Open in app

Sign in

Write

Sign in

Mastodon

C’est quoi un rapport SOC2?

Patrick Boucher
6 min readJan 10, 2022

Votre entreprise fournit des services à ses clients? et vos clients vous demandent un rapport SOC 2 type 2?

Vos client souhaitent ce rapport pour valider votre conformité en matière de sécurité, rassurer leurs clients ou peut-être qu’ils doivent eux-même respecter des normes liée à la sécurité de l’information.

Un rapport SOC (Service Organization Control) est un examen indépendant des contrôles internes de votre organisme afin de fournir à vos clients ou fournisseurs l’information nécessaire sur vos pratiques afin de gérer les risques de vous avoir comme partenaire.

Attention : Il n’existe pas de certification ou de conformité à SOC. Une fois l’audit terminé, un rapport est émis, celui-ci, les tests effectués par l’auditeur et les résultats de ces tests, ainsi que la description du système ou de ses contrôles.

Dans ce rapport de l’auditeur émettra une opinion sur ces contrôles — C’est cela que souhaitent lire vos partenaires d’affaires.

La section opinion du rapport fournit un compte rendu des contrôles.

  • Non-Qualifié(Unqualified): Signifie que tout semble parfait. Vous répondez bien aux critères.
  • Qualifié (Qualified) : Le contrôle est bon, mais l’auditeur souligne certains points d’amélioration.
  • Avis contraire (adverse) : Désigne que les contrôles doivent être fortement améliorés et qu’ils ne permettent pas de géré les risques associés.
  • Avis défavorable (Disclamer of opinion) : Votre contrôle n’existe pas ou qu’il n’est pas du tout appliqué par les membres de l’organisation.

Un peu d’histoire

Suite au scandale d’Enron aux États-Unis en 2001, les normes de conformité liées aux résultats financiers sont grandement resserrées avec la venue de la loi Sarbanes-Oxley (SOX). Les entreprises publiques sont tenues de respecter la loi Sarbanes-Oxley de 2002, une loi sur la tenue des registres et les normes de divulgation des informations financières.

Autrefois la norme SAS 70, c’est-à-dire le Statement on Auditing Standards (SAS) numéro 70 était utilisé pour les organismes de services. Il s’agissait d’une norme d’audit largement acceptée, élaborée par l’American Institute of Certified Public Accountants (AICPA).

Mais il est rapidement devenu nécessaire de mettre en place un système d’évaluation plus complet, qui irait au-delà d’un simple audit des états financiers.

La norme SSAE 16 — Statement on Standards for Attestation Engagements Number 16 — a donc été publiée par l’AICPA en avril 2010 et est entrée en vigueur en mai 2011.

L’examen de l’auditeur de service qui était auparavant effectué par les CPA en vertu de la norme SAS 70 a ensuite été remplacé par des rapports sur les contrôles du système et de l’organisation en vertu de la norme SSAE 16.

En mai 2017, l’AICPA a remplacé la norme SSAE 16 par la norme SSAE 18. La norme SSAE 18 impose une série d’améliorations pour accroître la qualité et l’application des rapports SOC. Cette version remplacée contient également les principes, les règlements et les normes pour encadrer les rapports SOC.

À ce moment, les rapports de type SOC1 sont fréquemment exigés par les grandes entreprises américaines aux fournisseurs qui désirent faire des affaires avec eux. Les équipes de conformité financière des entreprises américaines ont énormément de pouvoir durant cette décennie.

Depuis 2010, plusieurs situations problématiques d’un point de vue sécurité de l’information se sont produites.

Alors certaines grandes compagnies américaines et les départements de sécurité de ces organisations prennent de plus en plus de place et exigent des rapports de type SOC2 aux différents fournisseurs qui veulent faire des affaires avec eux. Les grandes entreprises demandent un rapport SOC2 à leurs fournisseurs qui eux demandent un rapport SOC2 à leurs fournisseurs également.

Ces rapports doivent impérativement être signés par un CPA américain. Au Québec, au moins six bureaux de comptables professionnels agréés (CPA) sont en mesure d’effectuer ce genre d’audit, car, ils ont également des bureaux aux États-Unis.

Différents rapports SOC

Il existe cinq principaux types de rapports SOC :

  • SOC 1 — Contrôles internes des rapports financiers (ICFR)
  • SOC 2 — Critères de services fiduciaires
  • SOC 3 — Rapport d’utilisation générale concernant les critères de services de confiance
  • SOC pour la cybersécurité
  • SOC pour la chaîne d’approvisionnement

Le rapport SOC 1 traitent du contrôle interne d’une entreprise en matière de rapports financiers, ce qui concerne l’application de contrôles et de limites. Par sa définition même, comme prescrit par la norme SSAE 18, le rapport SOC 1 est l’audit des contrôles comptables et financiers d’un fournisseur tiers. Il s’agit d’une mesure de la qualité de la tenue de ses livres de comptes.

Le rapport SOC 2 est le rapport le plus recherché. Le SOC 2 traite de l’examen des contrôles d’un organisme de services sur un ou plusieurs des critères des services de confiance (TSC) (voir plus bas).

Le rapport SOC 3 est un rapport résumé du rapport SOC 2 de type 2. Bien qu’un rapport SOC 2 et un rapport SOC 3 contiennent des informations similaires concernant les tests de contrôle effectué par le vérificateur et les résultats de ces tests, un rapport SOC 2 contient des informations plus détaillées et sa distribution est limitée à un public spécifique.

Il est beaucoup plus court et moins détaillé, donc destiné à un public plus large.

SOC pour la cybersécurité — Un rapport sur l’efficacité du programme de gestion des risques de cybersécurité d’un organisme de services. Ce type de rapport couvre l’évaluation de votre programme de sécurité en place.

SOC sur la chaîne d’approvisionnement — un rapport sur l’efficacité des contrôles relatifs à la sécurité, la disponibilité ou l’intégrité du traitement d’un système, ou la confidentialité ou la vie privée des informations traitées par un système qui produit fabrique ou distribue des produits.

TSC — Trust Service Criteria (TSC)

Nous indiquions précédemment qu’un rapport SOC2 doit être préparé en relation avec un cadre de référence supporté par l’AICPA, ce cadre de référence vise 5 familles (Principles) bien précises :

  • Sécurité : Le système est protégé contre les accès non autorisés (tant physiques que logiques).
  • Disponibilité : Le système est disponible pour fonctionner et être utilisé comme prévu ou convenu.
  • Intégrité du traitement. Le traitement du système est complet, précis, opportun et autorisé.
  • Confidentialité : Les informations désignées comme confidentielles sont protégées conformément aux engagements pris ou convenus.
  • Vie privée : Les renseignements personnels sont recueillis, utilisés, conservés, divulgués et détruits conformément aux engagements pris dans l’avis de confidentialité de l’entité et aux critères énoncés dans les principes de confidentialité généralement reconnus publiés par l’AICPA et l’ICCA. Les TSPC de sécurité, de disponibilité et d’intégrité du traitement sont utilisés pour évaluer si un système est fiable.

Vous devez impérativement choisir au moins la famille « Sécurité » lors de la préparation de son rapport d’audit, mais, au besoin, on peut rajouter une ou plusieurs des autres familles de critères.

Plus il y a de principes choisis, plus la durée du projet s’allonge.

Pour la liste complète du TSC cliquez ici:

https://us.aicpa.org/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/trust-services-criteria.pdf

Rapport de type 1 ou type 2

Pour les rapports SOC1 et SOC2, il existe deux types, soit le type 1 et le type 2.

La première année d’audit, un rapport type 1 sera émis, cela veut dire qu’il sera émis à une date précise (ex. : 30 juin 2020) et portera sur la conception des contrôles.

Pour les années subséquentes, un rapport de type 2 sera produit pour une plage de temps (ex. : 1er janvier au 31 décembre). Durant ce genre d’audit, l’efficacité des contrôles TI sera testée sur toute la période auditée. Il deviendra impératif que les contrôles TI soient constamment appliqués de la même manière (tel que décrit) et en tout temps. Sinon, des écarts seront soulevés dans le rapport de l’auditeur.

Un délais de six mois est fréquent entre un rapport type 1 et un rapport type 2.

  • Type 1 — Le rapport démontre que les contrôles sont efficaces sur une date précise. Par exemple, un coupe-feu est en place.
  • Type 2 — Le rapport d’audit démontre que les contrôles ont été en place durant une période complète. Tel que, le coupe-feu a été en place et à bloqué les ports correctement du 1er janvier au 31 décembre.

Il existe plusieurs normes et standards afin d’aider les entreprises à gérer la sécurité de l’information, le rapport SOC2 étant très populaire aux États-Unis, il est celui habituellement demandé par les firmes américaines à leurs fournisseurs. Par contre, ce rapport est moins reconnu en Europe ou ailleurs dans le monde.

Obtenir un rapport SOC 2 se réalise souvent en trois phases:

  • Analyse des écarts;
  • Mise en œuvre des contrôles;
  • Audit externe par firme comptable.

Les coûts pour le rapport d’audit externe varient de 25,000 et plus en fonction de la taille de l’entreprise et de sa complexité et ce chaque année.

Une entreprise doit demander et analyser les rapports SOC2 de ses fournisseurs potentiels. Il s’agit d’un élément d’information inestimable pour s’assurer que des contrôles adéquats sont mis en place et que les contrôles fonctionnent réellement de manière efficace.

Avoir un rapport SOC2 seulement ne confirme pas avoir une sécurité en place — C’est la lecture de celui-ci et de l’opinion des auditeurs qui confirmera le niveau de sécurité de l’entreprise.

Cybersecurity
Cybersécurité
Information Security
Sécurité Informatique
Francais Vf

--

--

Patrick Boucher

Written by Patrick Boucher

253 Followers

Amoureux des livres, écrivain à temps partiel. Père, bénévole à souhait, 25 ans en cybersécurité, offensif et défensif!

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams