Poursuivre la conformité SOC 2 peut ressembler à cuisiner sans recette.

Vos ingrédients sont les contrôles que votre entreprise met en place. Le plat final est une posture de sécurité robuste et des clients confiants.

Mais sans liste de contrôle de conformité – sans recette – comment êtes-vous censé savoir quoi prioriser ?

Cet article vous dira tout ce que vous devez savoir sur les exigences SOC 2.

Qu'est-ce qu'un rapport SOC 2 ?

Un rapport SOC 2 est un moyen de bâtir la confiance avec vos clients. En tant qu'organisation de services tierce, vous travaillez directement avec beaucoup des données les plus sensibles de vos clients. Un rapport SOC 2 est la preuve que vous manipulerez ces données clients de manière responsable.

Pour obtenir un rapport SOC 2, vous devez passer par un audit effectué par un auditeur tiers. Un auditeur SOC 2 sera soit un CPA, soit une firme certifiée par l'American Institute of Certified Public Accountants (AICPA). Ils évalueront votre posture de sécurité pour déterminer si vos politiques, processus et contrôles sont conformes aux exigences SOC 2.

SOC 2 n'est qu'un type de rapport SOC. Il y en a trois au total : SOC 1, SOC 2 et SOC 3.

SOC 1 est conçu spécifiquement pour les organisations de services fournissant des services de rapport financier.

SOC 2 est une norme de sécurité de l'information basée sur les critères des services de confiance. Elle est ouverte à tout fournisseur de services et est la plus couramment demandée par les clients potentiels.

SOC 3 est également basé sur les critères des services de confiance mais est moins approfondi, avec des résultats pouvant être partagés publiquement.

SOC 1 et SOC 2 se déclinent en deux sous-catégories : Type I et Type II. Un rapport SOC de type I se concentre sur les systèmes de contrôle de la sécurité des données de l'organisation de services à un moment précis.

Un rapport SOC de type II prend plus de temps et évalue les contrôles sur une période de temps, typiquement entre 3 et 12 mois. L'auditeur réalise des expériences telles que des tests de pénétration pour voir comment l'organisation de services gère les risques réels de sécurité des données.

Quels sont les points de mise en avant de l'AICPA ?

Contrairement à un processus de certification rigide comme ISO 27001, il n'y a pas de liste de contrôle spécifique aux exigences SOC 2.

Au lieu de cela, les critères des services de confiance de l'AICPA fournissent des lignes directrices pour structurer chaque audit. Ils offrent également des « points de mise en avant » pour aider les entreprises à mettre en œuvre des contrôles.

Ces points de mise en avant partagent des exemples de la manière dont une organisation peut satisfaire aux exigences de chaque critère des services de confiance. Voici un exemple tiré du guide de l'AICPA sur les critères des services de confiance :

Le deuxième point de mise en avant mentionne des standards de conduite clairement définis et communiqués à tous les niveaux de l'entreprise. Mettre en place une politique de code de conduite est un exemple de la manière dont les organisations peuvent satisfaire aux exigences de CC1.1.

Cependant, chaque entreprise devra décider quels contrôles elles devront mettre en place pour que leurs systèmes soient conformes aux normes SOC 2.

Quelles sont les exigences pour la conformité SOC 2 ?

Avant de commencer un audit SOC 2 formel, vous devrez comprendre les détails des critères des services de confiance (TSC) car ils sont la base de toutes les exigences SOC 2.

  • Sécurité de l'information : Comment protégez-vous vos données contre les accès et utilisations non autorisés ?
  • Contrôles d'accès logiques et physiques : Comment votre entreprise gère-t-elle et restreint-elle l'accès logique et physique pour éviter toute utilisation non autorisée ?
  • Opérations du système : Comment gérez-vous les opérations de votre système pour détecter et atténuer les écarts de processus ?
  • Gestion des changements : Comment mettez-vous en œuvre un processus de gestion des changements contrôlé et évitez-vous les changements non autorisés ?
  • Atténuation des risques : Comment identifiez-vous et atténuez-vous les risques pour les perturbations commerciales et les services de fournisseurs ?

Pour répondre aux critères des contrôles d'accès logiques et physiques, une entreprise peut établir de nouveaux processus d'intégration des employés, mettre en œuvre une authentification multi-facteurs et installer des systèmes pour éviter de télécharger des données clients.

Une autre entreprise peut restreindre l'accès physique aux centres de données, effectuer des revues trimestrielles des accès et permissions des utilisateurs et surveiller les systèmes de production.

Encore une fois, aucune combinaison spécifique de politiques ou de processus n'est requise. Tout ce qui importe, c'est que les contrôles mis en place remplissent ce critère de services de confiance particulier.

Quels sont les critères des services de confiance ?

Cette section expose les cinq critères des services de confiance, ainsi que quelques exemples de contrôles qu'un auditeur pourrait en déduire.

Sécurité

Toutes les exigences SOC 2 sont facultatives, sauf celles qui relèvent de la sécurité.

Cette catégorie couvre les défenses contre toutes les formes d'attaque. Cela couvre tout, des attaques de type homme du milieu aux individus malveillants accédant à vos serveurs.

Un auditeur peut vérifier la présence de systèmes d'authentification à deux facteurs et de pare-feux d'applications Web. Mais il prendra également en compte des éléments influençant indirectement la sécurité, comme les politiques déterminant qui est embauché pour les rôles de sécurité.

Confidentialité

La confidentialité s'applique à toute information considérée comme sensible en raison de sa nature personnelle.

Pour répondre aux exigences SOC 2 en matière de confidentialité, une organisation doit communiquer ses politiques à toute personne dont elle stocke les données.

Si votre organisation collecte des informations sensibles, elle doit :

  • Obtenir le consentement du sujet
  • Limiter autant que possible la quantité d'informations privées collectées
  • Les recueillir par des moyens légaux
  • Les utiliser uniquement pour les fins pour lesquelles elles ont été collectées
  • Les supprimer à la fin d'une période de conservation des données définie
SOC 2 requirements include:
-Communicate policies to affected parties: Do you have a process for obtaining consent to collect sensitive information? How do you communicate your policies to those whose personal data you store?
-Use clear language: Is the language used in your company’s privacy policy free of jargon and misleading language?
-Collect information from reliable sources: How do you ensure that your data collection processes are legal and your data sources are reliable?

Confidentialité

Les informations confidentielles sont différentes des informations privées en ce sens qu'elles doivent être partagées avec d'autres parties pour être utiles.

L'exemple le plus courant est celui des données de santé. Elles sont très sensibles, mais elles n'ont aucune valeur si vous ne pouvez pas les partager entre les hôpitaux et les spécialistes.

Au lieu de garder les informations totalement sécurisées, la catégorie de la confidentialité se concentre sur leur échange sécurisé.

SOC 2 requirements include:
-Identify confidential information: Are processes in place to identify confidential information once it’s created or received? Are there policies to determine how long it should be retained?
-Destroy confidential information: How will confidential information be deleted at the end of the retention period?

Intégrité du traitement

Les systèmes utilisés pour stocker, traiter et récupérer les informations fonctionnent-ils comme ils le devraient ?

L'intégrité du traitement s'éloigne de la sécurité de l'information pour se demander si vous pouvez faire confiance à une organisation de services dans d'autres domaines de son travail.

Certains contrôles de la série PI se réfèrent à la capacité de l'organisation à définir quelles données elle a besoin pour atteindre ses objectifs. D'autres définissent l'intégrité du traitement en termes d'entrées et de sorties.

Par exemple, si un client saisit une commande sur un site de commerce électronique, la sortie est la livraison rapide du produit.

SOC 2 requirements include:
-Create and maintain records of system inputs and outputs: Do you have accurate records of system input activities? Are outputs only being distributed to their intended recipients?
-Detect and address errors: Is there a process to detect and correct errors as fast as possible?
-Define processing activities: Have you defined processing activities to ensure products or services meet their specifications?

Disponibilité

Les contrôles de disponibilité dans SOC 2 se concentrent sur la minimisation des temps d'arrêt. L'évaluation des risques est d'une importance capitale pour cette catégorie.

Avec les contrôles de la série A1, les entreprises doivent :

  • Prédire la capacité du système
  • Identifier et atténuer les menaces environnementales
  • Identifier les données qui doivent être sauvegardées
SOC 2 requirements include:
-Minimizing downtime: Are the systems of the service organization backed up securely? Is there a recovery plan in case of a disaster? Is there a business continuity plan that can be applied to unforeseen events?
-Measuring current usage: Is there a baseline for capacity management? How can you mitigate impaired availability due to capacity constraints?
-Identifying environmental threats: What environmental hazards could impact system availability? E.g., Hurricanes, tornadoes, earthquakes, wildfires, power loss, etc.

Qu'est-ce qu'une évaluation de préparation SOC 2 ?

La plupart des entreprises réalisent une évaluation de préparation avant de demander un audit SOC 2.

Une évaluation de préparation SOC 2 est comme passer un examen blanc. Vous avez passé en revue les TSC, déterminé quels critères s'appliquent et documenté les contrôles internes. L'évaluation de préparation sert de répétition, estimant comment l'audit se déroulerait si vous le réalisiez aujourd'hui.

Une évaluation de préparation est effectuée par un auditeur expérimenté — presque toujours quelqu'un également certifié pour effectuer l'audit SOC 2 lui-même. À la fin, vous recevrez une lettre expliquant où vous pourriez ne pas être conforme SOC 2. Utilisez cette lettre pour déterminer ce que vous devez encore faire pour répondre aux exigences SOC 2 et combler les lacunes.

Si vous suivez les conseils de votre évaluation de préparation, vous avez beaucoup plus de chances d'obtenir un rapport SOC 2 favorable.

Comprendre les exigences SOC 2

Bien que l'AICPA fournisse des orientations utiles sous la forme des points focaux des TSC, il n'y a pas de liste de contrôle des exigences SOC 2 claire et nette.

À première vue, cela peut sembler frustrant. Mais plus vous avancez dans le processus de conformité, plus vous commencerez à voir cette absence comme une fonctionnalité, et non comme un défaut.

Si les exigences SOC 2 étaient trop rigides, elles pourraient ne pas avoir de sens pour votre entreprise. Les critères des services de confiance font de SOC 2 une norme polyvalente et adaptable.