Audits SOC
Qu'est-ce qu'un audit SOC ?
Un rapport d'audit SOC 2 (Service Organization Control) fournit des informations détaillées et des assurances sur les contrôles de sécurité, de disponibilité, d'intégrité du traitement et de confidentialité d'une organisation de services, selon sa conformité avec le TSC (Trust Services Criteria) de l'AICPA (American Institute of Certified Public Accountants).
Les audits SOC 2 constituent un élément important de la surveillance réglementaire, des programmes de gestion des fournisseurs, de la gouvernance interne et de la gestion des risques.
Qu'est-ce que le TSC d'AICPA ?
Le TSC est une norme d’assurance tierce reconnue par le secteur pour les organisations de services d’audit telles que les fournisseurs de services dans le Cloud, les fournisseurs et développeurs de logiciels, les sociétés de marketing web et les sociétés de services financiers.
Ils sont classés en cinq catégories de services de confiance et sont alignés sur les 17 principes énoncés dans l'Internal Control – Integrated Framework du COSO (Committee of Sponsoring Organizations of the Treadway Commission) de 2013 .
Outre les 17 principes COSO, le TSC contient des critères qui complètent le principe COSO 12 ( « l'entité déploie des activités de contrôle par le biais de politiques établissant ce qui est attendu et de procédures mettant en œuvre les politiques » ).
Ceux-ci sont divisés en quatre catégories :
- Contrôles d'accès logiques et physiques
- Fonctionnement du système
- Gestion du changement
- Atténuation des risques
Certaines d'entre elles s'appliquent aux cinq catégories de services de confiance.
Catégories de services de confiance
Les organisations de services doivent sélectionner les cinq catégories de services de confiance requises pour atténuer les principaux risques pour le service ou le système qu'elles fournissent :
-
Sécurité (également connu sous le nom de « critères communs »)
« Les informations et les systèmes sont protégés contre les accès non autorisés, la divulgation non autorisée d'informations et les dommages aux systèmes susceptibles de compromettre la disponibilité, l'intégrité, la confidentialité et la confidentialité des informations ou des systèmes et d'affecter la capacité de l'entité à atteindre ses objectifs. »
C’est la seule catégorie de services de confiance obligatoire.
-
Disponibilité
« Le système est disponible pour les opérations et son utilisation est effective. »
-
Intégritédu traitement
« Les traitements sont complets, exacts, opportuns et autorisés. »
-
Confidentialité
« L’information identifiée comme confidentielle est protégée. »
-
Protection des données ou "Privacy"
« Les données sont collectées, utilisées, maintenues, divulguées et supprimées selon les objectifs de l'entité. »
Consultez tous les critères ici >>
Cadres alignés sur le TSC
Les TSC sont étroitement alignés sur les normes et cadres suivants :
Que contient un rapport d'audit SOC 2 ?
Un rapport d’audit SOC 2 est conçu pour fournir aux clients des organisations de services, à la direction et aux utilisateurs des assurances quant à la pertinence et à l’efficacité des contrôles de l’organisation de services qui se rapportent à la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et / ou la confidentialité. Le rapport est généralement à usage restreint pour les clients existants ou potentiels.
Il existe deux types d'audits et de rapports SOC :
- Type 1 – audit et rapport effectués à une date spécifiée.
- Type 2 – audit et rapport effectués sur une période donnée, généralement au moins six mois.
Un rapport d'audit SOC 2 comprend:
- Une lettre d'opinion ;
- Affirmation de la direction ;
- Une description détaillée du système ou du service ;
- Détails des catégories de services de confiance sélectionnées ;
- Tests de contrôles et résultats des tests ; et
- Informations supplémentaires facultatives.
Il précise également si l'organisation de service est conforme au TSC de l'AICPA.
A qui sont destinés les audits SOC 2 ?
Les audits SOC 2 s'adressent aux entreprises qui fournissent des services et des systèmes aux entreprises clientes (par exemple, Cloud computing, Logiciel en tant que service, Plate-forme en tant que service).
La société cliente peut demander à l’organisme de services de fournir un rapport d’audit, en particulier si des données confidentielles ou privées lui sont confiées.
Si votre entreprise fournit des services cloud, un rapport d'audit SOC 2 contribuera grandement à établir la confiance avec les clients et les parties prenantes. Un audit SOC 2 est souvent une condition préalable pour que les organisations de services établissent des partenariats ou fournissent des services aux organisations de niveau 1 de la chaîne d'approvisionnement.
Qui peut effectuer un audit SOC ?
Un audit SOC ne peut être effectué que par un expert-comptable (Certified Public Accountant) ou un expert-comptable indépendant.
Les auditeurs SOC sont régis par l'AICPA et doivent adhérer à des normes professionnelles spécifiques établies par cette dernière. Ils sont également tenus de suivre les directives spécifiques relatives à la planification, à l'exécution et à la supervision des procédures d'audit. Les membres de l’AICPA doivent également se soumettre à un examen par leurs pairs pour s’assurer que leurs audits sont menés conformément aux normes d’audit reconnues.
Les organisations de CPA peuvent employer des professionnels non-CPA possédant des compétences pertinentes en matière de sécurité et de technologie de l'information pour participer à la préparation d'un audit SOC, mais le rapport final doit être fourni et publié par une CPA. Un audit SOC réussi effectué par un CPA permet à l’organisation de services d’utiliser le logo AICPA sur son site web.
Nous sommes en mesure d'aider toute organisation à se préparer à un audit SOC 2.
1. Évaluation du niveau de préparation
Nous évaluons votre niveau de préparation SOC 2 en évaluant le type de service que vous proposez, les catégories de services de confiance applicables à ce service et les contrôles de sécurité pertinents pour la prestation du service. Nous examinerons et analyserons entre autres vos processus et procédures, les fichiers de configuration des paramètres système, les captures d'écran, les mémos signés et la structure organisationnelle.
2. Remédiation
Une fois les faiblesses identifiées, IT Governance peut vous aider à les corriger. Nous pouvons vous aider avec la portée de l'audit, la compilation de la description du système ou du service, l'évaluation des risques, la sélection du contrôle, la définition des mesures et des mesures d'efficacité du contrôle ou l'intégration de vos exigences SOC 2 dans votre système de gestion de la sécurité de l'information (ISMS) conforme à la norme ISO 27001.
3. Tests et rapports
IT Governance a établi un partenariat avec CyberGuard, une organisation d'audit CPA basée aux États-Unis et enregistrée auprès des organismes de certification agréés AICPA et PCAOB (Public Company Accounting Oversight Board), qui effectuera les tests et les rapports requis.
IT Governance peut contribuer à l’ensemble du processus d’audit SOC, depuis l’évaluation du niveau de préparation aux conseils en matière de mesures de correction nécessaires, en passant par les tests et la création de rapports, en vertu du partenariat avec CyberGuard.
Nous facilitons le processus d'audit et mettons le client en contact avec nos partenaires, qui peuvent effectuer l'audit à une fraction des coûts demandés par les quatre grands cabinets comptables.
Le processus d'audit SOC implique :
- Examiner l'étendue de l'audit ;
- Élaborer un plan de projet ;
- Tester les contrôles pour l'efficacité de la conception et / ou du fonctionnement ;
- Documenter les résultats ; et
- Fournir et communiquer le rapport du client.
En savoir plus
Pourquoi choisir IT Governance ?
IT Governance se spécialise dans les domaines de la gouvernance informatique, de la gestion des risques, de la conformité et des services de conseil, avec un accent particulier sur la cyber-résilience, la protection des données, la cybersécurité et la continuité des activités.
Dans un environnement commercial de plus en plus punitif et axé sur la confidentialité, nous nous engageons à aider les organisations à se protéger et à protéger leurs clients contre une liste de cybermenaces en constante évolution. Notre profonde expertise du secteur et notre approche pragmatique aident nos clients à améliorer leurs défenses et à prendre des décisions stratégiques clés qui bénéficient à toute l’organisation.
IT Governance est reconnue dans les cadres suivants :
- CREST certifié comme testeur de sécurité éthique.
- Certifié selon Cyber Essentials Plus, le système de certification de cybersécurité soutenu par le gouvernement britannique.
- Certifié ISO 27001: 2013, la norme de cybersécurité la plus reconnue au monde.
Discuter avec un expert
Quelle que soit la nature ou la taille de votre problème, nous sommes là pour vous aider.