Celles-ci incluent le chiffrement des disques durs, les logiciels antivirus, les politiques de mot de passe et d'autres exigences de sécurité.

6. Utilisez une plateforme d'automatisation pour optimiser le processus de préparation.

Si vous vous préparez pour un audit SOC 2 pour la première fois, vous pourriez vous poser des questions comme, comment déterminer exactement ce qui est requis ? Une fois que j'ai déterminé les exigences, comment organiser ces tâches et preuves ? Comment mettre en œuvre les contrôles nécessaires pour répondre à ces exigences ?

C'est là que Secureframe entre en jeu.

En utilisant notre plateforme, vous pourrez voir chaque exigence du cadre SOC 2, qui est divisée en tests et contrôles. Vous pouvez passer en revue ces contrôles et déterminer qui, dans votre équipe, doit résoudre le test échoué et assigner cette personne. Vous pouvez également planifier une fenêtre de tolérance pour ce test afin que lorsque les tâches doivent être répétées, des notifications automatiques soient envoyées au responsable du test. Cela vous aidera à gérer toutes les exigences du cadre.

Au lieu de fournir des captures d'écran des configurations aux auditeurs, vous pouvez laisser les intégrations Secureframe faire le travail pour vous. Intégrez votre fournisseur de services cloud, votre outil de contrôle de version et d'autres technologies pour extraire automatiquement les données de configuration que Secureframe comparera aux exigences du cadre. Cette comparaison aboutira à un test réussi ou échoué, avec des conseils de remédiation directement fournis dans la plateforme Secureframe.

Secureframe offre également une formation à la sensibilisation à la sécurité intégrée dans la plateforme. Cette formation couvre les exigences SOC 2 afin que vous n'ayez pas à évaluer ou à utiliser un autre fournisseur tiers. Secureframe propose également une formation en sécurité pour d'autres cadres, tels que HIPAA et PCI DSS.

7. Comprenez ce qui est impliqué dans le processus d'audit SOC 2.

Il y a trois étapes principales pendant le processus d'audit. L'aperçu ci-dessous spécifie le processus d'Insight Assurance. Le processus de chaque auditeur varie légèrement, mais les étapes générales restent les mêmes.

Étape 1 : Planification

C'est à ce moment que la société d'audit lance le processus. Pour Insight Assurance, l'objectif est triple. Premièrement, ils veulent comprendre la portée de l'audit. Cela garantit qu'ils incluent uniquement les systèmes, les personnes et les données pertinents dans l'audit. Deuxièmement, ils veulent identifier les données ponctuelles s'ils réalisent un audit de type I ou la période d'examen s'ils réalisent un audit de type II. Troisièmement, ils veulent discuter du calendrier souhaité pour l'audit et définir les attentes.

Une fois qu'ils comprennent la portée, le calendrier et le point de contact, ils procèdent à des entretiens virtuels et des discussions de contrôle. C'est aussi ce qu'on appelle des walkthroughs. C'est à ce moment qu'ils font une plongée approfondie dans votre environnement, vos politiques et procédures.

Étape 2 : Travail sur le terrain

Pendant cette étape, la société effectuera la collecte et les tests de preuves. Chez Insight Assurance, ils ont un membre du personnel ou un auditeur principal qui effectue une revue générale pour s'assurer qu'il n'y a aucun problème avec vos politiques ou intégrations. Une fois cette revue générale terminée, un partenaire ou un membre de la direction effectue une revue détaillée. Ils examinent toutes les preuves et tests effectués pour essayer d'identifier tout problème ou exception potentiel nécessitant des preuves supplémentaires.

Étape 3 : Rapport

À cette dernière étape, la société rédige le rapport avec une opinion, une assertion de la direction, une description du système et un test de contrôles pour s'assurer que vous respectez toutes les exigences SOC 2. Chez Insight Assurance, une fois ce rapport terminé, il passe par un contrôle qualité interne une fois de plus, puis est envoyé au client. Le client a la possibilité de lire toutes les sections du rapport, puis de faire des commentaires ou des suggestions sur la section 3.

Une fois que le client a donné son approbation, la société émet le rapport SOC 2.

8. Utilisez également une plateforme d'automatisation qui simplifie le processus d'audit.

Les auditeurs ont accès à une vue du rapport, montrant les exigences du cadre qu'ils connaissent. La vue du rapport permet à l'auditeur de revoir les preuves mappées à chaque exigence, qu'il peut ensuite facilement documenter dans le rapport préliminaire pour le client.

Secureframe offre aux auditeurs la possibilité d'exporter des preuves directement depuis chaque test ou en masse, permettant aux auditeurs de consulter des preuves hors de la plateforme ou de les télécharger pour un archivage facile.

L'interface utilisateur de Secureframe montre et permet de filtrer les exigences de conformité massives telles que tout le personnel entrant dans le cadre et les configurations de leurs postes de travail, les acceptations de politique et la complétion de la formation à la sensibilisation à la sécurité.

Obtenez et restez en conformité plus rapidement avec Secureframe

Gagner du temps pendant le processus de préparation et d'audit permet d'obtenir une conformité SOC 2 beaucoup plus rapide et efficace. Si vous êtes prêt à commencer, planifiez une démonstration de Secureframe.