Focus sur les rapports d’audits SOC 2 et SOC 3, références en termes d’évaluation de principes de sécurité, de disponibilité, d’intégrité, de confidentialité et de protection des données.
L’augmentation du « Software as a Service », « Platform as a Service » et autres modèles d’infrastructures basés sur le Cloud nécessite d’obtenir une évaluation indépendante des contrôles de conformité et opérationnels en place chez votre prestataire. Cette évaluation est d’autant plus pertinente lorsqu’il s’agit d’évaluer que la protection et l’intégrité des données est bien un critère essentiel dans la prestation offerte par votre tiers-archiveur par exemple. A ce titre, les rapports d’audit SOC 2 et SOC 3 (Service Organization Control) de l’AICPA (American Institute of Certified Public Accountants) font figure de référence.
Rapports SOC 2 et SOC 3 : évaluer les principes de sécurité, de disponibilité, d’intégrité, de confidentialité et de protection des données
Les contrôles SOC sont effectués par des cabinets indépendants, agréés et membres de l’AICPA. Ils s’appuient sur des « Trust Services Categories » reposant sur 5 grands principes de fiabilité :
– sécurité, le système est protégé contre les accès non autorisés (physiques et logiques) ;
– confidentialité, l’information identifiée comme confidentielle est protégée ;
– intégrité des traitements, les traitements sont complets, exacts, opportuns et autorisés ;
– disponibilité, le système est disponible pour les opérations et son utilisation est effective ;
– protection des données, la donnée est collectée, utilisée, maintenue, divulguée, archivée et supprimée en conformité avec les engagements de la politique de protection des données et les critères définis par l’AICPA.
Flexibilité du périmètre et de la durée de l’audit
Ce cadre permet d’évaluer au cours de l’audit de quelle manière le prestataire, à travers ses systèmes et ses processus, respecte tout ou partie ces principes de confiance. L’audit peut s’effectuer à une date précise (on parle alors de rapport de type 1) ou sur une période donnée afin d’évaluer l’efficacité des contrôles dans la durée (il s’agit alors d’un rapport de type 2).
Les rapports SOC 2 et 3 sont propres à chaque secteur d’activité et métier. A ce titre, le prestataire peut choisir quelle catégorie ou combinaison de catégories il souhaite auditer et inclure dans ses rapports. Cette flexibilité crée l’avantage d’évaluer de manière stratégique ses composants et de cibler les principes de fiabilité ayant un intérêt majeur pour son secteur d’activité et ses clients.
Les rapports SOC attestent des compétences, de l’expertise des équipes et de l’efficacité des systèmes et des process de votre prestataire. Dans le cadre d’une externalisation de vos archives numériques, les rapports SOC vous garantissent la protection et une gestion maîtrisée des risques liés au traitement des informations sensibles.