1 décembre 2021

Conformité : une assurance de cybersécurité pour gagner la confiance de vos partenaires d’affaires

Sécurité

Astuce Sécurité

Ne jamais incorporer
de renseignements personnels :

- date de naissance,
- numéro d’assurance sociale
- prénom de vos enfants,

et vos mots de passe et noms d’utilisateur.

La sécurité de l'information est un motif de préoccupation pour toutes les organisations, y compris celles qui sous-traitent des opérations commerciales clés à des fournisseurs tiers (exemples : SaaS, fournisseurs de services infonuagiques).  En effet, des données mal gérées peuvent exposer les entreprises à des attaques telles que le vol de données, l’extorsion et l’installation de logiciels malveillants. De plus en plus de donneurs d’ouvrages incluent désormais des critères de sécurité informatique dans leurs appels d’offres. C’est dans ce contexte que sont apparus de nombreux questionnaires de sécurité, de contrôles et d'audits pour les fournisseurs afin qu’ils donnent des assurances de sécurité aux partenaires d’affaires.

Le rapport SOC 2

Pour beaucoup, le rapport Service Organisation Control (SOC 2), émis par un auditeur qualifié, est devenu la norme d'assurance de choix. SOC 2 est une procédure d’audit qui garantit que vos prestataires de services gèrent en toute sécurité vos données pour protéger les intérêts de votre organisation et la vie privée des clients.  Pour les entreprises soucieuses de la sécurité, la conformité SOC 2 est une exigence minimale lors de l’examen d’un fournisseur SaaS, au point que de nombreuses organisations exigent désormais contractuellement des fournisseurs qu'ils fournissent des rapports SOC 2 sur une base annuelle.

Ce que le SOC 2 n’est pas

Il faut souligner que la conformité SOC 2 n’est pas une certification réglementée par le gouvernement. Il n’y a aucune pénalité pour le non-respect des politiques déclarées et les auditeurs ne vous factureront pas d’amende : ils vous indiqueront vos lacunes et vous aideront à les résoudre.

Bien qu’il couvre les principaux départements et processus qui interagissent avec des données sensibles, le SOC 2 ne stipule pas de normes. Et il ne faut pas confondre la conformité SOC 2 avec les meilleures pratiques de sécurité réelles.

Pourquoi devenir conforme SOC 2 ?

La principale motivation qui pousse les organisations à devenir conforme à SOC2 est de faciliter les affaires, les ventes. La décision de devenir certifié SOC 2 est volontaire, elle n’est donc pas motivée par une Conformité obligatoire ou d’autres réglementations et normes telles que PCI-DSS.

La motivation à devenir conforme, pour une entreprise, peut venir des préoccupations exprimées par vos clients au sujet de la sécurité de leurs partenaires commerciaux qui veulent l’assurance que leurs données sensibles sont en sécurité dans votre centre de données ou dans votre infrastructure. Certains peuvent parfois demander des informations techniques plus détaillées sur la protection de votre environnement de cloud computing (est-il protégé par un système de détection / prévention d’intrusion, et correctement gardé?).

Quand une startup vend à une grande entreprise, deux questions clés reviennent souvent « Votre infrastructure est sécurisée ? », «si nous vous communiquons nos données, allez-vous les divulguer sur Internet ? ».

Finalement SOC 2 est un rapport que vous pouvez communiquer à vos clients et qui signifie que : “ Oui nos infrastructures sont sécurisées, nous avons fait venir un auditeur pour examiner nos pratiques, tout est écrit ici, nous sommes au meilleur”.

SOC 2 démontre aux clients que vous disposez des personnes, des politiques et des procédures appropriées pour gérer un incident de sécurité, mais aussi pour réagir en conséquence.

Les 5 piliers du SOC 2

Pour savoir ce qu’est la conformité SOC 2, il est utile de comprendre les critères connus sous le nom de cinq principes de services de confiance (Trust Services Criteria)

  1. Sécurité
  2. Disponibilité
  3. Intégrité du traitement
  4. Confidentialité
  5. Protection des données

1.Sécurité 

Ce principe donne au client une assurance raisonnable que ses données sont sûres et sécurisées, et démontre que les systèmes sont protégés contre les accès non autorisés (à la fois physiques et logiques)

2.Disponibilité 

La disponibilité est le deuxième principe le plus couramment choisi pour l’examen SOC 2. Il se concentre sur les systèmes disponibles pour le fonctionnement et l’utilisation.

3.Intégrité du traitement  

Ce principe se concentre sur le fait que le traitement du système est complet, précis et valide.

4.Confidentialité 

Le principe de confidentialité garantit que les informations jugées confidentielles sont protégées comme convenu.

5.Protection des données  

Le principe de protection de données fait référence à la manière dont les informations personnelles identifiantes (prénom, nom, adresse, numéro de téléphone, etc.) sont collectées, utilisées, conservées, divulguées et éliminées. Il garantit que vos pratiques de traitement des données sont conformes à votre politique de confidentialité.

Vous n’êtes pas tenu de respecter tous les principes, mais vous sélectionnerez ceux qui sont pertinents pour les services que vous fournissez aux clients.  Par exemple : vous fournissez des services de stockage infonuagique, et les traitements des données sont faits par vos clients dans leurs systèmes, alors le principe d’intégrité des traitements ne s’applique pas à vous.

Le rapport d’audit

Un rapport SOC 2 peut être

  • de type 1 : l’opinion couvre uniquement la conception des contrôles, à un moment précis
  • ou de type 2 :  l’opinion couvre une période définie afin de s’assurer de l’efficacité opérationnelle des contrôles dans la durée, c’est-à-dire de la bonne application ou exécution

Investir dans les personnes pour de meilleurs résultats

Une personne avec une conviction en ferait plus qu’une centaine qui n’ont qu’un intérêt : l’engagement est donc la clé pour garder le cap et mener à bien le projet de conformité, et la conviction précède toujours l’engagement.

Au plus haut niveau, ce qui différencie une organisation d’une autre, c’est sa conviction et sa vision du rôle de la conformité au sein de son entreprise.

Votre organisation considère-t-elle la conformité comme une série de cases qu'elle doit cocher, ou considère-t-elle que la conformité joue un rôle positif dans la croissance de l'entreprise ?

Il suffit de réfléchir à la manière dont vous répondriez aux questions suivantes au nom de votre organisation :

  • L’équipe de direction donne-t-elle le ton et croit-elle que la conformité soit importante pour l’entreprise ?
  • Existe-t-il une formation pour que les employés sachent ce qu’on attend d’eux ?
  • Y a-t-il un alignement entre les objectifs commerciaux et les objectifs de conformité ?
  • Disposez-vous du personnel dédié possédant les compétences et l’expérience nécessaires pour planifier, concevoir, mettre en œuvre et maintenir votre programme de conformité ?

Pour plus d'informations notre équipe d'experts en cybersécurité et en conformité se tient à votre disposition, n'hésitez pas à contacter Fortica info@fortica.wpengine.com

Bâtis ton avenir chez Fortica

Nous t’attendons au sein de notre équipe!

Nous ne travaillons pas chez Fortica. Nous innovons, collaborons et dépassons les attentes de nos clients quotidiennement. Prêt(e) à t’investir?
Nos offres d’emploi
© Fortica cybersécurité - Tous droits réservés 2022 | Conception de site web par TactikMedia
envelopephone-handsetcalendar-fullcrossmenuarrow-leftcross-circle