Liste De Contrôle D’audit De Conformité SOC 2 2022 À Savoir Avant L’audit

Cet article a été mis à jour en décembre 2022.

Les données sont la pierre angulaire de votre entreprise. Vos clients doivent être sûrs que leurs informations sont en sécurité. Ils vous font confiance pour l’entretenir. Si vous échouez, vous perdrez la confiance de vos clients.

Rassurer les clients est l’objectif de la conformité et de la certification SOC 2. L’intégrité, la confidentialité et la confidentialité des données de vos clients sont en jeu. Les clients potentiels voudront une preuve que vous avez mis en place des mesures pour les protéger. L’  audit de conformité SOC 2  le fournit.

Qu’est-ce Que Le SOC 2 ?

SOC signifie «System and Organization Controls» et correspond aux procédures de contrôle convenues établies par l’American Institute of Certified Public Accountants (AICPA).

Ces contrôles définis sont une série de normes conçues pour aider à mesurer dans quelle mesure une organisation de services donnée gère et réglemente ses informations. Ils sont conçus pour donner aux clients l’assurance qu’une organisation peut faire confiance pour assurer la sécurité de leurs données.

Le but d’un audit est d’obtenir une attestation SOC ou une certification SOC.

Qui Peut Réaliser Un Audit SOC 2 ?

Cette attestation ne peut être délivrée qu’après que l’organisation a été auditée par un expert-comptable indépendant ou un cabinet d’experts-comptables qui détermine si les garanties et procédures appropriées sont en place.

Trois Types De Rapport Qu’une Organisation Peut Choisir

Le premier est de type 1.

Ces rapports montrent les contrôles de la société de services sur les normes d’information financière de son client. L’organisation auditée définit les objectifs qui sont importants pour son activité et les contrôles qu’elle suit pour atteindre ces objectifs. Étant donné que la portée de l’objectif d’audit est auto-définie, il s’agit d’une norme très flexible et peut être adaptée à chaque fournisseur de services.

Le second est le rapport de type 2.

Il se concentre sur cinq principes de confiance : sécurité, disponibilité, intégrité, confidentialité et confidentialité. Chaque principal de confiance dispose d’un ensemble standard de contrôles et de critères de test pour tous les fournisseurs de services. Lors d’un contrôle d’organisation de services de type 2, l’organisation de services sélectionne les mandants pertinents pour son activité.

Le troisième est le rapport de type 3.

Il s’agit d’une version simplifiée du rapport SOC 2 et a été conçu pour attester que le fournisseur de services a effectué une évaluation SOC 2, tout en limitant les informations à ce qui est pertinent pour les parties publiques.

Les SOC 1 et 2 existent également en deux types de rapports.

Les rapports de type 1 examinent les politiques et procédures en vigueur à un moment donné.

Le SOC Type II examine les politiques et procédures sur une période d’au moins six mois. Étant donné que le rapport de type II tient compte des processus historiques, il s’agit d’un audit plus précis et plus complet.

Qu’est-ce Qui Est Inclus Dans Un Rapport De Certification SOC 2 ?

Le contenu des rapports SOC 2 dépend du type de service fourni par l’organisation.

Une organisation de services peut être évaluée sur une ou plusieurs des catégories de critères de services de confiance (TSC) suivantes :

• Sécurité  – Les informations et les systèmes sont protégés contre l’accès non autorisé, la divulgation non autorisée d’informations et les dommages aux systèmes qui pourraient compromettre la sécurité, la disponibilité, la confidentialité, l’intégrité et la confidentialité des données ou des systèmes et affecter la capacité de l’entité à atteindre ses objectifs.
• Disponibilité  – Les systèmes d’information et d’organisation sont disponibles pour le fonctionnement et l’utilisation afin de répondre aux exigences objectives de l’entité.
• Intégrité du traitement  – Le traitement du système est complet, valide, précis, opportun et autorisé pour atteindre les objectifs de l’entité.
• Confidentialité  – Les informations désignées comme confidentielles sont protégées pour atteindre les objectifs de l’entité.
• Confidentialité  – Les renseignements personnels sont recueillis, utilisés, conservés, divulgués et éliminés pour atteindre les objectifs de l’entité.

Les catégories ci-dessus partagent toutes un ensemble de critères de services de confiance appelés critères standard.

Les principes communs sont :

• • Accès logique et physique
  • Efficacité opérationnelle du système
  • Gestion du changement
  • Atténuation des risques

Ces critères doivent être pris en compte dans chaque audit SOC. En fonction des catégories de TSC évaluées, il se peut que d’autres TSC aient besoin d’être évalués en plus des critères standard.

Avec les modifications apportées, les organisations peuvent également obtenir un rapport SOC 2+ qui permet à l’organisation de services de répondre à des critères supplémentaires d’autres normes de conformité telles que HITECH, la conformité HIPAA, ISO 27001, Cloud Security Alliance (CSA), NIST 800-53 ou COBIT 5.

Lorsque vous commandez votre audit de conformité, vous pouvez décider quelles catégories TSC sont les plus importantes. Basez vos décisions sur ce que les clients sont les plus susceptibles de vouloir. Cela garantira que les clients obtiennent les informations dont ils ont besoin. Ils seront moins susceptibles de revenir vers vous avec des questions si elles sont traitées dans le rapport SOC 2.

La clé est de rassurer les clients que vous garderez leurs données en sécurité. Vos contrôles organisationnels doivent être expliqués. De cette façon, les clients peuvent être sûrs que leurs données sont en sécurité avec vous.

Préparez-vous Avec Une Liste De Contrôle D’audit SOC

Il existe des étapes de sens standard que vous pouvez suivre. Être préparé rendra le travail de l’auditeur aussi confortable que possible.

Votre objectif est d’anticiper les problèmes et d’essayer de les résoudre à l’avance.

Voici six étapes que vous pouvez suivre pour vous préparer.

1. Définissez les objectifs opérationnels de votre audit. Vous devriez vous demander ce que vos clients sont le plus susceptibles de vouloir savoir. Vous connaissez les paramètres de l’audit SOC 2. Si vous traitez des informations financières, vous pourriez également avoir besoin d’un audit SOC 1.
2. Définissez le périmètre de vos  audits SOC 2. Ils  concernent généralement l’infrastructure, les logiciels, les données, la gestion des risques, les procédures et les personnes. Vous devrez également décider des principes de confiance à inclure. Tout TSC que vous ajoutez augmentera la portée de votre audit. Encore une fois, choisissez les TSC qui sont les plus susceptibles de concerner vos clients.
3. Répondre aux exigences réglementaires et de conformité. Chaque industrie a des règlements. Par exemple, les prestataires de soins de santé doivent se conformer à la conformité HIPAA tandis que ceux qui traitent les cartes de crédit doivent être conformes à la norme PCI. Faire un examen de la conformité de votre entreprise aidera à rationaliser l’audit.
4. Réviser et rédiger des procédures de sécurité. L’auditeur que vous engagez utilisera vos politiques écrites comme ligne directrice. De nombreuses entreprises prennent du retard. Si vos systèmes sont obsolètes, vous devez les mettre à jour. Si vous manquez de procédures écrites pour tout ce qui est couvert par l’audit, vous devez les créer maintenant. Des politiques écrites aideront vos employés à respecter les règles internes.
5. Effectuez une évaluation de l’état de préparation. Une évaluation de l’état de préparation est votre dernière chance de vous préparer. Vous pouvez faire l’évaluation vous-même. Alternativement, vous pouvez engager un cabinet d’audit pour le faire pour vous car ils respectent des normes d’audit strictes. Considérez cela comme une répétition générale. Vous pouvez utiliser les résultats pour combler les trous dans votre préparation d’audit.
6. Évaluer et embaucher un auditeur certifié. Comme je l’ai déjà mentionné, embauchez une personne ayant de l’expérience dans votre secteur. L’auditeur :
   • Travailler avec vous pour choisir les dates de test convenues
   • Vous fournir une liste des documents requis avant l’audit
   • Visitez votre site pour des examens de documents, des entretiens avec des employés et des visites guidées
   • Documentez les résultats du test et passez en revue tout problème avec vous
   • Vous fournir un rapport de type II rempli à partager avec vos clients

En suivant ces six étapes de notre  liste de contrôle de conformité SOC 2  , vous vous assurerez d’avoir un processus d’audit fluide. C’est votre travail de faire tout ce que vous pouvez pour vous préparer. Même si vous pensez que votre entreprise est en bonne forme, des évaluations périodiques sont indispensables.

Vous voudrez peut-être mettre en place un système pour revoir les procédures écrites. Le faire régulièrement vous assurera que votre prochain audit se déroulera sans problème.

Qui Peut Demander Des Rapports De Conformité SOC 2 ?

Toute organisation qui passe un contrat avec un fournisseur de services doit se préoccuper de la sécurité. Cela est vrai quel que soit le secteur d’activité. Cependant, il n’est pas nécessaire d’obtenir un nouvel audit à chaque fois.

Les rapports SOC 1 et SOC 2 sont censés être des documents confidentiels à usage limité pour le fournisseur de services et ses clients ; cependant, ils étaient souvent distribués publiquement. Le rapport SOC 3 a été créé suite à la demande croissante d’un rapport public.

Désormais, toute partie connaissant les services fournis peut en faire la demande. Les parties qui ont besoin de savoir comment le système de l’entité interagit avec les autres peuvent également obtenir le rapport. Il s’agit notamment des entités utilisatrices, des organisations d’utilisateurs de sous-services et d’autres parties.

Bien entendu, les personnes intéressées par les contrôles internes peuvent également demander des rapports SOC. Avant de confier vos données à qui que ce soit, exiger un audit de conformité SOC est une bonne idée.

De nombreuses entreprises commandent des audits SOC 2. Ensuite, ils fournissent un rapport aux clients potentiels et à d’autres parties qualifiées.

Bien sûr, il est possible qu’un client ait des questions non couvertes par le rapport SOC 2. Dans ce cas, vous devrez décider comment réagir. Le rapport comprend bon nombre des questions et préoccupations les plus courantes que les clients auront.

Comment Les Audits SOC Ont-ils Changé ?

Les normes utilisées pour l’audit ont évolué au fil des ans. Jusqu’en 2011, l’AICPA appliquait la norme SAS 70. La norme SAS 70 est devenue extrêmement populaire, et par la suite, elle a été utilisée trop largement et a commencé à perdre l’orientation souhaitée. En réponse, l’AICPA a remplacé SAS 70 par le Statement on Standards for Attestation Engagements (SSAE) No. 16 en 2011 et récemment mis à jour vers la version SSAE 18, en mai 2017.

Les nouvelles exigences pour la SSAE 18 sont les suivantes.

1. IPE, ou Information Produite par l’Entité. Les entreprises doivent obtenir la preuve de l’exactitude de toute information fournie. Les exemples peuvent inclure des requêtes standard ou des paramètres de rapport.
2. Gestion des fournisseurs et suivi des organisations de sous-services. Les fournisseurs de services ou les centres de données doivent inclure des contrôles pour les organisations de sous-service. L’objectif est de s’assurer que toute personne ayant accès aux données respecte les normes de contrôle.
3. Des CUEC ou des contrôles complémentaires d’entité utilisateur doivent être en place. Ils doivent être limités aux contrôles nécessaires pour atteindre les objectifs de contrôle déclarés
4. Audit interne et examens réglementaires. SSAE 18 exige que les organisations de services lisent des rapports spécifiques. Plus précisément, elles concernent les examens internes et réglementaires.

Le SSAE continuera d’évoluer au fur et à mesure que de nouveaux risques de sécurité apparaîtront. Suivre les risques peut ressembler un peu à un jeu de Whack-A-Mole.

Un exemple est le nouvel examen SOC sur la cybersécurité et les principes mis à jour des services de confiance qui sont entrés en vigueur le 15 décembre 2022. L’objectif de l’AICPA est de se tenir au courant des besoins en matière de sécurité de l’information et d’y répondre en conséquence.

Combien Coûte L’audit SOC 2 ?

La dépense peut varier en fonction de ce qui est inclus.

Certaines des choses qui peuvent affecter le coût incluent:

• L’étendue des services inclus dans le rapport
• Les TSC que vous choisissez d’ajouter
• La taille de votre organisation
• Le nombre de systèmes et de processus concernés

En d’autres termes, si vous avez plusieurs systèmes et méthodes à inclure, le prix augmentera. Tout système qui affecte la sécurité des données sensibles des clients doit être audité. C’est la seule façon de rassurer les clients pour qu’ils vous fassent confiance avec leurs données.

Pour le meilleur résultat, choisissez une entreprise avec une expérience en audit informatique. Ils doivent identifier les employés qui effectueront votre audit. Il est essentiel de s’assurer que l’entreprise vérifie les antécédents de toute personne qui aura accès à vos données client.

Enfin, assurez-vous de demander (et de vérifier) des références avant d’engager un cabinet d’audit. Idéalement, l’entreprise que vous choisissez devrait avoir de l’expérience dans votre secteur d’activité.

Comprendre L’importance Des Audits De Conformité SOC

La conformité au SOC 2 rassure les clients. Lors de l’audit, vous pouvez leur fournir les rapports pour leurs dossiers. Avoir un rapport actuel à portée de main garantira que les clients potentiels savent qu’ils peuvent vous faire confiance. Utilisez notre  liste de contrôle de conformité SOC 2  pour vous préparer à un audit.