Passer

SOC2 (Service Organization Control) : Une norme universelle dans l’excellence de gestion de la sécurité.

Les services Cloud  sont désormais omniprésents dans nos vies et nous sommes tous inquiets de savoir si nos données sont bien protégées et accessibles de nous seul.

Pour cela, nous attendons la preuve de la part de nos fournisseurs que les moyens mis en œuvre protègent nos données et nos accès. 

En effet, à la question : 

“Votre service cloud offre-t-il des garanties contre la fuite de données des utilisateurs ?” 

On remarque une très faible pertinence de la réponse : “pas de problèmes”.

En prenant une approche professionnelle,la fourniture de l’hébergement des données d’un client (interne ou externe à l’organisation) repose sur trois piliers : la disponibilité, la sécurité et la finance.

  1. La disponibilité aussi appelée SLA (Service Level Agreement), se définit par le fait de garantir au client que son service est joignable une certaine partie du temps. Le chiffre le plus souvent affiché par un fournisseur 99,5%.
  2. La sécurité se définit par le fait de garantir au client que les données qu’il confie à son fournisseur sont protégées des accès de l’extérieur, mais aussi de l’intérieur.
  3. La finance se définit par le fait de garantir au client  que la fourniture du service sera faite à un prix donné, mesuré, et potentiellement optionné par un catalogue de service par exemple.

Ces trois piliers étant les garants de l’isostatisme du service, leur poids doit être également réparti, une dérive de l’un, impacte nécessairement les autres.

Par exemple, le coût financier de la garantie de la disponibilité ne doit pas avoir pour conséquence de réduire le niveau de sécurité. De même, l’augmentation du niveau de sécurité ne doit pas réduire le taux de disponibilité du service, et si ce coût devient significatif, il doit alors se traduire par une amélioration de la conquête de nouveaux clients par un meilleur rayonnement de confiance sur les marchés.

C’est ce dernier point qui met en évidence l’intérêt et l’apport d’une norme d’excellence tel que le rapport SOC2 Type 2.

En effet, de plus en plus, toute société fournissant un service d’hébergement à ses clients se doit de pouvoir en garantir la sécurité. Et si elle souhaite conquérir de nouveaux clients et de nouveaux marchés, elle doit pouvoir prouver et afficher de manière indiscutable son niveau d’excellence en termes de gestion des aspects sécurité. 

Ainsi ce paradigme se rapproche du choix d’ un produit tel qu’un biberon pour bébé. Celui-ci doit pouvoir afficher une norme NF/CEE afin de garantir que sa conception et ses matières premières utilisées, respectent un cahier des charges précis affiliés à une norme officielle reconnue dans le pays dans lequel il est vendu, et ce, peu importe sa provenance d’origine. 

L’affichage de cette “garantie” de qualité de fabrication fera la différence sur le marché, les futurs clients s’orienteront plus naturellement sur un biberon aux normes NF/CEE, que sur un biberon aux normes XXX ; car la norme NF/CEE est communément admise comme une référence dans son domaine.

Il en est de même pour les normes d’hébergement, mentionnons ISO 27001 et SOC2 Type 2 qui font référence. Ces deux normes sont basées sur une liste d’exigences et de contrôles à respecter.

Nous allons ici aborder le rapport SOC2 Type 2.

Le principal avantage du rapport SOC2 Type 2 réside dans son approche de rapport et non de certification. Un rapport SOC2 Type 2 va permettre de présenter au futur client un compte rendu d’audit de posture mais aussi de bonne mise en application des éléments d’exploitation liés à la sécurité de la donnée. Sa lecture permet de détailler l’évaluation de la conception du contrôle interne (Type1) mais aussi l’ évaluation de l’efficacité du fonctionnement des contrôles dans le quotidien (Type 2).

Ainsi une entreprise souhaitant aller vers un rapport SOC2 le fera à minima sur deux années.

La première année (Type1) consiste en la rédaction de la documentation nécessaire à la présentation des processus et procédures qui vont être utilisés, entre autres, dans le cadre de la sécurité de la donnée, de la gestion du changement et de la gestion des incidents. Ceci peut être comparé à une déclaration d’intention des futures bonnes pratiques qui vont être respectées dans le quotidien de l’exploitation d’un système d’information. La totalité de ces documents vont être audités par une société extérieure accréditée SOC2. Suite à cet audit, un rapport officiel sera produit et pointera, s’ils existent, les éléments non conforme à la compliance SOC2 avec les pondérations et explications associées. Ce rapport est confidentiel de par les informations critiques qu’il contient. Cependant si un client le souhaite, son RSSI/CISO peut entrer en contact avec le RSSI/CISO de la société afin de pouvoir prendre connaissance de ce rapport, et ce, après signature d’un accord de non divulgation d’informations (NDA).

La deuxième année (type 2) servira, sur ses 6 derniers mois, de période d’audit en conditions réelles d’exécution des processus et procédures déclarées.

Ainsi sur cette période de 6 mois, tous les processus et procédures déclarés dans les intentions de la première année doivent être respectées et démontrables par preuves complètes d’occurrences. 

Par exemple, tout changement de configuration de tout élément doit être tracé et pouvoir être ressorti à la demande. Tous les changements passés au CAB doivent être eux aussi tracés avec la preuve du bon cheminement de processus DEV => PreProd => PROD accompagné de la validation du risk assesment par toutes les parties prenantes définies dans le modèle RACI associé. Toutes les réunions tenant à la sécurité (suivi de plan d’actions comme revues de droits d’accès) doivent disposer d’un compte rendu signé par les participants.

Après cette période de 6 mois tous ces éléments (processus, procédures, preuves d’occurrences) sont revus en détails par une société extérieure. Ainsi la société auditrice pourra demander les preuves de la bonne exécution de n’importe quelle type d’ occurrence survenu sur la période. A la suite de cette revue (durant en moyenne 1 mois), un nouveau rapport officiel est produit par la société auditrice et pointera, s’ils existent, les éléments non conforme à la compliance SOC2 avec les pondérations et explications associées. Ce rapport est confidentiel de par les informations critiques qu’il contient. Cependant si un client le souhaite, son RSSI/CISO peut entrer en contact avec le RSSI/CISO de la société audité afin de pouvoir prendre connaissance de ce rapport, et ce, après signature d’un accord de non-divulgation d’informations (NDA). Ce Type 2 et sont processus d’audit ont lieu tous les ans, générant un nouveau rapport.

Un rapport SOC2 Type2 permet de disposer de trois avantages majeurs :

  1. Il se base sur une norme internationalement reconnue.
  2. Il vérifie sur une période de 6 mois, la bonne exécution réelle de tous les processus procédures et traces.
  3. Il liste précisément tous les manquements à la norme avec les explications associées.

Ces 3 avantages permettent au client de savoir exactement quel niveau d’excellence la société a atteint. Il peut donc contracter en toute connaissance et confiance avec celle-ci.