ISO/CEI 27001 ou SOC 2 : Comment répondre aux exigences de vos clients ?

En matière de sécurité de l’information, la norme ISO/CEI 27001 et le standard SOC sont à la disposition des organisations qui souhaitent se conformer ou attester de la qualité de leur système d’information. Pourtant, il n’est pas évident d’identifier lequel est le plus adéquat compte tenu de ses besoins en sécurité.
Cet article a pour objectif de guider les organisations qui souhaitent entreprendre une démarche de mise en conformité vers le référentiel approprié pour leurs besoins, en analysant et en comparant la norme ISO/CEI 27001 avec le standard SOC.

l’International Organization for Standardization 
l’International Electronical Commission
Elle spécifie les exigences relatives à l’implémentation, la mise-à-jour et l’amélioration continue d’un Système de Management de la Sécurité de l’Information (SMSI) pour tout type d’organisation, publique ou privée, quelque soit sa taille, son secteur d’activité ou sa localisation.
En d’autres termes, implémenter un SMSI revient à mettre œuvre des processus de sécurité organisationnels, physiques, techniques et légaux visant à protéger la confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information d’une organisation.

Premièrement, parce que la norme ISO/CEI 27001 est une norme internationale, reconnue quelque soit le secteur d’activité et l’organisation concernée.
Ensuite, parce que les exigences de cette norme permettent de structurer le système d’information d’une organisation grâce à la mise en œuvre d’une gouvernance de sécurité.
Elle prouve aux parties prenantes internes (collaborateurs) et externes (clients, fournisseurs, prospects, investisseurs) l’existence de réelles procédures en matière de sécurité de l’information et la volonté d’améliorer ces processus en continu.
En outre, la norme vise à mettre en place de bonnes pratiques en matière de sécurité de l’information à destination de l’ensemble du personnel, grâce à l’élaboration de politiques et de procédures tant organisationnelles que techniques qui intègrent par exemple : La sensibilisation les collaborateurs à la bonne utilisation du matériel en situation de télétravail, la politique de mots de passe, la vigilance vis-à-vis de programmes malveillants.
Elle encadre également les différents processus métiers d’une organisation afin d’y intégrer la sécurité de l’information à tous les niveaux : les exigences qui concernent la sécurité du recrutement engagent les ressources humaines, celles relatives à la sécurité physique intègrent les services généraux et sûreté, etc.
Face à l’émergence de nouvelles menaces liées à l’interconnexion des systèmes d’information et aux difficultés pour maîtriser les flux d’informations des organisations, les parties prenantes externes (clients, fournisseurs, investisseurs) sont de plus en plus exigeantes à leur égard.
Cette prise de conscience se trouve formalisée en tant qu’exigence à respecter dans les  appels d’offre ou les phases de contractualisation. Considérée comme un gage de qualité et de confiance, la certification ISO/CEI 27001 permet de les rassurer et représente alors un réel atout commercial.
 

Le standard SOC pour Service Organization Control, appelé parfois SSAE pour Statement on Standards for Attestation Engagements est un standard créé en 2011 par l’American Institute of Certified Public Accountants (AICPA) en réponse à l’enjeu de sous-traitance de plus en plus importante des fonctions telles que le stockage de données auprès d’un fournisseur de services. Il permet d’évaluer l’efficacité du contrôle interne des processus opérationnels d’un fournisseur.
Les rapports SOC se présentent en trois déclinaisons :
 

• SOC 1 : constitue un avis sur les contrôles internes d’un fournisseur relatif à l’élaboration des états financiers ;
• SOC 2 : fournit un avis sur les contrôles internes d’un fournisseur liés à la sécurité, basés sur cinq catégories de confiance : la confidentialité, l’intégrité, la disponibilité, la protection des données et la sécurité (Trust Services Categories) ;
• SOC 3 : établit un rapport SOC 2 dont l’information est condensée (absence de description des contrôles, des procédures de tests et des résultats de ces tests) et qui peut être partagé publiquement.

Ces 3 déclinaisons aboutissent à deux types de rapport SOC en fonction des objectifs de la société :
 

• Les rapports de type 1 : l’avis donné concerne uniquement la conception des contrôles à un moment précis.
• Les rapports de type 2 : l’avis donné concerne une période de temps défini afin de s’assurer de l’efficacité opérationnelle des contrôles dans la durée.

La gestion des fournisseurs est un élément clef dans le pilotage de la sécurité d’un système d’information. Si des vulnérabilités présentes dans la chaîne d’approvisionnement sont exploitées, les conséquences peuvent affecter tous les utilisateurs de cette technologie ou de ce service (Nous pouvons notamment citer l’attaque récente sur SolarWind).
Il est donc essentiel pour les organismes de pouvoir renforcer leurs défenses en protégeant et en pilotant leur chaîne d’approvisionnement. Il s’agira alors d’identifier les contrôles insuffisants à travers une évaluation de la sécurité des fournisseurs qui assurent  la collecte, le traitement, la transmission, le stockage, et la maintenance de ses données. 
SOC 2 permet de répondre à cet enjeu en construisant un écosystème de confiance et de transparence avec l’ensemble des parties prenantes externes d’une organisation, en obtenant une évaluation indépendante des contrôles en place chez les fournisseurs. Ainsi SOC 2 permet d’attester de la fiabilité des procédures de contrôle de l’entreprise et de la chaîne d’approvisionnement des services informatiques. Il permet également de répondre à certaines exigences des clients anglo-saxons, lors d’appels d’offre.
 

ISO/CEI 27001 et SOC 2, bien que différentes dans leur approche, disposent toutefois d’éléments communs tant dans leur structure que dans leurs exigences.
Exigences communes entre ISO/CEI 27001 et SOC 2 : 
Exigences communes
ISO/CEI 27001
SOC 2
Exemple de mesures
Structurer l’organisation
Clauses 5.3 et 7.2. Déterminer les rôles et les responsabilités ainsi que les compétences nécessaires
Exigences 3 et 4. Structurer les responsabilités et vérifier les compétences.
Établir une matrice de responsabilités RACI, un organigramme fonctionnel de la société, créer des fiches de poste.
Mise en place d’indicateurs de contrôle
Clause 6.2.b. Mesurer les performances à l’aide d’indicateurs de sécurité.
Exigence 11. Mettre en place des moyens de contrôler ces activités.
Implémenter des indicateurs (KPI) de conformité et de performance.
Évaluation des performances
Clause 9.1. Surveiller, mesurer, analyser et évaluer les performances du SMSI.
Exigences 16 et 17. Évaluer et monitorer les activités.
Effectuer une revue mensuelle des indicateurs, partager les résultats lors de comités de pilotage.
Réalisation d’une analyse de risques
Clauses 8.2 et 8.3. Réalisation d’une analyse de risques.
Exigences 6, 7, 8 et 9. Réalisation d’une analyse de risques.
Établir une analyse de risques complète fondée sur une méthodologie préalablement définie.
Documenter les informations
Clause 7.5. Mettre en place des informations documentées.
Exigence 12. Contrôler les activités à l’aide de politiques et de procédures.
Élaborer une nomenclature, implémenter une base documentaire partagée.
Établir un plan de communication pour les parties intéressées
Clause 7.4. Déterminer les besoins de communication internes et externes au SMSI.
Exigences 13, 14 et 15. Mettre en place un plan de communication.
Identifier les parties prenantes internes et externes, les personnes habilitées à communiquer sur quel sujet, par quel canal et à quel moment.

• Critère de sécurité

La différence majeure entre ISO/CEI 27001 et SOC 2 réside dans le critère de sécurité : tandis que SOC 2 a pour objectif de démontrer aux parties prenantes que le service délivré est sécurisé dans sa chaîne d’approvisionnement, la norme ISO/CEI 27001 exige plutôt un cadre organisationnel pour améliorer la sécurité de l’information en continu.  C’est alors la société certifiée qui définit ses propres objectifs.
 

•  Reconnaissance

ISO/CEI 27001 est un référentiel international destiné à faciliter le pilotage stratégique de l’organisme et elle est compatible avec d’autres normes ISO (9001, 14001, 22301..) pour créer un Système de Management Intégré (SMI). SOC 2, est en revanche très lié aux sociétés localisées aux Etats-Unis, ou réalisant des prestations pour des clients basés aux Etats-Unis.
 

•  Flexibilité et spécificité

SOC 2 permet de la flexibilité de la part des sociétés auditées en leur permettant de choisir des catégories à respecter, en ajoutant des exigences additionnelles.
SOC 2 dispose d’exigences plus spécifiques aux fournisseurs de services, accordant une importance aux valeurs éthiques promues par l’organisation (exigence 1). Par exemple, la gestion des risques doit se concentrer sur les risques de fraude (exigence 8), tandis que l’ISO/CEI 27001 n’impose pas de typologie de risques à analyser si ce n’est le risque relatif à la sécurité des systèmes d’information dans sa globalité.
 

•   Cycle d’audit

La société peut réaliser elle-même ou avec un prestataire d’accompagnement la définition du périmètre ainsi que la mise en œuvre des actions pour les deux référentiels.
En revanche, l’audit de certification doit être réalisé par un organisme de certification externe pour la norme ISO/CEI 27001, et par des auditeurs externes accrédités pour SOC 2.
Le rédacteur du rapport SOC est en capacité d’accompagner la société concernée : il prend la responsabilité de la conformité. Ce n’est pas le cas pour les normes ISO, et donc pour la norme ISO/CEI 27001 : deux organismes peuvent être nécessaires – l’une pour l’accompagnement et la mise en conformité, la seconde pour réaliser l’audit en tant qu’organisme de certification.

Votre souhaitez certifier votre organisation au travers d’une mise en conformité, mais vous ne savez pas vers quelle norme vous diriger ?
En résumé, le choix de certification dépend de la stratégie de l’organisation concernée : 
un fournisseur de services exerçant une activité aux États-Unis aura plutôt intérêt à réaliser un rapport SOC 2, qui dispose d’une renommée nationale dans ce secteur. Cette conformité ne se cantonne pas au marché américain, mais elle semble plus pertinente compte tenu du fait que les organismes certificateurs dépendent de l’AICPA. Le fournisseur choisira un rapport type 1 ou type 2 dépendant de la durée concernée par la conformité.
La légitimité internationale promue par ISO/CEI 27001 est intéressante dans le cas où une organisation souhaite améliorer sa gouvernance de sécurité, peu importe son secteur d’activité. Cette portée internationale est également clef dans le cadre d’un niveau d’assurance indépendant et global pour les clients d’une organisation. La norme s’appuyant sur l’amélioration continue, cette certification permettra de démontrer dans le temps les efforts réalisés sur la sécurité de l’information.
Manon DESCAMPS, Consultante en sécurité des systèmes d’information 
Ophélie WEBER, Consultante en sécurité des systèmes d’information 
          
Vous avez des questions ? Les experts de CNPP Cybersecurity vous répondent.
  
Sources : 
ISO/CEI 27000, ISO/CEI 27001, ISO/CEI 27002
Site Internet Coso : https://www.coso.org
SCHANDI Annette, FOSTER Philip L., COSO Internal Control-Integrad Framework, 01/2019.
https://www.coso.org/Documents/COSO-CROWE-COSO-Internal-Control-Integrated-Framework.pdfAICPA, Trust Services Criteria, 2017.