Tandis que les entreprises continuent d’adopter des modèles de services infonuagiques et des logiciels-services en raison de leur rentabilité et de leur efficacité, elles exigent de leurs fournisseurs de services un degré élevé d’assurance quant à l’intégrité, à l’exactitude et à la fiabilité des services reçus, particulièrement lorsque des informations financières sensibles ainsi que des renseignements privés et confidentiels sont en jeu.
Une telle assurance à l’égard de la gestion et de l’atténuation des risques s’avère essentielle pour les entités utilisatrices, car elles demeurent responsables de tous les services externalisés. Dans les secteurs d’activité hautement réglementés, comme celui des services financiers, la conformité des tiers n’est pas seulement un atout, mais bien un élément indispensable.
Grâce aux rapports System and Organization Controls (« SOC »), les fournisseurs de services infonuagiques sont en mesure d’informer leurs clients du degré d’assurance auquel ils peuvent s’attendre.
Les rapports SOC sont devenus la norme du marché en matière de certification de tiers. Ils témoignent de l’engagement d’une entreprise à adopter des pratiques d’exploitation fiables, de sa capacité à assurer la conformité des contrôles internes et réglementaires ainsi que de son aptitude à répondre aux demandes du marché. De plus en plus, les rapports SOC deviennent une condition préalable au processus de vente et de demande d’offres de services.
Dans le but de vous guider dans votre processus d’obtention d’une certification SOC, nous vous présentons ici quelques pièges courants à éviter :
L’offre des sociétés de services est souvent très diversifiée. Elle peut notamment comprendre des services infonuagiques, des logiciels-services ainsi que l’hébergement partagé de centres de données. La détermination des services à inclure dans la description des systèmes et le rapport SOC représente une étape cruciale de la planification, souvent négligée par de nombreuses sociétés de services. Les limites des systèmes évalués dans le cadre d’un mandat lié aux rapports SOC pourraient ne pas être évidentes.
Par conséquent, il est essentiel de comprendre, d’établir, de documenter et de communiquer clairement ces limites. Pour certains mandats liés aux rapports SOC, les limites du système s’étendent à l’ensemble de ses composantes, puisqu’elles concernent le cycle de vie d’un service ou d’un produit en particulier. Dans d’autres cas, elles ne visent qu’une unité d’affaires ou un emplacement géographique.
Après avoir établi les limites et l’étendue de la mission, l'étape suivante consiste à documenter les aspects pertinents des composantes des contrôles internes exercés à l’échelle de l’entité.
Ces composantes sont l’environnement de contrôle, les renseignements et la communication, la surveillance ainsi que l’évaluation des risques. Les sociétés de services font appel aux sources d’information existantes sur les composantes du contrôle interne au niveau de l’entité, par exemple les politiques et les procédures, les codes de déontologie et les documents connexes, la documentation relative à la gouvernance d’entreprise ainsi que les évaluations des risques afférentes. En s’appuyant sur les modèles de rapports et les guides fournis par l’associé en audit, la direction doit classer ces renseignements selon les composantes des contrôles internes qui s’y rapportent en utilisant un vocabulaire simple et facile à comprendre.
Après avoir décrit les composantes des contrôles internes, la direction doit fournir une description des principaux éléments des contrôles internes du système, à savoir :
- la manière dont le système a été conçu et mis en œuvre;
- l’infrastructure (c.-à-d. les composantes matérielles et physiques du système audité, comme les installations, le matériel et les réseaux);
- les logiciels (c.-à-d. les programmes et les logiciels de base, comme les systèmes, les applications et les programmes de service);
- les données (c.-à-d. les informations utilisées et prises en charge par un système).
En fonction de la maturité de l’environnement des contrôles internes, certaines sociétés de services doivent réaliser une évaluation de l’état de préparation avant de procéder à l’audit. Une telle évaluation, réalisée avec l’apport de l’associé en audit, est conçue pour relever les lacunes et leur permettre de les corriger en amont.
Les différents processus et contrôles devront être examinés afin de leur donner l’occasion de cerner les problèmes et d’y remédier avant de commencer la mission d’audit. Certaines mesures correctives pourraient exiger la refonte des processus et la documentation des éléments probants attestant de l’existence et du bon fonctionnement des contrôles.
Il est question ici d’une responsabilité qui incombe à vos clients ou aux entités utilisatrices. Ceux-ci sont tenus de mettre en œuvre des contrôles de leur côté pour ’atteindre l’objectif de contrôle global. La gestion de l’accès des clients aux systèmes d’information constitue un bon exemple de contrôle complémentaire d’une entité utilisatrice. Lorsque les clients ont accès à vos systèmes d’application, des contrôles doivent être mis en place pour limiter l’accès aux membres du personnel autorisés et à le retirer aux employés qui ne travaillent plus au sein de l’entreprise.
En procédant de la sorte, vous pourrez communiquer à vos clients et aux entités utilisatrices les considérations et les attentes relatives aux contrôles afin qu’ils assument leurs responsabilités à cet égard (p. ex., il incombe aux clients et aux utilisateurs de veiller à ce que leurs points d’accès soient protégés contre les virus et les logiciels malveillants). De concert avec votre associé en audit, déterminez l’information qui doit être incluse au titre des contrôles complémentaires de l’entité utilisatrice.
La plupart des entités s’appuient sur des sociétés de services complémentaires pour offrir certains de leurs services et apporter un soutien en coulisse à leurs clients et aux entités utilisatrices. Par exemple, il pourrait s’agir pour une société de services complémentaires de permettre à un fournisseur de services infonuagiques d’utiliser son centre de données ou de fournir un service géré d’hébergement de données partagé. Ces éléments doivent être pris en compte et clairement établis à l’étape de la planification.
Il est possible d’élargir l’étendue des rapports SOC 2 pour y inclure des informations supplémentaires propres aux exigences uniques de l’utilisateur, entre autres celles liées au référentiel de la Health Information Trust Alliance, à la norme ISO 2700 et à la norme du National Institute for Standards and Technology. Lorsque planifiée comme il se doit, cette méthode d’audit réduit les coûts associés à la conformité et demande un effort moindre grâce à la simplification des tests des contrôles et au regroupement des rapports de certification en un seul rapport.
Nous pouvons vous aider
Il vous faut un partenaire spécialisé dans le domaine de la conformité en matière de SOC pour travailler en étroite collaboration avec vous tout en personnalisant son approche de façon à répondre à vos besoins et à vos exigences opérationnelles uniques. Il est essentiel de concevoir une solution qui répond aux besoins et aux ressources de l’entité, notamment une solution qui tire parti des modèles et de l’expertise actuels pour accélérer le processus, qui cible les problèmes potentiels à l’étape de la planification et qui comprend les attentes des utilisateurs finaux.
Communiquez avec nous dès aujourd’hui pour obtenir une évaluation préliminaire de vos exigences opérationnelles et ainsi trouver le rapport SOC le mieux adapté à vos besoins.