La conformité SOC 2 est un sujet tendance dans la cybersécurité ces temps-ci, mais les histoires de conformité SOC remontent en réalité à plus de quatre décennies. Philippe Van Hove, VP EMEA South & Central de Lacework*, explique pour les lecteurs de Solutions Numériques que dès 1974, les experts-comptables ont été tenus de prendre en compte les effets des technologies de l’information sur leur travail. C’est alors que l’American Institute of Certified Public Accountants (AICPA) a mis au point un ensemble de critères de conformité d’audit appelé « System and Organization Control » ou SOC.
Les choses ont bien changé depuis les années 1970. Les systèmes IT de l’époque, antérieurs à Internet et autres réseaux publics, étaient pratiquement coupés du monde extérieur – et des activités illicites. Mais aujourd’hui, avec le cloud et le SaaS, les préoccupations en matière de sécurité ont dépassé le cadre fermé du réseau et du centre de données de l’entreprise. Elles sont de plus en plus entre les mains de tiers, à savoir les fournisseurs de clouds publics et de SaaS. Pour conserver la confiance de tous, les services informatiques doivent s’assurer que ces fournisseurs externes protègent les données contre le vol ou l’utilisation abusive.
S’appuyant sur les contrôles SOC 1 originaux, liés aux rapports financiers, l’AICPA a développé SOC 2, qui définit les critères que les fournisseurs de services doivent respecter dans la gestion des données des clients. La sécurité de l’information étant une préoccupation majeure pour toutes les entreprises, la conformité SOC 2 a gagné en importance.
Pourquoi être conforme SOC 2 ?
Pour les fournisseurs de cloud et de SaaS, la décision d’obtenir la certification SOC 2 est entièrement volontaire. Mais ils ont, en réalité, tout intérêt à garantir que les bonnes mesures sont prises pour protéger les données, pour satisfaire leurs clients actuels mais aussi en attirer de nouveaux.
En tant que client, vous pouvez en effet vous poser des questions sur les pratiques de sécurité de ces partenaires. Stockent-ils les données sensibles en toute sécurité dans un centre de données, par exemple ? Vous et vos clients finaux pouvez également souhaiter obtenir des informations techniques plus détaillées sur la protection de leur environnement cloud. Le centre de données dispose-t-il de protections contre les intrusions physiques, comme des sas de sécurité ? Leur infrastructure et leur réseau cloud sont-ils protégés par un système de détection et de prévention des intrusions ? Utilise-t-il l’équilibrage de charge et est-il sauvegardé correctement ?
Le processus de conformité SOC 2 ne s’accomplit pas rapidement ou par hasard. Cela prend généralement 6 mois, durant lesquels l’équipe de conformité doit d’abord rédiger des politiques et des procédures de sécurité de l’information, puis élaborer un plan de mise en œuvre pour combler les lacunes identifiées. Ensuite, elle fait appel à un un cabinet d’audit indépendant, qui examine les contrôles et les processus impliqués dans le stockage, la manipulation et la transmission sécurisés des données.
Quels sont les principes fondamentaux de SOC 2 ?
Contrairement aux réglementations telles que le RGPD, l’HIPAA ou le California Security Breach Information Act, SOC 2 n’établit pas de normes. Il se contente d’auditer et de confirmer que les processus annoncés par les fournisseurs de cloud et de SaaS sont effectivement suivis dans la pratique. En d’autres termes, il ne s’agit pas d’une certification réglementée par un gouvernement.
SOC 2 couvre 5 principes de base des services de confiance :
-
Sécurité – Donne à un client l’assurance raisonnable que ses données sont en sécurité et démontre que les systèmes sont protégés contre les accès non autorisés (tant physiques que logiques). Parmi les outils de sécurité utiles pour vous aider à vous conformer, citons les firewalls de réseau et d’application web, la double authentification et la détection des intrusions.
-
Disponibilité – Constitue le deuxième principe le plus important retenu pour l’examen SOC 2. Il s’intéresse à la disponibilité des systèmes et implique des critères liés à la sécurité qui peuvent l’affecter. En ce sens, les critères essentiels à la sécurité sont la surveillance des performances et de la disponibilité du réseau, le basculement du site et le traitement des incidents de sécurité.
-
Intégrité du traitement – Ce principe s’attache à ce que le traitement du système soit complet, précis, valide et opportun. Il est utile ici de coupler la surveillance du traitement des données avec des procédures d’assurance qualité.
-
Confidentialité – Ce principe garantit que les informations jugées confidentielles sont protégées conformément aux engagements. Outre des contrôles d’accès stricts et des firewalls pour les applications réseau, le chiffrement s’avère essentiel pour protéger les données confidentielles pendant leur utilisation, leur transit et au repos.
-
Respect de la vie privée – Il s’agit de la manière dont les informations personnelles sont collectées, utilisées, conservées, supprimées et divulguées. Elle garantit que vos pratiques de traitement des données sont conformes à votre avis de respect de la vie privée, et utilisent les critères définis dans les principes de respect de la vie privée publiés par l’AICPA.
Alors que les cadres gouvernementaux et sectoriels ont des exigences très rigides, les rapports SOC 2 sont uniques à chaque organisation. Chacune conçoit ses propres contrôles pour se conformer à un ou plusieurs des principes de confiance en fonction de pratiques commerciales spécifiques. Ainsi, en plus de confirmer que vos partenaires SaaS et Cloud sont conformes SOC 2, vous pouvez demander des détails sur la façon dont ils ont obtenu cette conformité. En fin de compte, tout est une question de confiance – votre confiance dans vos fournisseurs tiers et la confiance de vos clients en vous.
*Lacework est spécialisé dans la sécurité du Cloud. L’entreprise américaine va bientôt annoncer officiellement l’ouverture de ses bureaux en France.
