Certification SOC 2®

ACCOMPAGNEMENT À LA CERTIFICATION PAR ES3I

RAPPORT & CERTIFICATION

 

Confiance

Renforcer la confiance de la clientèle et la transparence de l’organisation 

 

Maturité et positionnement

Renforcer la maturité de l’organisation afin de mieux se positionner sur le marché et vis-à-vis de la concurrence.

 

Amélioration continue

Développer les réflexes d’amélioration continue au sein des équipes.

 

Agilité

Tirer profit et maintenir l’agilité reconnue de l’organisation.

SOC 2® PAR ES3I

Qu’est-ce qu’un rapport et une certification SOC® ?

Service Organization Controls (SOC®) est un cadre de contrôle régi par l’AICPA (American Institute of Certified Public Accountants) soumis à un processus rigoureux annuel d’audits externes visant à obtenir une certification reconnue qui s’adresse aux Fournisseurs de services impliqués dans le traitement et/ou l’hébergement de données de leurs clients.

Les différents rapports SOC®

SOC 1® | SOC 2® | SOC 3®

SOC 1®

Élaborer une opinion sur les contrôles en place chez le Fournisseur de services, en lien avec l’élaboration des états financiers des entreprises faisant appel à celui-ci.

SOC 2®

Élaborer une opinion sur les contrôles en place chez le Fournisseur de services concernant la Sécurité, la Disponibilité, l’Intégrité des traitements, la Confidentialité ou la Protection des données (les Domaines).

Les deux types de SOC 2®:

Type 1 : l’opinion couvre uniquement la conception des contrôles, à un moment précis.

Type 2 : l’opinion couvre une période de temps définie afin de s’assurer de l’efficacité opérationnelle des contrôles dans la durée, de la bonne application ou exécution.

SOC 3®

Semblable au rapport SOC 2®, à ces deux différences près :

L’information présentée dans un rapport SOC 3® est réduite (absence de description des contrôles, des procédures de tests et des résultats de ces tests).

La distribution du rapport SOC 3® n’est pas restreinte ; le contenu peut être partagé publiquement, dans Internet, par exemple.

Pourquoi entreprendre une certification SOC 2®?

L’environnement dans lequel évoluent les Fournisseurs de services est de plus en plus soumis à des exigences strictes de sécurité de la part des clients (lors des appels d’offres, mais aussi face aux enjeux de cybersécurité en hausse) et des différents paliers de gouvernement (orientations gouvernementales provinciales au Québec, par exemple). La certification est hautement reconnue sur le marché par les pairs, et, surtout, par les clients.

ÊTRE CERTIFIÉ SOC 2® TYPE 2, SIGNIFIE :

Mettre au point des procédures et des protocoles pour garantir que les services et les données de vos clients sont sécurisés.

Soumettre ces procédures et protocoles à un audit externe annuel, réalisé par une firme indépendante et compétente.

Inclure ces procédures et protocoles au niveau de l’infrastructure, des personnes et des données.

Diriger | Gérer | Opérer

SOC 2® est-il applicable à votre organisation?

Les rapports SOC 2® s’appliquent lorsqu’une organisation effectue le traitement, la transmission, le stockage, l’organisation, la maintenance ou sous-traite la collecte de ses informations. 

Trust Services Criteria

Les Trust Services Categories du SOC 2®

Il existe 5 Trust Services Categories (en français : Domaines), chacun supporté par des Trust Services Criteria (en français : Critères de confiance) qui doivent être atteints afin que le système soit conçu de manière adéquate.

Sécurité

Le système est protégé contre les accès non autorisés (physiques et logiques).

Disponiblité

Le système est disponible pour les opérations et son utilisation est effective.

Confidentialité

L’information identifiée comme confidentielle est protégée.

Intégrité des traitements

Les traitements sont complets, exacts, opportuns et autorisés.

Protection des données

L’information identifiée comme confidentielle est protégée.La donnée est collectée, utilisée, maintenue, divulguée et supprimée en conformité avec les objectifs de l’entité.

SOC 2® Type 2

L’OFFRE ES3I

 

 

La portée

Définir la portée d’applicabilité de la certification par l’identification des services visés et des Trust Services Categories.

 

Maturité et Trust Services Categories

Évaluer la maturité de l’organisation en lien avec les Trust Services Categories de la portée d’applicabilité en vue de l’obtention de la certification.

 

Les contrôles

Identifier les contrôles liés aux services par la portée d’applicabilité.

 

Rôles et Responsabilités

Définir les rôles et responsabilités impartis au système de contrôles.

 

La maturité

Évaluer la maturité des processus liés à la portée d’applicabilité et rapporter les écarts pour atteindre les objectifs des contrôles.

 

Processus

Collaborer à l’optimisation ou à la conception des processus et autres artefacts requis par les contrôles.

 

Changement

Soutenir l’appropriation au changement.

 

Audit

Réaliser des activités liées à l’audit interne.

 L’offre de ES3i vise à appuyer votre organisation à la préparation de votre système de contrôles afin que vous obteniez la certification liée au rapport SOC2®Type 2.

Cycle Deming

L’approche ES3I

UNE ÉQUIPE D'EXPERTS

Notre approche consiste à articuler les différentes étapes autour du Cycle de Deming, afin de vous appuyer dans l’atteinte de vos objectifs.

PLAN - Établir le système

  • Définir le périmètre à sécuriser
  • Établir une politique de sécurité
  • Identifier et analyser les risques
  • Établir un plan d’action

DO - Implanter et mettre en oeuvre

  • Mettre en œuvre les mesures de sécurité, les programmes de sensibilisation et de formation, le plan de traitement des risques
  • Gérer les ressources
  • Mettre en place le plan d’action

CHECK - Gérer et réviser

  • Contrôler les procédures
  • Vérifier régulièrement la performance du système
  • Évaluer la fiabilité des données
  • Mener des audits internes réguliers

ACT - Maintenir et améliorer

  • Mettre en place des mesures correctives et de préventions appropriées
  • Implanter les améliorations qui ont été identifiées

SOC 2® par ES3I

Pour plus d’information sur notre offre d’accompagnement
ou pour toutes questions

contactez-nous