top of page

SOC 2 et ISO 27001 – Quelle norme choisir?

Les petites entreprises du Québec qui font des affaires avec de grandes sociétés canadiennes, américaines ou européennes se font de plus en plus exiger d’être conformes avec les cadres de conformité SOC 2* ou ISO 27001. Quelquefois, dans les contrats le choix est laissé à la petite entreprise.

Lorsque la grande société internationale cliente laisse le choix à l’entreprise, cette dernière est, la plupart du temps, perplexe et indécise. Quelle norme notre entreprise doit-elle privilégier?

À cette étape, souvent une entreprise cherchera un avis extérieur afin de faire le meilleur choix. En premier lieu, il est important de définir, à très haut niveau, ces deux normes de conformité.

SOC 2 est une norme américaine supportée par l’American Institute of Certified Public Accountants (AICPA). Lorsqu’une société respecte la norme SOC 2, elle obtiendra un rapport audité par un bureau de Comptables professionnels agréés (CPA). Ce rapport sera complet et décrira l’ensemble des pratiques et contrôles TI de la société. Annuellement, une société doit faire vérifier son rapport de conformité SOC 2. Cette norme n’est pas un cadre de contrôle; nous pourrions davantage la définir comme une méthodologie. Pour une petite entreprise, un rapport SOC 2 dépasse très souvent la soixantaine de pages.

ISO 27001 est un cadre de contrôle TI qui est supporté par l’International Organization for Standardization (ISO) et l’International Electrotechnical Commission (IEC). Un auditeur accrédité par ISO pourra s’assurer que l’entreprise respecte le cadre de contrôles ISO 27001. À la suite de l’audit annuel, un certificat (une page) sera émis pour trois années. L’auditeur ISO fera un audit complet la première année et un audit partiel les deux années suivantes.

Quels sont les avantages d’une norme par rapport à l’autre?

 

SOC 2

  • Méthodologie de conformité très reconnue en Amérique. Progression en Europe.

  • SOC 2 est l’agrégateur par excellence. Tous les cadres de contrôles peuvent être utilisés pour respecter la norme SOC 2, dont ISO 27001.

  • Les sociétés qui exigent le rapport de conformité savent exactement en quoi consiste l’étendue de l’audit et les résultats pour chaque mesure de contrôles.

  • L’audit est plus complet et rigoureux que pour la norme ISO 27001.

  • La norme SOC 2 couvre, au besoin, les contrôles touchant la vie privée.

  • Rapport signé par de grandes firmes comptables très reconnues.

  • Il est plus facile de trouver une firme comptable pour signer un rapport SOC 2 qu’un auditeur ISO qui signera le certificat.

 

ISO 27001

  • Cadre de contrôles complet et reconnu (14 catégories et 114 contrôles TI).

  • Mieux reconnu en Europe qu’en Amérique, mais en progression en Amérique.

  • L’audit ISO 27001 est moins fastidieux que l’audit pour la norme SOC 2.

  • Un seul audit complet à chaque trois années.

  • Lorsque ISO 27001 est jumelé avec ISO 27701, ils couvrent, au besoin, les contrôles touchant la vie privée.

  • Le prix de l’audit annuel ISO 27001 est passablement moins cher que pour un audit SOC 2.

 

Dans ma pratique, souvent, les clients me demandent quel cadre est le meilleur et quel devrait-être leur choix? Voici le type de réponses que je leur présente :

  • Quel que soit le choix, l’effort exigé par les employés de l’entreprise sera assez similaire.

  • Si l’entreprise fait affaire avec un consultant externe pour les accompagner, quel que soit le choix, l’effort sera aussi assez similaire du côté du consultant externe.

  • Le client doit vérifier attentivement son contrat et la clause exigeant un rapport de certification. A-t-il vraiment le choix ou une norme spécifique est-elle exigée?

  • Quel est l’objectif du client? Répondre à une demande ponctuelle et se libérer d’un fardeau ou en profiter pour améliorer les processus TI de son organisation?

  • Est-ce que prix de l’audit est l’argument principal qui orientera leurs décisions?

  • Est-ce que le client veut démontrer textuellement à ses clients et futurs clients qu’il a mis en place un ensemble de processus et contrôles TI?

Ces questions permettent aux différents clients de bien comprendre les enjeux et faire le bon choix pour leur entreprise. Règle générale, si pour le client le prix de l’audit est le principal argument, il ira toujours vers la norme ISO 27001. Si, cependant, le prix de l’audit est un argument sensible, mais que l’argument principal est la qualité de l’information véhiculée, le client ira, la plupart du temps, vers un rapport SOC 2.

Quelquefois le client désire avoir les deux types de conformité. Dans ce cas, la solution la plus simple consiste à utiliser le cadre de contrôles ISO 27001 comme la source de contrôles qui permettra d’obtenir le rapport SOC 2. Les contrôles d’ISO 27001 serviront à respecter les différents critères de norme SOC 2.

Par exemple, pour respecter le principe « Sécurité » de la norme SOC 2, trente-trois critères doivent être respectés. Pour respecter ces critères, les 114 mesures de contrôles de la norme ISO 27001 seront utilisées.

*     Service Organization Control (SOC 2)

Retour à la page de discussion ....

bottom of page