Un rapport de contrôles des systèmes et des organisations (SOC) est comme une note affichée à la fenêtre d'un restaurant.
Il prouve à vos clients, en un coup d'œil, que vous prêtez attention à des détails cruciaux. Il contient des informations détaillées sur la manière dont vous protégez les données des clients contre les accès non autorisés.
Mais qu'est-ce qu'un rapport SOC 1 et SOC 2, et comment en obtenir un ?
Rapport SOC 1 vs SOC 2
Un rapport SOC 1 est destiné aux organisations dont les contrôles de sécurité internes peuvent avoir un impact sur les rapports financiers des clients. Pensez aux entreprises de paie, de traitement des réclamations ou des paiements. Les rapports SOC 1 peuvent rassurer les clients sur le fait que leurs informations financières sont traitées en toute sécurité.
Un rapport SOC 2 aide les organisations SaaS et de services à prouver leurs contrôles de sécurité des centres de données et du cloud.
Les deux SOC 1 et SOC 2 sont des rapports d'attestation, où la direction d'une organisation atteste que certains contrôles de sécurité de l'information sont en place.
Ensuite, un auditeur indépendant accrédité par l'American Institute of Certified Public Accountants (AICPA) est appelé à vérifier ces affirmations et à être d'accord ou non.
Qu'est-ce qu'un rapport SOC 2 ?
À la fin d'un audit SOC 2, l'auditeur publie un rapport SOC 2. Ce rapport présente son avis sur la question de savoir si la posture de cybersécurité interne de votre entreprise respecte les normes de sécurité SOC 2.
N'oubliez pas, il n'existe pas de certification SOC 2 officielle - juste le rapport contenant l'avis officiel de l'auditeur sur l'efficacité opérationnelle des contrôles de votre organisation de services. Toutes les organisations qui réalisent un audit SOC 2 reçoivent un rapport SOC 2, qu'elles aient réussi ou non l'audit.
Qu'est-ce qui est inclus dans un rapport SOC 2 ?
Un rapport SOC 2 final comprend plusieurs sections :
Déclaration de la direction
La section Déclaration résume ce que les dirigeants de l'entreprise ont dit à l'auditeur sur leurs contrôles de sécurité et de confidentialité. Elle explique si les systèmes sont représentés de manière équitable dans le rapport. Cette section décrit également si vos systèmes satisfont aux critères de services de confiance (anciennement principes des services de confiance) que vous avez choisis d'inclure dans votre audit.
Rapport de l'auditeur de services indépendant
Cette section comprend l'avis formel de l'auditeur sur la performance de vos contrôles par rapport aux critères de services de confiance que vous avez sélectionnés.
- Un “avis sans réserve” est une réussite totale.
- Un “avis avec réserve” signifie que l'entreprise est presque conforme, mais qu'un ou plusieurs domaines ne sont pas encore au point.
- Un “avis défavorable” est un échec. L'entreprise échoue dans un ou plusieurs domaines non négociables.
- Une “déclaration d'absence d'opinion” signifie que l'auditeur n'a pas suffisamment de preuves pour soutenir l'une des trois premières options.
Vue d'ensemble du système
La vue d'ensemble du système explique ce que fait votre entreprise. Elle inclut l'industrie, le lieu et la manière dont vous décrivez votre infrastructure. Elle comprend également un résumé de vos contrôles de sécurité des données et les raisons pour lesquelles vous les avez mis en place.
Infrastructure
Cette section décrit les personnes, politiques, processus, logiciels, données et technologies de l'organisation. Elle fournit également des informations sur les fournisseurs tiers auxquels elle fait appel.
Aspects pertinents de l'environnement de contrôle
Cette partie explique les aspects les plus importants de votre environnement de contrôle interne. Exemples inclus :
- Systèmes d'information
- Politiques/processus de gestion et d'évaluation des risques
- Stratégies de suivi
Contrôles utilisateur entité complémentaires
Les contrôles utilisateur entité complémentaires (CUEC) sont également connus sous le nom de Considérations de contrôle utilisateur (UCC). Ce sont des contrôles sur lesquels les organisations comptent pour que leurs clients les mettent en œuvre.
Voici un exemple :
Des tonnes d'entreprises utilisent Dropbox ou Google Drive pour partager des fichiers et collaborer.
Mais ces services de partage de fichiers n'ont pas de moyen de savoir à qui l'accès à certains fichiers de l'entreprise doit être accordé. Il incombe au client de Dropbox (l'entité utilisateur) de suivre qui doit avoir accès. Il est également de leur responsabilité de supprimer l'accès pour les anciens employés ou fournisseurs.
Contrôles complémentaires de l'organisation des services sous-jacents
L'American Institute of CPAs définit une organisation de sous-services comme un fournisseur de support. Quelques exemples sont l'hébergement de centres de données et les services de traitement de transactions/données. En fonction du type de service externalisé, votre organisation peut souhaiter inclure certains de ces contrôles de l'organisation de sous-services dans votre audit.
Critères des services de confiance, contrôles liés aux critères et tests de contrôles
Cette liste répertorie chaque contrôle de sécurité interne mis en place par votre entreprise, ainsi que les résultats des tests de contrôle.
Autres informations
Informations fournies par l'entreprise que l'auditeur a jugées non pertinentes.
Types de rapports SOC 2 : Rapports d'audit Type I vs Type II
Que contient un rapport d'audit SOC 2 Type I ?
Les audits de type SOC 2 Type I analysent les contrôles internes d'une organisation à un moment donné. Ils évaluent dans quelle mesure une entreprise a conçu sa posture de sécurité interne.
Un rapport d'audit SOC 2 Type I fournit un aperçu du système, des contrôles et des processus de l'organisation de services en relation avec les TSC spécifiques.
Les contrôles internes individuels sont liés à des objectifs de contrôle ou aux critères des services de confiance. Souvent, plusieurs contrôles internes sont liés à un seul objectif de contrôle.
Le rapport comprend également une description des contrôles utilisateur entité nécessaires pour que le système de contrôles fonctionne comme prévu. Si nécessaire, les contrôles de l'organisation des sous-services sont également inclus.
Enfin, les rapports de type 1 incluent une assertion de gestion. Cela résume comment le système et les contrôles de l'organisation répondent aux objectifs de contrôle.
Que comprend un rapport d'audit SOC 2 Type II ?
De nombreux aspects abordés dans un audit SOC 2 Type II sont les mêmes que ceux d'un audit SOC 2 Type I. Les deux évaluent les contrôles et les processus internes d'une entreprise en relation avec les TSC spécifiques.
La principale différence entre les types de rapports SOC réside dans la période couverte par l'audit SOC et le niveau de détail fourni dans le rapport final. Alors que les audits SOC 2 Type I examinent les contrôles d'une entreprise à un moment donné, les audits SOC 2 Type II analysent comment ces contrôles fonctionnent au fil du temps.
En conséquence, le rapport d'audit SOC 2 Type II est plus complet qu'un rapport de type I et offre souvent un niveau de garantie plus élevé pour les clients.
Les rapports SOC 2 Type 2 couvrent tout ce qui se trouve dans un rapport de Type I. De plus, il contient des détails sur les tests que l'auditeur a effectués pour évaluer chaque contrôle ainsi que les résultats. Le rapport documente également toutes les exceptions.
Qui a besoin de voir un rapport SOC 2 ?
Plusieurs parties prenantes pourraient avoir besoin ou vouloir lire votre rapport SOC 2, notamment :
- Les clients actuels et potentiels veulent savoir comment vous gérez leurs données sensibles.
- Les partenaires commerciaux veulent savoir quels types de contrôles internes sont en place pour la protection des données et pour prévenir les fuites de données coûteuses.
- Les auditeurs externes peuvent avoir besoin d'examiner les contrôles internes concernant la sécurité des données des clients.
- Les investisseurs potentiels ont besoin de données crédibles et fiables sur la sécurité de votre entreprise et son niveau de sophistication.
- Les régulateurs peuvent vérifier si les contrôles et les systèmes de votre organisation sont conformes aux lois et réglementations applicables.
Étant donné que le rapport SOC 2 contient des informations aussi détaillées sur les systèmes et les processus d'une entreprise, la plupart des organisations et des prestataires de services qui choisissent de partager leur rapport SOC 2 ne le font que sous NDA.
FAQs
Qu'est-ce que le rapport SOC 2 ?
Le rapport SOC 2 atteste de la conception et de l'efficacité opérationnelle des contrôles d'une organisation qui sont pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la vie privée et aide à établir la confiance entre les prestataires de services et leurs clients.
Quelles entreprises ont besoin d'un SOC 2 ?
Toute organisation de services qui traite des informations sensibles non liées aux rapports financiers ou qui affecte le fonctionnement des contrôles internes de ses utilisateurs (à l'exclusion des opérations financières) peut avoir besoin d'un rapport SOC 2. Cela comprend :
- Les fournisseurs de services cloud
- Les fournisseurs de SaaS
- Les services de gestion des ressources humaines
- Les plateformes de recrutement
- Les centres de données hôtes
Un rapport SOC 2 Type 2 est-il confidentiel ?
Oui, un rapport SOC 2 Type 2 contient des informations confidentielles, y compris des informations détaillées sur le système et les contrôles de l'organisation et sur les tests, procédures et résultats de l'auditeur. C'est pourquoi un rapport SOC 2 est un rapport à usage restreint et ne peut pas être publié. Si les clients et les prospects demandent à voir ce rapport, la plupart des organisations leur font d'abord signer un accord de non-divulgation (NDA).