Définition

Norme SOC 2 (System and Organization Controls 2)

La norme System and Organization Controls 2 (SOC 2) est une norme de conformité en matière de cybersécurité qui décrit les façons dont les organisations peuvent s’assurer que les données de leurs clientes et clients sont stockées et traitées de façon sécuritaire.

Les données de votre clientèle doivent être adéquatement protégées. Si vous ne le faites pas, cela pourrait avoir des conséquences financières, entraîner des problèmes juridiques et miner la confiance de votre clientèle ainsi que votre réputation. C’est pourquoi les cadres de sécurité comme la norme SOC 2 sont importants. 

La norme SOC 2 est une norme qui garantit que les données des clientes et clients sont stockées et traitées de façon sécuritaire. Cette norme est donc particulièrement utile pour les entreprises qui stockent leurs données sur leur propre matériel.

«Pour les entreprises qui ont leurs serveurs privés ainsi qu’un service des TI, l’attestation SOC 2 peut être un excellent moyen de mettre en valeur leur engagement en matière de sécurité et d’obtenir un avantage commercial», explique David Cloutier, conseiller d’affaires principal, BDC Services-conseils.

Voici un aperçu de la norme SOC 2, de ses avantages et de la façon dont elle se compare à d’autres normes semblables.

La norme SOC 2 est un cadre très utile avec une approche technique. Elle est très demandée dans le secteur financier ainsi que dans l’aérospatiale.

Qu’est-ce que la norme SOC 2?

La norme System and Organization Controls 2 (SOC 2) de l’American Institute of CPAs (AICPA) est destinée à la gestion et à la protection des données.

Elle repose sur cinq principes fiduciaires. Voici ce qu'implique chacun d'entre eux.

Les 5 principes de la norme SOC 2

1. Sécurité

Le principe de sécurité garantit que le système est protégé contre l’accès non autorisé. Ce critère met l’accent sur la protection des données et des ressources afin de prévenir les atteintes à la sécurité et les activités non autorisées.

En ce qui concerne les outils de sécurité des TI, l’accent est mis entre autres sur les pares-feux, la détection d’intrusion et l’authentification multifactorielle.

2. Disponibilité

Le principe de disponibilité garantit que le système peut fonctionner et être utilisé comme convenu. Ce critère évalue si le système est accessible et utilisable, en réduisant au minimum les temps d’arrêt et en assurant la fiabilité.

Concrètement, ce principe peut englober la mise en œuvre de systèmes redondants, de procédures de sauvegarde et de récupération et de plans de récupération d’urgence.

3. Intégrité du traitement

Le principe d’intégrité du traitement valide si le traitement du système est complet, exact, opportun et autorisé. Ce critère met l’accent sur le fonctionnement correct et autorisé du système afin d’assurer l’intégrité et l’exactitude des données.

Plus précisément, cela peut se traduire par une assurance qualité et un suivi des processus.

4. Confidentialité

Le principe de confidentialité garantit que les renseignements désignés comme confidentiels sont protégés comme convenu. Ce critère met l’accent sur la protection des renseignements sensibles contre l’accès et la divulgation non autorisés.

Le chiffrement est un outil essentiel pour assurer la confidentialité, ainsi que les pares-feux pour les réseaux et les applications et des contrôles d’accès rigoureux.

5. Protection des renseignements personnels

Le principe de la protection des renseignements personnels garantit que les renseignements personnels sont recueillis, utilisés, conservés, communiqués et éliminés conformément aux engagements pris dans l’avis de confidentialité de l’organisation ainsi qu’aux critères de l’AICPA, tels qu’ils sont définis dans les principes de protection des renseignements personnels généralement acceptés. 

Les outils pertinents comprennent le contrôle d’accès, l’authentification multifactorielle et le chiffrement.

Qu’est-ce qu’un rapport SOC 2?

Un rapport SOC 2 est un document produit par une ou un expert-comptable accrédité (CPA) indépendant après avoir effectué un audit de la sécurité des données d’une organisation, comme le prescrit la norme SOC 2

La norme SOC 2 peut mener à deux niveaux de rapport:

  1. Type 1: Ce rapport décrit les systèmes de votre organisation à un moment précis et indique si la conception des contrôles spécifiés répond aux principes de confiance pertinents.
  2. Type 2: Ce rapport valide l’efficacité de ces contrôles sur une période donnée, généralement de six mois à un an. 

Quelle est la différence entre un rapport SOC 1, un rapport SOC 2 et un rapport SOC 3?

La norme SOC comprend trois types de rapports: SOC 1, SOC 2 et SOC 3.

Le rapport SOC 1 est un rapport d’audit financier. Il s’adresse principalement aux lectrices et lecteurs internes. 

Le rapport SOC 2 est un rapport sur la sécurité et les contrôles. Il évalue les contrôles de sécurité des données de votre organisation. Comme le rapport SOC 1, il s’adresse principalement aux lectrices et lecteurs internes.

Le rapport SOC 3 contient essentiellement les mêmes renseignements que le rapport SOC 2, mais il est destiné au grand public. Il est donc moins exhaustif et est rédigé de façon à donner un aperçu général des contrôles de votre organisation.

En résumé, la distinction entre un rapport SOC 1 et un rapport SOC 2 réside dans son sujet: le rapport SOC 1 est un rapport d’audit financier, tandis que le rapport SOC 2 porte sur la sécurité et les contrôles. Les rapports SOC 2 et SOC 3, quant à eux, contiennent essentiellement les mêmes renseignements, mais ils sont formatés pour des publics différents.

Rapport SOC 1 et rapports SOC 2 et SOC 3

  Rapport SOC 1 Rapport SOC 2 Rapport SOC 3
Contenu Rapport d’audit financier Rapport d’audit financier Rapport sur la sécurité et les contrôles
Public cible Public internes Public internes Public externes

Comment obtenir une attestation SOC 2?

L’obtention d’une attestation SOC 2 comporte deux étapes importantes.

Premièrement, votre organisation doit mettre en œuvre les critères précisés dans la norme. «Certaines entreprises le font par elles-mêmes, mais d’autres embaucheront des consultantes et consultants pour les soutenir», explique Isabelle Ledoux, conseillère d’affaires principale, BDC Services-conseils. Selon votre niveau de maturité en matière de cybersécurité et les efforts que votre entreprise est prête à déployer, cette étape peut prendre quelques mois ou quelques années.

Deuxièmement, vous devez sélectionner un cabinet comptable CPA qualifié pour effectuer l’audit et produire ensuite le rapport SOC 2. Il faut généralement de trois à quatre mois pour obtenir un rapport SOC 2 de type 1, tandis qu’un audit pour un rapport de type 2 peut prendre jusqu’à un an. Cette étape peut comprendre des entrevues, des revues générales, des tests de contrôles et un examen de la documentation pour vérifier la conformité aux cinq principes fiduciaires.

L’attestation SOC 2 n’est généralement valide que pendant un an. Si vous souhaitez la maintenir, vous devrez effectuer des examens périodiques et mettre à jour vos contrôles au besoin. Par conséquent, un audit doit être effectué chaque année.

Quels sont les avantages de l’attestation SOC 2?

L’obtention d’une attestation SOC 2 comporte plusieurs avantages. En voici les principaux :

Amélioration de la gestion des risques 

L’obtention d’une attestation SOC 2 implique l’évaluation et l’amélioration des contrôles de cybersécurité internes, ce qui réduit la probabilité d’atteintes à la sécurité des données ou de perturbations des activités.

Accès aux marchés et amélioration de la crédibilité 

La clientèle veut s’assurer que ses données sont bien protégées. Par conséquent, de nombreuses organisations ne feront affaire qu’avec des entreprises qui ont obtenu une attestation SOC 2. L’attestation SOC 2 vous aidera à répondre aux demandes de votre clientèle et à élargir votre marché.

Efficacité opérationnelle 

Votre clientèle, vos fournisseurs et les compagnies d’assurance pourraient vous interroger sur vos pratiques de stockage et de traitement des données. Si vous n’avez pas d’attestation de cybersécurité, votre équipe passera beaucoup de temps à remplir des documents pour expliquer vos pratiques. L’obtention d’une attestation SOC 2 vous fera gagner du temps en vous fournissant un cadre normalisé et reconnu qui répond simultanément aux exigences en matière de cybersécurité de plusieurs parties prenantes.

Les entreprises qui bénéficient le plus d’une attestation SOC 2 sont celles qui ont une clientèle américaine ou qui travaiIlent dans l’industrie financière.

Quels types d’entreprises devraient obtenir une attestation SOC 2?

La norme SOC 2 est principalement utilisée aux États-Unis. «Historiquement, la norme SOC 2 est une norme nord-américaine qui utilise une approche plus technique. Étant donné qu'elle émane du secteur financier, les entreprises qui bénéficient le plus d'une attestation SOC 2 sont celles qui ont une clientèle américaine ou qui travaillent dans l’industrie financière, explique David Cloutier

La norme ISO 27001 est une autre norme qui utilise davantage une approche de gestion des processus. Bien qu'elles présentent des similitudes, les deux normes peuvent être complémentaires à bien des égards, car elles se concentrent sur des aspects différents de la sécurité de l'information.

La norme SOC 2 est-elle identique à la norme ISO 27001?

Bien qu’elles soient semblables, puisqu’elles sont toutes deux axées sur la gestion de la sécurité des données, les deux normes sont différentes.

La norme SOC 2 a été créée par l’AICPA, alors que la norme ISO 27001 a été publiée conjointement par l’Organisation internationale de normalisation et la Commission électrotechnique internationale.

En ce qui concerne le contenu et les principes, la norme ISO 27001 couvre une plus vaste gamme de pratiques de gestion de la sécurité de l’information. Elle met davantage l’accent sur le comment que sur le quoi, car son approche est axée sur la gouvernance, le risque et le processus. 

La norme SOC 2, en revanche, est une norme avec une approche plus technique de la sécurité: elle aborde un plus petit nombre de pratiques de gestion des données, mais celles-ci sont étudiées plus en profondeur et avec plus de détails techniques. 

En termes simples, la norme SOC 2 est une norme axée sur les TI, tandis que la norme ISO 27001 est axée sur la gestion.

Dans l’ensemble, lorsqu’on compare leur contenu, la norme SOC 2 et la norme ISO 27001 sont semblables dans une proportion de 60 à 80 %

Enfin, le coût est un autre facteur de différenciation important. La norme SOC 2 exige un audit complet chaque année, tandis que la norme ISO 27001 s’échelonne sur trois ans: un audit complet la première année est suivi d’audits de surveillance la deuxième et la troisième année. Par conséquent, l’obtention d’une attestation SOC 2 Type 2 peut souvent s’avérer plus coûteuse.

Prochaine étape

Découvrez comment réduire le risque de cyberattaques qui auront une grave incidence sur votre entreprise en téléchargeant notre guide gratuit pour les propriétaires d’entreprise: Comment aborder la cybersécurité dans votre entreprise

Vous n'avez pas trouvé ce que vous cherchiez? Retour au glossaire