La norme SOC 2 – l’agrégateur par excellence?
Bien que la norme américaine SOC 2* de l’AICPA existe depuis de nombreuses années et que la grande entreprise la connaisse très bien, depuis quelques temps, ce sont les petites entreprises canadiennes qui se font exiger ce type de rapport de conformité. Dès qu’une petite entreprise fait des affaires avec de grandes sociétés américaines ou européennes, très souvent, un rapport de conformité SOC 2 est requis. De plus, une certaine tendance s’installe aussi au Canada; nous voyons de plus en plus de grandes sociétés canadiennes exiger un rapport SOC 2 même si cette norme, à la base, est américaine.
Souvent, au même moment, les petites entreprises canadiennes se font exiger de leurs clients ou futurs clients qu’ils respectent en même temps d’autres cadres de conformité tel que RGPD, HITRUST**, ISO 27001, NIST, CSA***, etc.
C’est une lourde commande pour une petite entreprise de tenter de respecter plusieurs cadres différents. Documenter et implanter tous les nouveaux processus et contrôles est déjà assez lourd sans être obligé, en plus, de se conformer à plusieurs normes de conformité à chaque année.
Il est crucial d’indiquer que la norme SOC 2 n’est pas un cadre de contrôles; nous pourrions plutôt la définir comme une méthodologie. Une entreprise doit mettre en place des contrôles pour rencontrer les critères (Trust Services Criteria) de la norme SOC 2. Les contrôles en question peuvent prendre leur source dans différents cadres de référence tel qu’ISO 27001, NIST, CSA ou HITRUST. De plus, plusieurs des contrôles mis en place peuvent servir à respecter le règlement RGPD.
Donc, nous pouvons affirmer que la norme SOC 2 est l’agrégateur de normes par excellence. De plus, certains cadres de contrôles comme HITRUST et le Cloud Security Alliance (CSA) ont des ententes avec l’AICPA afin d’intégrer leurs cadres dans un rapport SOC 2. L’environnement de contrôles du client sera préparé en relation avec le cadre sélectionné (HITRUST ou CSA). L’opinion de l’auditeur incluse dans le rapport SOC 2 tiendra compte que le rapport SOC 2 respecte les règles de la norme SOC 2 ainsi qu’un autre cadre de contrôles.
Le fait que la norme SOC 2 soit l’agrégateur par excellence lui donne un avantage qui est encore méconnu. Pourquoi une petite société devrait-elle se conformer à plusieurs normes de conformité, si avec un rapport SOC 2, elle peut répondre à la grande majorité des normes existantes? C’est une économie de temps et d’argent.
Sans entrer trop dans les détails, la norme SOC 2 a un tronc commun pour le volet Sécurité (Common Criteria) et a élaboré des critères pour les volets Disponibilité, Confidentialité, Intégrité des Processus et Vie Privée. L’impact d’agréger plusieurs cadres de contrôles dans un rapport SOC 2 sera, la plupart du temps, l’obligation de mettre en place plus de contrôles et de documentation. Par exemple, vouloir intégrer le cadre de contrôle d’HITRUST dans un rapport SOC 2 aura comme conséquence d’exiger un cadre de contrôles qui aura autour de 100 contrôles et qui exigera de mettre en place les critères pour les volets Sécurité, Confidentialité, Disponibilité et Vie Privée.
Même si le fait d’agréger plus de cadres de contrôles dans un rapport SOC 2 peut sembler lourd, ce n’est rien par rapport à avoir à respecter deux ou trois cadres de contrôles différents, et ce, autant d’un point de vue des efforts que d’un point de
Pour les sociétés qui ont déjà un rapport SOC 2 dont les clients exigent qu’ils respectent d’autres cadres de contrôles, rien n’empêche de rajouter des contrôles dans le présent rapport SOC 2 de la société. Probablement, qu’il sera nécessaire d’insérer de nouveaux critères SOC 2 (Trust Services Criteria) afin de respecter les cadres de contrôles ajoutés.
Dans ma pratique, je vois de plus en plus les petites sociétés obligées de répondre à plusieurs cadres de contrôles, particulièrement la venue du Règlement Général sur la Protection des Données (RGPD) apporte de nouveaux défis pour ces entreprises. Un cadre de contrôle comme HITRUST est peu connu au Canada, principalement parce la grande majorité des entreprises œuvrant en santé sont publiques. Mais certaines entreprises privées canadiennes sont obligées de répondre aux exigences d’HITRUST. La norme SOC 2 répond grandement aux défis des petites entreprises canadiennes lorsque plusieurs normes de conformité sont exigées.
* Service Organization Control (SOC 2)
** Cadre de contrôles dédié au monde médical (HITRUST)
*** Cloud Security Alliance (CSA)