Q&A sur les fondements du SOC 2

September 18, 2022 Leave a comment

C’est quoi SOC 2?

SOC 2 fait référence au Standard volontaire de Certification pour des entreprises offrant des services. Toute entreprise de ce type fait d’une manière ou de l’autre la collecte et la gestion de données de ses clients et partenaires. Un rapport SOC 2 nous indique comment l’entreprise gère les données en se rapportant a des critères pré-établis par l'AICPA (American Institute of CPAs).

Quels sont les critères d’évaluation SOC 2?

  • Sécurité,
  • Disponibilité,
  • Intégrité de traitement et manipulation de données,
  • Confidentialité,
  • Privacy.
browser

Qui effectue les audits SOC 2 (et écrit le rapport SOC 2)?

Habituellement, un cabinet d’expert-comptable, mais pas exclusivement. Le travail de préparation et analyse initiale est effectué par des spécialistes en sécurité informatique et  de conformité.

Est-ce que le rapport SOC 2 est public?

Non, Mais ce rapport peut être fournit à la demande a un client de l’entreprise dans le but de rassurer celui-ci que ces données soient bien gérées.

Quelles sont les raisons pour effectuer un audit SOC 2 et produire un rapport?

Une bonne posture SOC 2 est un bon argument pour sécuriser les futurs clients, surtout les plus gros.

Améliorer de manière implicite la posture de sécurité de l’entreprise par le renforcement de bonne pratique de sécurité dans le traitement et le stockage de données sensitives.

Améliorer la confiance des clients en rapport aux services offerts par l’entreprise.

Quelle est la différence entre un rapport SOC 2 de type 1 et type 2?

  • Rapport Type 1 : Les auditeurs vont vérifier le bien fondé du design et l’implémentation de contrôles alignées aux différents critères SOC 2. Le rapport est une photo de la situation existante, à la date X. Aucune vérification opérationnelle.
  • Rapport Type 2 : Les auditeurs vérifient le bien fondé, les détails et l’efficacité des contrôles, incluant la partie opérationnelle, en plus de la portion de design et implémentation de ces mêmes contrôles. Les auditeurs font ces vérifications de manière récurrente sur un période de 3, 6 9, ou même 12 mois.

Quelles sont les étapes et combien de temps est-il nécessaire pour obtenir la certification?

  • Type 1 : Préparez vous pour l’audit, déterminez et priorisez l’approche. Écrire, documenter et implémenter les contrôles via les règles de sécurité et politiques d’entreprise. Sectionner et engager votre auditeur, réviser les contrôles avec lui. Temps estimatif 3 semaines.
  • Type 2 : Si la certification de type 1 est déjà en place, répéter les items mentionnés dans le type 1, et ,en plus, assurez-vous de démontrer aux auditeurs que les contrôles documentés sont bien suivis, et ce, à chaque fois qu’eux feront des vérifications et collecter les preuves dans les 6 à 12 mois prochains.
CollabPro can help you review,asses,and implement the security controls in order to improve your business security posture.
Request appointement

Leave a Reply

Your email address will not be published. Required fields are marked *