Comment utiliser les rapports SOC 2 des vendeurs et des fournisseurs ?
Les rapports SOC 2 peuvent simplifier votre programme de gestion des risques liés aux tiers. Voici 7 FAQ pour vous aider à démarrer !
Par :
Thomas Humphreys
,
Prevalent Expert en conformité
10 avril 2024
Partager :
Qu'est-ce qu'un rapport SOC, et comment est-il utilisé ?
Les contrôles des systèmes et de l'organisation(SOC) sont un ensemble de normes de contrôle informatique élaborées par l'American Institute of Certified Public Accountants (AICPA). Les auditeurs certifiés effectuent des audits SOC et utilisent les rapports pour démontrer la mise en œuvre de contrôles informatiques qui sécurisent les systèmes et les informations d'une entreprise.
Les audits SOC sont conçus pour évaluer les contrôles dans cinq domaines clés, appelés critères de services de confiance:
Sécurité
Confidentialité
Intégrité du traitement
Disponibilité
Vie privée
Les rapports SOC fournissent des évaluations détaillées des opérations et des systèmes d'une organisation et de leur efficacité. Il existe deux types de rapports SOC :
Rapports SOC 2 de type 1
Les rapports de type 1 examinent la conception des contrôles de sécurité, y compris les procédures et les processus. Les audits de type 1 sont menés à un moment unique dans le temps.
Rapports SOC 2 de type 2
Les rapports de type 2 examinent l'efficacité opérationnelle des contrôles identifiés dans les rapports de type 1. Les audits de type 2 examinent les contrôles en profondeur et sont menés par des auditeurs sur une période plus longue - parfois jusqu'à six mois.
Bien que les rapports SOC 2 puissent se présenter différemment selon l'auditeur qui effectue l'évaluation, ils comprennent généralement les domaines suivants destinés à identifier la portée de l'évaluation et les non-conformités, connues sous le nom d'exceptions de contrôle.
Résumé de la direction ou de l'auditeur : comprend une vue d'ensemble des résultats de l'audit, la manière dont l'auditeur a mené l'audit, et un certain niveau d'orientation indiquant si les conclusions sont plus ou moins pertinentes.
Vue d'ensemble des opérations, des processus et des systèmes de l'organisation : Examen de l'organisation et de ses objectifs d'audit.
Portée du rapport : Examine les cinq critères de services de confiance et les contrôles correspondants dans le cadre de l'audit. Parfois, les organisations choisissent de ne se concentrer que sur un ou deux critères de services de confiance au lieu des cinq, en particulier si certains des critères ne s'appliquent pas à elles.
Activités de contrôle et évaluation de l'auditeur : Permet de plonger dans la liste détaillée des contrôles, y compris les tests effectués et leurs résultats.
Réponse de la direction : Note les exceptions et fournit une réponse détaillant comment l'organisation prévoit de gérer les exceptions.
La boîte à outils TPRM SOC 2
Accédez instantanément à 4 ressources essentielles, dont un livre électronique de référence rapide, deux webinaires à la demande et une liste de contrôle de la conformité SOC 2 !
Qu'est-ce qui est inclus dans les critères des services fiduciaires ?
Dans un rapport SOC 2, le critère des services de confiance en matière de sécurité est toujours applicable, mais la plupart des rapports SOC 2 ne comprennent qu'un ou deux critères supplémentaires.
Sécurité : Contrôles visant à protéger contre les accès non autorisés, la divulgation d'informations et les dommages aux systèmes. Cherche à comprendre si l'entreprise a mis en place un cadre de sécurité et des contrôles sur l'accès logique et physique.
Confidentialité : Contrôles pour identifier, gérer et éliminer/détruire les informations confidentielles (pas les informations personnelles).
Intégrité du traitement : Contrôles visant à garantir l'exactitude, la rapidité et la validité du traitement du système.
Disponibilité : Contrôles visant à garantir que les informations et les systèmes sont disponibles et accessibles à tout moment.
Confidentialité : Contrôles visant à protéger les informations personnelles identifiables (PII).
Pourquoi utiliser un rapport SOC 2 ?
Les entreprises utilisent les rapports SOC 2 lorsqu'elles :
ne souhaitent pas ou ne sont pas en mesure de réaliser eux-mêmes des évaluations complètes des contrôles informatiques, par exemple pour NIST ou ISO, mais doivent néanmoins démontrer l'efficacité des contrôles
Utiliser une norme qui est bien comprise et complète
Avoir la possibilité de se concentrer sur un ensemble complet de contrôles ou seulement sur un sous-ensemble.
Comment interpréter les risques dans un rapport SOC 2 ?
Dans un rapport SOC 2 type, les risques sont identifiés comme des "résultats de tests". Un tableau d'exceptions SOC 2 typique ressemble à ceci :
Le numéro de contrôle est un code permettant de suivre chaque contrôle tout au long de son cycle de vie.
Les critères sont des descriptions des contrôles tels que testés.
L'activité de contrôle explique comment l'entreprise traite actuellement ce contrôle.
Le test d'efficacité opérationnelle explique comment l'auditeur a inspecté le contrôle et quelles procédures ont été suivies.
Les résultats des tests précisent s'il y a eu une exception et quel était l'écart.
Il n'y a pas de classement des risques dans un rapport SOC 2, comme des indicateurs rouge/ambre/vert de défaillance des risques. C'est là qu'une plateforme tierce de gestion des risques peut être utile !
Comment cartographier les exceptions de contrôle SOC 2 afin de pouvoir gérer de manière centralisée les risques associés ?
Il peut être difficile de traduire les exceptions aux contrôles SOC 2 ou les résultats des tests en risques si l'on ne dispose pas d'un moyen de suivre de manière centralisée les risques liés aux tiers.
Nous recommandons d'appliquer une méthodologie "probabilité et impact" pour attribuer des notes de risque à toutes les exceptions identifiées.
La probabilité estime la probabilité que la défaillance du contrôle d'un tiers ait un impact sur les opérations de votre organisation.
L'impact estime le niveau de perturbation qu'une défaillance du contrôle aurait sur les opérations de votre organisation.
En utilisant une simple échelle de 0 à 5, où 0 signifie une probabilité ou un impact nul et 5 une probabilité ou un impact élevé, vous pouvez créer une carte thermique pour évaluer et classer rapidement les risques.
Une fois que les risques sont classés dans la carte thermique, vous pouvez définir la propriété du risque, attribuer des tâches et vous engager avec le tiers pour le traitement du risque et la remédiation.*
*N'oubliez pas que le tiers peut avoir déjà répondu aux conclusions dans la section Réponse de la direction du rapport SOC 2.
Comment pouvez-vous simplifier le processus de suivi et de correction des risques SOC 2 ?
Commencez par élaborer un cahier des charges pour remédier aux exceptions SOC 2 en vous basant sur :
Exigences minimales/obligatoires : Identifiez ce qui est absolument requis des tiers. S'il y a une exception dans un domaine, le tiers est obligé d'y remédier.
Meilleures pratiques : Incorporez les attentes de votre entreprise quant à la manière dont un risque ou une exception de contrôle doit être corrigé en fonction des meilleures pratiques du secteur.
Délais : Fixez des échéances en fonction de la gravité des risques.
Décisions ou actions résultantes : Définissez ce qu'il advient des risques assainis. Allez-vous accepter la correction et abaisser le score de risque en fonction de l'appétit de votre entreprise pour le risque, ou allez-vous fermer le risque sans autre action requise ?
Énoncez clairement l'exigence. Si vous attendez des preuves supplémentaires, précisez quand vous en avez besoin. Confirmez également si vous avez besoin d'une surveillance continue ou de mesures correctives.
Exploitez les registres de risques existants pour faire correspondre ces exceptions de contrôle à ce que vous avez déjà. Cette approche vous aide à recouper les résultats pour les rapports de conformité avec d'autres cadres.
La gestion des risques liés aux tiers - qu'ils aient été découverts ou non par le biais d'un rapport SOC 2 - est impossible sans une plateforme centrale qui automatise l'identification, l'évaluation, le triage, la surveillance et la remédiation des risques. C'est là que Prevalent peut vous aider !
Démarrer avec la gestion des risques liés aux tiers SOC 2
Prevalent peut aider à simplifier la gestion des risques de tiers SOC 2 en utilisant des solutions et des professionnels ayant une expertise en matière de conformité SOC 2. Prevalent Le service d'analyse des exceptions de SOC 2:
Examine un rapport SOC 2 complet soumis par votre fournisseur au lieu d'une évaluation. Cela permet à votre équipe de gagner du temps et de ne pas avoir à examiner le long rapport de l'auditeur pour chaque fournisseur.
Mène un bref entretien contextuel pour comprendre les besoins du propriétaire de l'entreprise en ce qui concerne le rapport SOC 2 soumis par le vendeur.
Résume les principales conclusions et recommandations basées sur l'étendue du service, le rapport SOC 2 et chaque domaine dans un format cohérent et facile à consulter. Cela permet à votre équipe d'avoir les bons conseils au bon moment de la part d'experts en sécurité informatique et en gestion des risques.
Identifie tout critère de contrôle manquant considéré comme approprié. Dans le cadre de l'analyse des exceptions, nos experts identifient les contrôles qui devraient être inclus dans le rapport SOC 2 et qui ne le sont pas actuellement. Cela vous aidera à combler les lacunes en matière de contrôle.
Il donne des conseils sur l'adéquation du SOC 2 et oriente les mesures correctives à prendre. Les conseils en matière de remédiation et d'adéquation améliorent la sécurité et aident à se protéger contre les risques liés à la sécurité des tiers.
La mise en correspondance des critères de contrôle SOC 2 avec SIG Lite ou le Prevalent Compliance Framework (PCF), afin de permettre à votre équipe de gestion des risques fournisseurs d'adopter une approche cohérente de l'évaluation des risques de sécurité liés à la collaboration avec le fournisseur.
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.