SOC 2® est un cadre conçu pour que les firmes comptables et agences certifiées l'utilisent pour auditer, évaluer et attester des processus et contrôles mis en place par une entreprise pour gérer et protéger les données des clients. L'American Institute of Certified Public Accountants (AICPA) a développé SOC 2 autour de cinq principes de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.

Dans cet article, nous examinerons les nuances des cinq principes des services de confiance. Nous discuterons également de ce que chaque principe implique, à qui il s'applique, et des critères testés dans le cadre de chaque principe. L'objectif est de vous aider à déterminer quels principes de confiance s'appliquent à votre organisation et comment vous pouvez répondre à leurs normes spécifiées.

Que sont les principes de confiance SOC 2 ?

Les principes de confiance ont été établis par l'AICPA en 2016 pour évaluer et rapporter les contrôles pertinents d'une organisation en matière d'informations et de systèmes afin d'évaluer leur conformité SOC 2.

Dans le document de 2016 sur les Principes et Critères des Services de Confiance (TSPC), l'AICPA a spécifié cinq principes principaux :

1. Sécurité
2. Disponibilité
3. Intégrité du traitement
4. Confidentialité
5. Vie privée 

Ce document fournissait également des critères pour chaque principe des services de confiance que les contrôles des systèmes devaient respecter, connus sous le nom de critères des services de confiance applicables ou critères d'attestation. Lors d'un examen SOC 2, un auditeur évaluerait ensuite l'adéquation de la conception et/ou l'efficacité opérationnelle des contrôles du système destinés à répondre aux critères des principes des services de confiance pertinents.

Comment les TSPC de 2016 se rapportent-ils aux critères des services de confiance de 2017 ?

Les TSPC de 2016 ont été remplacés par les critères des services de confiance (TSC) de 2017 le 15 décembre 2018. Bien que le nom ait changé, le TSC se réfère aux mêmes cinq catégories : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. L'objectif reste également le même : offrir un cadre pour évaluer les contrôles pertinents pour les informations et les systèmes pour la conformité SOC 2. 

Bien que nous continuions à nous référer aux « principes de confiance » tout au long du blog, les informations ci-dessous reflètent les informations les plus à jour dans les TSC de 2017.

Tous les principes de confiance sont-ils requis pour l'audit SOC 2 ?

Votre organisation n'est pas obligée d'auditer et de certifier chaque principe de service de confiance dans le rapport d'audit SOC 2. 

La sécurité est le seul principe requis pour devenir conforme au SOC 2. Les autres sont optionnels, mais recommandés selon la nature de votre entreprise.

Vous devriez choisir des principes qui sont pertinents par rapport aux services que vous fournissez ou aux exigences des utilisateurs que vous servez.

Par exemple, si vous gérez beaucoup de données sensibles ou personnelles, vous devriez alors considérer la confidentialité ou la protection de la vie privée, respectivement. Nous en parlerons plus en détail ci-dessous.

Examinons de plus près comment vous pouvez sélectionner les principes de confiance SOC 2 qui sont pertinents pour votre organisation et vos clients.

Comment sélectionner les principes de confiance pour l'audit SOC 2

La conformité SOC 2 est unique à chaque organisation. De ce fait, il n'existe pas de formule universelle pour sélectionner les principes des services de confiance pour un examen SOC 2. Le choix doit être basé sur plusieurs facteurs, notamment :

• les services que vous fournissez
• les exigences des utilisateurs
• les obligations contractuelles
• les exigences légales
• le type de données dans votre système

Selon l'AICPA, les principes de confiance que vous sélectionnez doivent être appropriés. Il définit les attributs de pertinence comme suit.

• Pertinence. Les critères doivent être admissibles au sujet en question.
• Objectivité. Ils doivent également être impartiaux.
• Mesurabilité. Ils doivent permettre des mesures cohérentes — quantitatives ou qualitatives — du sujet en question.
• Exhaustivité. Les critères ne devraient pas négliger les facteurs pertinents pouvant influencer le processus de prise de décision des utilisateurs concernés.

Avoir une connaissance approfondie de chaque principe de service de confiance et des critères applicables peut vous aider à sélectionner ceux qui conviennent à votre organisation et à vos clients. Examinons-les de plus près ci-dessous.

Principes des services de confiance : Répondre aux exigences d'attestation SOC 2

Comme mentionné ci-dessus, les principes de confiance que vous sélectionnez déterminent vos critères d'attestation.

Vos critères d'attestation sont aussi simples ou complexes que les principes de confiance que vous choisissez. Le plus simple serait de tester uniquement la sécurité, qui est obligatoire. Cependant, vous devrez peut-être ajouter d'autres principes en fonction des services que vous fournissez ou d'autres facteurs que nous avons mentionnés.

Dans ce cas, un ensemble complet de critères SOC 2 peut ne comprendre que les critères communs, utilisés pour tester le principe de confiance sécurité. Ou il peut comprendre les critères communs et des critères spécifiques supplémentaires pour l'intégrité du traitement, la disponibilité, la confidentialité et la vie privée.

Discutons de chaque principe de service de confiance et de leurs critères applicables ci-dessous, en commençant par la sécurité.

Sécurité

La violation de données chez Microsoft en 2019, qui a exposé plus de 250 millions d'enregistrements utilisateurs, a été un signal d'alarme pour les organisations technologiques. Cela a servi de preuve qu'aucune organisation n'est à l'abri des violations de données.

En tant que fournisseur SaaS, tout ce que vous pouvez faire est de mettre en œuvre des systèmes de sécurité de données utiles et des contrôles internes pour repousser ces menaces.

Vos clients veulent voir des preuves de systèmes de sécurité appropriés avant de conclure tout accord avec vous. C'est là que le TSP de sécurité devient utile.

La sécurité fait référence à la protection des données lors de leur création, collecte, traitement, stockage, utilisation et transmission. Elle fournit des critères que vous pouvez utiliser pour auditer et évaluer l'efficacité de votre système de sécurité pour protéger les données des utilisateurs.

Les critères testés dans le cadre du TSP de sécurité sont définis comme les critères communs (CC-série).

Critères communs

Les critères communs vous guident lors du développement, de la mise en œuvre et de l'exploitation des contrôles de sécurité. Ils fournissent les sections de critères spécifiques adaptées à l'audit et à l'évaluation des contrôles de sécurité pour atteindre les objectifs des systèmes.

Les critères communs énoncent les 17 principes de contrôle interne du cadre COSO (Committee of Sponsoring Organization of the Treadway Commission).

Ils fournissent les critères pour aborder :

• CC1 — Environnement de contrôle : Il couvre les cinq premiers principes du cadre COSO 2013. Cela comprend l'engagement de l'entité de service envers les valeurs éthiques et l'intégrité, l'indépendance du conseil d'administration, les structures et les lignes de rapport, et la responsabilité des individus responsables des contrôles internes.
• CC2 — Communication et information : Aborde les principes 13-15 du COSO, incluant des sections comme la génération d'informations de qualité, la communication interne des informations et la communication avec les parties externes sur les questions affectant le fonctionnement des contrôles internes.
• CC3 — Évaluation des risques : Aborde les principes six à neuf du COSO, incluant l'identification et l'évaluation des risques, l'analyse des facteurs de risque internes et externes, et l'évaluation du type de fraude. Au-delà de cela, il couvre l'évaluation des changements dans le modèle d'affaires et l'environnement externe qui pourraient impacter le contrôle de la sécurité interne.
• CC4 — Surveillance des contrôles : Aborde les principes 16-17 du cadre COSO 2013, incluant une évaluation pour déterminer si les contrôles internes sont présents et fonctionnels. Il vérifie également si l'évaluation et la communication des déficiences des contrôles internes sont effectuées en temps opportun.
• CC5 — Activités de contrôle : La dernière catégorie couvre les principes 10-12. Il teste si les contrôles internes pertinents responsables de l'atténuation des risques sont présents. Il cherche également à découvrir si ces contrôles sont vérifiés de manière continue.

Disponibilité

Comme l'affirme Mark Russinovich, Chief Technology Officer chez Microsoft Azure, « Les incidents de service comme les pannes sont une inévitabilité malheureuse de l'industrie technologique. » En d'autres termes, vous ne pouvez pas garantir un temps de fonctionnement du système à 100%.

Cependant, vos clients veulent que les données et les ressources système soient disponibles pour l'exploitation. Cela est particulièrement vrai pour les fournisseurs de services cloud qui fournissent des services de cloud computing ou de stockage de données dans le cloud.

Si vous proposez une plateforme de livraison continue et/ou de déploiement continu (CI/CD), une panne empêche les clients de construire ou de déployer des changements à leurs services. Vos clients vous demanderont d'ajouter la disponibilité dans un rapport SOC 2 comme assurance de la disruption minimale des services. De plus, si vous avez une grande base de clients dépendant de votre service ou plateforme, alors vous voudrez peut-être inclure la disponibilité dans le périmètre de votre audit.

La TSP de disponibilité fait référence à l'accessibilité des ressources et des données utilisées par vos systèmes, ainsi que des services et produits que vous fournissez aux clients. Elle assure aux clients que vous atteindrez les niveaux de performance requis pour répondre à leurs besoins.

Cette TSP ne définit pas les niveaux de performance acceptables minimums. Au lieu de cela, elle laisse aux fournisseurs de services et aux entités utilisatrices la liberté de définir et d'accepter les niveaux requis. Cependant, elle exige également que vos systèmes disposent des contrôles appropriés pour faciliter l'accessibilité pour la surveillance, les opérations et la maintenance.

Pour vous aider à vous préparer à l'attestation SOC 2, l'AICPA énonce trois critères supplémentaires pour la disponibilité (A-série).

Vous devriez :

• A1.1: Surveillez, évaluez et maintenez la capacité de traitement actuelle et appliquez des composants système pour respecter la demande de capacité. Vous devriez également permettre le déploiement de capacité supplémentaire si nécessaire pour répondre aux accords de niveau de service (SLA).
• A1.2: Concevoir, développer, approuver, mettre en œuvre, acquérir, exploiter, surveiller et maintenir les logiciels, l'infrastructure de récupération et les services de sauvegarde de données pour atteindre vos objectifs de disponibilité.
• A1.3: Testez le système d'ancrage de la procédure de récupération pour atteindre votre objectif de disponibilité.

Intégrité du traitement

Si vous fournissez des services de rapport financier ou de commerce électronique, vous devriez vous efforcer de maintenir une assurance qualité interne.

Par exemple, si vous fournissez une application financière, vous devriez vous assurer que le traitement du système est correct, rapide, complet, valide et autorisé pour répondre aux normes établies. Ce sont les caractéristiques de l'intégrité du traitement.

L'intégrité du traitement est un principe de confiance indispensable dans une époque chargée de fraudes financières, telles que la fraude par paiement push autorisé (APP). Vos clients voudront voir ce TSP dans votrerapport SOC 2 pour s'assurer que le traitement de vos transactions est précis.

L'intégrité du traitement aide à évaluer les systèmes pour déterminer s'ils remplissent les fonctions prévues d'une manière exempte de retard, d'erreur, d'omission et de manipulation accidentelle.

L'AICPA indique cinq critères supplémentaires pour l'intégrité du traitement, connus sous le nom de série PI.

Vous devriez :

• PI1.1: Générer, utiliser et partager des informations de qualité sur vos objectifs de traitement pour soutenir l'utilisation des services et produits.
• PI1.2: Mettre en œuvre des procédures et des systèmes sur les entrées du système. Cela inclut des contrôles sur l'exactitude et l'exhaustivité du traitement du système.
• PI1.3: Mettre en œuvre des procédures et des politiques sur le traitement du système. Définir les spécifications et les activités de traitement, enregistrer les activités de traitement du système, identifier et rectifier les erreurs de production, et traiter les entrées.
• PI1.4: Mettre en œuvre des procédures et des politiques pour une livraison précise, complète et en temps opportun des sorties.
• PI1.5: Mettre en œuvre des procédures et des politiques pour protéger les ressources stockées, enregistrer les activités de stockage du système, stocker les données de manière précise et archiver les enregistrements du système.

Confidentialité

Le TSP de confidentialité s'applique aux organisations de services qui détiennent des informations confidentielles.

Les informations confidentielles incluent divers types de données sensibles comme les rapports financiers, les mots de passe, les listes de clients potentiels, les stratégies commerciales, les bases de données clients et d'autres propriétés intellectuelles.

Le principe de confidentialité fait référence à la capacité d'une organisation à protéger les informations confidentielles à travers chaque phase de leur traitement, de la collecte à l'élimination.

Si vous traitez de telles données utilisateur, vous devriez en limiter l'accès, le stockage et l'utilisation. Il est également conseillé de restreindre leur divulgation uniquement aux parties autorisées.

Il y a deux critères spécifiques à la confidentialité (série C):

• C1.1: Mettre en place des procédures pour identifier les informations confidentielles et les protéger contre la destruction.
• C1.2: Mettre en place des procédures pour identifier les informations confidentielles pour destruction, et les effacer ou les détruire.

Vie privée

Saviez-vous que pour chaque dollar dépensé en confidentialité des données, votre organisation accumule 2,70 $ d'améliorations en termes de perte de données, d'agilité, de mitigation et de fidélité de la clientèle?

De plus, 82 % de vos clients potentiels considèrent la certification SOC 2 et ISO 27701 comme un facteur d'achat lors de la sélection d'un fournisseur.

La vie privée est une composante indispensable pour établir la confiance avec les clients. En ce qui concerne la conformité SOC 2, le principe de confidentialité fait référence à la manière dont votre organisation collecte, stocke, utilise, préserve, révèle et élimine les informations personnelles.

Contrairement à la confidentialité, qui couvre diverses formes d'informations sensibles, la vie privée ne concerne que les informations personnelles.

Les critères de confidentialité sont répartis dans les sections suivantes (série P):

• P1 — Notification et communication des objectifs : L'entité informe les personnes concernées de ses objectifs en matière de confidentialité.
• P2 — Choix et consentement : L'entité explique les options disponibles pour la collecte, la conservation, l'utilisation, la divulgation et l'élimination des informations personnelles.
• P3 — Collecte : L'entité collecte des informations personnelles en fonction de ses objectifs en matière de confidentialité.
• P4 — Utilisation, conservation et élimination : L'entité utilise, conserve et élimine les informations personnelles conformément aux objectifs de confidentialité stipulés.
• P5 — Accès : L'entité permet aux clients d'accéder aux informations personnelles pour examen et collecte en fonction des objectifs de confidentialité.
• P6 — Divulgation et notification : Vous ne devez révéler des informations personnelles aux clients qu'en fonction des objectifs de confidentialité. De plus, envoyez des notifications d'incidents et de violations de données aux clients concernés pour répondre aux objectifs liés à la confidentialité.
• P7 — Qualité : Vous devez recueillir et maintenir à jour des informations personnelles exactes, pertinentes et complètes conformément aux objectifs de confidentialité.
• P8 — Surveillance et application : Vous devez vérifier la conformité pour garantir le respect des procédures visant à traiter les plaintes, demandes de renseignements et litiges relatifs à la confidentialité.

Le tableau ci-dessous montre quels critères s'appliquent à chaque catégorie de services de confiance.

Quels sont les critères supplémentaires SOC 2 ?

Comme mentionné ci-dessus, les critères des services de confiance de 2017 sont alignés sur les 17 principes présentés dans le cadre COSO. Le TSC comprend également des critères supplémentaires complétant le principe 12 du COSO (dans les activités de contrôle des critères communs).

Comme décrit dans le TSP 100.05, ces critères supplémentaires traitent des objectifs applicables à un engagement de service de confiance et sont organisés comme suit :

• Contrôles d'accès logiques et physiques : Ce critère concerne la manière dont vous restreignez l'accès (à la fois physique et logique), accordez ou supprimez cet accès et empêchez tout accès non autorisé.
• Opérations du système : Traite de la manière dont vous gérez les opérations, découvrez et atténuez les processus qui s'écartent de la norme.
• Gestion des changements : Couvre la manière dont vous gérez les changements, implémentez les changements en utilisant un processus de gestion des changements standard et empêchez les changements non autorisés.
• Atténuation des risques : Enfin, cela concerne la manière dont vous découvrez, choisissez et créez des activités d'atténuation des risques résultant de perturbations potentielles des activités.

Choisissons les critères de services de confiance parfaits pour vous

Comme mentionné précédemment, vos critères de services de confiance doivent être pertinents, objectifs, mesurables et complets. Cependant, avec autant de principes de confiance et de catégories à considérer, il peut être difficile de choisir des critères qui correspondent au profil. C'est là que Secureframe entre en jeu.

Nous évaluons les besoins de votre organisation de services ainsi que toute obligation contractuelle ou légale afin de choisir les bons critères de services de confiance pour vous. Demandez une démo de Secureframe pour apprendre comment nous pouvons vous aider à déterminer lesquels s'appliquent à votre entreprise et comment vous pouvez satisfaire aux critères.