Les rapports d'audit SOC 2 peuvent atteindre 100 pages ou plus, couvrant des informations détaillées sur les systèmes et les résultats de l'audit. Une des sections les plus importantes (et les plus longues) du rapport est la description du système.

Les rapports SOC 2 comportent généralement cinq sections principales :

1. Rapport de l'auditeur : Un résumé de l'audit et de ses résultats. Cette section inclut l'avis de l'auditeur sur la conformité de votre environnement de contrôle aux exigences SOC 2.
2. Déclaration de la direction : Les revendications de la direction sur ses systèmes et ses contrôles internes.
3. Description du système : Un aperçu détaillé du système audité, y compris ses composants, ses procédures et ses incidents système.
4. Tests de contrôle : Une description des tests effectués et de leurs résultats.
5. Autres informations : Toutes informations supplémentaires, comme la réponse de la direction à toute exception d'audit.

S'asseoir pour rédiger la description du système peut être intimidant, surtout si vous ne savez pas exactement quoi inclure ou par où commencer. Si cela vous ressemble, vous êtes au bon endroit.

Nous vous expliquerons ce qu'implique une description du système SOC 2, vous guiderons sur la façon de la rédiger et partagerons des exemples réels auxquels vous pourrez vous référer.

Qu'est-ce qu'une description du système SOC 2 et pourquoi est-elle importante ?

Chaque audit SOC 2 se termine par un rapport écrit qui résume la portée et les résultats de l'audit. Certaines sections du rapport SOC 2 sont rédigées par l'auditeur, et d'autres par l'organisation de services.

La description du système SOC 2 est une partie rédigée par l'organisation. C'est un résumé détaillé de vos services et des contrôles que vous avez mis en place pour satisfaire auxCritères des services de confiance pertinents à votre audit.

Expliquons-le de manière encore plus simple. Imaginez que vous possédez une voiture que vous louez à des gens (votre service). La description du système SOC 2 ressemble à un manuel complet pour cette voiture. Il inclurait des informations telles que :

1. À quoi doit servir la voiture (description de vos services).
2. À quelle fréquence elle est entretenue et par qui (informations sur les prestataires de services tiers ou les contractants que vous utilisez).
3. Les différentes caractéristiques de sécurité de la voiture, comme l'assistance de voie, le freinage automatique et les airbags (les contrôles de sécurité que vous avez mis en place pour garantir la sécurité, la confidentialité, la disponibilité, la confidentialité et l'intégrité du traitement des données).
4. Procédures pour utiliser la voiture en toute sécurité (les politiques et processus de votre entreprise).

Ce manuel (ou description du système SOC 2) aide les clients à comprendre ce que vous avez fait pour garantir que vos services sont sûrs, fiables et correctement entretenus. C'est une partie cruciale pour bâtir la confiance avec les clients et les partenaires et démontrer que vous vous engagez aux normes les plus élevées de sécurité de l'information.

Que faut-il inclure dans une description de système SOC 2

Entrons maintenant dans le vif du sujet sur la manière de rédiger une description de système SOC 2.

Une description de système peut être divisée en huit parties de base. Nous passerons en revue chaque partie ci-dessous, inclurons quelques exemples et partagerons des conseils et bonnes pratiques de notre équipe d'experts SOC 2 et d'anciens auditeurs.

Partie 1 : Présentation de l'entreprise et services fournis

La première partie de la description du système donne un aperçu de ce que fait l'organisation.

ABC Company aide les entreprises à attirer et retenir les talents en facilitant la connexion avec les bons candidats. Nous avons levé 100 millions de dollars auprès de sociétés d'investissement, y compris VCFirm1 et VCFirm2, et comptons 10 000 clients dans le monde entier.

La plateforme ABC Company a été développée et construite par ABC Company. La plateforme est hébergée sur l'infrastructure cloud AWS et peut être accédée via le site abc.co.

Partie 2 : Limites du système

Ceci est une description de ce qui est couvert dans le cadre du périmètre de l'audit SOC 2.

Les limites du système prises en compte dans le périmètre de ce rapport sont les systèmes de production, l'infrastructure, les logiciels, les personnes, les procédures et les données soutenant le XYZSystem.

Partie 3 : Organisations sous-traitantes

Rédigez un paragraphe résumant les technologies qui seront discutées dans la description du système. Il peut s'agir d'une simple liste de services que vous utilisez et pourquoi.

ABC Company utilise AWS, une organisation sous-traitante, pour fournir une infrastructure cloud ; Dropbox, une organisation sous-traitante, pour le partage de fichiers basé sur le cloud ; et Slack, une organisation sous-traitante, pour la communication et la collaboration en équipe.

Partie 4 : Engagements de service principaux et exigences système

Dans la section suivante, vous devrez démontrer comment votre système satisfait les engagements de service et les exigences système.

1. Engagements de service : Ce sont essentiellement les promesses qu'une organisation de services fait aux clients, partenaires et autres parties prenantes. Celles-ci peuvent être documentées dans des accords de niveau de service (SLA), des contrats ou d'autres documents formels, et elles concernent souvent la sécurité des données, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée.

Par exemple, un fournisseur de services cloud pourrait s'engager à un certain montant de disponibilité comme 99,9%, à des mesures de sécurité telles que le chiffrement des données, ou à des sauvegardes et récupérations de données en temps opportun.

2. Exigences système : Comment le système doit-il fonctionner pour répondre aux engagements de service établis ?

Les exigences système peuvent inclure à la fois des aspects fonctionnels (ce que le système fait, comme traiter des transactions ou stocker des données) et des aspects non fonctionnels (comment le système fonctionne, comme sa disponibilité, sa fiabilité ou son niveau de sécurité).

Partie 5 : Composants du système

Cette section décrit les différents composants qui composent le système en audit, et doit couvrir cinq points :

1. Infrastructure : Quels matériels et autres composants composent le système en audit ? Cela peut inclure le matériel, les serveurs, le stockage de données, etc. Certaines organisations incluent des descriptions et/ou des diagrammes pour expliquer les composants de l'infrastructure et leur relation entre eux.
2. Logiciel : Listez les logiciels de fournisseurs utilisés pour fournir les services ou produits entrant dans le cadre de votre audit SOC 2. Cela peut prendre la forme d'un tableau où vous listez chaque logiciel de fournisseur et sa fonction.
3. Personnel : Quels départements ou équipes sont impliqués dans la sécurité, la gouvernance, l'exploitation et la gestion de votre produit ou service ? Cela prendra probablement la forme d'un organigramme ou d'une description listée des départements et/ou équipes.
4. Données : Quels types de données entrent dans vos systèmes et comment sont-elles protégées ? Listez les types de données utilisés par vos bases de données, stockage et fichiers et schématisez comment elles circulent dans vos systèmes et processus.
5. Politiques, Processus et Procédures : Dans cette section, vous expliquerez comment vous avez conçu un environnement de contrôle pertinent pour la sécurité de l'information. Détaillez vos politiques, processus ou procédures pour les contrôles d'accès, les procédures de surveillance et de journalisation, les processus de gestion des changements et de continuité des activités, la formation à la sensibilisation à la cybersécurité, etc.

Partie 6 : Contrôles internes

Ici, vous détaillerez les mesures que vous avez prises pour concevoir et mettre en place des contrôles de sécurité de l'information efficaces au sein de votre organisation.

• Environnement de contrôle : Expliquez comment la direction de l'entreprise aborde la sécurité de l'information et les contrôles de sécurité. Quels principes utilisez-vous pour définir votre approche de la sécurité de l'information ? Quelle implication ou quelles responsabilités le Conseil d'administration a-t-il dans l'orientation ou le soutien de pratiques de sécurité de l'information solides ? Quelles pratiques de recrutement et d'intégration avez-vous mises en place pour garantir une culture de sécurité forte dans l'ensemble de l'organisation ?
• Gestion des risques et processus d'évaluation des risques : Décrivez comment votre organisation identifie, évalue et atténue les risques. Cette section doit couvrir la fréquence de vos évaluations des risques (au moins une fois par an). Elle doit également expliquer votre approche pour identifier, analyser, hiérarchiser et traiter les risques, ainsi que la manière dont vous communiquez et surveillez les risques au sein de votre organisation.
• Systèmes d'information et de communication : Décrivez comment votre organisation communique avec ses employés et ses clients sur les objectifs commerciaux, les performances opérationnelles et/ou l'environnement de contrôle interne.
• Contrôle de la surveillance : Expliquez comment votre organisation surveille les contrôles pour s'assurer qu'ils fonctionnent comme prévu. Utilisez-vous des services d'analyse de vulnérabilité ou de tests d'intrusion ? Effectuez-vous des audits de sécurité internes réguliers ? Utilisez-vous des services de surveillance continue ?
• Activités de contrôle : Détaillez les contrôles internes que vous avez mis en place en matière de sécurité de l'information, y compris les politiques, procédures et processus. Par exemple :
  undefinedundefinedundefinedundefinedundefinedundefinedundefined

Partie 7 : Contrôles complémentaires des organisations sous-traitantes 

Listez les contrôles de sécurité dont les organisations sous-traitantes sont responsables de la mise en œuvre, ainsi que leurs critères correspondants des services de confiance.

Nom de l'organisation sous-traitante : AWS

Contrôles complémentaires des organisations sous-traitantes : Des contrôles sont en place et fonctionnent efficacement pour assurer que les processus de sauvegarde et de récupération des données atteignent les objectifs de récupération. 

Critères applicables : CC 9.1

Partie 8 : Contrôles complémentaires des entités utilisatrices

Listez les contrôles dont les utilisateurs finaux de votre service/plateforme/système sont responsables en rapport avec la portée de votre SOC 2.

Par exemple, vos clients peuvent être responsables de s'assurer que seules les personnes autorisées ont accès à votre plateforme.

Contrôles complémentaires des entités utilisatrices : Des contrôles doivent être mis en place pour s'assurer que les données sont envoyées à [Organisation] via une connexion sécurisée. 

Critères applicables : CC 6.6

Conseils et meilleures pratiques des auditeurs SOC 2

Évitez le jargon marketing. L'American Institute of Certified Public Accountants (AICPA) met spécifiquement en garde contre l'utilisation de «superlatifs publicitaires» dans le langage que vous utilisez pour rédiger la description de votre système. Gardez votre description concise et précise.

Soyez aussi précis que possible. Dans le cadre de votre audit SOC 2, l'auditeur exprimera son opinion sur l'exactitude, l'exhaustivité et la conformité de la description de votre système aux normes de certification SOC 2. Les déclarations ou inexactitudes peuvent entraîner une opinion qualifiée de l'auditeur dans votre rapport final.

Soyez complet, mais sans trop de détails. Lorsque vous rédigez la description de votre système, vous pouvez vous demander à quel point vous devez être détaillé. Fournissez suffisamment d'informations pour prouver que vous avez satisfait aux exigences des critères de services de confiance sans divulguer de secrets commerciaux, de propriété intellectuelle ou d'autres informations commerciales sensibles.

Plus de ressources gratuites pour la conformité SOC 2 Type I et Type II

Obtenir la conformité SOC 2 peut être un processus intimidant et complexe. Chez Secureframe, notre mission est de démystifier et de rationaliser la conformité de sécurité pour toutes les organisations.

Notre plateforme d'automatisation de la conformité surveille votre infrastructure cloud pour la conformité, simplifie la gestion des fournisseurs et du personnel, et collecte automatiquement les preuves d'audit. Nous avons également créé un Centre de conformité SOC 2 pour vous guider à travers le processus d'audit, ainsi qu'une bibliothèque de modèles de politiques SOC 2 gratuits, de listes de contrôle de préparation et de feuilles de calcul de preuves pour vous faire gagner des heures de préparation manuelle des audits.