
Les questions posées le plus souvent
Plusieurs questions sont souvent posées par les clients. Nous tenterons de répondre à certaines d'entre-elles.
Quel programme de conformité dois-je choisir (ISO 27001 ou SOC 2)?
Les deux programmes en question ont des qualités différentes. Il faut mentionner que la norme ISO 27001 est britannique et est très populaire en Europe. La norme SOC 2 est américaine et très connue en Amérique du Nord. Si votre programme de conformité
est exigé par vos clients, vous ont-ils précisé à quelle norme votre
entreprise doit se conformer.
Sinon, le client est-il américain ou européen? Ce sont des indices pour faire
un bon choix. D'autre part, il faut mentionner que la norme SOC 2 mènera
à un rapport de certification (souvent plus de 50 pages) tandis que la
norme ISO 27001 vous apportera un certificat (une page) qui a une durée
de trois années.
Dans un rapport SOC 2, puis-je faire des liens avec d'autres
normes de conformité (RGPD, NIST, etc.)?
Un rapport SOC 2 a au moins 4 sections très normalisées (l'opinion de
l'auditeur, l'assertion, la description et la section des contrôles). Une
dernière section est disponible pour le client sans que l'auditeur ne donne
d'opinion. Dans cette section, un client pourrait faire des liens entre les
contrôles indiqués dans le rapport SOC 2 et d'autres programmes de
conformité comme RGPD, NIST, etc. De plus, certaines normes de
conformité comme HITRUST ou des référentiels comme CSA ont des
ententes avec l'AICPA afin d'intégrer leurs cadres de conformité dans
un rapport SOC 2.
Pourquoi ma compagnie doit-elle se conformer. Toutes mes
infrastructures sont dans l'infonuage (cloud)?
Une organisation est toujours responsable de ses données même si ces dernières sont hébergées totalement dans l'infonuage (cloud). Un hébergeur (ex.: AWS ou Azure) ne se portera jamais responsable des données de ses clients. En outre, un programme de conformité ne se limite pas à l'hébergement des infrastructures.
**NOUVEAU**Existe-t-il un cadre de conformité spécifique pour le RGPD?
Oui, depuis août 2019, ISO 27701 a été publié pour répondre à tous les problèmes de conformité RGPD. Vous avez besoin d'un système de management touchant la sécurité de l'information (SMSI) pour vous conformer à ISO 27001, alors que vous avez besoin d'un système de gestion des renseignements personnels (PIMS) pour vous conformer à l'ISO 27701.
Dois-je me conformer à tous les objectifs de la norme ISO 27001?
En principe, la réponse est oui. Par contre, si une organisation, de par sa réalité d'affaires, n'a pas à appliquer un objectif précis, ce dernier sera exclu de l'étendue de l'audit. Toutefois, la raison de l'exclusion devra être documentée. De plus, l'organisation aura à définir exactement quelle est l'étendue de l'audit, par exemple certaines filiales ou certains services pourraient être exclus de l'étendue de l'audit. Le périmètre de l'audit devra être bien circonscrit dès le début du processus de conformité.
Mon organisation travaille en français. Un rapport SOC 2 est requis. Est-ce que la documentation doit être préparée en anglais?
Le rapport SOC 2 sera écrit obligatoirement en anglais. Par contre, l'organisation pourra documenter ses politiques, procédures ou guides dans la langue de son choix. Il sera peut-être pertinent que certains documents soient écrits autant en anglais que dans la langue utilisée par l'organisation, la raison étant que certains clients nationaux ou internationaux pourraient exiger de les voir (ex.: la politique de sécurité).
Quelle est la différence entre un rapport SOC 2 de type 1 et de type 2?
Le premier rapport qu'une organisation fera sera un rapport de type 1, ce qui signifie qu'il sera émis pour une date précise. L'auditeur ne fera aucun test visant à s'assurer que les contrôles ont fonctionné adéquatement. À la suite de l'émission d'un premier rapport de type 1, un rapport de type 2 est émis pour une période de temps (minimum 6 mois), l'auditeur fera des tests (échantillonnage) et il émettra une opinion qui indiquera si les contrôles sont conceptualisés adéquatement et s'ils ont fonctionnés conformément pour la période auditée.
Pour un rapport SOC 2, que veulent dire les critères et les principes?
La norme SOC 2 a été élaborée par l'AICPA (USA). En 2017, l'AICPA a mis de l'avant la nouvelle mouture de la norme (SSAE 18) avec une forte influence provenant du cadre de contrôle interne COSO.
La notion des principes (5) relèvent des différents types de rapports qu'un client peut demander:
-
Sécurité (33 critères) - tronc commun obligatoire
-
Confidentialité (2 critères additionnels)
-
Disponibilité (3 critères additionnels)
-
Intégrité des traitements (5 critères additionnels)
-
Vie privée (18 critères additionnels)
En fait le mot critère signifie les objectifs de contrôles que le client devra respecter pour obtenir la certification. Pour chaque critère, le client mettra en place plusieurs contrôles personnalisés.
Finalement, le principe Sécurité est obligatoire, mais le client peut insérer les quatre autres principes à sa discrétion.
Mon entreprise est canadienne, est-ce que le RGPD me concerne?
Si vous hébergez ou traitez des informations personnelles de citoyens européens, oui le règlement s'applique totalement. Cependant, il faut bien évaluer le niveau de risque de l'entreprise. Si une entreprise canadienne a seulement quelques employés européens, le niveau de risque n'est pas suffisamment élevé pour investir des sommes importantes à cet égard.
Les entreprises canadiennes les plus touchées par le RGPD demeurent celles qui agissent comme sous-traitants pour de grandes sociétés internationales et que ces dernières échangent des données privées de citoyens européens avec les entreprises canadiennes. Dans ce cas, la société canadienne devient un "processeur de données" et travaille de façon collégiale avec la grande société qui elle, est le "contrôleur de données".
Si ma société devient conforme avec la norme ISO 27001, est-ce que ma société respecte le règlement RGPD?
Plusieurs personnes en Europe croient ce mythe, en fait c’est passablement faux. Le règlement RGPD vise spécifiquement les données personnelles, la norme ISO 27001 vise principalement la sécurité d’un système d’information (SMSI).
Il est certain que certains objectifs de contrôles d’ISO 27001 sont en lien avec le GDPR (ex. : politique de sécurité, réponse aux incidents de sécurité, la surveillance, le chiffrement, etc.). La norme ISO 27001 reste quand même une bonne base de travail, et en rajoutant plusieurs mesures ou contrôles supplémentaires à la norme ISO 27001, une société peut effectivement respecter le RGPD.
En août 2019, un nouveau cadre ISO 27701 a été publié sur les questions touchant la protection de la vie privée. L'extension à ISO 27001 et ISO 27002 pour la gestion de l’information sur la vie privée garantit que tous les types d'organisations trouveront un cadre de conformité spécifique pour le RGPD. ISO 27701 est l'un des premiers cadres de conformité qui traitent de la réglementation RGPD.

