Combiner ISO 27 001 et SOC 2 sans effort

 

Vous souhaitez améliorer le management de la sécurité de votre système d’information et parmi les normes et les certifications existantes vous hésitez entre l’ISO 27 001 ou le rapport SOC 2 de l’AICPA qui sont les principaux référentiels en matière de contrôle du SMSI.

Quels sont les avantages d’une mise en conformité selon l’une ou l’autre de ces normes et pourquoi combiner les deux peut s’avérer intéressant pour votre entreprise ?

Si vous souhaitez y voir plus clair, cet article devrait vous aider.

Restez bien accroché, nous vous offrons une matrice comparative en fin d’article. Cette matrice vous aidera à juxtaposer les exigences des deux référentiels vous facilitant ainsi la mise en œuvre d’un projet de conformité SOC 2 si votre SMSI est déjà conforme à ISO 27 001 et vice et versa, si vous souhaitez vous lancer dans cette aventure.

Scope of the frameworks SOC 2 and ISO 27

Les principaux points de comparaison

 

Périmètre des référentiels

SOC 2 et ISO 27 001 couvrent en très grande partie les mêmes sujets, c’est-à-dire les contrôles de sécurité des processus et des technologies et les politiques destinées à protéger les informations sensibles.

Selon les études spécifiques, les deux référentiels partagent entre 83 et 96% de similitudes. La différence essentielle entre ces deux cadres c’est la manière dont sont déterminés les contrôles de sécurité à mettre en œuvre.

En effet, pour les deux référentiels, il appartient à chaque organisme d’établir sa déclaration d’applicabilité et donc de choisir les contrôles à mettre en œuvre en fonction du périmètre et du résultats d’une analyse de risque préliminaire. Mais c’est le caractère contraignant des contrôles qui diffère légèrement selon l’un ou l’autre des référentiels (on parle d’exigences pour ISO et de critères pour SOC 2).

 

 

Quelles sont les caractéristiques d’ISO 27 001 comparées à celles de SOC 2?

L’ISO est une méthode globale de gestion des pratiques de sécurisation des informations qui se concentre sur le développement et la maintenance d'un SMSI (système de management de la sécurité de l'information).

Pour atteindre la conformité ISO 27 001, vous devrez :

  • effectuer une analyse de risques,

  • identifier et mettre en œuvre des contrôles de sécurité

  • examiner leur efficacité régulièrement

 

Les règles du rapport SOC 2 sont beaucoup plus flexibles. Elles sont définies par l'American Institute of Certified Public Accountants (AICPA) et, à ce titre, le rapport est généralement adopté par les entreprises américaines. SOC 2 valide les contrôles internes liés aux systèmes d'information impliqués dans les services fournis par l’organisme qui rédige le rapport, sur la base de cinq catégories semi-superposées appelées Trust Service Criteria (TSC), anciennement Trust Service Principles.

Ces cinq catégories sont la sécurité, la disponibilité, l’intégrité, la confidentialité et protection des données personnelles (privacy), mais seule la première d'entre elles, c’est-à-dire la sécurité, est obligatoire.

Le rapport SOC 2 est généralement transmis aux clients ou aux prospects (sous réserve de la signature d’un accord de confidentialité) ce qui en fait un véritable outil marketing et un atout concurrentiel certain surtout lorsqu’il s’agit d’adresser le marché américain!

 

Si le degré de maturité de votre SMSI est moindre, vous pouvez très bien envisager de commencer votre programme de compliance avec le seul TSC Sécurité, aussi connu sous le nom de « Critères Commun » (Common Criteria). Cette approche facilitera votre démarche conformité tout en vous mettant sur les bons rails. Vous pourrez plus tard mettre en œuvre des contrôles internes liés aux autres TSC mais ce n’est pas nécessaire pour obtenir le rapport final.

 

 

Comment obtenir la certification et le rapport ?

 

L’audit

Vous souhaitez certifié votre SMSI selon ISO 27 001 ou obtenir une attestation de l’auditeur selon SOC 2? Il vous faudra dans les deux cas réaliser un audit externe.

La principale différence dans le processus d’audit est la qualité de l’auditeur. Un organisme de certification accrédité est nécessaire pour obtenir la certification ISO 27 001. Pour ce qui est de l’attestation SOC 2, elle peut uniquement être émise par un CPA (Certified Public Accountant) agréé. En Europe, la plupart des auditeurs agréés pour SOC 2 sont également compétents pour réaliser un audit ISO 27 001. D’ailleurs, de nombreux cabinets d’audit vous proposent de réaliser l’audit ISO 27 001 et SOC 2 simultanément, ce qui peut s’avérer intéressant pour mutualiser les coûts (compter environ 30% de frais en moins pour une mise en conformité simultanée plutôt que deux projets successifs. Il s’agit bien sûr d’une moyenne).

 

Timeline

Mener les deux projets parallèlement vous fera nécessairement économiser votre temps puisque le processus de certification, en trois étapes, est le même pour ISO 27 001 et SOC 2.

 

  • Dans les deux cas, vous devrez commencer par effectuer une analyse des écarts pour identifier les domaines des référentiels avec lesquels votre SMSI est déjà conforme et les domaines pour lesquels vous devez apporter des améliorations. La matrice que nous vous proposons vous permettra de visualiser les exigences qui se chevauchent et vous facilitera le travail. Pour ISO 27 001 comme pour SOC 2, vous devrez définir vos objectifs de sécurité et les périmètres qui seront couverts par la certification ou le rapport.

 

  • Vient ensuite la déclaration d’applicabilité, c’est-à-dire l’identification des contrôles de sécurité appropriés et les mesures nécessaires à mettre en œuvre. Une partie du procédé particulièrement chronophage consiste à formaliser vos processus et vos pratiques en vue de les améliorer, c’est la conception des contrôles. En d’autres termes, c’est à cette étape que vous créerez votre référentiel documentaire : politiques, procédures, guidelines, modes opératoires, etc.

  • Enfin, vous pouvez choisir de réaliser un audit blanc, soit en interne, soit externe (nous vous recommandons cette deuxième option si vous en avez les moyens, il est en effet difficile d’être juge et partie).

 

 

Combien de temps faut-il pour obtenir la certification?

Plusieurs facteurs vont jouer sur la durée du processus de mise en conformité:

  • l'écart de sécurité que vous avez initialement constaté,

  • la complexité de vos processus,

  • le degré de maturité de votre système de management de la sécurité de l’information

  • vos ressources (internes et externes)

Comptez entre 9 et 12 mois dans la plupart des cas.

 

Ce qu’il faut en retenir :

SOC 2 versus ISO 27 001

Le référentiel SOC 2 est plus facile, plus rapide et donc moins coûteux à mettre en place et à maintenir qu'ISO 27 001, mais il est également moins rigoureux et moins répandu que la norme ISO 27 001. En outre, le rapport SOC 2 n’implique pas les concepts de «réussite ou échec» mais seulement l’avis de l’auditeur sur l’adéquation des contrôles que vous aurez mis en place. Enfin, SOC 2 n’est pas une « certification » contrairement à ISO 27 001.

 

Aussi, généralement, répondre aux exigences SOC 2 est extrêmement simplifié si le SMSI est déjà certifié ISO 27 001, même s’il existe quelques exceptions.

 

Dans quels cas doubler votre référentiel de conformité?

Les cas où doubler votre référentiel de conformité peut être intéressant sont les suivants :

  • Le degré de maturité des processus de sécurité de votre système d’information ne vous permet pas, dans un premier temps, d’être certifié ISO 27 001. Vous pouvez alors commencer votre programme de mise en conformité avec un rapport SOC 2 axé sur la sécurité, avant de vous aventurer vers une démarche ISO 27 001, qui en sera facilitée.

  • Vous entreprenez un processus de certification ISO 27 001 (dont la durée peut être longue) et vous souhaitez disposer d’un « atout conformité » à faire valoir auprès de vos prospects et de clients à mi-parcours.

  • Vous êtes certifiés ISO 27 001 et vous souhaitez adresser le marché nord américain et plus particulièrement, les secteurs Banque, Finances et Assurances.

 

 

En bref...

Il y a donc deux manières d’envisager votre programme de conformité: fournir un rapport SOC 2 à partir d’un SMSI déjà certifié ISO 27 001, sans effort majeur ou alors démarrer un programme de compliance ISO 27 001 et produire un rapport SOC 2 à mi-parcours.