Nous savons d’expérience qu’il peut être difficile de respecter les diverses exigences en matière de conformité, surtout si l’on ne sait pas comment s’y prendre. C’est pour cette raison que nos conseillers sont bien outillés pour vous accompagner dans votre mise en conformité, où que vous en soyez dans le processus, et vous aider à mieux concevoir votre approche en matière de rapports produits par des tiers. Communiquez avec nous pour savoir comment nous pouvons être utiles à votre entreprise.
Publié le : 22 septembre 2022
Mis à jour le : 29 novembre 2023
En tant que société de services, vous avez fort probablement vu changer votre exposition au risque ces dernières années. Les entreprises ont dû s’adapter au télétravail et aux défis découlant des nouveaux protocoles de cybersécurité.
Dans un monde où les cybermenaces évoluent constamment, les clients et les partenaires veulent s’assurer que la cybersécurité et la protection des renseignements personnels sont une priorité pour les entreprises avec lesquelles ils travaillent. C’est la raison pour laquelle l’amélioration de votre rapport SOC 2 ainsi que la mise à jour de la gouvernance des TI et du processus d’évaluation des risques de votre entreprise sont essentielles. Ce faisant, vous démontrez votre engagement à protéger les données, à atténuer les risques et à demeurer au fait des tendances du secteur, des changements qui s’y opèrent ainsi que des attentes de vos clients.
En améliorant votre rapport SOC 2, vous suscitez la confiance. Celle-ci a une incidence directe sur vos résultats financiers et peut vous donner une longueur d’avance par rapport à vos compétiteurs lorsque vient le moment de conclure de nouvelles affaires.
Du rapport SOC 2 au rapport SOC 2+
Mis au point par l’American Institute of Certified Public Accountants (« AICPA »), les SOC (service organization controls, ou « contrôles d’une société de services ») renvoient à une plateforme de production de rapports qui fournissent des renseignements essentiels ainsi qu’une assurance aux parties prenantes internes et externes au moyen d’une confiance et d’une transparence accrues.
La plupart des entreprises connaissent bien les SOC 2, qui constituent une exigence de sécurité minimale pour les sociétés de services et pour toute entreprise traitant ou conservant des données de clients au moyen des technologiques infonuagiques. Ils ciblent la sécurité et la protection des données des clients et sont fondés sur cinq catégories communément appelées « critères des services Trust » :
- Sécurité – Les systèmes sont protégés contre tout accès non autorisé (accès logique autant que physique);
- Disponibilité – Le système peut être utilisé et exploité comme convenu;
Intégrité du traitement – Le traitement par le système est exhaustif, exact, rapide et autorisé;
Confidentialité – Les renseignements jugés confidentiels sont protégés comme convenu;
Protection des renseignements personnels – Les renseignements personnels sont recueillis, utilisés, conservés, communiqués et éliminés conformément aux engagements pris dans l’énoncé de confidentialité de l’entité et aux critères énoncés dans les principes généralement reconnus de protection des renseignements personnels publiés par l’AICPA et CPA Canada.
Toutefois, de nombreuses entreprises méconnaissent la solution bonifiée SOC 2+, qui fournit une assurance en matière de conformité au-delà des cinq critères des services Trust. Cette solution comprend les cadres sectoriels du National Institute of Standards and Technology (« NIST »), de l’Organisation internationale de normalisation (« ISO »), de la Health Information Trust Alliance (« HITRUST ») et de la Cloud Security Alliance (« CSA »), pour ne nommer que ceux-là.
Les rapports SOC 2+ fournissent également une assurance qui va au-delà des critères des services Trust.
Les raisons pour lesquelles un rapport d’audit SOC 2+ est crucial pour votre entreprise
Les demandes et les exigences en matière de rapports SOC 2+ sont en hausse, principalement en raison de la généralisation du télétravail, de l’augmentation importante de l’impartition et du nombre croissant d’entreprises, en particulier dans les secteurs de la technologie et des technologies financières, qui ajoutent des conditions liées aux rapports SOC 2+ directement dans leurs contrats d’impartition.
En passant d’un rapport SOC 2 à un rapport SOC 2+, vous répondez simultanément à un large éventail d’exigences réglementaires et de contrôle du secteur et vous maintenez un avantage concurrentiel.
Parmi les autres avantages se trouvent les suivants :
- Favoriser et améliorer la rétention de la clientèle;
- Renforcer l’efficacité des processus internes;
Réduire le nombre de ressources requises pour la surveillance par des tiers;
Éviter les coûteuses atteintes à la protection des données ou les amendes en cas de non-conformité.
Que vous soyez un fournisseur de soins de santé, de services infonuagiques, de technologies liées aux services financiers ou encore de services d’hébergement de centres de données, l’obtention d’un rapport SOC 2+ est la voie de l’avenir.
Une conformité sur mesure
Dans certains cas, il est possible d’optimiser les rapports SOC 2 au moyen d’ajouts personnalisés reposant sur les besoins uniques de vos clients. Récemment, nous avons aidé un important fournisseur de services de facturation de l’énergie à se conformer aux SOC 2 et à la norme l’ISO 27001 afin d’offrir à ses clients un degré d’assurance supplémentaire.
Alors qu’un rapport SOC 2+ propose la mise en œuvre à grande échelle de plusieurs cadres, les critères des services Trust SOC 2 et les critères de la norme ISO 27001 se chevauchent de façon importante. Cette situation permet au client de réaliser des gains d’efficacité en matière de production de rapports et de réduire les coûts en établissant la correspondance entre les critères des services Trust et ce cadre de conformité.
Puisqu’il s’agissait du premier audit de notre client, nous avons procédé à une évaluation préliminaire des lacunes et fourni une feuille de route des principaux aspects à améliorer en matière de conformité avant l’audit officiel.
Cette approche a contribué à la réussite de l’audit, lequel attestait que l’entreprise avait établi des procédures de sécurité de qualité professionnelle en ce qui a trait à la gestion des données des clients.
La norme ISO/IEC 27001:2022 précise les exigences relatives à l’établissement, à la mise en œuvre, au maintien et à l’amélioration continue d’un système de gestion de la sécurité de l’information au sein de l’entreprise.
HITRUST fournit des normes pour toutes les étapes de la transmission et du stockage de l’information sur les soins de santé afin d’assurer l’intégrité et la confidentialité.
Le cadre du NIST est axé sur l’amélioration de la cybersécurité des infrastructures essentielles.
La Cloud controls matrix (« CCM ») est conçue expressément pour poser des principes de sécurité fondamentaux servant à guider les fournisseurs de services infonuagiques et à permettre aux clients potentiels des services infonuagiques d’évaluer le risque de sécurité global d’un fournisseur de ces services.
Évaluations de la cybersécurité et soutien à la mise en œuvre de la norme ISO27001
BDO fournit également des évaluations de la cybersécurité et du soutien à la mise en œuvre d’un système de gestion de la sécurité de l’information selon la norme ISO 27001 pour épauler ses clients dans leur démarche de certification.
Les entreprises de toutes les tailles et de tous les secteurs sont exposées à des menaces à la cybersécurité. Les organismes de réglementation, les associations sectorielles et le gouvernement fédéral passent à l’action en publiant des lignes directrices sur la certification et des obligations réglementaires concernant les programmes de cybersécurité internes.
Face aux préoccupations grandissantes des parties prenantes, les entreprises doivent prouver qu’elles ont mis en place des contrôles adéquats. Les entreprises doivent détecter et atténuer les cyberatteintes susceptibles de perturber les activités commerciales, de nuire à leur image de marque et de causer des pertes financières importantes.
Par l’entremise d’une évaluation complète des cybermenaces, la direction d’une entreprise peut comprendre l’état actuel de son programme de cybersécurité, cerner les lacunes et les risques éventuels et, enfin, mettre en œuvre un cadre pratique en matière de cybersécurité.
Une évaluation des risques se penchera sur les éléments suivants :
- Sécurité des applications;
- Protection des données;
Gestion des identités et des accès;
Gestion de l’infrastructure;
Gestion des fournisseurs;
Gestion des événements;
Formation de sensibilisation à la sécurité.
BDO intègre des composantes des principaux cadres de cybersécurité, dont le NIST, l’ISO, l’AICPA et HITRUST et s’appuie sur des directives réglementaires et juridiques afin d’optimiser l’atténuation des risques. Cette stratégie aboutit à un programme complet qui renforce l’harmonisation à l’échelle de l’entreprise :
Rassembler les politiques, les normes, les procédures, les schémas d’infrastructure et de réseau, les évaluations antérieures et les rapports d’audit pertinents. Mener des entrevues pour recueillir des renseignements utiles à l’étape de l’analyse;
Examiner les données recueillies et les évaluer par rapport aux exigences du NIST ou de l’ISO 27001 afin de vérifier la conformité et de déceler les facteurs de vulnérabilité. Lorsqu’un facteur de vulnérabilité est repéré, le degré de risque est déterminé et les menaces éventuelles sont recensées. Les lacunes et les vulnérabilités seront examinées en détail et validées au cours de l’étape d’évaluation;
Confirmer l’existence des vulnérabilités recensées et déterminer la cote de risque. Fournir un rapport détaillé sur les risques décrivant les éléments évalués de même que leurs forces et faiblesses. Les faiblesses relevées sont décrites en détail et sont accompagnées de recommandations de mesures correctives pour se conformer aux règlements et aux normes.