• blogangle-right
  • Résumé des heures de bureau de Secureframe : réponses à vos questions de conformité sur SOC, ISO, HIPAA, NIST et plus encore

Table of Contents

Résumé des heures de bureau de Secureframe : réponses à vos questions de conformité sur SOC, ISO, HIPAA, NIST et plus encore

  • December 22, 2022

Vous cherchez des conseils pour préparer un audit SOC 2 ? Vous vous demandez quelles sont les nouveaux contrôles dans ISO 27001:2002 ? Vous ne savez pas si vous devez passer un audit pour être conforme à la HIPAA ?

Notre série Secureframe Office Hours | Ask an Expert est conçue pour être un forum ouvert où les participants peuvent poser leurs questions sur la sécurité, la confidentialité et la conformité à l'un de nos experts internes en conformité ou à nos partenaires d'audit, et entendre ce que pensent et demandent d'autres dirigeants de startups et professionnels de la sécurité.

La quatrième session, qui s'est tenue le jeudi 8 décembre, présentait Cavan Leung, CISSP, CISA, CCSK. Cavan est un ancien auditeur avec plus de huit ans d'expérience aidant les entreprises à améliorer leur posture de sécurité. Cavan aide désormais les clients de Secureframe à se conformer à des cadres tels que SOC 2, GDPR, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001, et d'autres.

Lors de la session de questions-réponses en direct de 30 minutes, Cavan a répondu à des questions sur des sujets allant des audits SOC à la conformité HIPAA. Si vous l'avez manqué, nous récapitulons ses réponses ci-dessous.

1. Comment puis-je accélérer ma préparation à l'audit SOC 2 ?

Cavan : La réponse simple à cela est l'automatisation. Les outils d'automatisation de la conformité accélèrent le processus de mise en conformité avec SOC 2. De plus, faites confiance à vos experts, que vous engagiez des consultants externes pour vous aider à mettre en œuvre les processus et contrôles SOC 2 ou que vous utilisiez une plateforme offrant une expertise en matière de conformité.

Il existe de nombreux outils d'automatisation de la conformité, mais l'avantage de Secureframe est qu'il est tout-en-un. Vous avez un responsable de la conformité dédié pour un soutien complet à chaque étape du processus de conformité SOC 2. Vous avez une surveillance continue. Vous avez les contrôles et les exigences exactes qui doivent être en place. La plateforme entière est facile à utiliser et vous guide tout au long du parcours.

Si vous n'utilisez pas d'outil automatisé ou ne consultez pas un expert, l'auto-éducation est essentielle. Vous devrez comprendre les exigences de SOC 2 et trouver des moyens d'accélérer le processus de mise en œuvre des contrôles pour vous assurer d'être prêt pour un audit externe.

Le guide du fondateur de startup pour SOC 2

Notre guide du fondateur de startup pour SOC 2 vous donne les informations et les conseils dont vous avez besoin pour que votre startup soit conforme rapidement afin que vous puissiez conclure plus d'affaires et développer votre entreprise.

2. Quelle est la différence entre les politiques et les procédures ? De plus, pour une entreprise poursuivant à la fois SOC et NIST 800-53, est-il préférable d'avoir des politiques basées sur NIST et de les appliquer à SOC ou des politiques basées sur SOC et de les appliquer à NIST ?

Cavan : Chaque organisation doit avoir un ensemble de politiques de sécurité de l'information. La différence entre les politiques et les procédures est que, généralement parlant, les politiques sont un ensemble de directives ou de règles que le personnel de l'entreprise doit suivre (le « quoi »). Les procédures sont généralement les instructions étape par étape sur la manière exacte dont ces directives ou règles peuvent être atteintes (le « comment »).

Notre plateforme Secureframe offre des politiques de sécurité de l'information qui sont applicables à travers les cadres. Donc, que vous choisissiez SOC 2, NIST ou les deux, notre ensemble de politiques de sécurité de l'information sera applicable.

Si vous achetez SOC 2, vous recevrez l'ensemble des politiques de sécurité de l'information nécessaires pour répondre aux critères SOC 2. Si vous achetez NIST, vous recevrez l'ensemble de base des politiques de sécurité de l'information ainsi que les modèles supplémentaires dont vous avez besoin pour répondre aux exigences procédurales.

3. Quels sont les contrôles supplémentaires nécessaires pour la mise à jour ISO 27001?

Cavan: Il y a 11 nouveaux contrôles de l'annexe A pour ISO 27001:2022. La plupart, sinon tous, de ces contrôles étaient déjà implicitement couverts dans ISO 27001:2013. Dans la version plus récente, ils les ont appelés des contrôles individuels pour fournir plus de clarté, de transparence et d'intuitivité.

Un exemple d'un nouveau contrôle est la gestion de la configuration — ainsi s'assurer que si vous configurez votre infrastructure cloud, cela passe par des processus de gestion des changements appropriés. Cela faisait déjà partie d'un contrôle existant de la version 2013, mais ils l'ont séparé dans la version 2022 pour le rendre plus clair.

D'autres contrôles incluent les activités de surveillance, que la plupart des organisations effectuent dans le cadre de la surveillance de leur infrastructure cloud, par exemple. Un autre est l'intelligence des menaces, assurant que vous avez des capacités en place pour surveiller les menaces et les vulnérabilités.

Voici ci-dessous les 11 nouveaux contrôles:

  1. Renseignement sur les menaces: Les informations relatives aux menaces à la sécurité de l'information doivent être collectées et analysées pour produire des renseignements sur les menaces.
  2. Sécurité de l'information pour l'utilisation des services cloud: Les processus d'acquisition, d'utilisation, de gestion et de sortie des services cloud doivent être établis conformément aux exigences de sécurité de l'information de l'organisation.
  3. Préparation des TIC (technologies de l'information et de la communication) pour la continuité des activités: La préparation des TIC doit être planifiée, mise en œuvre, maintenue et testée en fonction des objectifs de continuité des activités et des exigences de continuité des TIC.
  4. Surveillance de la sécurité physique: Les locaux doivent être continuellement surveillés pour détecter tout accès physique non autorisé.
  5. Gestion de la configuration: Les configurations, y compris les configurations de sécurité, du matériel, des logiciels, des services et des réseaux doivent être établies, documentées, mises en œuvre, surveillées et examinées.
  6. Suppression des informations: Les informations stockées dans les systèmes d'information, les dispositifs ou tout autre support de stockage doivent être supprimées lorsqu'elles ne sont plus nécessaires.
  7. Masquage des données: Le masquage des données doit être utilisé conformément à la politique spécifique de l'organisation en matière de contrôle d'accès et d'autres politiques spécifiques connexes, et aux exigences commerciales, en tenant compte de la législation applicable.
  8. Prévention des fuites de données: Les mesures de prévention des fuites de données doivent être appliquées aux systèmes, réseaux et tout autre dispositif qui traitent, stockent ou transmettent des informations sensibles.
  9. Activités de surveillance: Les réseaux, systèmes et applications doivent être surveillés pour détecter un comportement anormal et des actions appropriées doivent être prises pour évaluer les incidents potentiels de sécurité de l'information.
  10. Filtrage Web: L'accès aux sites Web externes doit être géré pour réduire l'exposition au contenu malveillant.
  11. Codage sécurisé: Les principes de codage sécurisé doivent être appliqués au développement de logiciels.

Lecture recommandée

Mises à jour ISO 27001:2022 simplifiées: Les principaux changements à connaître

4. Quelle est la meilleure pratique lorsque vous décidez d'ajouter des politiques de sécurité ?

Cavan : Vous devez savoir ce qui vous pousse à créer de nouvelles politiques de sécurité. Peut-être essayez-vous de répondre aux exigences de certains cadres de conformité. Ou peut-être qu'un client exige certaines politiques avant qu'un accord puisse avoir lieu.

Une fois que vous comprenez le « pourquoi » de la mise en œuvre de nouvelles politiques, vous devez évaluer les politiques que vous avez déjà en place, puis ajouter de nouvelles sections ou un nouveau langage dans vos politiques existantes ou créer de nouvelles politiques. De cette façon, vous n'avez pas de langage répétitif ou contradictoire dans vos politiques de sécurité de l'information.

5. Que recherchent la plupart des startups en matière de certifications d'audit et de conformité ?

Cavan : Si vous faites principalement des affaires en Amérique du Nord, le cadre de conformité le plus populaire est le SOC 2. En gros, SOC 2 est un ensemble d'exigences de sécurité de l'information qu'une organisation doit avoir en place. C'est une attestation, pas une certification. Ce que cela signifie, c'est qu'il est nécessaire de faire l'objet d'un audit externe par rapport aux exigences SOC 2. Une fois que l'auditeur a terminé, il fournira une opinion sur la conception et l'opération de vos contrôles. C’est pourquoi on l'appelle une attestation : c’est une opinion d'un cabinet d'audit sur votre conformité au SOC 2.

En dehors de l'Amérique du Nord, le cadre de conformité le plus populaire est l'ISO 27001. Il est reconnu mondialement. Contrairement au SOC 2, ISO 27001 est une certification. Cela signifie qu'une fois que vous êtes audité en externe par un cabinet d'audit ISO accrédité, vous recevrez un certificat attestant que votre organisation dispose d'un SGSI et est conforme aux exigences ISO 27001.

C'est la principale différence entre les deux du point de vue des affaires et de l'audit.

Lecture recommandée

SOC 2 vs ISO 27001 : Quelle est la différence et quelle norme est nécessaire ?

6. Qui peut effectuer un audit HIPAA et à quoi ressemble ce processus ?

Cavan : HIPAA est une loi. Chaque fois que vous traitez des DSI, que vous soyez une entité couverte (comme un hôpital ou une clinique) ou un partenaire commercial (comme un fournisseur d'hôpital traitant des DSI en son nom), vous devez respecter la loi HIPAA. Il n'existe pas de certification officielle pour HIPAA. De nombreuses entreprises procèdent à un audit HIPAA externe pour avoir l'assurance supplémentaire qu'elles respectent la loi comme elles le devraient, mais vous n'êtes pas tenu de réaliser un audit externe pour être conforme à la HIPAA.

De nombreux cabinets d'audit proposent une offre combinée pour plusieurs cadres, comme SOC 2 et HIPAA par exemple. Donc, si une organisation fait déjà l'objet d'un audit SOC, elle peut également être audité pour HIPAA pour cette assurance supplémentaire.

Le guide ultime de HIPAA

Si vous êtes une entité de soins de santé ou un fournisseur qui traite des informations médicales sensibles, lisez ce guide pour découvrir ce qu'est la HIPAA et comment y être conforme.

7. Mon entreprise fournit des logiciels pour les institutions financières et nous poursuivons pour la première fois la conformité SOC 2. De quoi notre programme de sécurité de l'information a-t-il besoin pour la conformité SOC 2 par rapport à la conformité NIST ?

Cavan : Cela dépend en fin de compte de la demande de vos partenaires commerciaux et de vos clients. SOC 2 est super. C’est un cadre général de sécurité de l’information qui peut être applicable à de nombreux types d’organisations. Selon le NIST en question — il y a le NIST CSF, le NIST 800-53 et d’autres — ils sont plus orientés vers le secteur fédéral. Donc, si vous travaillez avec des agences fédérales, cela vous orientera vers le NIST ou le FedRAMP. Je vous conseille donc de l'examiner du point de vue de la demande. Si les clients ou les partenaires commerciaux demandent SOC 2, alors obtenez SOC 2. S’ils demandent NIST 800-53, obtenez celui-ci.

Si vous voulez poursuivre et mettre en œuvre un programme de conformité en matière de sécurité de l’information juste pour l’avoir — et toute organisation devrait le faire indépendamment de la demande — SOC 2 et NIST CSF sont tous deux de très bons points de départ. Les deux cadres incluent des contrôles et processus communs et de haut niveau en matière de sécurité de l’information qui fonctionnent dans de nombreuses industries. Une fois que vous les avez établis, vous pouvez créer des contrôles plus prescriptifs et granuleux pour un cadre comme FedRAMP.

Par exemple, dans SOC 2, il y a une exigence pour avoir un contrôle d'authentification, comme un identifiant d'utilisateur unique et un mot de passe ou une clé SSH en place. Dans un cadre plus prescriptif comme FedRAMP, il y a des contrôles plus granulaires comme vous devez vous authentifier via un mot de passe d'au moins 8 caractères et une certaine complexité.

8. Quelles qualifications une société d'audit doit-elle avoir ?

Cavan : En général, cela dépend du cadre. Par exemple, l'ISO 27001 exige qu'une société d'audit soit accréditée avant de pouvoir effectuer des audits ISO. SOC 2 exige qu'une société d'audit respecte le jeu de règles et les directives de l'AICPA. Un expert-comptable certifié doit également émettre l’avis. PCI exige qu'un QSA effectue l'audit. Ainsi, différents cadres ont des directives ou des qualifications différentes pour les auditeurs.

Avant de décider d'une société d'audit, vous devez faire des recherches pour déterminer si elle est accréditée ou respecte une instance dirigeante telle que l'AICPA ou suit autrement les directives nécessaires.

Vous devez également prendre en compte l'expérience, la réputation, le coût, les clients du portefeuille et leur capacité à répondre aux attentes quant au moment où vous avez besoin de l'audit terminé.

Restez à l'écoute pour les prochaines Secureframe Office Hours | Demandez à un Expert

Nous allons continuer à organiser régulièrement des Secureframe Office Hours tout au long de 2023. Restez à l’écoute pour les mises à jour.