Une fois que vous avez décidé de poursuivre un rapport SOC 2 formel, vous devrez commencer le processus d'audit.
Comment faire un audit SOC 2 ? Combien de temps dure un audit SOC 2 ? Comment devez-vous vous préparer et qui doit être impliqué ?
Bien que chaque entreprise soit unique et que chaque audit soit différent, le processus d'audit SOC 2 suit une série d'étapes typiques.
Étape 1 : Choisissez le type de rapport
Avant d'inviter un auditeur dans vos locaux, votre première étape est de décider du type de rapport de certification SOC 2 dont votre organisation de services a besoin.
- SOC 2 Type I : Il s'agit d'un type d'audit qui vérifie si vos systèmes sont conçus selon les critères des services de confiance (anciennement principes des services de confiance).\n\nLes audits de type I sont relativement bon marché et faciles (ils peuvent facilement être réalisés en moins d'un mois), mais ils fournissent des informations moins complètes. Pensez à un enfant qui nettoie sa chambre une heure avant de savoir que ses parents vont l'inspecter. La chambre peut être propre, mais il n'y a aucune preuve que les meilleures pratiques sont suivies de manière cohérente.
- SOC 2 Type II : Un audit de type 2 examine comment vos systèmes sont conçus ET s'ils fonctionnent.\n\nUn rapport SOC de type II prend plus de temps (jusqu'à un an) car l'auditeur doit effectuer des expériences sur vos systèmes d'information. Mais une fois que vous avez réussi, il n'y a aucun doute sur votre niveau de conformité et vos normes de sécurité.
Choisissez le type d'audit en fonction de votre budget et de votre niveau d'urgence.
Étape 2 : Définissez la portée de votre audit
Tout d'abord, décidez si vous allez poursuivre un SOC 2 au niveau de l'entreprise ou pour un service spécifique.
Ensuite, décidez de la période que couvrira votre audit. L'American Institute of Certified Public Accountants (AICPA) recommande au moins six mois pour les audits de type II.
Enfin, sélectionnez les critères des services de confiance (TSC) pour lesquels vous souhaitez réaliser un audit. N'oubliez pas qu'il n'est pas nécessaire d'être conforme à tous les cinq critères des services de confiance si vous ne le souhaitez pas. Vous pouvez commencer par la sécurité seulement, opter pour les cinq critères des services de confiance d'un coup, ou réaliser autant que vous pouvez vous permettre.
Si votre entreprise dispose de ressources limitées, vous pouvez envisager de poursuivre les critères des services de confiance que vous êtes le plus près d'atteindre. Ou, poursuivez ceux ayant le plus de valeur potentielle en fonction de votre entreprise et de votre secteur.
Certains secteurs spécifiques peuvent également choisir certains critères des services de confiance. Par exemple, les entreprises de soins de santé doivent se conformer à la HIPAA, donc opter pour la confidentialité en plus de la sécurité peut être un bon choix.
Après avoir choisi votre période de reporting et les critères des services de confiance, déterminez quels contrôles de sécurité de l'information et systèmes sont pertinents. Ensuite, rassemblez toute la documentation concernant ces systèmes et contrôles.
Pendant votre audit, l'auditeur examinera cette documentation ainsi que vos systèmes et contrôles pour déterminer l'efficacité opérationnelle. Les documents que vous pourriez avoir besoin de fournir incluent :
- Inventaires des actifs
- Informations sur la gestion des changements
- Dossiers de maintenance des équipements
- Journaux de sauvegarde du système
- Code de conduite et politiques éthiques
- Plans de continuité des activités et de réponse aux incidents
Étape 3: Réaliser une analyse des écarts
Maintenant que vous avez tous vos systèmes, contrôles et documents en place, vous devez comparer votre situation avec ce que requiert la conformité SOC 2.
Cette analyse des écarts vous permet d'identifier les domaines où votre système présente des lacunes dans la protection des données clients. De cette manière, vous pouvez créer un plan de remédiation pour les aligner avant votre audit SOC 2 formel.
Étape 4: Réaliser une évaluation de l'état de préparation
Dans le cadre de votre préparation, vous pouvez faire appel à un auditeur SOC pour répondre à vos questions ou préoccupations. L'auditeur peut également réaliser une évaluation de l'état de préparation.
Lors de l'évaluation de l'état de préparation, le cabinet d'audit réalisera sa propre analyse des écarts et vous donnera des recommandations. Ils vous expliqueront également les exigences des critères des services de confiance que vous avez sélectionnés. Vous devrez vous familiariser avec les critères des services de confiance (TSC) et être capable de répondre à des questions telles que:
- « Comment mon système est-il protégé contre les attaques? » (Sécurité)
- « Comment décidons-nous quand rendre accessible les données sensibles du système? » (Disponibilité)
- « Le système fonctionne-t-il comme il le faut? » (Intégrité des traitements)
- « Comment nous assurons-nous que le système garde les informations privées en sécurité? » (Confidentialité)
- « Lorsque des informations doivent être partagées, qu'est-ce qui maintient l'échange sécurisé? » (Confidentialité)
À la fin de l'évaluation de l'état de préparation, le cabinet d'audit vous remettra un rapport. Ce rapport explique quels contrôles figureraient dans votre rapport d'audit SOC 2 final. Il explique également comment ils sont pertinents pour les TSC que vous avez choisis et quelles lacunes pourraient vous empêcher de les respecter.
Étape 5: Sélectionnez un auditeur
Maintenant que tout le travail de préparation est terminé, il est temps de commencer votre audit. Tout d'abord, vous devrez trouver un expert-comptable agréé capable de réaliser un audit SOC 2 et de vous délivrer un rapport officiel.
Assurez-vous que le cabinet que vous sélectionnez est affilié à l'AICPA et effectue des audits selon les dernières directives de l'AICPA.
Voici quelques autres facteurs à prendre en compte lors du choix d'un cabinet d'experts-comptables:
- Niveau d'expérience: Trouvez une équipe ayant réalisé des audits SOC pour des entreprises de votre secteur et de taille similaire. Demandez des avis de pairs pour en savoir plus sur l'expérience d'autres entreprises.
- Durée de l'engagement : Assurez-vous que vous et votre cabinet d'audit êtes sur la même longueur d'onde concernant le type de rapport que vous recherchez et le calendrier de l'évaluation. En particulier, assurez-vous de discuter du calendrier de l'évaluation sur site par l'auditeur.
- Processus : Votre cabinet d'audit doit être en mesure d'expliquer clairement son processus de réalisation de l'audit et de délivrance d'un rapport. Ont-ils un portail en ligne utilisé pour télécharger des preuves, ou comptent-ils sur Google Drive et Dropbox ? Leur système vous permet-il de suivre les progrès et les évaluations en temps réel ? Comprendre comment vous allez travailler ensemble et communiquer les uns avec les autres contribuera à garantir une bonne adéquation.
- Personnalité : À moins que vous ne recherchiez un rapport de type I, vous travaillerez probablement avec votre cabinet d'audit pendant au moins 6 mois. Cela comprend le temps passé sur site dans vos bureaux. Comme pour tout partenariat, il est important de trouver quelqu'un avec qui vous pouvez bien communiquer et travailler.
Étape 6 : Commencez le processus d'audit formel
Votre auditeur passera de quelques semaines à quelques mois à travailler avec votre équipe avant de produire un rapport SOC 2.
Avant que l'audit proprement dit ne commence, votre auditeur vous contactera probablement pour fixer un moment qui vous convient à tous les deux. Ils peuvent également vous expliquer le processus d'audit afin que vous sachiez à quoi vous attendre, et ils peuvent demander quelques informations initiales pour que tout se passe bien.
Une fois que l'auditeur arrive dans vos bureaux, voici le processus général :
1. Le questionnaire de sécurité
De nombreuses entreprises d'audit commencent par poser des questions à votre équipe sur les politiques de l'entreprise, les processus, l'infrastructure informatique et les contrôles.
Encourager votre équipe à adopter de bonnes habitudes de sécurité le plus tôt possible avant l'audit permet de les aider ici. Ils seront capables de répondre aux questions en toute confiance.
2. Rassembler des preuves de contrôles
Ensuite, les auditeurs demanderont à votre équipe de fournir des preuves et de la documentation sur vos contrôles. Les auditeurs examinent généralement en moyenne 85 contrôles uniques.
Vous avez besoin de preuves de toutes vos politiques de sécurité et contrôles internes pour montrer que tout est conforme. Les auditeurs utilisent cela dans le cadre de leur évaluation pour comprendre comment les contrôles sont censés fonctionner.
3. Évaluation
Au cours de l'évaluation, les auditeurs consultent les responsables de chaque processus. Ils passent en revue les processus métier et les pratiques de sécurité ensemble pour mieux les comprendre.
4. Suivi
Les audits SOC 2 sont intensifs. Les auditeurs trouvent souvent des domaines où ils ont besoin de plus de preuves, malgré tous vos efforts de préparation. Un audit typique a en moyenne 100 demandes de preuves, qui nécessiteront toutes une documentation.
Ils peuvent demander à votre équipe des éclaircissements sur les processus ou les contrôles, ou ils peuvent vouloir des documents supplémentaires. Si l'auditeur remarque des écarts de conformité pouvant être corrigés rapidement, il pourrait vous demander de les remédier avant de continuer.
5. Rapport SOC 2 complet
À la fin de l'audit, vous recevrez un rapport SOC 2 écrit décrivant les résultats. Si vous obtenez une opinion sans réserve, félicitations ! Sinon, utilisez votre rapport SOC 2 comme manuel d'instruction pour combler les lacunes et réessayez.
Vous aurez également l'opportunité d'ajouter une réponse de la direction à toute exception ou problème qui s'est posé. Par exemple, vous pouvez expliquer une exception ou proposer une mise à jour sur la façon dont vous l'avez résolue.
À quelle fréquence les audits SOC 2 sont-ils réalisés ?
La règle d'or est de programmer un audit SOC tous les 12 mois.
Effectuer un audit tous les 12 mois vous donne suffisamment de temps pour ajouter des contrôles de cybersécurité, effectuer des évaluations de performance des employés, etc.
Un Type II sur 12 mois réduit également le risque de recevoir des remarques “n'ont pas fonctionné” dans votre rapport.
Par exemple, disons que votre période de révision de Type II est du 1er juillet au 31 décembre. Même si vous avez fait un test d'intrusion en juin, il est en dehors de votre fenêtre d'audit. Vous verrez un “n'a pas fonctionné” pour ce contrôle puisque l'auditeur ne peut pas attester de l'activité de contrôle pendant votre période de révision.
En fin de compte, une évaluation de 12 mois conduit généralement à un rapport plus clair. Et cela conduit à une confiance accrue avec les clients potentiels et existants.