Vous ne savez pas à quoi vous attendre de votre auditeur avant, pendant et après le processus d'audit ? Vous vous demandez quels critères utiliser pour sélectionner un auditeur ou une entreprise d'audit ? Vous ne savez pas comment déterminer votre fenêtre d'audit ?

Notre série Secureframe Office Hours | Ask an Expert est conçue pour vous permettre d'obtenir des informations, des meilleures pratiques et des réponses à vos questions sur tous les aspects du processus de conformité, y compris avant et après un audit.

Cette série est un forum ouvert pour que les participants puissent obtenir des réponses à leurs questions sur la sécurité, la confidentialité et la conformité par l'un de nos experts en conformité interne ou nos partenaires d'audit, et pour entendre ce que d'autres organisations axées sur la sécurité pensent et demandent.

La troisième session, qui s'est tenue le jeudi 17 novembre, a présenté Steve Seideman, CISSP, directeur du piratage éthique chez Prescient Assurance. Steve est un auditeur avec près de 30 ans d'expérience dans les domaines de la sécurité, de la confidentialité et de la conformité.

Au cours de cette session de questions-réponses en direct de 30 minutes, Steve a répondu à des questions spécifiques à l'audit qui sont au premier plan pour les leaders de startups et les professionnels de la sécurité. Si vous l'avez manqué, nous récapitulons ses réponses ci-dessous.

1. Quels outils sont utilisés pour auditer la sécurité et la conformité du système d'une organisation ?

Steve: Secureframe lui-même est l'outil principal que nous utilisons chez Prescient Assurance lorsque nous réalisons des audits. Bien sûr, Secureframe dispose de centaines d'intégrations et de pièces d'automatisation qui font partie de ce processus, comme les appels API et les vérifications. Par exemple, si vous connectez votre environnement AWS, la plateforme Secureframe interrogera votre environnement AWS pour trouver un certain nombre de paramètres de configuration différents. Nous comptons sur Secureframe pour effectuer ce type de travail pour nous.

2. Comment mesurez-vous la conformité au RGPD ? Pour une entreprise à l'échelle mondiale, quelles mesures spécifiques pouvons-nous prendre ?

Steve: Je vais donc commencer par répondre aux questions sur le RGPD par une note importante : Les normes de confidentialité, comme le RGPD, CCPA, HIPAA, les normes de confidentialité du Canada et d'autres normes de confidentialité réglementées par les gouvernements n'ont pas d'organisme de réglementation qui définit ce que signifie être conforme à ces normes.

Lorsque nous réalisons un audit SOC 2 ou un audit ISO 27001, par exemple, il y a un organisme de réglementation qui dit ce que signifie être conforme et définit les normes selon lesquelles un audit doit être effectué. Il n'y a rien de tel pour le RGPD.

Ce que cela signifie réellement, c'est que la conformité au RGPD dépend de l'opinion de l'auditeur ou, dans de nombreux cas, de l'opinion de l'entreprise qui déclare être conforme à cette norme. Donc, quand vous demandez ce qu'il faut pour être conforme au RGPD, la réponse est que c'est ce que vous pensez qu'il faut, car personne ne dit que vous n'êtes pas conforme au RGPD. À moins, bien sûr, que vous ayez une violation importante de la confidentialité et qu'un organisme de régulation de l'UE vous inflige une amende pour non-conformité.

Je voulais donc d'abord préciser clairement que lorsque nous faisons une attestation de conformité à une norme de confidentialité comme le RGPD, c'est notre avis et nous suivons les principes d'audit généralement acceptés pour mener cet audit.

Chez Prescient Assurance, nous avons décomposé les divers contrôles technologiques et de gouvernance définis dans la législation RGPD et les avons appliqués à ces pièces de législation. Il existe plusieurs façons de le faire. Secureframe a, par exemple, sa cartographie des contrôles. Vous pouvez également consulter la loi elle-même et ce qu'elle vous demande de faire. La chose principale à retenir concernant les contrôles de confidentialité en général est qu'ils exigent de la transparence. Ils vous obligent à définir très clairement ce que vous faites et pourquoi vous le faites, si vous partagez des données avec quelqu'un, avec qui vous les partagez, et ils vous obligent à obtenir le consentement de toute personne dont vous collectez les données.

Donc, les principales choses à retenir sur la conformité au RGPD sont de savoir ce que vous faites et pourquoi vous le faites, et d'être très clair et transparent à ce sujet. C'est principalement ainsi que nous mesurons la conformité au RGPD.

3. Comment le RGPD se rapporte-t-il aux autres normes de confidentialité ?

La loi californienne sur la confidentialité, par exemple, est très étroitement alignée sur le RGPD de l'UE. La loi canadienne sur la protection des renseignements personnels et les documents électroniques (PIPEDA) est également très similaire.

Les principales différences sont bureaucratiques. Le RGPD a des exigences spécifiques relatives à l'UE, comme avoir une présence dans l'UE, avoir une personne qui se trouve dans l'UE qui est l'officier de confidentialité désigné, définir les données personnelles comme les informations personnelles des résidents de l'UE, ce genre de choses.

Dans le large spectre des exigences, elles sont à peu près les mêmes. Donc encore une fois, la transparence, la clarté et le consentement sont les choses principales.

4. À quoi une organisation peut-elle s’attendre lors d'un audit initial ?

Steve : Lorsque vous passez un audit initial, l'une des choses les plus importantes à examiner et à attendre est que vous ne soyez peut-être pas à cent pour cent conforme. Il peut y avoir des choses que vous n'avez pas faites ou qui sont encore en cours.

En général, les cabinets d'audit doivent tenir compte de la maturité de votre programme de sécurité et de conformité et des risques qui s'appliquent à votre organisation. Par exemple, il est généralement peu risqué de ne pas avoir complètement documenté tous les détails de votre programme, mais il serait généralement très risqué de ne pas avoir un contrôle technique qui empêche vos données d'être exposées à Internet. Donc, lorsque nous faisons des audits, nous sommes censés tenir compte de ce genre de risque.

Les déficiences mineures, comme le fait que votre documentation ne soit pas complète à cent pour cent, sont généralement acceptables dans votre rapport. Beaucoup de gens abordent l'audit en se disant qu'ils veulent être à cent pour cent conformes. Ils ne veulent aucune déficience notée dans leur rapport, et ce n'est pas nécessairement la meilleure approche.

La meilleure approche est de prendre ce que vous faites, de vous assurer que ce que vous faites est mature, répétable et bien documenté, puis à partir de là, de vous soucier des choses que vous ne faites pas encore. Vous pouvez travailler en collaboration avec votre auditeur et avec les équipes de conformité et de support client de Secureframe pour répondre à toutes les questions concernant les choses que vous pourriez encore devoir faire.

5. Est-il vrai que l'auditeur peut identifier des domaines d'opportunité ou d'amélioration et discuter avec l'entreprise auditée afin qu'elle puisse apporter ces ajustements pendant la période d'audit?

Steve : C'est absolument vrai. En particulier, notre position chez Prescient Assurance est que nous aimons être impliqués dans ces conversations le plus tôt possible. Souvent, nous avons été impliqués dans des audits où une organisation croyait être entièrement prête pour l'audit et avaient pris des décisions qui n'étaient pas les meilleures en fonction de leur situation, et nous aurions pu leur éviter des maux de tête si nous avions été impliqués plus tôt.

Notre objectif est que vous réussissiez l'audit. Plus nous pouvons être impliqués tôt, plus nous pouvons nous assurer que nous sommes tous sur la même longueur d'onde et que nous avons tous les mêmes attentes concernant les contrôles. Nous pouvons également répondre aux questions et aider davantage, ce qui est mieux pour nous et pour vous.

6. Que sont les Plans d'Actions et Jalons (POA&Ms) et les Systèmes de Plans de Sécurité (SSPs)?

Steve : Cette terminologie est spécifique aux audits gouvernementaux, à la NIST et à FedRAMP et ce genre de programmes. L'idée derrière ces documents est essentiellement que la plupart des audits ne s'attendent pas à ce que vous soyez parfait au moment de l'audit. L'attente est que des lacunes soient identifiées. Et lorsque vous identifiez une lacune, elle est ajoutée à une sorte de registre de risques et il y a une sorte de plan d'action correctif autour de cet élément particulier. C'est ce qu'est un POA&M. C'est un plan d'action et des jalons pour traiter une lacune identifiée.

Le SSP est plus comme un document descriptif du système pour SOC 2. Ce sont des choses qui définissent la portée et définissent les contrôles autour de votre système.

7. Afin de répondre à toutes les normes des critères des services de confiance, quelles préparations devons-nous faire ? Pouvez-vous me donner un formulaire d'auto-évaluation pour SOC 2 Type II ?

Steve : C'est l'un des domaines où Secureframe excelle. La plateforme Secureframe elle-même est ce processus de préparation et d'auto-évaluation lorsque vous passez par les tâches de préparation et les conseils fournis sur la plateforme. La plateforme va vous inviter à connecter des systèmes et à configurer des systèmes de manière sécurisée. Elle va vous inviter à vous assurer que vous avez des enregistrements de formation à la sécurité, que vous avez correctement intégré les employés, toutes ces choses.

C'est l'argument principal en faveur de l'utilisation d'un outil comme Secureframe : à mesure que vous passez ces vérifications et que ce tableau de bord commence à devenir tout vert, cela vous rassurera pour vous assurer que vous êtes prêt.

8. Je réalise actuellement une analyse des lacunes interne ISO 27001:2013 pour l'entreprise pour laquelle je travaille. Quelles questions dois-je attendre des auditeurs par rapport aux normes ISO 27001 pour une entreprise de 300 personnes?

Steve : C'est une question à laquelle je ne peux répondre que brièvement pour le moment. Il y a environ 150 contrôles, et un auditeur va vous interroger sur chacun d'eux.

Ce que je dirai, c'est que si vous regardez les clauses 4-9 de la norme, cela vous donne une idée du programme global de sécurité de l'information que vous êtes censé avoir. Les clauses sont la partie gouvernance de ceci, et les contrôles en annexe sont plus les détails techniques sur la manière dont vous réalisez les éléments dans les clauses.

Alors, à un niveau élevé, si vous vous concentrez sur les clauses et vous assurez que vous faites les choses que les clauses définissent, vous devriez être généralement en bonne voie.

9. Comment fonctionne la surveillance continue à l'intérieur de Secureframe?

Steve : Comme je l'ai mentionné précédemment, Secureframe a plusieurs composants techniques. Il effectue des vérifications quotidiennes, hebdomadaires et mensuelles de vos différents contrôles. Il utilise donc l'automatisation, là où elle est pratique, pour valider que vos contrôles restent conformes. Il y a également des alertes dans Secureframe qui vous aident avec des tâches plus orientées processus. Vous pourriez par exemple recevoir une alerte indiquant qu'une pièce de preuve que vous avez téléchargée pour l'audit de l'année dernière est expirée et que vous devez télécharger une nouvelle preuve pour l'audit de cette année.

Une autre fonctionnalité importante de la surveillance continue de Secureframe est la capacité de désigner un responsable de test pour tous les tests requis, qui ont été mappés aux différents contrôles que les entreprises doivent mettre en œuvre et garantir le fonctionnement continu.

La plateforme vous permet ensuite de déléguer ces tests, de définir des dates d'échéance, des fréquences et des fenêtres de tolérance. Cela vous permet de suivre qui doit faire quoi, quand, et comment.

10. Comment conseillez-vous d'impliquer les cadres et de les convaincre de l'importance de la conformité en matière de sécurité et de confidentialité afin qu'ils deviennent finalement des défenseurs?

Steve : C'est une question vraiment importante. Si vous n'avez pas un bon soutien de la part de la direction pour toute initiative de sécurité - qu'il s'agisse d'une initiative de conformité ou technique - il est très difficile d'avancer et de faire en sorte que les membres de l'organisation la priorisent. Vous avez besoin de l'aide de l'équipe de direction pour accomplir cela.

Ce que je trouve utile dans ma carrière en travaillant avec des cadres de haut niveau dans des industries hautement réglementées, en général, c'est de dire : « Hé, si nous ne faisons pas cela, les régulateurs vont intervenir et vous allez payer des amendes pour non-conformité. » Donc, si vous êtes dans le secteur de la santé et que vous devez être conforme à la norme HIPAA, vous pouvez adopter cette approche de la carotte et du bâton et dire que si nous devenons conformes, nous serons plus sécurisés et si un régulateur vient examiner nos systèmes, nous ne rencontrerons aucun problème.

Si vous n'êtes pas dans une industrie réglementée et que vous essayez d'obtenir l'adhésion pour des initiatives de sécurité et de conformité, ce que je trouve utile, c'est de regarder un incident de sécurité qui a récemment fait la une des journaux dans le même secteur que le vôtre. Un bon exemple est la récente violation de données significative d'Uber.

Une des choses que nous avons faites chez Prescient Assurance est de regarder cette violation de données et d'analyser quels étaient les contrôles d'audit que nous examinons lorsque nous évaluons quelqu'un qui aurait pu prévenir cela. Nous avons donc demandé ce qui se serait passé si Uber avait passé un audit avec nous? Quels auraient été les contrôles que nous aurions évalués? Et comment ces contrôles auraient-ils empêché cette violation? Nous avons pu identifier cinq contrôles différents à cinq moments différents de ce processus où, si même un seul de ces contrôles avait été efficace et en place pour Uber, ils auraient empêché cette violation de données.

C'est donc vraiment efficace lorsque vous allez voir les dirigeants, et les PDG en particulier, de dire : « Hé, regardez ! Ces gens sont comme nous, et ils subissent beaucoup de douleur publique en ce moment parce qu'ils n'ont pas suivi ce processus. Voici les domaines sur lesquels nous devons nous concentrer pour nous assurer de ne pas avoir le même problème qu'eux. »

Vous pourriez également obtenir leur adhésion simplement en corrélant l'opportunité de conclure des affaires, de recruter de nouveaux clients, de faire croître les revenus et finalement l'entreprise. Presque tous nos clients qui effectuent un audit de première année le font parce qu'un client avec lequel ils essaient de conclure une affaire leur a dit qu'ils devaient le faire.

11. Pouvez-vous commenter sur la différence d'effort pour une entreprise à obtenir les certifications ISO 27001 et ISO 27018 ?

Steve : Cela dépend si l'entreprise a déjà été certifiée ISO 27001 ou non.

Toutes les normes ISO sont axées sur les processus. Donc, le but des normes ISO, du processus d'audit et de la conformité est d'avoir des processus matures et documentés. Si vous avez déjà suivi un processus de certification ISO 27001, vous devriez avoir de bons processus documentés pour maintenir la conformité et la sécurité de votre SGSI. Cela réduit donc considérablement la charge pour obtenir toute autre norme de la série ISO 27000.

L'élément principal en termes de niveau d'effort est la quantité de documentation que vous devrez produire et le niveau de maturité auquel vous attendez que ces processus soient. Donc, dans de nombreux cas, lorsque nous effectuons un audit ISO, nous avons des personnes qui ont beaucoup des bons processus en place, mais il n'y a pas de documentation qui indique comment nous le faisons correctement. 

C'est vraiment le point principal sur lequel il faut se concentrer lorsque vous vous préparez pour l'ISO : regardez les processus requis, assurez-vous que ces processus sont bien documentés et assurez-vous que vous pouvez prouver que vous suivez ces processus de manière cohérente.

12. Que pensez-vous de l'évolution de la sécurité, de l'audit et de l'intégration avec le processus de conformité ?

Laissez-moi commencer par expliquer le modèle traditionnel de la réalisation d'un audit. Cela commence par un long et exhaustif processus d'entretiens. L'auditeur convoquait les personnes dans une salle de conférence une par une et leur posait une série de questions. Ce processus se poursuivait aussi longtemps que nécessaire, jusqu'à ce que les auditeurs soient satisfaits d'avoir interrogé tout le monde. Ensuite, ils faisaient suivre cela par une série de demandes de documents. Puis il fallait des mois pour revenir et examiner toutes ces notes d'entretien d'audit et tous ces documents d'audit. Il y avait beaucoup de suivi comme, "Ce document que vous m'avez donné n'est pas tout à fait correct, et j'en ai besoin d'un autre." Ainsi, il fallait des mois pour déterminer si une entreprise était conforme ou non à la norme examinée.

Ce que vous voyez dans l'évolution de l'espace de la sécurité en général, c'est qu'il y a eu plus d'une poussée pour s'éloigner de l'atteinte de cette sécurité et conformité ponctuelles et vouloir être sécurisé en permanence. C'est pourquoi des plateformes de conformité comme Secureframe représentent l'avenir

Elles surveillent en continu, de sorte que vous savez en permanence si vous êtes conformes ou non. Quand un auditeur arrive et dit, D'accord, montrez-moi que vous faites X, Y, et Z, vous savez exactement où aller pour ces informations et vous pouvez les montrer très rapidement. Non seulement il est plus facile pour vous de savoir si vous êtes conforme ou non — c'est également plus facile pour l'auditeur. 

En tant qu'auditeur, il est beaucoup plus facile d'utiliser une plateforme comme Secureframe car je peux y entrer et voir ce qui est conforme et examiner une série de documents. Je n'ai pas besoin de vous poser de questions, et je n'ai pas besoin de faire une série de demandes de documents. Ainsi, cela fait gagner énormément de temps et d'ennuis à tout le monde, et je pense que c'est la direction que prend l'audit.

Je pense que toute entreprise à ce stade qui ne cherche pas un outil GRC pour mesurer sa conformité, pour prendre ses contrôles et être capable de les mapper à plusieurs normes d'audit, va prendre du retard et rencontrer des problèmes.

Parce qu'aujourd'hui, la plupart des entreprises cherchent non seulement à être conformes au SOC 2 mais aussi au RGPD et au CCPA et à d'autres cadres. Elles cherchent donc à choisir un ensemble de contrôles et à rendre ces contrôles vraiment bons, matures et bien documentés afin de pouvoir les appliquer à toute norme d'audit dont elles ont besoin. Cela fonctionne car la plupart des cadres se chevauchent à un niveau de quatre-vingts à quatre-vingt-dix pour cent. Donc, si vous êtes fortement conforme au SOC 2, vous êtes probablement fortement conforme à l'ISO et à d'autres normes. C'est la direction que je vois prendre l'industrie de la conformité. 

13. Comment puis-je prioriser mon temps pour être prêt pour l'audit et par où commencer ?

Dans tout processus d'audit, je recommande fortement de commencer par vos politiques. Assurez-vous que vos politiques reflètent vraiment ce que vous faites, et non ce que vous pensez que la norme veut que la politique dise. Encore une fois, il vaut bien mieux avoir des processus bons, matures et bien documentés qui sont réels que de dire quelque chose que vous pensez devoir faire mais que vous ne faites pas réellement.  

Ensuite, assurez-vous que vos employés comprennent les politiques et leurs responsabilités et tâches associées à ces politiques. Ensuite, assurez-vous qu'ils suivent réellement vos politiques. Par exemple, si l'une de vos politiques stipule que vous ferez des évaluations de performance trimestrielles, faites des évaluations de performance trimestrielles et fournissez de la documentation. 

Et enfin, priorisez les contrôles techniques. Assurez-vous que votre pile technologique est sécurisée, que les processus autour de votre technologie sont sécurisés. 

Donc, c'est le processus en trois étapes que je recommanderais : assurez-vous que vos politiques sont correctes, assurez-vous que votre personnel est entièrement aligné sur ces politiques, et ensuite assurez-vous que votre pile technologique est solide.

Rejoignez notre prochain webinaire Secureframe Expert Insights

Nous organisons régulièrement des webinaires Secureframe pour aborder les plus grands points de douleur en matière de sécurité, de confidentialité et de conformité que nous entendons de la part des prospects, des clients et de nos experts internes en conformité. Trouvez les prochains webinaires ainsi que des enregistrements à la demande de ceux passés dans notre bibliothèque de ressources de conformité.