La pratique est mère du cybersuccès La pratique est mère du cybersuccès La pratique est mère du cybersuccès

Mettre en place des contrôles au niveau des systèmes ou de l'organisation s'apparente un peu à entraîner une équipe en vue d'un championnat. Le talent à lui seul ne permet pas de remporter la victoire. Si vous voulez vraiment que le succès soit au rendez-vous, vous devez mettre en place un plan rigoureux et élaboré, autrement dit une approche systémique. Ce faisant, vous gagnez en force, en capacité et en résilience. De la même manière, vos pratiques en matière de cybersécurité peuvent être pleines de bonnes intentions, mais, sans une approche structurée, vous ne gagnerez pas la confiance et la crédibilité dont la plupart des utilisateurs de votre service ont besoin.

La confiance est primordiale pour la réussite des échanges numériques au quotidien, tout comme au sein d'une équipe pour remporter un championnat. Quand tous les membres d'une équipe comprennent le plan et les paramètres et que tout le monde parle le même langage, l'efficience augmente. De mon point de vue, la « passe aveugle » illustre bien ces éléments en action. Il suffit de regarder n'importe quel sport professionnel pour la voir, mais elle ne s'effectue que quand un joueur a une confiance absolue envers ses coéquipiers.

À l'instar de la routine d'entraînement d'une équipe, les rapports sur les contrôles d'une société de services (SOC) renforcent la confiance. Ils témoignent d'un certain niveau de dévouement et de rigueur, ce qui garantit une fiabilité constante. Ils renforcent le lien de confiance entre une organisation et ses clients.

Les sociétés sont ultimement responsables de leur environnement de contrôle, et les autorités de réglementation exercent de plus en plus de pressions sur les organisations pour qu'elles disposent d'un solide programme de gestion des risques liés aux tiers. Par ailleurs, l'augmentation des atteintes à la cybersécurité et le besoin grandissant de protéger les renseignements personnels obligent les organisations à examiner attentivement les pratiques de leurs fournisseurs en matière de sécurité et de protection de la vie privée.

Un rapport SOC est un indicateur largement reconnu selon lequel une société de services a fait appel à un CPA tiers indépendant et s'est soumise à un examen approfondi de ses contrôles internes. Le rapport est généralement transmis aux clients chaque année. Il peut apporter des réponses à des demandes spécifiques des clients, assurer la transparence, témoigner du fait que vous suivez des pratiques de pointe et donner une assurance à l'égard de vos systèmes et contrôles liés aux clients, tout en améliorant la maturité de votre environnement et de vos processus internes.

Sur le terrain : les types de rapports d'attestation
Il existe différents niveaux de conformité pour veiller à ce que les fournisseurs de services répondent aux besoins de leurs clients en matière d'attestation. Plusieurs types de rapports SOC ont été définis pour répondre aux besoins particuliers des utilisateurs :

• Les rapports SOC 1 (également appelés NCMC 3416, SSAE 18 ou ISAE 3402, selon qu'ils sont réalisés conformément aux normes canadiennes, américaines ou internationales, respectivement) porte sur des questions relatives au contrôle interne à l'égard de l'information financière des entités utilisatrices.
• Les rapports SOC 2 et SOC 3 (qui peuvent également être délivrés en vertu des normes canadiennes, américaines et internationales) s'appliquent plus largement aux contrôles opérationnels portant sur la sécurité, la disponibilité, la confidentialité, l'intégrité du traitement et/ou la vie privée dans divers systèmes.
  
• Les rapports SOC 2 et SOC 3 peuvent être complémentaires aux rapports SOC 1 en analysant plus en profondeur certains domaines clés énumérés ci-dessus.
  

Un rapport SOC peut servir à fournir une attestation soit à un moment précis (type I - non applicable aux rapports SOC 3), soit sur une certaine période (type II) correspondant à au moins six mois, voire un exercice entier. Le rapport de type I comprend une description détaillée des contrôles de la société, tandis que le rapport de type II ajoute une description des tests des contrôles effectués par l'auditeur. Le rapport SOC 3 ne comprend ni une description des contrôles ni une description des tests effectués par l'auditeur.

SOC 1
Thuy Nguyen, directrice principale au sein de mon équipe des cyberservices, se consacre entièrement aux rapports sur les contrôles des sociétés de services depuis 15 ans. Elle les décrit en ces termes : « Un rapport SOC 1 fournit une assurance à l'égard des contrôles pertinents pour l'information financière sur laquelle s'appuient les clients des sociétés de services et les auditeurs de ces clients. À titre d'exemple, si vous gérez des états financiers pour le compte de vos clients, le rapport SOC 1 vous permet non seulement de montrer comment fonctionne votre processus d'affaires (notamment les technologies de l'information), mais aussi que vous disposez de contrôles qui ont une incidence positive sur le contrôle interne à l'égard de l'information financière de votre client. »

Si vous débutez dans l'environnement de contrôle et que vous voulez savoir si vous avez des lacunes, le rapport SOC 1 vous donnera une bonne idée des aspects à corriger. Il s'agit d'un rapport à utilisation restreinte destiné à la direction d'une organisation, à ses clients et aux auditeurs de ses clients.

SOC 2
Si les rapports SOC 1 portent sur les contrôles à l'égard de l'information financière pour les entités utilisatrices (clients), les rapports SOC 2 concernent plutôt les contrôles organisationnels et analysent au moins l'un des cinq piliers suivants : la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. Cela tient au fait que tous les services externalisés ne sont pas concernés par les exigences en matière de rapports financiers des utilisateurs. Les rapports SOC 2 portent sur les services qui ne sont pas liés aux rapports financiers des clients. Un service de gestion d'investissements et un service de gestion de la paie sont probablement concernés par les rapports financiers des entités utilisatrices; dans ce cas, le rapport SOC 1 est de mise. Une société qui crée des sites Web ou fournit d'autres services Internet ne publie pas de rapports financiers; dans ce cas, un rapport SOC 2 est donc plus adapté.

À l'instar du rapport SOC 1, le rapport SOC 2 est un rapport à utilisation restreinte. Il est destiné à la direction d'une organisation, à ses clients et aux auditeurs de ses clients.

SOC 3
Bien qu'ayant une portée similaire au rapport SOC 2, le rapport SOC 3 est moins détaillé et peut être transmis plus largement aux clients actuels et potentiels. Un rapport SOC 3 pourrait être publié sur votre site Web public. De nombreuses organisations devant communiquer leurs rapports SOC à un grand nombre de clients délivrent généralement un rapport SOC 2 et un rapport SOC 3.

Plutôt que de décrire en détail les contrôles testés par l'auditeur de la société de services, les procédures mises en œuvre et les résultats de ces procédures, comme c'est le cas dans un rapport SOC 2, un rapport SOC 3 ne contient généralement qu'une brève opinion de l'auditeur, une assertion de la direction et une description du système.

Arrêt du jeu : aspects à considérer pour la direction
À la suite du processus relatif aux rapports SOC, vous pourriez avoir besoin de réaffecter des ressources. Il peut notamment être nécessaire d'engager plus de personnel, selon le degré de probabilité que le risque survienne. Thuy Nguyen souligne que l'obtention de la certification SOC vous aide à mettre à jour votre manuel de gestion du changement. « Acceptez l'idée de tenir à jour les contrôles et la formation en permanence », conseille-t-elle.

Dans le cadre du service de votre fournisseur, vos auditeurs devraient faire équipe avec vous et agir à titre de conseillers afin de formuler de bonnes recommandations pour vous aider à améliorer votre environnement de contrôle. Votre fournisseur devrait pouvoir communiquer clairement l'importance de l'audit pour votre société et vous tenir informé de manière proactive de tout changement dans les exigences de contrôle.

Un bon auditeur de société de services fera aussi participer efficacement ses clients et les aidera à comprendre le processus d'audit avant qu'il ne commence, notamment son objectif, son étendue et l'approche de la mission. Il devrait être en mesure de formuler des observations et des recommandations pour améliorer l'environnement de contrôle de votre organisation. Bien que les recommandations tiennent compte des normes sectorielles et réglementaires pertinentes, ainsi que des pratiques de pointe, elles devraient être adaptées à votre entreprise et à vos besoins.

Enfin, pensez au fait que vos clients, les membres de la direction et les utilisateurs finaux liront vos rapports et chercheront les résultats de l'audit. Ce n'est qu'une fois que les rapports SOC 1 et SOC 2 sont en place que vous pourrez avoir confiance en l'efficacité de l'environnement de contrôle au sein d'une société de services, et que vous serez en bonne position pour réaliser une passe aveugle gagnante.