Peut-être envisagez-vous la certification SOC 2 de l'AICPA ? Aikido a récemment été examiné pour vérifier que notre système et la conception de nos contrôles de sécurité répondent aux exigences SOC 2 de l'AICPA. Ayant beaucoup appris sur les normes SOC 2 lors de notre audit, nous avons souhaité partager quelques-uns des enseignements qui, selon nous, pourraient être utiles à quiconque entame le même processus.
Lisez nos meilleurs conseils pour devenir conforme à la norme ISO 27001:2022.
Type 1 vs Type 2
La première chose à comprendre est qu'il existe deux types différents de certification SOC 2 : SOC 2 Type 1 et SOC Type 2. Si vous commencez seulement à envisager la certification SOC, le Type 1 pourrait être une bonne première étape. Il est plus rapide à obtenir et les exigences sont moins contraignantes. Le Type 1 est également moins coûteux que le rapport de Type 2.
Mais la différence est qu'il ne couvre pas la surveillance sur une période prolongée. Vos mesures de cybersécurité ne sont vérifiées qu'à un moment précis lors d'un audit SOC 2 de Type 1. En revanche, le processus de certification SOC de Type 2 teste vos contrôles de sécurité sur une période donnée. En effet, le Type 1 teste la conception de vos contrôles de sécurité, tandis que le Type 2 teste également leur efficacité opérationnelle.
Note : Vous pourriez également lire des informations sur le rapport ISAE3402 Type I. C'est l'alternative européenne, mais en pratique, la plupart des industries ne s'en préoccupent pas. Optez donc pour le SOC 2, à moins que vous ne sachiez déjà que vous avez besoin de la version européenne.
Critères des services de confiance SOC 2
Un auditeur SOC utilisera généralement cinq critères de services de confiance pour évaluer les entreprises en vue de la conformité SOC 2 :
- Sécurité : protéger les données et les systèmes contre les accès non autorisés.
- Disponibilité : assurez-vous que les données client sont accessibles en cas de besoin.
- Confidentialité : Assurez-vous que les informations confidentielles sont suffisamment protégées.
- Confidentialité : protéger les informations personnelles.
- Intégrité du traitement : s'assurer que les systèmes traitent les données avec précision et fiabilité.
Toutes les entreprises n'ont pas besoin d'inclure les cinq critères. Une partie de la préparation à votre audit SOC 2 consiste à décider quels critères vos clients exigeront.
Des critères supplémentaires spécifiques à l'industrie existent également. Par exemple, un fournisseur de services cloud aura des exigences plus strictes en matière de chiffrement des données clients, tandis que les prestataires de soins de santé devront protéger les informations de santé.
Nos 5 meilleurs conseils pour la certification SOC 2
1. On ne peut pas réellement devenir « conforme » à la norme SOC 2
Contrairement à l'ISO 27001, vous ne pouvez pas atteindre un état de conformité SOC 2. C'est un rapport qu'un client potentiel peut demander afin d'évaluer la posture de sécurité de l'entreprise. Le client doit prendre sa propre décision quant à savoir si cette entreprise est suffisamment sécurisée pour faire affaire avec elle.
Vous obtiendrez un rapport SOC 2 démontrant la conformité à des critères spécifiés, mais cela ne signifie pas que vous passez de non-conforme à conforme. Cela ne réduit pas sa valeur pour vos partenaires commerciaux. Ils savent ce dont ils ont besoin et exigeront souvent un rapport d'audit SOC 2.
Par exemple, SOC 2 n'exige pas nécessairement la réalisation d'un pentest, mais c'est fortement recommandé pour l'ISO 27001. Vanta, l'une des principales plateformes de surveillance de la conformité SOC 2, recommande de considérer SOC 2 comme un seuil à franchir pour être perçu comme ayant atteint les normes de sécurité essentielles. Cependant, vous pourriez aller plus loin une fois ce seuil franchi, et vos clients apprécieront probablement cette assurance supplémentaire.
Dans ce sens, votre rapport de conformité SOC 2 signifie que vous avez satisfait l'auditeur quant au fait que votre entreprise répond aux critères de services de confiance SOC 2.
2. Le type 2 est basé sur une période d'observation de la conformité
Les rapports SOC 2 Type 2 vérifient votre posture de sécurité sur une période d'observation appelée fenêtre d'audit. Vous pouvez choisir une fenêtre allant de trois mois à une année complète. C'est beaucoup plus approfondi que le SOC 2 Type 1 et cela signifie que les parties prenantes et les clients potentiels obtiennent une assurance supplémentaire concernant les systèmes de sécurité et la sécurité des données.
Vous devrez consulter votre auditeur pour choisir la période d'audit. Cela peut dépendre de facteurs tels que les exigences réglementaires, les attentes des clients ou la date à laquelle vous avez développé vos cadres et contrôles de sécurité.
3. SOC 2 vs. ISO 27001 : si vos clients potentiels sont aux États-Unis, SOC 2 est fait pour vous !
Les entreprises aux États-Unis demandent généralement plus souvent des rapports SOC 2, tandis que les entreprises européennes ont tendance à s'appuyer davantage sur ISO 27001. C'est parce que SOC 2 est une norme américaine. Si vous le pouvez, obtenez les deux. C'est ce que nous avons fait, car nous sommes également devenus conformes à la norme ISO 27001 en 2023. Si vous ne pouvez pas faire les deux, choisissez en fonction de l'emplacement de vos clients ou prospects.
Si vos clients sont aux États-Unis, il y a de fortes chances qu'ils recherchent votre rapport SOC 2.
4. Nous vous recommandons de travailler avec un auditeur aux États-Unis
Si vous êtes basé en Europe, il existe de nombreux auditeurs SOC. Ils sont probablement très bons, mais si vous voulez qu'une entreprise américaine fasse confiance à votre rapport, il est logique de choisir un auditeur SOC 2 tiers aux États-Unis.
5. Utilisez un système sécurisé permettant aux clients de demander votre rapport SOC 2
Vous devriez faciliter la demande de votre rapport SOC 2 par les clients, mais ne la rendez pas trop facile. Les hackers pourraient l'utiliser pour identifier les points faibles de votre sécurité.
N'utilisez pas l'e-mail et privilégiez un outil qui trace ce qu'il advient du rapport après son téléchargement. Vous devriez savoir qui le demande, suivre la date de la demande, et même envisager un filigrane ou une protection par mot de passe. La meilleure approche est d'utiliser un NDA.
Aikido et la conformité SOC 2 continue
Maintenant que nous avons achevé notre propre parcours SOC 2, Aikido Security remplit tous les critères de services de confiance SOC 2. Nous nous sommes également associés à des plateformes de surveillance de la conformité (telles que Vanta, Drata, Secureframe et Thoropass) pour synchroniser régulièrement les données sur les contrôles de sécurité actuels et nous assurer qu'Aikido, et nos clients, maintiennent une posture de sécurité solide.
Demander notre rapport SOC 2 Type 2
Vous pouvez demander le certificat SOC 2 Type 2 d'Aikido sur notre centre de confiance de sécurité.
Ou si vous envisagez une certification SOC 2 et que vous avez encore des questions, connectez-vous avec moi sur LinkedIn et je serai ravi de discuter du processus avec vous plus en détail.
Sécurisez votre logiciel dès maintenant.
.jpg)
