Les bénéfices du SOC 2
L’obtention de la certification SOC-21 Type 2 représente plusieurs avantages pour les clients d’organisations comme PlanetHoster de nos jours. Cette norme étant relativement peu connue, nous avons décidé d’y consacrer un article expliquant ce dont il s’agit et les bénéfices que cela peut représenter pour la clientèle.
La sécurité : tout part de là
À l’ère du RGPD2 en Europe et de la Loi 253 au Québec, alors que l’emploi parfois indu de l’intelligence artificielle nuit à la cybersécurité, nos clients sont sûrement conscients jusqu’à quel point la protection de leurs données s’avère d’une importance capitale.
Depuis ses débuts en sa qualité de société, PlanetHoster demeure elle aussi hautement consciente des lourdes responsabilités qui lui incombent. Avec raison. Car les clients, en toute confiance, s’attendent à ce que leurs données en ligne soient protégées.
Précisément, la norme System and Organization Controls 2 (SOC 2) établie par l’American Institute of CPAs (AICPA) énonce les règles précises pour garantir une conformité en matière de cybersécurité. À cette fin, elle décrit les façons dont les organisations peuvent s’assurer que les données de leur clientèle soient stockées et traitées de façon sécuritaire. Un rapport d’audit en bonne et due forme résulte d’un SOC 2.
Déjà, PlanetHoster applique les bonnes pratiques de l’industrie en matière de sécurité des technologies de l’information (TI). Bien que nulle obligation ne contraigne à se conformer à la norme SOC 2, comme on le verra, on peut dire que l’enjeu en vaut la chandelle.
Quels sont les avantages de la norme SOC 2?
Outre l’accroissement de la confiance de la clientèle, les principaux avantages de la norme SOC 2 se présentent comme suit :
- Une meilleure gestion des risques : l’évaluation et l’amélioration des contrôles de cybersécurité internes réduit la probabilité d’atteintes à la sécurité des données ou de perturbations des activités.
- Un accès aux marchés et l’amélioration de la crédibilité : nombre d’organisations ne font affaire qu’avec des entreprises certifiées SOC 2, ce qui confère un avantage concurrentiel. Nous savons que des clients potentiels, particulièrement aux États-Unis, peuvent exiger cette norme.
- L’efficacité opérationnelle : en raison de son caractère reconnu par plusieurs entités, une certification comme SOC 2 épargne bien des efforts. En effet, elle réduit la charge de travail qui résulte de la documentation à remplir pour rendre des comptes aux clients quant aux pratiques de stockage et de traitement des données.
Quelques mots sur les rapports d’audits SOC 2
Comme nous l’avons dit, une entité indépendante doit faire une évaluation rigoureuse de la conformité à la norme SOC 2. Plus précisément, après avoir effectué un audit de la sécurité des données d’une organisation en conformité avec les prescriptions de la norme SOC, un expert-comptable accrédité (CPA) indépendant doit produire un rapport.
Deux niveaux de rapports, ou types, demeurent possibles.
D’une part, le rapport de Type 1 décrit les systèmes de l’organisation à un moment précis dans le temps. Diffusé à l’interne, ce rapport confirme que la conception des contrôles spécifiés répond aux principes de confiance attendus.
D’autre part, le rapport de Type 2 valide l’efficacité de ces mêmes contrôles en survivant à l’épreuve du temps. La période de validation varie en général entre six mois et un an. Ce rapport est aussi diffusé à l’interne.
Quels sont les cinq principes de la norme SOC 2?
Un audit SOC 2 repose sur cinq grands principes :
- la sécurité;
- la disponibilité;
- l’intégrité du traitement;
- la confidentialité; et
- la protection des renseignements personnels.
Le premier principe, la sécurité, est obligatoire. On l’appelle souvent « critère commun ».
Les quatre autres sont choisis au cas par cas, selon leur applicabilité à l’industrie faisant l’objet de l’audit et selon les services qu’elle fournit. Les besoins des clients de l’industrie en question influencent aussi ce choix.
Voyons tout cela plus en détail.
1. La sécurité
L’objectif de l’audit de sécurité est de vérifier que l’accès non autorisé est refusé.
La sécurité englobe la protection des informations au moment de leur collecte, leur création, leur utilisation, leur traitement, leur transmission et leur stockage. Elle désigne aussi la protection des systèmes qui stockent, traitent ou transmettent des données relatives aux services fournis par l’organisation.
Les outils tant physiques que logiques qui favorisent la sécurité des technologies de l’information (TI) les plus importants demeurent, entre autres :
- les pare-feux;
- la détection d’intrusion; et
- l’authentification multifacteur (MFA) des utilisateurs.
Sur la base des résultats quant à l’évaluation des outils en place, des recommandations sont faites dans le rapport d’audit TOC 2 pour combler les lacunes et corriger les vulnérabilités observées.
2. La disponibilité
L’audit de disponibilité porte sur quelques éléments dont, en particulier, l’évaluation de la disponibilité des services fournis par les fournisseurs.
On inclue aussi les performances du réseau lui-même, en ce sens que les clients s’attendent à ce que leurs systèmes puissent fonctionner et être utilisés comme convenu. Ceux-ci doivent être accessibles et utilisables en réduisant au minimum les temps d’arrêt et en assurant la fiabilité.
Ce principe se catégorise typiquement par la mise en oeuvre :
- de systèmes redondants;
- de procédés de sauvegarde et de récupération; et
- de plans de récupération d’urgence.
3. L’intégrité du traitement
Ce type d’audit vise à valider qu’il n’y ait pas d’erreurs résultantes dans le traitement du système : celui-ci doit être complet, exact, opportun et autorisé. On assure l’intégrité et l’exactitude des données en mettant l’accent sur le fonctionnement correct et autorisé du système.
L’audit veille à ce que, si des erreurs se produisent, elles soient détectées et corrigées rapidement, sans pour autant compromettre les services et les opérations. Un examen des données doit aussi confirmer qu’elles sont présentées à temps et dans le bon format.
Dans cette optique, deux mesures doivent forcément être mises en place :
- l’assurance qualité; et
- le suivi des procédés.
4. La confidentialité
L’audit de confidentialité veille à ce que les renseignements désignés comme tels ne soient visibles que par ceux qui possèdent les autorisations appropriées. L’accent est mis sur la protection des renseignements sensibles contre l’accès et la divulgation non autorisés.
La confidentialité est tributaire :
- de contrôles d’accès privilégié particulièrement rigoureux;
- de la classification des données;
- du chiffrement (cryptage);
- de la cartographie informatique;
- de la conservation et de l’élimination des données; et
- des pares-feux pour les réseaux et les applications.
5. La protection des renseignements personnels
Cet audit revient à juger du respect de la vie privée et mesure le degré de la protection des renseignements personnels proprement dits. Semblable à la confidentialité, le principe de la protection des renseignements personnels s’intéresse davantage sur la manière dont les données utilisateur sensibles sont stockées et utilisées.
Par définition, il garantit que les renseignements personnels soient recueillis, utilisés, conservés, communiqués et éliminés conformément aux engagements pris dans l’avis de confidentialité de l’organisation. Les critères de l’AICPA régissent aussi la protection des renseignements personnels, en accord avec les principes de protection des renseignements personnels généralement admis.
Pour y parvenir, on retiendra :
- le contrôle d’accès;
- la MFA; et
- le chiffrement.
Conclusion
Nous espérons que cet article vous aura permis de comprendre ce que sont les audits de SOC 2 et les raisons qui poussent plusieurs organisations à les planifier.
On retiendra que la norme System and Organization Controls 2 (SOC 2) établie par l’AICPA établit les règles précises pour garantir une conformité en matière de cybersécurité. Rapport d’audit à l’appui, elle prouve que les données de la clientèle de l’organisation certifiée sont stockées et traitées de façon sécuritaire.
On retiendra aussi qu’un rapport d’audit de type I démontre que la conception des contrôles spécifiés répond aux principes de confiance attendus à un moment précis dans le temps. Un rapport de type II valide quant à lui l’efficacité de ces mêmes contrôles durant une période de validation déterminée (de six mois à un an en général).
Enfin, on gagnera à retenir qu’un audit SOC 2 repose sur 5 principes : la sécurité (obligatoire), la disponibilité, l’intégrité du traitement, la confidentialité et la protection des renseignements personnels.
- Prononcer « sock two ». ↩︎
- Règlement Général sur la Protection des Données (RGPD). Texte législatif européen réglementant la collecte, le stockage et l’utilisation des données personnelles. ↩︎
- Loi québécoise qui renforce la protection de la vie privée en obligeant les entreprises et organismes à être plus transparents et responsables en regard de la collecte, l’utilisation et la protection des données personnelles des citoyens. ↩︎