Une méthodologie éprouvée
Yucca Conseils TI a développé une méthodologie d'accompagnement éprouvée. Quel que soit le programme de conformité qui est sélectionné par le client, la démarche est similaire. Tous les documents utilisés par Yucca Conseils TI sont faits avec les produits Microsoft Office 2016. De plus, tous les documents sont bilingues (français et anglais).
L'analyse des écarts
À l'aide d'un questionnaire de plus de 200 questions, le client décrit ses
pratiques, ses processus et ses façons de faire à l'égard des technologies
de l'information.
Tous les grands domaines concernant les processus TI sont touchés dans
le questionnaire. Ce questionnaire couvre tous les cadres de conformité
les plus connus.
La matrice de contrôles
Dès que le questionnaire touchant l'analyse des écarts est complété
une analyse intelligente est effectuée avec les outils développés par Yucca
Conseils TI afin de documenter une première matrice de contrôles. C'est
à cette étape qu'il y aura un lien entre le questionnaire d'analyse des
écarts et le choix de conformité du client. La matrice de contrôles sera
présentée au client afin que ce dernier accepte l'ensemble des contrôles
décrits. Le client aura le loisir d'accepter, de refuser ou de modifier le
libellé de chaque contrôle. La matrice de contrôles devient le document maître de tout le programme de conformité.
Au besoin, pour un rapport SOC 1, SOC 2 ou NCMC 3416, Yucca Conseils TI pourra, à cette étape, aider le client à trouver un auditeur apte à signer ce type de rapport.
La documentation des processus TI
Une fois la matrice de contrôles accepté par le client, Yucca Conseils TI exige qu''un répertoire central soit créé (ex.: OneDrive, Google Drive, Egnyte, SharePoint, etc.) afin que toute l'équipe de travail puisse accéder à l'ensemble des documents et ainsi minimiser le transfert de document via des courriels.
Yucca Conseils TI a développé près de 45 modèles bilingues touchant tous les grands domaines TI. Au besoin, le client pourra les acheter (entre 25$ et 75$ le modèle). Tous les modèles développés par Yucca Conseils TI ont la même approche graphique et ont déjà une première personnalisation en fonction des réponses du questionnaire complété par le client. Le logo et le nom du client apparaîtront sur chaque modèle, et certains paragraphes seront déjà personnalisés.
L'implantation des nouveaux processus et contrôles
Idéalement, lorsque le client documente les nouvelles politiques, guides ou procédures, il travaille de façon collégiale avec les différentes équipes de travail de l'organisation. Une fois la documentation bien établie, il est impératif de s'assurer que les nouvelles façons de faire sont bien comprises et appliquées en tout temps. C'est un des grands défis des petites sociétés, s'assurer que les contrôles mis en place fonctionnent toujours de la même façon. Yucca Conseils TI guide le client lors de l'implantation afin que ce dernier évite les pièges courants. L'implantation des nouveaux processus et contrôles est probablement le plus grand défi qui attend les clients dans un processus de conformité, changer des pratiques déjà établies n'est jamais aussi simple que cela peut sembler.
La formation et la sensibilisation
Lorsque l'implantation des nouveaux processus et contrôles commence à être bien intégrée, c'est le bon moment pour former et sensibiliser l'ensemble du personnel à l'égard des nouvelles pratiques de sécurité. Tous les employés doivent formellement adhérer aux pratiques de sécurité mises en place. Ils doivent impérativement participer à la formation touchant la sensibilisation, et ils doivent lire les politiques de sécurité les plus importantes et confirmer leur adhérence. La sensibilisation est un volet excessivement important dans le cadre d'un programme de conformité. Yucca Conseils TI pourra aider le client à préparer la formation touchant la sensibilisation en fonction du cadre de sécurité mis en place.
La documentation des rapports SOC 1, SOC 2 et NCMC 3416
Pour les programmes de conformité touchant SOC 1, SOC 2 et NCMC 3416, il est nécessaire de préparer un rapport normalisé. Yucca Conseils TI participera très intensément à la rédaction des différents rapports. Avec l'aide du pilote de l'organisation, un rapport complet et prêt pour l'audit sera documenté. Ce rapport pourra être remis à l'auditeur sélectionné afin qu'il puisse faire son audit.
L'audit
Si le client n'a pas déjà un auditeur, Yucca Conseils TI préparera tous les documents afin que ce dernier puisse obtenir des propositions de différents auditeurs. Avant l'audit, Yucca Conseils TI s'assurera que toute la documentation est bien complétée et que toutes les preuves ont été placées dans les différents dossiers du répertoire central du client (ex.: OneDrive, GoogleDrive, Egnyte, SharePoint, etc.). Au besoin, Yucca Conseils TI pourra répondre aux questions des auditeurs avec l'aide du pilote de l'entreprise.
Le maintien et la surveillance
Une fois l'audit complété et le rapport ou le certificat émis, le défi du client est de s'assurer que les processus et les contrôles mis en place fonctionnent tel que décrits. À cette fin, Yucca Conseils TI aura établi un canevas d'auto-évaluation que le client pourra compléter environ 6 mois après l'audit. Cette auto-évaluation permettra au client de détecter les écarts entre les pratiques souhaitées et la réalité de l'organisation et le cas échéant, des plans d'actions pourront être mis en place afin de rétablir les pratiques souhaitées.