Le référentiel SOC (System and Organization Controls) for Cybersecurity

L’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité des systèmes d’information. A l’origine SAS 70 remplacé par le standard américain SSAE, et généralisé avec les certifications internationales ISAE 3402, les rapports « SOC » 1, 2 et 3 sont destinés à renforcer la confiance entre le client et son fournisseurs, sur les aspects financiers et sécurité. Ces niveaux de certification trouvent toute leur place dans le cadre des programmes de migrations massives vers les solutions de Cloud Public des groupes publics et privés. L’AICPA a mis au point un nouveau référentiel « SOC for Cybersecurity » que cet article se propose de présenter.

Les différences entre SOC for Cybersecurity et SOC 2

La finalité du SOC for cybersecurity est plus large, centré sur le programme de gestion des risques alors que SOC 2 se concentre sur l’organisation des services fournis aux clients et les mesures de contrôles en place, en particulier sur le plan de la sécurité. Le SOC for cybersecurity vise des parties prenantes diverses en premier lieu la direction de l’entreprise, responsable de la mise en œuvre du programme mais aussi les analystes et les investisseurs. Le rapport cybersecurity comprend une description du programme de gestion des risques, un positionnement écrit de la direction de l’entité sur l’analyse et l’efficacité du traitement des risques et enfin l’opinion de l’auditeur sur la conformité du programme et sa déclinaison opérationnelle. Le rapport Cybersecurity est destiné à un public plus large que le SOC 2 mais peut de manière similaire bénéficier de mesures de restriction d’accès pour protéger les éléments les plus confidentiels.

Les critères de description de SOC for Cybersecurity

L’AICPA a défini une série de 19 critères pour décrire et évaluer le programme de gestion des risques. Chaque DC (description criteria) doit être pertinent, objectif, mesurable et complet. Les domaines principaux sont la description des métiers et des services, la nature des informations sensibles, les objectifs de sécurité, l’analyse des facteurs influant sur les risques incluant les incidents de sécurité récents, la gouvernance (comprenant l’implication de la direction et des sous-traitants), le processus d’évaluation, de communication et de supervision des risques, les mesures techniques et organisationnelles de traitement. Le DC 15 par exemple se focalise sur les évaluations et les contrôles périodiques. Le guide de mise en application de ce critère comprend les audits, les tests d’intrusion et les certifications (par exemple ISO 27001 ou HITRUST). Le critère englobe aussi les critères d’évolution du programme pour s’assurer qu’il s’adapte au contexte de l’entité : évolutions métiers, nouvelles menaces, montée en compétence des auditeurs, fréquence des audits adaptée aux enjeux. Ces critères sont utilisés par l’entité et par l’auditeur.

Les critères de contrôle de SOC for Cybersecurity

L’AICPA maintient une liste de contrôles pour évaluer la sécurité, la disponibilité, l’intégrité, la confidentialité des systèmes. Les notions liées à la protection des données à caractère personnel (data privacy) ont été largement complétées pour s’adapter aux évolutions de la réglementation. Cela montre que le règlement européen (voir à ce sujet la check-list du DPO) sur la protection des données est pris au sérieux par les américains du fait des plafonds d’amende et de son champ d’application très large. Connus historiquement sous la dénomination TSC (Trusted Services Cirteria), ces critères ont été revus récemment. Ils comprennent des aspects conceptuels, techniques et opératoires. Ils sont associés aux principes fondamentaux de contrôle interne de COSO / ERM.

L’évolution de référentiel et son appropriation par les entités américaines est à suivre de près, car il pourrait être élargi à des référentiels internationaux. Il est cohérent avec la volonté de renforcer les mécanismes de certification, en particulier dans les environnements Cloud et de disposer de référentiels partagés et utilisés par le plus grand nombre (comme par exemple le référentiel cybersécurité du NIST).

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

SOCforCybersecurity, SécuritéCloud, Certification, ContrôleInterne