Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.

Qu’est-ce que la norme SOC 2 ?

Explication des principes, types et avantages

Les normes de cybersécurité définissent les principes directeurs et les bonnes pratiques que les entreprises doivent suivre pour améliorer leur politique de sécurité. SOC 2 est l’une de ces normes. Elle s’applique aux entreprises technologiques qui stockent et traitent les données des clients dans le Cloud.

Qu’est-ce que la norme SOC 2 ?

SOC 2, ou Service Organization Control Type 2, donne un cadre de conformité en matière de cybersécurité élaboré par l’American Institute of Certified Public Accountants (AICPA). L’objectif principal de la norme SOC 2 est de s’assurer que les prestataires de services tiers stockent et traitent les données des clients de manière sécurisée.

Le cadre spécifie des critères permettant de maintenir des normes élevées de sécurité des données, sur la base de cinq principes de service de confiance : sécurité, respect de la vie privée, disponibilité, confidentialité et intégrité du traitement.

Conformité à SOC 2

Explication des principes de SOC 2

Contrairement à d’autres cadres de conformité, qui comportent un ensemble prédéfini de conditions pour toutes les entreprises, les exigences de SOC 2 sont différentes pour chaque organisation. En fonction de son modèle de fonctionnement, chaque organisation doit formuler ses propres contrôles de sécurité afin de se conformer aux cinq principes de confiance.

Sécurité. D’une manière générale, le principe de sécurité assure la protection des données et des systèmes contre les accès non autorisés. À cette fin, vous devrez peut-être mettre en place une forme de contrôle d’accès, par exemple en utilisant des listes de contrôle d’accès ou des systèmes de gestion des identités.

Vous devrez peut-être aussi renforcer vos pare-feu en introduisant des règles plus strictes pour les flux sortants et entrants, adopter des systèmes de détection des intrusions et de restauration et mettre en place l’authentification multifacteur.

Confidentialité. Les données sont qualifiées de confidentielles si seul un groupe spécifique de personnes peut y avoir accès. Il peut s’agir du code source d’une application, de noms d’utilisateur et de mots de passe, d’informations relatives à des cartes de crédit, de plans d’activités, etc.

Pour respecter ce principe, les données confidentielles doivent être chiffrées, à la fois au repos et en transit. En outre, lorsque vous donnez accès à des données confidentielles, respectez le principe du moindre privilège, c’est-à-dire accordez le minimum d’autorisations ou de droits dont les personnes ont besoin pour faire leur travail.

Disponibilité. Les systèmes doivent respecter les contrats de niveau de service (SLA) en matière de disponibilité à tout moment. Il faut pour cela construire des systèmes intrinsèquement tolérants aux pannes, qui ne s’effondrent pas sous l’effet d’une charge élevée. Cela oblige également les organisations à investir dans des systèmes de surveillance du réseau et à mettre en place des plans de reprise d’activité.

Protection de la vie privée. La collecte, le stockage, le traitement et la divulgation de toute information personnelle identifiable (PII) doivent respecter la politique de l’organisation en matière d’utilisation des données et de protection de la vie privée, ainsi que les conditions définies par l’AICPA dans les principes de protection de la vie privée généralement acceptés (GAPP).

Les PII sont toutes les informations qui peuvent être utilisées pour identifier une personne de manière unique, par exemple le nom, l’âge, le numéro de téléphone, les informations de carte de crédit ou le numéro de sécurité sociale, etc. Une organisation doit mettre en œuvre des contrôles rigoureux pour protéger les PII contre tout accès non autorisé.

Intégrité du traitement. Tous les systèmes doivent toujours fonctionner comme prévu, sans retards, vulnérabilités, erreurs ou bogues. Les applications et les procédures d’assurance qualité et de surveillance des performances sont essentielles pour garantir le respect de ce principe.

Quels sont les avantages d’un audit SOC 2 ?

  • Les audits SOC 2 vous aident à améliorer vos perspectives générales en matière de sécurité.
  • Étant donné que les entreprises conformes à la norme SOC 2 disposent de tous les outils et procédures nécessaires pour protéger les informations sensibles, les clients se sentent en confiance lorsqu’ils leur confient leurs données.
  • Les exigences de SOC 2 se recoupent souvent avec d’autres normes, telles qu’ISO 27001 et HIPAA, ce qui signifie que vous pouvez faire d’une pierre deux coups (ou plus).
  • Vous renforcez la réputation de votre marque en tant qu’entreprise soucieuse de la sécurité et vous vous dotez d’un formidable avantage concurrentiel.
  • L’obtention de la conformité SOC 2 peut vous aider à éviter les violations de données et les préjudices financiers et de réputation qui en découlent.

SOC 2 Type 1 ou Type 2

Il existe deux types principaux de conformité SOC 2 : le Type 1 et le Type 2.

Le Type 1 atteste de l’utilisation par une organisation de systèmes et de processus conformes à un moment précis. En revanche, le Type 2 est une attestation de conformité sur une période (généralement 12 mois).

Un rapport de Type 1 décrit les contrôles utilisés par une organisation et confirme que les contrôles sont correctement conçus et appliqués. Un rapport de Type 2 couvre tout ce qui fait partie d’un rapport de Type 1, ainsi que l’attestation que les contrôles sont efficaces sur le plan opérationnel.

SOC 1, SOC 2 ou SOC 3

Il existe trois principaux types de rapports SOC : SOC 1, SOC 2 et SOC 3. Les deux premiers sont les plus répandus, le second étant plus approprié pour les entreprises technologiques.

SOC 1 est axé sur les rapports financiers, tandis que SOC 2 se concentre davantage sur la conformité et les opérations de l’entreprise. SOC 3 est une adaptation de SOC 2, qui présente les résultats de SOC 2 dans un format compréhensible par le grand public. Examinons le petit tableau suivant pour en savoir plus.

 

SOC 1

SOC 2

SOC 3

Objectif

Rapport sur les contrôles financiers

Rapport sur le respect des cinq principes de confiance : sécurité, confidentialité, disponibilité, respect de la vie privée et intégrité du traitement

Rapport sur les mêmes contrôles que SOC 2, mais d’une manière compréhensible pour le grand public

Public

Principalement des auditeurs

Clients et autres parties prenantes

Grand public

Exemple

La plupart des entreprises qui traitent des données financières doivent se conformer à la norme SOC 1

Une société de services de base de données doit se conformer à la norme SOC 2 avant de pouvoir héberger des données sensibles appartenant à plusieurs clients

Une organisation qui obtient la conformité à SOC 2 peut également créer un rapport SOC 3 pour faire savoir au grand public qu’elle prend au sérieux la sécurité des données et la protection de la vie privée.

Avantages clés

  • Travailler avec des clients qui exigent la conformité à la norme SOC 1
  • Améliorer la réputation de la marque
  • Assurer à vos clients que vous avez mis en place tous les contrôles nécessaires
  • Travailler avec des clients qui exigent la conformité à la norme SOC 2
  • Améliorer la réputation de la marque
  • Assurer à vos clients que vous avez mis en place tous les contrôles nécessaires

Produire des documents marketing pour faire connaître votre conformité à un public plus large.

Conformité à SOC 2 et IAM

La conformité à SOC 2 et la gestion des accès et des identités (IAM) vont de pair. On peut affirmer avec certitude qu’il est impossible de se conformer à la norme SOC 2 sans avoir mis en place une forme d’IAM. Les systèmes d’IAM permettent de mettre en place un contrôle d’accès, qui est fondamental pour les principes de sécurité, de confidentialité et de respect de la vie privée de SOC 2.

Les applications d’IAM modernes disposent de fonctionnalités telles que l’authentification multifacteur, la fédération des identités, la réinitialisation automatique des mots de passe, la gestion du cycle de vie des identités et le contrôle d’accès granulaire, qui peuvent catalyser votre démarche de mise en conformité avec la norme SOC 2.

La conformité à la norme SOC 2 permet d’établir qu’une entreprise technologique prend au sérieux la sécurité des données et la protection de la vie privée. Lorsque vous êtes à la recherche d’un fournisseur SAAS, n’oubliez pas de placer la conformité à SOC 2 en tête de votre liste de contrôle.

Essayez gratuitement OneLogin

Découvrez les capacités de gestion des accès OneLogin pendant 30 jours.