Si vous n’avez pas entendu parler du terme, vous le ferez bien assez tôt. SOC 2, ce qui signifie Contrôles du système et de l’organisation 2, est une procédure d’audit développée par l’American Institute of CPAs (AICPA). La conformité SOC 2 signifie que vous avez mis en place des contrôles et des pratiques organisationnelles qui garantissent la protection et la sécurité des données des clients. En d’autres termes, vous devez montrer (par exemple, documenter et démontrer) que vous agissez de bonne foi avec les informations d’autres personnes. Dans sa définition la plus simple, il s’agit d’un bulletin d’un vérificateur.
Chez Rewind, avant SOC 2, nous avions mis en place certains processus, tels que des procédures de gestion des modifications lorsque des correctifs d’urgence doivent être mis en production rapidement. Mais après avoir commencé notre voyage SOC 2, nous avons réalisé que nous n’avions pas un excellent moyen de suivre le raisonnement derrière un changement d’urgence requis, et cela était nécessaire pour notre audit SOC 2. Nous avons donc travaillé avec notre auditeur pour mettre en place un système d’audit continu de ces demandes, apportant une solution pérenne et une amélioration massive des procédures, proposant cette solution à d’autres entreprises dans notre position. La réalisation de la conformité SOC 2 signale à un marché que vous êtes prêt à fournir l’assurance, sous la forme d’un rapport d’audit tiers, que vous protégerez les informations client. Informations sur lesquelles votre entreprise s’appuie.
Pourquoi avoir SOC 2 ?
En bref, plus de données sont collectées par plus d’organisations aujourd’hui qu’à n’importe quel moment de l’histoire. Dans l’ensemble, les groupes des secteurs privé et public sont de plus en plus conscients de la manière dont leurs données propriétaires sont traitées par d’autres parties. Pour les secteurs hautement réglementés tels que la finance, la santé ou les sociétés cotées en bourse, le SOC 2 est essentiellement devenu un coût pour faire des affaires. Pour toutes les entreprises SaaS qui souhaitent « grandir » et vendre aux grandes marques, la question « Avez-vous votre SOC2 ? » sera l’une des premières questions posées à votre équipe de vente.
Les rapports SOC 2 donnent également aux entreprises une longueur d’avance en fournissant une assurance aux clients dans le paysage actuel de la cybersécurité. Le volume des cyberattaques augmente chaque année. Une violation peut entraîner des amendes, nuire à la réputation d’une entreprise, provoquer un exode de clients et bien plus encore. La conformité SOC 2 contribue grandement à atténuer les pertes de ces scénarios en fournissant l’assurance que vous avez mis en place des processus clés. Une entreprise conforme est plus susceptible de répondre rapidement à une violation, limitant ainsi son impact.
Obtenir SOC2 de manière rapide et intelligente
Avant de rejoindre Rewind, et de la même manière pour la plupart des entreprises SaaS en croissance, SOC 2 semblait être une tâche intimidante à accomplir. Nous avions des processus en place, mais nous avions du travail à faire pour les formaliser afin qu’ils soient conformes à la norme SOC 2 et prêts pour l’audit. L’équipe de vente a également été régulièrement interrogée sur Rewind et nos plans de conformité SOC 2, car nos clients voulaient cette assurance, et l’obtention de SOC 2 est devenue une priorité. L’étape suivante consiste à comprendre les objectifs et les priorités SOC2 de votre entreprise et à identifier les étapes à suivre pour devenir conforme.
J’ai passé toute ma carrière en tant que professionnel de la sécurité de l’information en mettant l’accent sur la gouvernance, les risques et la conformité. Une grande partie de cela est une seconde nature pour moi. Pour les nouveaux arrivants, cela peut être un processus intimidant et accablant. Voici donc un cadre rapide pour vous aider à vous préparer pour la route à venir.
1 — Choisir sa portée
La première étape consiste à décider de la portée de votre audit, du service ou du produit qui sera ciblé,
et quels principes de service de confiance vous souhaitez auditer. Par exemple, la sécurité est un principe obligatoire, mais vous pouvez également inclure des principes de confidentialité, de disponibilité, d’intégrité du traitement ou de confidentialité.
Voici une façon simple d’y penser : le service que vous fournissez à vos clients peut déterminer les principes de service de confiance sur lesquels se concentrer. Par exemple, si votre entreprise traite des données financières, « l’intégrité du traitement » peut être un principe important à mettre en avant. Un service de commerce électronique ou de marketing se concentrerait probablement sur la sécurité et la confidentialité en raison de la quantité considérable de données personnelles qu’il traite.
Rewind fournit des sauvegardes SaaS, donc la portée était notre propre plate-forme logicielle. Pour notre premier rodéo SOC 2, dans ce périmètre, l’accent a été mis sur les contrôles de sécurité et de confidentialité. La confidentialité était un principe important, puisque les clients nous confient leurs données de sauvegarde, et nous voulons démontrer comment nous assurons la confidentialité des informations qui nous sont confiées.
Il est également important de se rappeler que si vous souhaitez poursuivre d’autres principes de service de confiance à l’avenir, vous pouvez nourrir et développer votre programme de conformité SOC2 et vos processus internes pour atteindre cet objectif sur toute la ligne.
2 — Évaluer votre niveau de contrôle
Les demandes de l’équipe de vente peuvent certainement vous aider à déterminer sur quels principes de service de confiance vous concentrer, mais cela ne signifie pas que vous pouvez commencer le processus d’audit demain. Je recommande toujours aux entreprises d’effectuer des évaluations complètes de l’état de préparation. Cela permet d’établir la référence du nombre de contrôles que vous avez peut-être déjà en place, et pour ceux que vous n’avez peut-être pas, vous pouvez identifier les domaines sur lesquels vous concentrer. Une fois que vous atteignez 100 %, vous pouvez préparer votre audit.
Vous pouvez trouver divers documents d’évaluation de l’état de préparation sur le Web provenant de divers tiers ou visiter le site de l’AICPA. Les auditeurs peuvent également vous aider dans votre évaluation de l’état de préparation dans le cadre de votre mission.
En prime, une évaluation de l’état de préparation peut vous aider à comprendre comment mieux budgétiser votre programme SOC2 à l’avenir. Par exemple, vous pouvez identifier que vous devez effectuer périodiquement un test d’intrusion tiers sur votre application ou investir dans un processus de vérification des antécédents des employés, qui ont tous des coûts permanents à budgétiser.
3 — Organiser les contrôles et la collecte de preuves
Il n’y a pas de mauvaise façon d’organiser votre programme et vos contrôles de conformité SOC2. Pourtant, à long terme, il existe des moyens qui rendent les choses plus difficiles et des moyens qui les rendent plus faciles. Les feuilles de calcul permettent de répertorier tous vos contrôles, d’attribuer des propriétaires, d’enregistrer des notes et d’ajouter des liens vers l’endroit où vos preuves sont stockées pour les audits. Au fil du temps cependant, cela devient désordonné et difficile à surveiller.
Chez Rewind, nous voulions nous concentrer sur la longévité de notre programme de conformité SOC2. La propriété du contrôle et la collecte des preuves devaient être centralisées et accessibles à toutes les parties prenantes. Pour y parvenir, nous avons investi dans une plate-forme d’assurance de sécurité pour nous aider à gérer notre programme de conformité. Je recommanderais dans le cadre de votre budget SOC2 d’envisager un outil qui peut vous aider à organiser vos contrôles et à les surveiller à l’avenir.
La difficulté ici est de trouver la bonne solution qui correspond à vos besoins. Vous verrez souvent des entreprises annoncer leurs solutions avec la promesse « Obtenez SOC2 en deux mois ! ». Votre programme de conformité doit être une machine qui continue de fonctionner. Ce n’est pas une médaille brillante à gagner en un temps record. Nous voulions un outil qui partageait également cette mission.
4 — Choisissez et formez les propriétaires de contrôle
Il s’agit de personnes de votre entreprise responsables de la mise en œuvre et de la conformité continue de vos contrôles. Le principal défi ici est qu’en surface, vous demandez essentiellement aux gens de faire plus de travail. Pourtant, il ne faut pas le voir ainsi. Il s’agit d’un effort collaboratif pour concevoir des contrôles et des processus conformes à SOC2, qui s’intègrent dans les processus quotidiens de chaque équipe.
Tout nouveau processus ajouté doit être une amélioration de la sécurité (ou d’un autre processus/contrôle lié au principe du service de confiance) de votre entreprise. L’approche de Rewind consistait à adopter une approche collaborative dirigée par notre « équipe de confiance », mais en même temps, en donnant aux propriétaires de contrôle les moyens d’être responsables de leurs propres domaines de conformité. SOC2 doit être un objectif commun pour toute votre entreprise, pas seulement pour l’équipe de sécurité.
5 — Choisissez vos auditeurs
Il existe de nombreux CPA réputés pour effectuer votre audit pour vous, mais différentes sociétés d’audit offrent une variété de services. Chez Rewind, notre choix d’auditeur (Moss Adams) est recommandé et formé pour utiliser notre plateforme d’assurance de sécurité (Tugboat Logic), que nous utilisons pour gérer notre programme SOC2. Cela signifie que nous pouvons gérer la conformité de l’ensemble de notre programme, y compris fournir des preuves à nos auditeurs dans le même outil. Cela réduit la charge de travail de nos auditeurs de contrôle et signifie que nous pouvons avoir un endroit centralisé pour gérer nos contrôles, la collecte de preuves et les audits.
Un obstacle ici pourrait vraiment être de savoir par où commencer. Vous ne voulez pas vous lier à un outil d’assurance de sécurité ou à un CPA spécifique si cela ne fonctionne pas pour vous à long terme. Choisissez un CPA réputé qui est prêt à travailler avec vous et vos flux de travail. Vous voulez une relation de collaboration où vous pouvez également demander des conseils et savoir qu’ils veulent également faire partie de votre succès.
6 — Considérez un rapport de type 1 avant un rapport de type 2
Un audit SOC2 Type 1 peut être extrêmement bénéfique pour vous familiariser avec le processus d’audit SOC2. Un audit de type 1 vous donne l’opportunité d’acquérir de l’expérience avec le processus d’audit SOC2, d’établir un rapport et de développer une relation de travail avec votre auditeur. Vous obtenez également un rapport à fournir aux clients qui signale votre engagement envers votre programme de conformité. C’est l’approche que nous avons adoptée chez Rewind et je suis heureux que nous l’ayons fait.
Il y a évidemment beaucoup plus dans ce processus que ce que j’ai fourni. Cependant, d’après mon expérience, je pense que cela peut vous aider à préparer le terrain pour les prochaines étapes. Réfléchir à la façon dont les contrôles SOC 2 s’intègrent dans votre entreprise aujourd’hui vous évitera un monde de maux de tête à l’avenir.