Conformité : une assurance de cybersécurité pour gagner la confiance de vos partenaires d’affaires

Conformité : une assurance de cybersécurité pour gagner la confiance de vos partenaires d’affaires

La sécurité de l’information est un motif de préoccupation pour toutes les organisations, y compris celles qui sous-traitent des opérations commerciales clés à des fournisseurs tiers (exemples : SaaS, fournisseurs de services infonuagiques).  En effet, des données mal gérées peuvent exposer les entreprises à des attaques telles que le vol de données, l’extorsion et l’installation de logiciels malveillants. De plus en plus de donneurs d’ouvrages incluent désormais des critères de sécurité informatique dans leurs appels d’offres. C’est dans ce contexte que sont apparus de nombreux questionnaires de sécurité, de contrôles et d’audits pour les fournisseurs afin qu’ils fournissent des assurances de sécurité aux partenaires d’affaires. Le rapport SOC 2 est un des plus en vogue, voici un résumé de ce qu’il signifie et de ce que sa réalisation apporte à l’entreprise.

Le rapport SOC 2

Pour beaucoup, le rapport Service Organisation Control (SOC 2), émis par un auditeur qualifié, est devenu la norme d’assurance de choix. SOC 2 est une procédure d’audit qui garantit que vos prestataires de services gèrent en toute sécurité vos données pour protéger les intérêts de votre organisation et la vie privée des clients.  Pour les entreprises soucieuses de la sécurité, la conformité SOC 2 est une exigence minimale lors de l’examen d’un fournisseur SaaS, au point que de nombreuses organisations exigent désormais contractuellement des fournisseurs qu’ils fournissent des rapports SOC 2 sur une base annuelle.

Ce que le SOC 2 n’est pas :

Il faut souligner que la conformité SOC 2 n’est pas une certification réglementée par le gouvernement. Il n’y a aucune pénalité pour le non-respect des politiques déclarées et les auditeurs ne vous factureront pas d’amende : ils vous indiqueront vos lacunes et vous aideront à les résoudre. Bien qu’il couvre les principaux départements et les processus qui interagissent avec des données sensibles, le SOC 2 ne stipule pas de normes. Il ne faut pas donc pas confondre la conformité SOC 2 avec les meilleures pratiques de sécurité réelles.

Quel est la principale motivation pour devenir conforme SOC 2?

La principale motivation qui pousse les organisations à devenir conforme à SOC2 est de faciliter les affaires, les ventes. La décision de devenir certifié SOC 2 est volontaire, elle n’est donc pas motivée par une conformité obligatoire ou d’autres réglementations et normes telles que PCI-DSS.

En tant qu’entreprise, la motivation à devenir conforme peut provenir des préoccupations exprimées par vos clients au sujet de la sécurité de leurs partenaires commerciaux; ils demandent l’assurance que leurs données sensibles sont en sécurité dans votre centre de données ou sur votre infrastructure. Dans certains cas, ils peuvent demander des informations techniques plus détaillées sur la protection de votre environnement de cloud computing, par exemple s’il est protégé par un système de détection / prévention d’intrusion, et s’il est correctement gardé.

Dans le cas d’une startup qui vend à une grande entreprise, deux questions clés reviennent souvent « Est ce que votre infrastructure est sécurisée ? », «Si nous vous communiquons nos données, allez-vous les divulguer sur Internet ? ».

Finalement SOC 2 est un rapport que vous pouvez communiquer à vos clients et qui signifie que « Oui, nos infrastructures sont sécurisées, nous avons fait venir un auditeur pour examiner nos pratiques, tout est écrit ici, nous sommes au meilleur. » SOC 2 démontre aux clients que vous disposez des personnes, des politiques et des procédures appropriées non seulement pour gérer un incident de sécurité, mais également pour réagir en conséquence.

Les 5 piliers du SOC 2

Pour savoir ce qu’est la conformité SOC 2, il est utile de comprendre les critères connus sous le nom de cinq principes de services de confiance (Trust Services Criteria) : sécurité, disponibilité, intégrité du traitement, confidentialité et protection des données.

  1. Sécurité : Ce principe donne au client une assurance raisonnable que ses données sont sûres et sécurisées, et démontre que les systèmes sont protégés contre les accès non autorisés (à la fois physiques et logiques)
  2. Disponibilité : La disponibilité est le deuxième principe le plus couramment choisi pour l’examen SOC 2. Il se concentre sur les systèmes disponibles pour le fonctionnement et l’utilisation.
  3. Intégrité du traitement : Ce principe se concentre sur le fait que le traitement du système est complet, précis et valide.
  4. Confidentialité : Le principe de confidentialité garantit que les informations jugées confidentielles sont protégées comme convenu.
  5. Protection des données : Le principe de protection de données fait référence à la manière dont les informations personnelles identifiantes (prénom, nom, adresse, numéro de téléphone, etc.) sont collectées, utilisées, conservées, divulguées et éliminées. Il garantit que vos pratiques de traitement des données sont conformes à votre politique de confidentialité.

Vous n’êtes pas nécessairement tenu de respecter tous les principes, mais vous sélectionnerez ceux qui sont pertinents pour les services que vous fournissez aux clients.  A titre d’exemple : si vous fournissez des services de stockage infonuagique, et que les traitements des données sont faits par vos clients dans leurs systèmes, le principe d’intégrité des traitements ne s’applique pas à vous.

Le rapport d’audit

Un rapport SOC 2 peut être :

  • de type 1 : l’opinion couvre uniquement la conception des contrôles, à un moment précis
    • ou
  • de type 2 : l’opinion couvre une période définie afin de s’assurer de l’efficacité opérationnelle des contrôles dans la durée, c’est-à-dire de la bonne application ou exécution

Enfin, la conformité c’est aussi une vision et un investissement humain pour de meilleurs résultats. Au plus haut niveau, ce qui différencie une organisation d’une autre, c’est sa conviction et sa vision du rôle de la conformité au sein de son entreprise. Une personne avec une conviction en ferait plus qu’une centaine qui n’ont qu’un intérêt : l’engagement est donc la clé pour garder le cap et mener à bien le projet de conformité, et la conviction précède toujours l’engagement.

Votre organisation considère-t-elle la conformité comme une série de cases qu’elle doit cocher, ou considère-t-elle que la conformité joue un rôle positif dans la croissance de l’entreprise ? Pour un éclairage il suffit de réfléchir à ce que vous répondriez aux questions suivantes au nom de votre organisation :

  • L’équipe de direction donne-t-elle le ton et croit-elle que la conformité soit importante pour l’entreprise ?
  • Existe-t-il une formation pour que les employés sachent ce qu’on attend d’eux ?
  • Y a-t-il un alignement entre les objectifs commerciaux et les objectifs de conformité ?
  • Disposez-vous du personnel dédié possédant les compétences et l’expérience nécessaires pour planifier, concevoir, mettre en œuvre et maintenir votre programme de conformité ?

Autres billets

22Oct
Conformité TI en sécurité : un simple “nice to have” pour les PME?

R2i - Membre AQT

27Oct
Guide des bonnes pratiques en matière de cybersécurité

admin

22Oct
Vulnérable le cloud? Pas si votre solution est bien choisie et configurée!

R2i - Membre AQT