Réaliser et maintenir la conformité demande du temps et des ressources — et les startups manquent des deux.

Lors du webinaire Secureframe Expert Insights qui s'est tenu le mardi 8 novembre, l'expert en conformité et ancien auditeur Marc Rubbinaccio a abordé les cinq principaux points de douleur en matière de sécurité et de confidentialité des dirigeants de startups et comment les résoudre.

Si vous l'avez manqué, nous récapitulons ses idées et ses meilleures pratiques pour simplifier et rationaliser le processus de conformité des startups ci-dessous. Vous pouvez également regarder l'enregistrement ici.

Pourquoi la sécurité, la confidentialité et la conformité sont importantes pour les startups

La principale raison est que vous voulez être en mesure de sécuriser suffisamment les données de vos clients et de dissiper leurs préoccupations en matière de vie privée.

Les clients recherchent des entreprises, petites et grandes, capables de protéger la sécurité et la confidentialité de leurs données et de leurs intérêts.

Réaliser la conformité avec les exigences de sécurité et de confidentialité telles que SOC 2 et ISO 27001, et rester conforme aux réglementations sur la confidentialité des données comme GDPR et CCPA, est un moyen idéal de démontrer votre engagement envers la sécurité et la confidentialité.

Construire un programme de cybersécurité solide qui répond aux exigences de conformité aide les startups à récolter des avantages supplémentaires, notamment :

• Créer des processus internes rationalisés et évolutifs pour des choses comme l'intégration et le départ des employés;
• Prévenir les violations de données qui peuvent coûter cher en termes de revenus et de réputation; et
• Attirer des parties prenantes qui veulent limiter leurs risques juridiques et réputationnels lors de la prise de décisions d'investissement.

Les startups conformes peuvent également se différencier de leurs concurrents non conformes, conclure plus rapidement des marchés avec des clients demandant une preuve de conformité, et s'étendre sur de nouveaux marchés, y compris aller vers le haut du marché.

Principaux points de douleur en matière de conformité à la sécurité et à la confidentialité pour les dirigeants de startups et comment les résoudre

1. Manque d'expertise interne pour commencer le processus de conformité

À moins que vous n'ayez effectué des audits ou que vous ayez travaillé en interne sur la conformité dans une organisation, il est peu probable que vous ayez mémorisé les exigences énoncées dans ces cadres de sécurité. Il peut également être difficile de les comprendre.

En général, les exigences du cadre sont soit très spécifiques et complexes, soit générales et trop larges pour savoir exactement ce qui doit être mis en œuvre.

Par exemple, SOC 2 est une orientation créée par l'AICPA. Cette orientation peut être interprétée différemment entre les entreprises ou même les cabinets d'audit qui ont leurs propres listes de demandes d'informations et interprétations.

Ces cadres changent également à mesure que notre technologie évolue. ISO 27001 a publié une mise à jour majeure. PCI DSS 4.0 a également été officiellement publié. Lire et comprendre les cadres est déjà assez difficile ; suivre leurs changements et comment ils peuvent s'appliquer à votre organisation l'est encore plus.

En tant que startup, vous n'avez peut-être pas d'équipe dédiée responsable de comprendre et de maintenir cette compréhension de ces cadres au fil du temps.

Solutions

Bien : Lisez les conseils

Il est incroyablement important d'avoir au moins une compréhension de base de ce qui est requis pour ces efforts de conformité. Cela peut être difficile sans expérience préalable en audit ou en conformité, cependant. 

Mieux : Engagez un consultant

Engager un consultant qui a une compréhension approfondie de ces cadres de conformité et peut traduire les conseils en tâches réalisables est une meilleure option. Un consultant pourra travailler avec vous concernant votre environnement et vos processus tels qu'ils sont maintenant et vous donner des étapes pour atteindre ces exigences de conformité. Cependant, cela peut être coûteux, surtout si vous utilisez un consultant pour vous aider à maintenir la conformité.  

Meilleur : Utilisez une plateforme automatisée en conjonction avec un support de conformité

Utiliser une plateforme dans laquelle vous pouvez intégrer votre technologie et voir exactement ce que vous devez faire en fonction de vos configurations et de votre environnement est idéal. Ce sera le moyen le plus efficace de progresser dans votre parcours de conformité, surtout si vous n'avez pas dans votre équipe quelqu'un qui est un expert de ces cadres. 

2. Comprendre exactement ce que vous devez implémenter

Lire les conseils et les comprendre ne suffit pas ; vous devez comprendre exactement ce que les conseils vous demandent de mettre en œuvre.  

Comme mentionné ci-dessus pour SOC 2, chaque auditeur pourrait interpréter ces conseils différemment. En fonction de leur interprétation, ils pourraient vous fournir une liste distincte de demandes d'informations. Donc l’auditeur que vous choisissez pourrait grandement influencer votre évaluation. Par exemple, vous pourriez interpréter les conseils d'une certaine manière, mettre en œuvre certains processus pour refléter cela, et découvrir au moment de l'audit que vous avez besoin de processus ou de mises en œuvre supplémentaires en fonction de l'interprétation de l'auditeur. Cela prolongera le délai pour devenir conforme. 

Prenons un exemple. Un principe SOC 2 stipule : « L'entité met en place des mécanismes d'évaluation des risques efficaces impliquant des niveaux de gestion appropriés. » Si les clients de Secureframe devaient mettre en œuvre ce contrôle, ils le feraient probablement tous de manière différente, car il est difficile de comprendre ce qu’ils recherchent simplement en lisant les conseils. Quels sont exactement les mécanismes d'évaluation des risques efficaces selon les auditeurs et selon votre entreprise ? Quel est un niveau de gestion approprié ? Toutes ces choses peuvent être interprétées différemment. Et ce n'est qu'un exemple de directives de mise en œuvre dans le guide AICPA. 

Les questionnaires d'auto-évaluation PCI (SAQ) sont un autre excellent exemple de ce point problématique. PCI exige que tout commerçant ou prestataire de services qui stocke, traite, transmet ou peut impacter la sécurité des données des titulaires de carte sous la désignation de Niveau 2-4 complète et maintienne un SAQ. Il s'agit d'une auto-évaluation. Un QSA ou un auditeur tiers n'est pas requis pour attester de vos contrôles. 

Alors, que faire si vous êtes une entreprise de cinq personnes et que vous n'avez jamais entendu parler de PCI auparavant ? Vous avez maintenant la tâche compliquée de parcourir ces 300 ou plus de contrôles PCI, de délimiter votre environnement de données de titulaires de carte, y compris vos systèmes connectés et isolés, puis de mettre en œuvre les centaines de contrôles PCI afin de compléter votre SAQ. Ensuite, vous soumettez cette Attestation de Conformité (AoC) à votre processeur de paiement ou à vos clients en déclarant que vous êtes conforme, et tout ce que vous pouvez faire, c'est espérer que tout soit mis en œuvre correctement et que vous ne soyez pas compromis.

Pour vous donner une idée de la difficulté de cette tâche, tous les clients de démarrage de PCI Secureframe qui ont passé une SAQ par eux-mêmes avaient des mises en œuvre manquantes lorsqu'il était temps pour l'examen par leur responsable de la conformité dédié.

Il est donc extrêmement important de comprendre ce que vous devez mettre en œuvre pour devenir conforme. Pour ce faire, vous devez d'abord comprendre ce que vous avez et ce que vous n'avez pas en place.

Solutions

Bon : Effectuer une évaluation de préparation

Une évaluation de préparation vous donnera une idée de ce que vous avez en place aujourd'hui et où vous devez vous rendre pour être conforme. Cependant, effectuer une évaluation de préparation par rapport à un cadre que vous ne comprenez pas vraiment peut être contre-intuitif.

Mieux : Engager un consultant en cybersécurité pour effectuer une évaluation de préparation

Il est important que quelqu'un qui est expert dans le cadre et votre environnement effectue une évaluation de préparation. Si vous n'avez personne dans votre équipe, vous pouvez envisager d'engager un consultant.

Meilleur : Utiliser une plateforme automatisée qui vous guide tout au long du processus

La meilleure solution consiste à utiliser une plateforme automatisée où vous pouvez connecter votre technologie, voir toutes vos configurations et utiliser la cartographie des contrôles vers tous ces cadres pour vous indiquer exactement quelles tâches vous devez accomplir pour devenir conforme.

Nombre de ces plateformes disposent également du support client et de l'expertise nécessaires pour pouvoir vous guider tout au long de ce processus afin que vous sachiez exactement ce que vous faites en matière de mise en œuvre.

3. Acquérir les bons fournisseurs et partenaires

Un autre aspect important de la conformité consiste à acquérir les bons fournisseurs et partenaires pour vous aider dans vos efforts de conformité.

Par exemple, un auditeur est un partenaire tiers dont vous auriez besoin pour obtenir votre AoC. Un testeur d'intrusion tiers peut être nécessaire pour certains cadres. ISO 27001 requiert un audit interne, que vous pourriez avoir besoin de faire réaliser par un tiers si vous n'avez pas les ressources pour le faire vous-même. PCI DSS requiert une analyse externe des vulnérabilités effectuée par un fournisseur d'analyse PCI approuvé.

Il est donc important de comprendre non seulement quels fournisseurs et partenaires vous avez besoin mais aussi qui sont les meilleurs pour votre environnement spécifique.

Solutions

Bon : Demander à un ami ou un collègue

Vous pouvez demander à votre réseau personnel quels fournisseurs et partenaires ils utilisent. Ces recommandations peuvent vous aider à réduire votre recherche pour essayer de déterminer qui vaut la peine d'être recherché et interviewé.

Mieux : Rechercher et interviewer des fournisseurs et partenaires

Faire des recherches sur les fournisseurs et partenaires et demander un entretien est un bon moyen de commencer votre processus d'acquisition de fournisseurs, mais cela pourrait prendre beaucoup de temps. Il serait également difficile de déterminer si un fournisseur est le bon choix pour vous uniquement en faisant des recherches en ligne.

Meilleur : Utiliser un réseau de partenaires de confiance pré-évalués

Utiliser un réseau de partenaires serait la meilleure option. Si vous avez un fournisseur de confiance, utiliser son réseau de partenaires pré-évalués est un excellent moyen d'établir quelques bonnes options parmi lesquelles choisir. Ce serait beaucoup plus facile que de faire des recherches en ligne et d'évaluer quelques centaines de fournisseurs pour essayer de comprendre lequel serait le meilleur pour votre environnement.

Chez Secureframe, nous avons un réseau de partenaires établi pour les testeurs de pénétration, les auditeurs, les scanners ASV, et plus encore, tous approuvés par notre équipe interne. En travaillant avec votre responsable de conformité dédié, vous pourriez déterminer quel testeur de pénétration ou autre fournisseur serait adapté à votre environnement unique. Vous n'auriez donc pas à effectuer vos propres vérifications diligentes.

4. Gérer votre temps entre devenir conforme et développer votre service

C'est probablement le plus grand point de douleur pour les dirigeants de startups. En tant que startup, il y a probablement peu de temps disponible à retirer de l'ingénierie et des opérations pour vous concentrer sur vos efforts de conformité.

Ici, chez Secureframe, il y a toujours de nouvelles fonctionnalités à développer, des bogues à corriger et des processus à améliorer. C'est le cas pour vous tous aussi : vous améliorez toujours votre produit ou service pour les clients, ce qui est crucial pour la croissance de votre entreprise.

Le problème est que, si vous n'utilisez pas une plateforme de conformité ou un consultant, cela peut causer le chaos pendant votre audit. À moins que vous ne réalisiez une évaluation de préparation avec un consultant qui comprend exactement ce dont l'auditeur a besoin pendant l'audit ou une plateforme pour organiser vos preuves, le processus d'audit peut être compliqué et nécessiter un temps et des ressources précieux.

Décomposons le processus d'audit. Il se compose habituellement d'une semaine de travail sur le terrain puis d'une semaine de révision des preuves ou de rédaction de rapports. Il est crucial pour les auditeurs de recevoir autant de preuves précises que possible avant la semaine de travail sur le terrain afin de respecter ces délais. Cela donne aux auditeurs l'opportunité de réviser autant de preuves que possible avant ou pendant la semaine de travail sur le terrain afin qu'ils puissent réaliser toutes leurs interviews et observations et générer seulement une petite liste d'éléments de suivi, qui peuvent être collectés à la fin de la semaine de travail sur le terrain ou pendant la semaine suivante de rédaction de rapports.

Si vous n'étiez pas complètement préparé pour l'audit et ne fournissez pas autant de preuves avant cette semaine de travail sur le terrain, cette liste de suivi sera beaucoup plus longue. Si vous ne complétez pas cette liste d'éléments de suivi avant la fin de la semaine de rédaction de rapports, l'auditeur ne sera plus dédié à vous. Ils seront dédiés à un autre client et ils n'auront que peu de temps pour réviser les preuves que vous fournissez. Cela peut prolonger énormément le processus d'audit. Cela peut même vous faire manquer votre date d'audit.

Solutions

Bon : Planifiez les tâches à partir de directives documentées

Planifier vos tâches à partir de preuves documentées est un bon début, mais cela prendra beaucoup de votre temps.

Mieux : Embauchez un consultant pour lister les tâches pour vous

Utiliser un consultant pour aider à planifier ces tâches vous fera gagner beaucoup de temps, mais cela peut être très coûteux.

Meilleur : Utilisez une plateforme d'automatisation qui vous guide à travers le processus

Utiliser une plateforme d'automatisation est idéal. Une plateforme qui non seulement planifie ces tâches, mais rassemble les preuves automatiquement vous fera gagner un temps considérable avant et pendant le processus d'audit.

Chez Secureframe, nous invitons nos auditeurs à récupérer les preuves avant la semaine d'audit pour déterminer si elles sont acceptables. Toute liste d'éléments de suivi sera courte et fournie pendant la semaine d'audit pour nous assurer de ne pas repousser l'audit à une semaine où l'auditeur est dédié à un autre client.

5. Surveiller continuellement pour maintenir la conformité

Se préparer pour votre première évaluation n'est que la première étape — maintenir la conformité est crucial. Il y a de nombreux processus qui nécessitent des révisions régulières tout au long de l'année, comme les révisions d'accès trimestrielles, les analyses de vulnérabilités et les tests de pénétration. Manquer l'une de ces tâches récurrentes pourrait affecter votre statut de conformité. Si les processus ne sont pas suivis précisément, cela peut également être un problème critique pendant le processus d'audit.

Pour les audits qui révisent les preuves sur une période donnée, une analyse de vulnérabilité manquée ou une révision manquée contre une modification de code critique pourrait compromettre votre statut de conformité. Cela pourrait entraîner une exception ou un rapport qualifié, par exemple.

Ce serait incroyablement malheureux parce que vous avez fait tant d'efforts et de temps pour devenir conforme. Et si vous n'êtes pas conforme l'année suivante, vous devrez en informer tous vos clients qui demandent votre statut dans le cadre de leur processus de vérification diligente.

Solutions

Bon : Planifiez des examens réguliers pour vérifier tous les systèmes, applications, outils et intégrations

Planifier ces examens à l'avance est une bonne façon de se préparer tout au long de l'année, mais ce n'est pas idéal en raison de l'erreur humaine. La personne responsable de cela pourrait quitter l'organisation, mal planifier ces tâches ou manquer une tâche requise et ne pas la planifier.

Mieux : Définir des rappels pour que les responsables des tâches effectuent des vérifications

Vous pourriez définir des rappels pour que les responsables des tâches effectuent des vérifications, mais ce processus manuel serait toujours sujet à l'erreur humaine.

Meilleur : Utiliser une plateforme d'automatisation qui envoie des rappels automatisés

Utiliser une plateforme qui planifiera automatiquement ces tâches requises, vous permettra d'assigner des responsables et enverra également des notifications sera le moyen le plus efficace de garantir que toutes ces tâches soient réalisées tout au long de l'année.

Pour entendre quelles questions ont été posées et répondues en direct lors de ce webinaire Secureframe, regardez l'enregistrement à partir de la 27e minute.

Rejoignez notre prochain webinaire Secureframe Expert Insights

Nous organisons régulièrement des webinaires Secureframe pour aborder les principaux points de douleur en matière de sécurité, de confidentialité et de conformité que nous entendons de la part des prospects, des clients et de nos experts en conformité internes. Trouvez les webinaires à venir ainsi que les enregistrements à la demande des précédents dans notre bibliothèque de ressources de conformité.