CERTIFICATION
SOC 2 TYPE II
Qu'est-ce que la certification SOC 2 ?
La sécurité de l'information est un enjeu capital pour toutes les entreprises et organisations, y compris celles qui confient des opérations commerciales essentielles à des fournisseurs tiers (e.g. fournisseurs de solutions SaaS, fournisseurs de solutions de cloud computing). Et en effet, une mauvaise gestion des données (en particulier par les fournisseurs de sécurité des applications et des réseaux) peut rendre les entreprises vulnérables face à des attaques telles que le vol de données, l'extorsion et l'installation de logiciels malveillants.
Ainsi, SOC 2 est une procédure d'audit qui vise à s'assurer que vos prestataires de services gèrent vos données en toute sécurité afin de protéger les intérêts de votre organisation et la vie privée de vos clients. Pour les entreprises soucieuses de la sécurité de leurs données, la conformité SOC 2 est une exigence minimale lorsqu'elles envisagent de choisir un fournisseur de solutions SaaS.
La certification SOC 2 est délivrée suite à un audit externe. Cet audit évalue le degré de conformité d'un fournisseur à un ou plusieurs des piliers de la cybersécurité, détaillés ci-dessous.
-
La sécurité : sécurité et protection des ressources du système contre les accès non-autorisés, grâce à des outils de sécurité informatique tels que des outils de contrôles d'accès, des pare-feu de réseau et d'application web, d'authentification à double facteur ou de détection des intrusions.
-
La disponibilité : fait référence à l'accessibilité du système et/ou des données grâce à la surveillance des performances et de la disponibilité du réseau et le traitement des incidents de sécurité.
-
L'intégrité : ce principe d'intégrité du traitement vise à déterminer si un système atteint ou non son objectif (c'est-à-dire s'il fournit les bonnes données au bon prix et au bon moment). Par conséquent, le traitement des données doit être complet, valide, précis, opportun et autorisé.
-
La confidentialité : les données sont considérées comme "confidentielles" si leur accès et leur divulgation sont limités à un ensemble de personnes préalablement autorisées. Les outils de cryptage, de pare-feu et de contrôles rigoureux des accès sont des éléments indispensables à la confidentialité des données d'une entreprise.
CyberSecura vous accompagne dans votre projet de certification SOC. Attention, l'audit externe de certification ne peut pas être réalisé par CyberSecura.
Quelle différence entre SOC 2 types I et II ?
L'objectif de ces deux certifications est sensiblement le même : démontrer la bonne mise en place des exigences techniques appropriées et pertinentes pour la sécurité de l'organisation certifiée. La certification SOC 2 type I ne requiert que la mise en œuvre effective de ces exigences techniques. En revanche, la certification SOC 2 type II est un peu plus exhaustive puisqu'elle exige une phase d'observation de 3 mois après la mise en œuvre de ces exigences. Cette dernière phase d'observation doit être réalisée par un auditeur externe à l'organisation et au projet de certification. Au besoin, nous travaillons avec un auditeur partenaire expérimenté.
Pourquoi être certifié SOC 2 type II ?
-
Afin de réduire le risque d'atteinte à la réputation de l'entreprise, le risque de pénalités juridiques, le risque de pertes de recettes commerciales dues à la pertes d'informations sensibles.
-
Afin de rassurer vos clients, employés, fournisseurs et autres parties intéressées quant à la sécurité de leurs données.
-
Afin de répondre aux appels d'offres pour lesquels la certification ISO/IEC 27001 est exigée.
-
De démontrer auprès du grand public que votre organisation prend très au sérieux les enjeux de sécurité de l'information.
-
D'améliorer d'années en années les actifs informationnels de l'organisation et de ses clients grâce aux aspects d'amélioration continue de la norme.
Le déroulement d'une prestation de certification SOC 2 type II
-
Un audit d'écart ou un audit blanc, afin de faire le point sur votre situation actuelle, les actifs déjà en place, l'écart avec la norme, les ressources de l'organisation et afin d'atteindre vos objectifs.
La rédaction de vos politiques et procédures de sécurité.
La mise en place des exigences techniques de sécurité. -
La gestion de votre projet de certification : rédaction de plans micro et macro, estimation des coûts et du temps de travail nécessaire.
La réalisation d'audits techniques (audits applicatif, d'infrastructure).
Volume de travail
Pour assurer un avancement satisfaisant du projet de certification, entre 40 et 70 jours de prestation sont nécessaires. Ce volume de travail est mentionné à titre indicatif et peut varier en fonction de la taille de l'organisation et des ressources dédiées au projet de certification.
Toutes nos prestations d'accompagnement à l'obtention d'une certification de sécurité SOC ou ISO 27001 sont accompagnées et supervisées par Saghar Estehghari, co-fondatrice, CTO et consultante experte en cybersécurité.
IL TÉMOIGNE
Guillaume Bouchard, CEO Checkstep
"Les équipes de CyberSecura ont été très professionnelles et réactives."
L'ÉTUDE DE CAS CLIENT
Vous souhaitez obtenir plus de détails sur notre prestation d'accompagnement vers la certification SOC 2 Type II ? Téléchargez notre étude de cas client pour plus d'informations !