Qu'est-ce que SOC 2 : Un guide sur la sécurité des données et la compréhension de la conformité SOC 2

Dans la société actuelle axée sur les données, la sécurité de l'information est au premier plan des préoccupations de la plupart des entreprises. Entre les préoccupations internes et les vulnérabilités externes, telles que l'externalisation des fonctions commerciales à un fournisseur tiers (par exemple, un fournisseur de SaaS ou de cloud computing), il existe un certain nombre de façons dont les données peuvent devenir à risque ou exposées. Cela peut rendre une entreprise de toute taille vulnérable au vol de données, aux rançongiciels, aux logiciels malveillants et aux fuites, mais les grandes entreprises sont les plus exposées.

Si votre entreprise est soucieuse de la sécurité et cherche à travailler avec une nouvelle application ou un nouveau fournisseur, ou simplement à réévaluer votre pile technologique actuelle, vous devriez envisager d'utiliser la conformité SOC 2 comme exigence minimale. La conformité SOC 2 est considérée comme l'une des normes d'audit les plus strictes et les plus acceptées par l'industrie, établie par l'American Institute of Certified Public Accountants (AICPA) pour aider les fournisseurs de services à gérer en toute sécurité les données dans le cloud. Cela devient rapidement une exigence pour les entreprises SaaS qui souhaitent rester compétitives ou celles qui travaillent avec des clients au niveau de l'entreprise, dont beaucoup sont soumis à leurs propres contrôles de sécurité et de conformité.

Qu'est-ce que le SOC 2 ?

Service Organization Control (SOC) 2 ou SOC 2, est un ensemble de critères créés par l'AICPA pour évaluer les systèmes, les processus et les contrôles en place pour le reporting non financier et la gestion des données clients d'une entreprise. Cette procédure d'audit est basée sur cinq critères de service de confiance (TSC) et est un cadre lâche unique à chaque entreprise, ses pratiques commerciales et les contrôles correspondants. Les cinq TSC sont la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée.

Une certification SOC 2 est obtenue lorsqu'un auditeur externe a été en mesure de réaliser une évaluation sur la façon dont un fournisseur se conforme à un ou plusieurs de ces TSC. Une fois cet audit terminé, le fournisseur se retrouvera avec un rapport SOC de type I ou de type II décrivant comment ses contrôles internes traitent les risques liés aux cinq critères.

Une certification SOC 2 Type I signifie qu'un auditeur a évalué la portée et la conception des processus de contrôle interne de l'organisation par rapport aux TSC pertinents. Ce rapport évalue les contrôles à un moment donné, de sorte qu'une performance constante n'est pas évaluée et constitue une étape préliminaire à l'obtention d'une certification de type II. Considérez le type I comme une référence théorique, où la conception des contrôles d'une entreprise est examinée et mise en œuvre, mais ils n'ont pas été « testés sur le terrain ».

Une certification SOC 2 Type II peut être obtenue après que l'auditeur a pu examiner l'efficacité du fonctionnement de ces contrôles sur une période de temps spécifiée, généralement de six à 12 mois. Il s'agit d'une étape au-dessus du rapport de type I, car il confirme que les processus de contrôle sont non seulement bien conçus, mis en œuvre, mais également exécutés de manière cohérente. Considérez le type II comme le monde réel, où ils sont construits correctement, en place et éprouvés pour offrir encore plus de confiance aux clients.

En quoi consiste une certification SOC 2

Comme nous l'avons dit précédemment, une certification SOC 2 est attribuée lorsqu'un auditeur externe a jugé un fournisseur de services conforme à un ou plusieurs des TSC pertinents mentionnés ci-dessus. Plongeons-nous dans chacun de ces critères et comment ils peuvent être liés à une entreprise :

1. Sécurité : ce principe fait référence aux ressources système d'une organisation et à la manière dont elles sont protégées contre les accès non autorisés, qu'ils soient physiques ou logiques. Les contrôles d'accès empêchent la suppression, la modification ou la divulgation non autorisée d'informations ainsi que le vol, l'abus ou l'utilisation abusive. Les moyens de gérer cela sont des outils de sécurité tels que l'authentification à deux facteurs, les pare-feu de réseau et d'application et la détection des intrusions pour empêcher tout accès non autorisé via des failles de sécurité.
2. Disponibilité : ce principe fait référence au système, au service ou au produit disponible pour le fonctionnement ou l'utilisation, comme indiqué dans un contrat ou un accord de niveau de service (SLA). Ceci est déterminé à la fois par le fournisseur et le client pour un niveau minimum acceptable et ne fait pas référence à la convivialité ou à la fonctionnalité d'un système, mais aux critères de sécurité qui peuvent avoir un impact sur l'accès. Les moyens de gérer cela sont la surveillance des performances, la reprise après sinistre et la gestion des incidents de sécurité.
3. Intégrité du traitement : ce principe fait référence à un système qui atteint son objectif, en termes de fourniture des bonnes données au bon moment et au bon coût. Il doit être exact, complet, opportun, valide et autorisé. Cela n'équivaut pas nécessairement à l'intégrité des données, car s'il y a eu des erreurs avant d'être entrées dans le système, ce n'est pas la responsabilité du processeur. Cela peut être géré grâce à des procédures d'assurance qualité (AQ) et à la surveillance des processus.
4. Confidentialité : Ce principe repose sur la considération que les données confidentielles sont protégées. Il peut s'agir de données dont l'accès ou la divulgation est spécifiquement restreint, telles que les structures de tarification internes, la propriété intellectuelle ou des informations financières sensibles. Cela signifie que la transmission doit inclure le cryptage et le stockage doit avoir des contrôles d'accès, des pare-feu réseau/application pour protéger à nouveau les utilisateurs non autorisés.
5. Confidentialité : le dernier principe concerne la collecte, l'utilisation, la conservation, la divulgation et l'élimination des informations personnelles par le système conformément à l'avis de confidentialité de l'entreprise, ainsi qu'aux critères des principes de confidentialité généralement acceptés (GAPP) de l'AICPA. Cela inclut les informations personnellement identifiables (PII) comme les noms, adresses ou numéros de sécurité sociale qui peuvent être utilisés pour identifier un individu ou d'autres données personnelles considérées comme sensibles telles que les dossiers de santé. Cela se fait à l'aide de contrôles d'accès, d'une authentification à 2 facteurs et d'un cryptage.

Qui a besoin de SOC 2

Comme indiqué précédemment, la conformité SOC 2 est l'une des normes d'audit les plus largement acceptées pour la sécurité et la gestion des données, ce qui signifie que de nombreuses entreprises exigeront un rapport avant de pouvoir approuver l'achat d'un nouveau logiciel ou service.

Le rapport SOC 2 montrera aux prospects et aux clients actuels que vous vous engagez à protéger les intérêts de leurs clients et leurs propres intérêts. Certaines industries qui devraient être conformes à SOC 2 sont :

• Comptabilité, cloud computing, CRM, analyse de données, gestion de documents ou d'enregistrements, services financiers, RH, gestion de la sécurité informatique, réclamations médicales, fournisseurs SaaS (comme Justuno !), et plus encore.

Pourquoi SOC 2 est important

La conformité SOC 2 est nécessaire pour que les prestataires de services travaillant dans des domaines hautement réglementés ou avec des clients qui sont des sociétés cotées en bourse, soient considérés comme un fournisseur viable à louer. Ce rapport donne aux prospects l'assurance que leurs données sont protégées et qu'il n'est pas possible d'introduire des vulnérabilités dans leurs systèmes via des intégrations.

Alors que la confidentialité des données continue de gagner en importance et que de plus en plus de réglementations sont introduites, la conformité SOC 2 ne fera que gagner en importance. Quelques raisons pour lesquelles c'est important :

• Les entreprises peuvent perdre des affaires sans cela, ou inversement, elles peuvent obtenir un avantage concurrentiel par rapport à des concurrents plus lents à se déplacer.
• C'est moins cher qu'une violation massive de données
• Il améliore la réputation et la fiabilité d'une entreprise

Cependant, SOC 2 n'est pas le seul type de rapport SOC, il y en a deux autres :

• SOC 1 : Rapports sur les contrôles internes des rapports financiers pour garantir aux utilisateurs que leurs informations financières sont traitées en toute sécurité et générées pour d'autres auditeurs. Cela peut en fait être exigé pour certaines organisations, c'est-à-dire les sociétés cotées en bourse.
• SOC 3 : Rapports sur les mêmes 5 TSC que SOC 2, mais est publiquement accessible à toute personne ne disposant que d'un niveau élevé d'informations puisque SOC 2 contient des contours d'infrastructure très sensibles.

En fin de compte, le type de rapport SOC que vous devriez rechercher en tant qu'entreprise dépend des services fournis et de la clientèle recherchée.

Réflexions finales

La conformité SOC 2 n'est pas une exigence pour les fournisseurs SaaS, mais son importance ne peut être surestimée. Que vous soyez une entreprise à la recherche de ses propres rapports SOC ou une entreprise cherchant à comparer des fournisseurs externes, il est important de comprendre ce qu'est un audit SOC, ce qu'il faut rechercher dans les systèmes d'une entreprise et son impact sur votre propre organisation.

Justuno est conforme à la norme SOC 2 Type II dans les TSC : sécurité, disponibilité et intégrité du traitement, tel que certifié par Dansa, D'Arata, Soucia LLP en 2021. En tant que plate-forme SaaS qui gère en permanence des données personnelles et des informations souvent sensibles, il est important pour Justuno que nous respectons et maintenons les normes les plus strictes de sécurité, d'intégrité et de confidentialité.