SOC 2

Aperçu

SOC 2 (System and Organization Controls 2) est une procédure d’audit développée par l’American Institute of Certified Public Accountants (AICPA) qui évalue la manière dont les organisations gèrent les données de leurs clients. Elle se concentre spécifiquement sur la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la confidentialité — connus sous le nom de Critères de services de confiance (TSC).

Le SOC 2 est le cadre de conformité dominant pour les fournisseurs de services cloud, les entreprises SaaS et les sous-traitants de données. Contrairement à ISO 27001 (qui est une norme de système de management), le SOC 2 est un rapport d’attestation — un auditeur tiers évalue et rapporte sur les contrôles d’une organisation.

Critères de services de confiance (TSC)

|| Critère | Description | ||———–|————-| || Sécurité (Critères communs) | Protection contre l’accès non autorisé (requis pour tout SOC 2) | || Disponibilité | Les systèmes et le traitement sont disponibles pour le fonctionnement | || Intégrité du traitement | Le traitement est complet, précis, opportun et autorisé | || Confidentialité | Les informations désignées comme confidentielles sont protégées | || Confidentialité | Les informations personnelles sont collectées, utilisées, conservées, divulguées et détruites conformément aux engagements |

Types de rapports SOC 2

|| Type | Description | Portée | ||——|————-|——-| || Type I | Les contrôles sont conçus de manière appropriée à un instant donné | Conception uniquement | || Type II | Les contrôles fonctionnent efficacement sur une période (généralement 6-12 mois) | Conception + efficacité opérationnelle |

Le Type II est la norme de l’industrie — la plupart des clients et régulateurs exigent des rapports Type II.

Processus SOC 2

  1. Définition de la portée — déterminer quels TSC s’appliquent, quels systèmes sont inclus
  2. Évaluation des écarts — comparer les contrôles actuels aux exigences des TSC
  3. Remédiation — mettre en œuvre les contrôles et la documentation manquants
  4. Audit — un cabinet de CPA agréé conduit l’examen
  5. Rapport — l’auditeur émet un rapport SOC 2 avec ses constatations

Exigences clés

  • Les objectifs de contrôle doivent être définis pour chaque TSC applicable
  • Collecte de preuves — documentation, journaux, captures d’écran, entretiens
  • Lettre de direction — avis de l’auditeur sur l’exactitude du rapport
  • Contrôles complémentaires de l’entité utilisateur (CUECs) — contrôles que le client doit également mettre en œuvre

Relation avec d’autres cadres

  • ISO 27001 — De nombreuses organisations visent les deux ; ISO fournit le système de management, le SOC 2 fournit l’attestation
  • NIST CSF — Le NIST CSF aide à construire les contrôles audités par le SOC 2
  • GDPR — Le critère de confidentialité du SOC 2 aide à démontrer la conformité au RGPD
  • technologies/security-frameworks/iso-27001.md | ISO 27001 — norme de système de management
  • technologies/security-frameworks/nist-csf.md | NIST Cybersecurity Framework — cadre de gestion des risques