ISAE 3402 : renforcer la confiance clients-fournisseurs

La démarche ISAE 3402 (International Standard on Assurance Engagements ) permet de gagner en confiance et en transparence dans la relation clients-fournisseurs. C’est une démarche reconnue internationalement qui bénéficie des initiatives américaines de l’AICPA et du support des associations internationales IAASB et IFAC. Ce standard est au programme des certifications individuelles de cybersécurité CISSP et sécurité du Cloud CCSP et CCSK. Cela rejoint les bonnes pratiques de sécurisation de la sous-traitance : voir la vidéo de présentation du SCRM et les bonnes pratiques pour mettre en place un programme C-SCRM.

 

Les différents SOC

L’AICPA définit plusieurs SOC (System and Organization Controls) :

  • Les SOC orientés sur les contrôles internes mis en place par une organisation (fournisseur Cloud ou hébergeur par exemple) pour gérer les risques liés aux services externalisés proposés à ses clients. Le SOC 1 se focalise sur les contrôles financiers, le SOC 2 sur la sécurité, la disponibilité, l’intégrité, la confidentialité et la protection des données personnelles. Deux types de rapports existent : le type 1 décrit les contrôles alors que le type 2 doit en plus définir les moyens de contrôler l’efficacité des mesures sur une durée donnée (généralement au moins 6 mois). L’accès aux rapports est restreint. Le SOC 3 se focalise sur les mêmes aspects que SOC 2 mais est public.
  • Le SOC for cybersecurity plus récent.
  • Le SOC for Supply Chain centré sur les risques cyber liés aux chaines de production et de distribution.

Les rapports ISAE 3402

Les rapports ISAE comprennent pour le type 1 :

  • Une description des systèmes de l’entité.
  • La présentation des services et la description des contrôles (mesures de sécurité).
  • Le rapport de l’auditeur.

Pour le type 2, on doit trouver en plus le contrôle de l’efficacité des mesures sur une période donnée et la description des tests dans le rapport de l’auditeur en suivant une procédure formalisée.

Contrairement aux certifications ISO 27001 ou encore HDS, pour lesquelles la sélection des mesures (déclaration d’applicabilité) est très encadrée par les clauses ISO 27002 et ISO 27018, la démarche ISAE 3402 est plus libre puisque les contrôles sont basés sur l’analyse des risques. Aucun cadre n’est imposé pour la sélection de ces mesures. Bien entendu, la notion de preuve (evidence) est fondamentale comme pour tout audit. L’auditeur devra travailler en étroite collaboration avec la fonction d’audit interne si elle existe au sein de l’entité.

Les attestations ISAE 3402 sont très recherchées par les clients. Les fournisseurs Cloud ont donc tendance à souvent s’orienter vers cette démarche, en complément des autres possibilités de certifications dans le Cloud, voir aussi le schéma de certification Cloud européen.

PROSICA réalise régulièrement des missions d’accompagnement jusqu’à la délivrance des attestations ISAE 3402. Vous pouvez nous contacter à contact at prosica.fr pour toute demande de renseignements sur ce type d’accompagnement.
 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

CCSP, CCSK, ISO27001, ISAE3402, HDS, SOC