Peut-être envisagez-vous la certification AICPA SOC 2 ? Aikido a récemment fait l'objet d'un audit pour vérifier que notre système et la conception de nos contrôles de sécurité répondent aux exigences SOC 2 de l'AICPA. Parce que nous avons beaucoup appris sur les normes SOC 2 au cours de notre audit, nous avons voulu partager quelques idées qui pourraient être utiles à quelqu'un qui entame le même processus.
Lisez nos conseils pour vous conformer à la norme ISO 27001:2022.
Type 1 vs. type 2
La première chose à comprendre est qu'il existe deux types de certification SOC 2: SOC 2 Type 1 et SOC Type 2. Si vous commencez seulement à penser à la certification SOC, le type 1 peut être une bonne première étape. Elle est plus rapide à obtenir et les exigences ne sont pas aussi élevées. Le rapport de type 1 est également moins coûteux que le rapport de type 2.
La différence réside dans le fait qu'il ne couvre pas la surveillance sur une période prolongée. Vos mesures de cybersécurité ne sont vérifiées qu'à un moment précis lors d'un audit SOC 2 de type 1. En revanche, le processus de certification SOC de type 2 teste vos contrôles de sécurité sur une période donnée. En effet, l'audit de type 1 teste la conception de vos contrôles de sécurité, tandis que l'audit de type 2 teste également leur efficacité opérationnelle.
Note : Vous pouvez également vous renseigner sur le rapport ISAE3402 de type I. Il s'agit de l'alternative européenne. Il s'agit de l'alternative européenne, mais dans la pratique, la plupart des entreprises ne s'en préoccupent pas. Optez donc pour le rapport SOC 2, à moins que vous ne sachiez déjà que vous avez besoin du rapport européen.
Critères des services fiduciaires SOC 2
Un auditeur SOC utilisera généralement cinq critères de services fiduciaires pour évaluer la conformité des entreprises au SOC 2 :
- Sécurité: protéger les données et les systèmes contre les accès non autorisés.
- Disponibilité: s'assurer que les données des clients sont accessibles en cas de besoin.
- Confidentialité: veiller à ce que les informations confidentielles soient suffisamment protégées.
- Vie privée: protéger les informations personnelles.
- Intégrité du traitement: garantir que les systèmes traitent les données de manière précise et fiable.
Toutes les entreprises n'ont pas besoin d'inclure les cinq critères. Une partie de la préparation de votre audit SOC 2 consiste à déterminer les critères que vos clients exigeront.
Il existe également d'autres critères spécifiques à chaque secteur d'activité. Par exemple, un fournisseur de services en nuage aura des exigences plus strictes en matière de cryptage des données de ses clients, tandis que les prestataires de soins de santé devront protéger les informations relatives à la santé.
Nos 5 meilleurs conseils pour la certification SOC 2
1. On ne peut pas vraiment devenir "conforme" à la norme SOC 2
Contrairement à la norme ISO 27001, il n'est pas possible d'atteindre le niveau de conformité SOC 2. Il s'agit d'un rapport qu'un client potentiel peut demander afin d'évaluer le niveau de sécurité de l'entreprise. Le client doit décider lui-même si l'entreprise est suffisamment sûre pour faire des affaires avec lui.
Vous obtiendrez un rapport SOC 2 démontrant la conformité aux critères spécifiés, mais cela ne signifie pas que vous passez de la non-conformité à la conformité. Cela n'enlève rien à sa valeur pour vos partenaires commerciaux. Ils savent ce dont ils ont besoin et exigeront souvent un rapport d'audit SOC 2.
Par exemple, SOC 2 n'exige pas nécessairement la réalisation d'un pentest, mais celui-ci est fortement recommandé pour ISO 27001. Vanta, l'une des principales plateformes de contrôle de conformité SOC 2, recommande de considérer SOC 2 comme une barre à franchir pour être considéré comme ayant atteint les normes de sécurité essentielles. Mais vous pourriez faire un effort supplémentaire une fois que vous aurez franchi cette barre, et vos clients apprécieront probablement cette assurance supplémentaire.
En ce sens, votre rapport de conformité SOC 2 signifie que vous avez convaincu l'auditeur que votre entreprise répond aux critères des services fiduciaires SOC 2.
2. Le type 2 est basé sur une période d'observation de la conformité
Les rapports SOC 2 de type 2 vérifient votre posture de sécurité sur une période d'observation appelée fenêtre d'audit. Vous pouvez choisir une fenêtre allant de trois mois à une année complète. Ce rapport est beaucoup plus approfondi que le rapport SOC 2 de type 1, ce qui signifie que les parties prenantes et les clients potentiels sont davantage rassurés quant aux systèmes de sécurité et à la sécurité des données.
Vous devrez consulter votre auditeur pour choisir la fenêtre d'audit. Elle peut dépendre de facteurs tels que les exigences réglementaires, les attentes des clients ou le caractère récent de vos cadres et contrôles de sécurité.
3. SOC 2 vs. ISO 27001 : si vos clients potentiels se trouvent aux États-Unis, SOC 2 est fait pour vous !
Les entreprises américaines demandent généralement plus souvent des rapports SOC 2, tandis que les entreprises européennes ont tendance à s'appuyer davantage sur la norme ISO 27001. Cela s'explique par le fait que SOC 2 est une norme américaine. Si vous le pouvez, obtenez les deux. C'est ce que nous avons fait, puisque nous sommes également devenus conformes à la norme ISO 27001 en 2023. Si vous ne pouvez pas faire les deux, choisissez en fonction de l'endroit où se trouvent vos clients ou prospects.
Si vos clients se trouvent aux États-Unis, il y a de fortes chances qu'ils recherchent votre rapport SOC 2.
4. Nous vous recommandons de travailler avec un auditeur aux États-Unis.
Si vous êtes basé en Europe, il existe de nombreux auditeurs SOC. Ils sont probablement très bons, mais si vous voulez qu'une entreprise américaine se fie à votre rapport, il est judicieux de faire appel à un auditeur SOC 2 tiers aux États-Unis.
5. Utiliser un système sécurisé pour permettre aux clients de demander votre rapport SOC 2
Vous devez faire en sorte que les clients puissent facilement demander votre rapport SOC 2, mais ne le faites pas trop facilement. Les pirates informatiques pourraient l'utiliser pour identifier les points faibles de votre sécurité.
N'utilisez pas le courrier électronique et utilisez un outil qui permet de suivre ce qu'il advient du rapport une fois qu'il a été téléchargé. Vous devez savoir qui le demande, savoir quand il a été demandé et même envisager un filigrane ou une protection par mot de passe. La meilleure approche consiste à utiliser un accord de confidentialité.
L'aïkido et la conformité permanente à la norme SOC 2
Maintenant que nous avons terminé notre propre parcours SOC 2, Aikido Security remplit tous les critères des services de confiance SOC 2. Nous avons également établi des partenariats avec des plateformes de contrôle de conformité (telles que Vanta, Drata, Secureframe et Thoropass) afin de synchroniser régulièrement les données sur les contrôles de sécurité actuels et de s'assurer qu'Aikido et ses clients maintiennent une position de sécurité solide.
Demandez notre rapport SOC 2 Type 2
Vous pouvez demander le certificat SOC 2 Type 2 d'Aikido sur notre centre de confiance.
Si vous envisagez de vous faire certifier SOC 2 et que vous avez encore des questions, contactez-moi sur LinkedIn et je me ferai un plaisir de discuter du processus avec vous de manière plus détaillée.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
