Confiance
Renforcer la confiance de la clientèle et la transparence de l’organisation
Maturité et positionnement
Renforcer la maturité de l’organisation afin de mieux se positionner sur le marché et vis-à-vis de la concurrence.
Amélioration continue
Développer les réflexes d’amélioration continue au sein des équipes.
Agilité
Tirer profit et maintenir l’agilité reconnue de l’organisation.
SOC 2® PAR ES3I
Qu’est-ce qu’un rapport et une certification SOC® ?
Service Organization Controls (SOC®) est un cadre de contrôle régi par l’AICPA (American Institute of Certified Public Accountants) soumis à un processus rigoureux annuel d’audits externes visant à obtenir une certification reconnue qui s’adresse aux Fournisseurs de services impliqués dans le traitement et/ou l’hébergement de données de leurs clients.
Les différents rapports SOC®
SOC 1® | SOC 2® | SOC 3®
SOC 1®
Élaborer une opinion sur les contrôles en place chez le Fournisseur de services, en lien avec l’élaboration des états financiers des entreprises faisant appel à celui-ci.
SOC 2®
Élaborer une opinion sur les contrôles en place chez le Fournisseur de services concernant la Sécurité, la Disponibilité, l’Intégrité des traitements, la Confidentialité ou la Protection des données (les Domaines).
Les deux types de SOC 2®:
Type 1 : l’opinion couvre uniquement la conception des contrôles, à un moment précis.
Type 2 : l’opinion couvre une période de temps définie afin de s’assurer de l’efficacité opérationnelle des contrôles dans la durée, de la bonne application ou exécution.
SOC 3®
Semblable au rapport SOC 2®, à ces deux différences près :
L’information présentée dans un rapport SOC 3® est réduite (absence de description des contrôles, des procédures de tests et des résultats de ces tests).
La distribution du rapport SOC 3® n’est pas restreinte ; le contenu peut être partagé publiquement, dans Internet, par exemple.
Pourquoi entreprendre une certification SOC 2®?
L’environnement dans lequel évoluent les Fournisseurs de services est de plus en plus soumis à des exigences strictes de sécurité de la part des clients (lors des appels d’offres, mais aussi face aux enjeux de cybersécurité en hausse) et des différents paliers de gouvernement (orientations gouvernementales provinciales au Québec, par exemple). La certification est hautement reconnue sur le marché par les pairs, et, surtout, par les clients.
ÊTRE CERTIFIÉ SOC 2® TYPE 2, SIGNIFIE :
Mettre au point des procédures et des protocoles pour garantir que les services et les données de vos clients sont sécurisés.
Soumettre ces procédures et protocoles à un audit externe annuel, réalisé par une firme indépendante et compétente.
Inclure ces procédures et protocoles au niveau de l’infrastructure, des personnes et des données.
Diriger | Gérer | Opérer
SOC 2® est-il applicable à votre organisation?
Les rapports SOC 2® s’appliquent lorsqu’une organisation effectue le traitement, la transmission, le stockage, l’organisation, la maintenance ou sous-traite la collecte de ses informations.
Trust Services Criteria
Les Trust Services Categories du SOC 2®
Il existe 5 Trust Services Categories (en français : Domaines), chacun supporté par des Trust Services Criteria (en français : Critères de confiance) qui doivent être atteints afin que le système soit conçu de manière adéquate.
Sécurité
Le système est protégé contre les accès non autorisés (physiques et logiques).
Disponiblité
Le système est disponible pour les opérations et son utilisation est effective.
Confidentialité
L’information identifiée comme confidentielle est protégée.
Intégrité des traitements
Les traitements sont complets, exacts, opportuns et autorisés.
Protection des données
L’information identifiée comme confidentielle est protégée.La donnée est collectée, utilisée, maintenue, divulguée et supprimée en conformité avec les objectifs de l’entité.
SOC 2® Type 2
L’OFFRE ES3I
La portée
Définir la portée d’applicabilité de la certification par l’identification des services visés et des Trust Services Categories.
Maturité et Trust Services Categories
Évaluer la maturité de l’organisation en lien avec les Trust Services Categories de la portée d’applicabilité en vue de l’obtention de la certification.
Les contrôles
Identifier les contrôles liés aux services par la portée d’applicabilité.
Rôles et Responsabilités
Définir les rôles et responsabilités impartis au système de contrôles.
La maturité
Évaluer la maturité des processus liés à la portée d’applicabilité et rapporter les écarts pour atteindre les objectifs des contrôles.
Processus
Collaborer à l’optimisation ou à la conception des processus et autres artefacts requis par les contrôles.
Changement
Soutenir l’appropriation au changement.
Audit
Réaliser des activités liées à l’audit interne.
L’offre de ES3i vise à appuyer votre organisation à la préparation de votre système de contrôles afin que vous obteniez la certification liée au rapport SOC2®Type 2.
Cycle Deming
L’approche ES3I
UNE ÉQUIPE D'EXPERTS
Notre approche consiste à articuler les différentes étapes autour du Cycle de Deming, afin de vous appuyer dans l’atteinte de vos objectifs.
PLAN - Établir le système
- Définir le périmètre à sécuriser
- Établir une politique de sécurité
- Identifier et analyser les risques
- Établir un plan d’action
DO - Implanter et mettre en oeuvre
- Mettre en œuvre les mesures de sécurité, les programmes de sensibilisation et de formation, le plan de traitement des risques
- Gérer les ressources
- Mettre en place le plan d’action
CHECK - Gérer et réviser
- Contrôler les procédures
- Vérifier régulièrement la performance du système
- Évaluer la fiabilité des données
- Mener des audits internes réguliers
ACT - Maintenir et améliorer
- Mettre en place des mesures correctives et de préventions appropriées
- Implanter les améliorations qui ont été identifiées
SOC 2® par ES3I