Les 8 plus grands défis de la certification SOC 2

11-08-2021 / CloudOps

La taille, la fréquence et la portée des cyberattaques vont en s’accroissant. L’année dernière seulement, la proportion des entreprises attaquées est passée de 38 % à 43 % et plus d’un quart des entreprises ont été la cible de cinq attaques et plus (Hiscox Cyber Readiness Report 2021). C’est encore le Far West sur l’Internet en matière de sécurité.

Traditionnellement, les organisations de soins de santé et des services financiers sont celles qui ont pris la cybersécurité avec le plus de sérieux. Avec de rigoureuses exigences de conformité en place, de lourdes amendes sont données à celles qui échouent à protéger les renseignements personnels des patients et des clients. Mais la sécurité est une préoccupation dans toutes sortes d’industries.

Tandis que de plus en plus d’entreprises passent à des modèles de livraison basés sur le SaaS (logiciel-service), les clients veulent l’assurance que les chaînes logistiques dont ils dépendent sont protégées. Les pirates informatiques ont récemment porté plus d’attention sur l’aspect des activités des entreprises, préférant faire du chantage et perpétrer des attaques perturbatrices plutôt que voler des cartes de crédit. JBS SA, le plus grand producteur de viande au monde, a été forcé de fermer presque toutes ses usines de viande au Canada, aux États-Unis et en Australie après une cyberattaque en mars 2021. À mesure que l’Internet des objets se développe, les pirates informatiques auront accès à une surface d’attaque plus large.

La cybersécurité doit grimper plus haut dans l’agenda des dirigeants d’entreprise. Un rapport d’audit de grande qualité peut être le meilleur moyen d’assurer et de prouver que des outils et des processus sûrs sont en place. Les organisations disposent de plusieurs moyens pour effectuer un audit. ISO 27001 est utilisé partout dans le monde, mais le recours à SOC 2 est ce qui est habituellement prévu dans le marché nord-américain. SOC 2 répond ou excède la plupart des contrôles d’ISO 27001, dont l’exécution de tests de l’efficacité opérationnelle. De même, SOC 2 est devenu la norme de facto pour atténuer les risques liés aux renseignements.

SOC 2

SOC 2 (contrôles du système et de l’organisation) est un système développé par le American Institute of Certified Public Accountants en tant que procédure d’audit qui définit les critères de gestion des données des clients. Il procure une attestation indépendante périodique des contrôles qu’une organisation a mis en place pour réduire les risques liés aux renseignements.

En bref, une organisation qui obtient un rapport SOC 2 d’une firme CPA a démontré que ses systèmes ont été efficacement conçus et vérifiés pour assurer la sécurité des données. Un rapport de type 1 indique qu’un audit a été effectué à un moment précis dans le temps, tandis qu’un rapport de type 2 couvre une période, assurant ainsi le suivi des contrôles sur une base régulière. Une fois obtenu, un rapport est valide pour un an.

Un audit SOC 2 fournit l’assurance aux organisations qu’elles peuvent gérer les données des clients de manière sécuritaire dans l’ensemble des domaines techniques et des affaires. Il assure la traçabilité des transactions d’affaires (enregistrement et suivi des événements et établissement des événements dans des systèmes entièrement vérifiables), ce qui réduit les risques de sécurité et opérationnels et fournit les données pour faciliter les analyses judiciaires. Il fournit un audit externe par une tierce partie avec un examen de conformité objectif garanti des critères. Il répond également aux besoins des clients qui requièrent la conformité SOC 2 de leurs fournisseurs de services critiques à leur mission afin de maintenir leur propre conformité.

Les rapports SOC 2 consistent en des centaines de contrôles et sont basés sur cinq principes de service de confiance.

  • - Sécurité – protection contre l’accès non autorisé, la divulgation non autorisée ou les dommages aux systèmes.
  • - Disponibilité – maintien de systèmes opérationnels et disponibles à un niveau qui répond aux objectifs déclarés de l’entreprise.
  • - Intégrité du traitement – assurance que les systèmes fonctionnent de manière prévisible et exempte d’erreurs accidentelles ou non expliquées.
  • - Confidentialité – protection des renseignements confidentiels tout le long de leur cycle de vie, de la collecte au traitement et à la destruction.
  • - Vie privée – protection des renseignements personnels, surtout lorsqu’ils sont soumis par les clients.

Lors de l’exécution d’un rapport SOC 2, les organisations peuvent choisir de faire un audit sur un, plusieurs ou tous les principes de service de confiance.

SOC 2 est important, mais n’est pas nécessairement facile ni simple à effectuer. Voici huit défis que nous avons observés chez les organisations sur leur parcours SOC 2.

1. Établissement des services à inclure dans le système défini dans le rapport SOC 2

L’étendue de l’audit doit idéalement se limiter aux systèmes et aux données qui sont essentiels à la prestation du ou des services dont vous souhaitez faire la vérification. Bien qu’il puisse sembler assez simple d’inclure tous vos systèmes dans l’étendue de l’audit, cela peut entraîner des conséquences. Incluez-vous des systèmes patrimoniaux (bientôt) obsolètes dont les technologies ne sont plus soutenues par le fournisseur? Augmentez-vous inutilement la charge de travail pour gérer et maintenir ces systèmes aux plus hauts standards exigés par SOC 2? Est-ce que des systèmes offrent actuellement des services fournis par des tierces parties externes? N’ayez pas peur de vous fier au robuste rapport SOC 2 (tenant pour acquis la validation du bon fonctionnement avant votre audit). Assurez-vous que les limites de l’étendue de l’audit sont claires.

2. Compréhension des exigences en matière de contrôle

Les personnes qui rédigent les contrôles (gestionnaires de la conformité, vérificateurs, etc.) ne sont probablement pas celles qui évaluent et corrigent les lacunes de conformité. Il est important que chacune des exigences de contrôle soit bien claire pour tous les intervenants afin d’éviter l’apparition de malentendus durant les entrevues d’audit et qu’elles deviennent des éléments à corriger dans votre rapport d’audit. Fiez-vous à l’expertise de votre vérificateur pour comprendre les objectifs des critères et des contrôles et pour concevoir des mesures de contrôle efficaces. Si possible, faites appel aux services d’un conseiller SOC 2 comme Securis pour effectuer l’analyse des lacunes.

3. Priorités concurrentes pour les ressources humaines

Votre entreprise et vos activités ne s’arrêtent pas pour préparer un audit, et les problèmes opérationnels ou les projets de travail dont les échéances sont serrées et les engagements envers les clients auront souvent préséance sur l’exécution d’une analyse des lacunes et les corrections. Néanmoins, il est important de désigner des personnes (ou au moins d’appliquer strictement des réductions pour d’autres travaux) pour prendre en charge les préparatifs en vue d’un SOC 2. Autrement, vous risquez constamment de repousser la période d’audit.

4. Adhésion uniforme à la politique et au processus

Votre adhésion aux politiques et aux processus sera rudement mise à l’épreuve par l’équipe d’audit. Un échec (preuve que la politique et le processus ne sont pas suivis) peut être le résultat d’un certain nombre de raisons, mais il est souvent attribuable à une communication défaillante avec les parties prenantes, à des politiques et des processus qui sont trop simples et entraînent des lacunes, à des politiques et des processus qui sont trop compliqués et entraînent de la confusion, ou à un manque de temps pour régler des problèmes.

5. Documentation complète et à jour

Les vérificateurs voudront consulter une documentation à jour sur les données et les informations des logiciels de l’infrastructure de conception utilisées par le système étant vérifié. Réduire le risque de sécurité et opérationnel consiste en partie à assurer que vos systèmes (comme les architectures de solutions et les conceptions de réseaux) sont bien documentés. Malheureusement, maintenir la documentation est souvent négligé après coup. Vous pourriez envisager, dans le cadre de vos processus de gestion des changements, de faire de ces telles mises à jour des conditions préalables.

6. Équilibre entre le processus et l’aspect technique

Se préparer à un audit SOC 2 exige d’assurer d’avoir en place des politiques et des processus qui satisfont aux exigences de contrôle de même que des solutions techniques qui soutiennent ces politiques et ces processus. Les équipes techniques mettent trop souvent l’accent sur le déploiement d’une technologie avant de penser à son processus. Le résultat est un processus qui répond aux besoins technologiques, mais pas à ceux de l’équipe.

7. Préparation insuffisante

Il est crucial d’investir du temps pour effectuer une analyse des lacunes avant d’amorcer vos audits de type 1 et de type 2. Si vous effectuez un audit de type 1, il est probable que ce soit la première fois que vos systèmes et vos processus subissent un tel niveau d’examen. Il est préférable de comprendre et de combler les lacunes pour satisfaire aux exigences de contrôle avant la période d’audit. Si vous effectuez un audit de type 2, est-ce que vos processus étaient tenus ensemble par des solutions à court terme lorsque vous avez terminé le type 1? Dans un tel cas, vous trouverez peut-être que ces mêmes processus ne réussiront pas le test du temps et pourraient vous faire défaut durant la plus grande période de l’audit de type 2. Dans un cas comme dans l’autre, identifiez les lacunes rapidement et vous serez reconnaissant plus tard de l’avoir fait.

8. Compréhension que le SOC 2 est un parcours et non pas une destination

Obtenir un rapport d’audit SOC 2 est une grande réalisation, mais vous ne devez pas le considérer comme le but ultime. Maintenir une attestation SOC 2 de type 2 valide signifie que vous serez continuellement en période d’audit. Il ne doit pas y avoir de lacunes dans la couverture de la période d’audit. Demeurer conforme au SOC 2 exige de réévaluer et d’améliorer vos politiques, vos processus et vos outils sur une base continue. Il s’agit d’un parcours et non pas d’une destination.

La gestion d’une équipe des opérations vient avec des défis, surtout lors de l’intégration de la sécurité dans les pratiques DevOps. Les services gérés de CloudOps ont fait l’objet d’un audit SOC 2, nous pouvons vous aider sur votre parcours SOC 2. Nous faisons équipe avec Securis pour son expertise en matière de gouvernance, de gestion des risques liés aux renseignements, d’audit, de réponse aux incidents, ainsi que dans divers domaines de la technologie, de l’architecture et de l’audit de sécurité. Peu importe la configuration de votre nuage ou de votre réseau, notre équipe expérimentée vous aidera à effectuer vos activités quotidiennes de manière sécuritaire et conforme. Contactez-nous pour savoir comment nous pouvons soutenir votre organisation.

New call-to-action