Entretien avec un auditeur SOC 2 : Que recherche un auditeur lors de l'audit ?

  • July 27, 2021
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Si vous êtes une entreprise de services, devenir conforme aux normes SOC 2 est une étape importante.

Avec le nombre croissant de menaces cybernétiques, les clients se sentent plus à l’aise avec une entreprise qui passe ce type d’examen.

Mais si vous lisez ce guide, il y a de fortes chances que vous le sachiez déjà.

La question devient maintenant : Que pouvez-vous faire pour vous préparer à un audit SOC 2 ?

Pour vous aider, nous avons interviewé l’auditeur K.C. Fikes, responsable de la pratique d'analyse de données chez The Cadence Group.

Il a répondu à certaines de nos questions les plus fréquemment posées.

Mais commençons par un petit aperçu des audits SOC 2.

Qu'est-ce qu'un audit SOC 2 ?

Les audits SOC 2 analysent les opérations et les contrôles des organisations de services en termes de « principes de confiance » décrits par l’AICPA (American Institute of Certified Public Accountants), qui incluent :

  • Sécurité (souvent appelée « critères communs ») : Les contrôles que vous devez avoir pour protéger les données confidentielles contre tout accès non autorisé.
  • Disponibilité : Les contrôles qui vous aident à vous assurer que vos services sont disponibles pour les clients, les employés et les consommateurs lorsqu'ils en ont besoin.
  • Intégrité du traitement : Les normes que vous avez en place pour votre système de traitement (c.-à-d., comment vous assurez-vous que vos systèmes fournissent des données fiables et précises aux clients ?).
  • Confidentialité : Les contrôles et les normes qui vous aident à gérer, classer, accéder et protéger les données confidentielles des clients.
  • Confidentialité des informations : Les contrôles que vous utilisez pour garder les informations sensibles de vos clients privées.

Voici un schéma rapide de comment tout cela fonctionne ensemble :

Tous ces principes travaillant ensemble vous aident à protéger efficacement les données des clients. Le seul principe requis pour devenir conforme aux normes SOC 2 est le principe de « Sécurité », mieux connu sous le nom de « critères communs ».

Cela dit, la meilleure façon de comprendre les audits SOC 2 est de « se mettre dans la tête » d'un véritable auditeur.

Alors nous en avons interrogé un.

Que recherchez-vous lorsque vous examinez une organisation ?

« En supposant que vous êtes de type II, nous intervenons quelques semaines avant la fin de la période d'examen. Nous commencerons par une réunion de démarrage et nous discuterons avec les principaux acteurs et demanderons des populations (par exemple, des instances de certaines fonctions technologiques en opération, comme un changement de logiciel ou des journaux de surveillance de la sécurité).

« À partir des populations, nous en sélectionnerons quelques-unes pour vérifier si le contrôle fonctionnait. Par exemple, nous pourrions sélectionner 10 des 100 modifications logicielles effectuées pendant la période d'examen et vérifier si elles ont été examinées par des pairs.

« Ensuite, nous testerons chaque échantillon par rapport à chaque contrôle.

« Après cette évaluation, si tout s'est bien passé, nous commencerons à rédiger le rapport. »

Mais que se passe-t-il si l'un de vos contrôles ne fonctionne pas correctement ?

« Si nous échantillonnons quelque chose et ne répondons pas à l’attribut d’un contrôle, nous allons à l'entreprise pour voir ce qui s'est passé. Nous disons au client qu'il nous manque quelque chose. Y a-t-il des preuves pour que cet échantillon réponde aux contrôles ? Ensuite, nous examinerons l'échantillon qui n'a pas réussi. Nous pourrions également élargir les échantillons pour analyser s'il s'agissait simplement d'un cas isolé ou voir s'il s'agit de quelque chose de plus systémique.

« Si c'était un cas isolé, nous noterons une exception. Si ce n'était pas le cas, nous pourrions dire que c'était un échec du contrôle. Nos rapports mentionneraient ces exceptions et échecs. »

Pour obtenir une explication plus détaillée des audits SOC 2, nous vous suggérons de lire notre guide complet sur le SOC 2.

Combien de temps dure un audit ?

Les audits SOC 2 peuvent être divisés en deux principaux types : Type I et Type II.

La durée de votre audit dépendra du type de rapport que vous recherchez.

Voici la portée moyenne de chaque rapport fourni par K.C. Fike :

  • Type I : Environ un mois et demi.
  • Type II : Quelques semaines de plus. Du coup d'envoi à la remise du rapport, cela prend environ deux mois.

Si c'est votre première évaluation SOC 2, nous vous suggérons de commencer par un rapport SOC 2 Type I, car ce sont des audits plus simples qui peuvent vous aider à vous préparer pour un rapport Type II.

Quelles sont les différences entre les rapports de type I et de type II dans un audit SOC 2 ?

La principale différence entre SOC 2 Type I et SOC 2 Type II réside dans la durée de chacun.

Les rapports SOC 2 Type I analysent la performance de vos contrôles à un moment donné (par exemple, rapport SOC 2 pour le 15 mai 2021).

Les rapports SOC 2 Type II analysent la performance de vos contrôles sur une période plus longue (par exemple, rapport SOC 2 du 15 mai 2021 au 15 juillet 2021).

Fikes mentionne également d'autres différences cruciales entre chaque type de rapport, les décomposant pièce par pièce.

Selon Fikes, ces rapports se composent des éléments suivants :

Type I

  • Opinion de l'auditeur
  • Opinion du client
  • Narratif
  • Cartographie des contrôles aux TSC

Type II

  • Opinion de l'auditeur
  • Opinion du client
  • Narratif
  • Cartographie des contrôles aux TSC
  • Réponse de la direction

Notre guide SOC 1 vs. SOC 2 fournit une explication plus détaillée de tous les éléments impliqués dans les différents types de rapports. C'est un excellent moyen d'approfondir votre compréhension de ce sujet.

Quels contrôles spécifiques les entreprises ont-elles généralement du mal à passer ?

Comprendre les lignes directrices générales pour devenir conforme SOC 2 est important, mais qu'en est-il des défis les plus courants ?

Fikes suggère de prêter une attention particulière aux contrôles suivants, car les organisations ont souvent des difficultés avec eux :

  • Contrôles non habituels : « Ces contrôles qui ne fonctionnent pas aussi fréquemment que d'autres car ils sont oubliés (par exemple, oublier de faire des évaluations de risques annuelles ou des examens annuels). »
  • Contrôles peu clairs : « Des contrôles qui n'ont pas de politiques ou de procédures clairement définies (par exemple, obtenir beaucoup de données d'un outil de journalisation mais ne pas savoir comment y répondre correctement). »

« Il est important d'avoir une gestion organisationnelle très claire sur la manière de traiter les contrôles. »

Quels sont les principaux signaux d'alarme que vous recherchez lors d'un audit ?

C'est là que ça devient intéressant.

Comme le dit Mark Grey : « Une équipe n'est aussi forte que ses personnes les plus faibles. »

De la même manière, votre conformité SOC 2 dépendra non pas de vos meilleurs contrôles, mais de vos plus faibles.

La meilleure façon de se préparer à un examen SOC 2 est d'analyser vos contrôles et d'identifier lesquels sont les moins efficaces. C'est là que vous devriez concentrer la plupart de votre attention.

Pour vous aider, Fikes a identifié certains des principaux signaux d'alarme auxquels vous devriez faire attention :

  • Responsabilités : « Absence de responsabilité de contrôle (par exemple, les propriétaires de contrôle ne savent pas quelles sont leurs responsabilités). »
  • Portée : « Pas de définition de la portée (par exemple, quelles applications/infrastructures sont nécessaires pour une évaluation SOC 2 ?). »
  • Évaluation de préparation : « Aucun projet de préparation réalisé. »
  • Manque de préparation : « Les contrôles cessent de fonctionner. »
  • Incohérences : « Les processus/technologies changent mais les contrôles ne correspondent/répondent pas. »

En faisant attention à ces éléments, vous serez mieux préparé pour votre audit SOC 2.

Il est également très important d'effectuer une évaluation de préparation avant votre examen. De cette façon, vous pouvez repérer les problèmes potentiels avec vos contrôles et les corriger avant que l'auditeur ne vienne analyser votre entreprise.

Le manque de préparation est l'une des principales raisons pour lesquelles les organisations échouent à un audit SOC 2.

Avez-vous quelques derniers mots pour les entreprises qui se préparent à un audit SOC 2 ?

À ce stade, vous comprenez déjà les bases pour devenir conforme au SOC 2.

Pour vous aider à mieux vous préparer, nous avons demandé à Fikes quelques conseils supplémentaires à prendre en compte.

Voici ce qu'il a dit :

  • “Ayez une idée claire de la façon dont vous gérez le processus de conformité.”
  • “Définissez un responsable ou une personne chargée de gérer la conformité à grande échelle.”
  • Ayez un budget pour faire de la sécurité une priorité pour les ressources, les outils et le personnel.”
  • “Assurez-vous que la haute direction adhère véritablement.”

Le dernier point est particulièrement crucial.

Si la direction ne soutient pas vraiment votre conformité de sécurité, vous rencontrerez de nombreux problèmes tout au long du processus.

Une évaluation SOC 2 doit être complètement alignée avec les objectifs et buts de l'entreprise.

Nous vous suggérons de planifier une réunion avec votre équipe de direction pour discuter de tous les avantages d'un examen SOC 2 et vous assurer qu'ils sont pleinement engagés dans le processus.

Êtes-vous prêt pour le processus de certification SOC 2 ?

Les examens SOC 2 aident les organisations de services à s'assurer qu'elles ont les meilleurs contrôles en place pour protéger les données confidentielles des clients.

En devenant conforme au SOC 2, vous êtes en mesure de protéger un de vos actifs les plus précieux : les données.

Nous espérons que les réponses fournies aujourd'hui pourront vous aider à mieux vous préparer à votre examen et à bien commencer.

Et, si vous avez besoin de conseils plus approfondis pour votre conformité en matière de sécurité, Secureframe pourrait être en mesure de vous aider. Pour voir par vous-même, lisez notre page de présentation de produit pour en savoir plus sur notre processus.