Entretien avec un auditeur SOC 2 : Pourquoi un auditeur qualifierait-il son opinion sur un rapport SOC 2

  • July 27, 2021
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Reviewer

Anna Fitzgerald

Senior Content Marketing Manager at Secureframe

Vous préparez votre premier audit SOC 2 et vous vous inquiétez de ne pas réussir ? Vous vous demandez ce qui empêche exactement les entreprises d'être approuvées ?

Pour vous aider à comprendre cela, nous avons interviewé K.C. Fike, Responsable de la pratique d'analyse des données chez The Cadence Group, qui a plus d'une décennie d'expérience dans la révision des processus informatiques et la gestion des données au sein des entreprises.

Cette interview couvre ce qu'est un rapport SOC 2 et en quoi il diffère du SOC 1, les principales raisons pour lesquelles les auditeurs ne vous donneront pas le rapport, et comment vous pouvez éviter ces problèmes.

Il explique également comment interpréter les résultats du rapport SOC 2 lorsque vous les recevez (car ils ne se contentent pas d'écrire réussi ou échoué).

Quelle est la différence entre un rapport SOC 2 de Type 1 et de Type 2 ?

SOC 2 Type 1 : La conception initiale des contrôles

Un rapport de Type 1 est une évaluation de la conception de vos contrôles à un moment donné. Nous examinerons les contrôles, nous assurerons qu'ils sont adaptés à l'environnement et nous regarderons un exemple de contrôle pour nous assurer qu'il est conçu de manière efficace. Par exemple, si l'accent est mis sur la gestion sécurisée des données, vérifier que les paramètres de mot de passe comme le nombre de caractères sont effectivement mis en œuvre, que l'authentification à deux facteurs est utilisée dans toute l'entreprise, et plus encore.

Qui a accès à quelles données est également important, donc mettre en place une hiérarchie en utilisant des contrôles d'accès utilisateur est un autre exemple de contrôle de sécurité des données.

SOC 2 Type 2 : fonctionnement continu des contrôles

Un rapport de Type 2 examine la conception des contrôles pour voir s'ils sont opérés efficacement sur une période de 6 ou 12 mois. Il s'agit donc essentiellement d'un test des contrôles mis en place pour le rapport de Type 1.

C'est à ce moment-là que nous demandons à une entreprise de nous montrer le processus réel en action. Cela inclut tout nouvel employé au cours des 12 derniers mois, et nous ferons un test pour voir s'il a été intégré correctement. Nous pourrions demander à voir les paramètres de mot de passe, l'authentification à deux facteurs, et d'autres mesures de sécurité, les journaux d'accès, les rapports de disponibilité, et plus encore.

Il y a quelques nuances dans le type de rapport. Par exemple, dans le Type 1, nous nous concentrons uniquement sur la liste des contrôles. Mais dans le Type 2, nous montrerons également un tableau des tests que nous avons effectués pour s'assurer que ces contrôles étaient efficaces/inefficaces et les procédures de test.

Pour en savoir plus, vous pouvez lire notre guide détaillé sur le SOC 2.

Comment interpréter les résultats du rapport SOC 2

Dans un rapport SOC 2, les résultats tombent dans l'une des quatre catégories.

  1. Opinion non qualifiée : Aucune inexactitude matérielle ou faille dans les systèmes. C'est votre objectif.
  2. Opinion qualifiée : Il y a des inexactitudes matérielles dans la description des contrôles du système, mais elles sont limitées à des domaines spécifiques.
  3. Opinion défavorable : Il y a suffisamment de preuves pour prouver des inexactitudes matérielles dans la description de vos contrôles et des faiblesses dans la conception et l'efficacité opérationnelle.
  4. Déni d'opinion : Il est impossible d'obtenir suffisamment de preuves pour établir une opinion éclairée.

Cela peut sembler contre-intuitif, mais le meilleur résultat pour le rapport et ce que vous voulez pour votre entreprise est une "opinion non qualifiée".

Dans ce contexte, cela n'indique pas un manque d'information mais que la mise en œuvre de vos contrôles et mesures de sécurité fonctionne exactement comme décrit dans le rapport initial SOC 2 de Type 1.

Les opinions défavorables sont assez rares, car elles concluent essentiellement qu'il y a des problèmes majeurs avec toute la conception de vos mesures de sécurité. Si vous en recevez une, vous devriez recommencer depuis le début, de préférence avec un consultant expérimenté.

Si vous voulez obtenir la conformité SOC 2 pour votre organisation de services, un protocole de contrôle interne robuste est crucial.

Quelles sont les principales raisons pour lesquelles un auditeur ne donnerait pas un rapport SOC 2 non qualifié ?

Si vous payez pour un rapport, vous en aurez toujours un, mais les opinions décideront si vous pouvez ou non prétendre être conforme au SOC 2. Obtenir un rapport ne signifie pas automatiquement que l'intégrité de votre traitement des données est approuvée.

Vous avez besoin d'un rapport SOC 2 avec une opinion sans réserve pour cela.

Ce qui me pousse à délivrer une opinion avec réserve, indiquant des problèmes liés au processus dans certains domaines, est une défaillance des contrôles. Un exemple courant est le non-respect des protocoles initiaux par les nouveaux employés définis dans la conception des contrôles.

Une organisation de services en croissance rapide ou une entreprise ayant fait l'objet d'une acquisition ou d'une fusion est généralement exposée à un risque beaucoup plus élevé de ce problème.

Voici quelques exemples de ce qui affecte négativement l'opinion de l'auditeur :

  • Application incohérente des contrôles entre les employés (même les nouvelles recrues)
  • Application incohérente entre les projets ou les livrables
  • Mesures de sécurité insuffisantes dans la conception initiale des contrôles
  • Employés qui ignorent les protocoles

Les raisons derrière ces problèmes sont souvent liées à :

  • Mauvaise intégration
  • Manque de communication entre les équipes
  • Absence de normes clairement définies dans toute l'entreprise
  • Manque d'implication des parties prenantes clés
  • Absence de surveillance des contrôles internes
  • Changement d'outils ou de processus logiciels
  • Incohérences dans l'ensemble des technologies

Les rapports SOC et le processus d'audit se concentrent sur la cohérence au sein de votre organisation.

Les exigences SOC 2 incluent la gestion des risques, les protocoles de communication, la conception et la surveillance des contrôles, et plus encore.

Bien sûr, sur une période de test de 12 mois, il peut y avoir des exceptions sans que cela signifie que vous échouez automatiquement. Une exception de contrôle ne signifie pas que vous n'obtenez pas de rapport, mais nous la marquons comme une exception.

Par exemple, disons que 2 des 25 modifications de logiciel n'ont pas été revues par des pairs avant d'être mises en production. Nous soulignerions ces problèmes comme des exceptions et donnerions à la direction l'opportunité de les remédier.

Une longue liste d'exceptions peut entraîner une défaillance de vos contrôles de sécurité. Chaque étape du processus est cruciale pour gérer en toute sécurité les données internes et celles des clients.

Je ne délivre une opinion défavorable que lorsque l'environnement de contrôle n'existe pas et qu'il y a des défaillances tout au long du processus. Par exemple, si tout le monde dans l'entreprise peut accéder aux données sensibles des clients et qu'il n'y a pas de mesures de protection comme l'authentification à deux facteurs.

Comment éviter de tomber dans ces erreurs courantes ?

Pour s'assurer que tous les employés suivent le protocole, vous devez en faire partie intégrante de la culture de votre entreprise. Assurez-vous que tous les employés connaissent leurs responsabilités au sein de l'organisation et des processus, même les nouveaux.

Organisez des sessions de formation dans les différents départements et créez une norme unique à suivre pour chaque employé concerné.

À mesure que l'organisation grandit, vous devez intégrer les contrôles et les processus dans votre processus d'intégration et de formation.

Au-delà de cela, vous devriez contacter l'auditeur et poser des questions. Les auditeurs essaient d'être transparents. Faites-leur savoir si vous envisagez quelque chose comme une migration de GCP (Google Cloud Platform) à AWS (Amazon Web Services) et comment cela affecterait leur rapport SOC.

Obtenir votre certification SOC 2 consiste à minimiser les erreurs et les exceptions, alors prenez ce processus au sérieux. Vous devez prouver que vous suivez chaque principe des services de confiance à la lettre.

Cela inclut :

  • Sécurité
  • Disponibilité
  • Intégrité des traitements
  • Confidentialité
  • Vie privée

Ne laissez pas l'erreur humaine entraver votre efficacité opérationnelle.

Quels sont vos conseils pour les entreprises qui prévoient de réaliser une "évaluation de la préparation" avant l'audit SOC 2 ?

Cela dépend de l'organisation. Si vous êtes une petite startup, vous n'avez peut-être pas d'équipe de sécurité de l'information ou de personne ayant une telle expertise dans votre personnel. Mais si vous travaillez avec des entreprises, les clients potentiels demanderont souvent un rapport SOC 2.

Dans ce cas, il est judicieux de faire une évaluation de la préparation pour comprendre les contrôles et vérifier à quel point vous les respectez. Vous devriez l'utiliser comme un moyen de vous préparer. Engagez un consultant tiers, de préférence un auditeur accrédité, plutôt que d'apprendre le processus par vous-même.

L'évaluation de la préparation est une façon pour vous de voir les lacunes que vous avez, alors soyez transparent avec l'auditeur. Ils sont là pour vous conseiller, vous et votre équipe.

Si vous êtes plus expérimenté et que vous avez une équipe dédiée à la sécurité de l'information, que tout le monde a des processus définis et que vous êtes sûr de bien connaître le SOC 2, vous pouvez l'utiliser comme un test interne pour vérifier si vous allez réussir.

Avez-vous des derniers conseils pour les entreprises qui s'inquiètent de ne pas réussir leur audit SOC 2 ?

Si vous craignez de ne pas réussir, commencez par le rapport de type 1 afin de mettre en place un environnement de contrôle adéquat.

Avant de commencer, évaluez tous vos contrôles et processus en interne, faites une évaluation de l'état de préparation et contactez des auditeurs pour obtenir une consultation initiale. Un auditeur n’est pas seulement un juge ou un jury.

Un auditeur est un conseiller qui peut vous aider à vous assurer que vous êtes prêt pour réussir, surtout lorsque vous effectuez une évaluation de type 1 ou de préparation.

Des processus fiables et sécurisés sont la clé de relations client saines.

La raison pour laquelle les clients commerciaux potentiels se soucient de la conformité SOC 2 est que les violations de données sont fatales pour les affaires.

Ils ne peuvent pas se permettre de perdre des clients en divulguant accidentellement des informations sensibles. La conformité SOC 2 est un moyen de prouver que votre entreprise sait comment gérer les données.

Lorsque vous commencez à vous préparer, cela peut sembler une tâche écrasante. Mais avec les bons outils, vous pouvez vous préparer à un rapport SOC 2 réussi en semaines, pas en mois.

Secureframe facilite la mise en œuvre de vos exigences de sécurité, la numérisation de l'ensemble de votre système et la mise en évidence des points faibles de votre pile technologique.

Si vous voulez prendre de l'avance, inscrivez-vous pour une démonstration gratuite aujourd'hui.