Rapports SOC for Cyber: un gage de confiance Rapports SOC for Cyber: un gage de confiance

En Suisse comme dans le reste du monde, les gouvernements appellent leurs secteurs public et privé à renforcer leur cyberdéfense pour faire face à la recrudescence des menaces au lendemain de la pandémie de COVID. 

«Les cyberrisques sont devenus l’une des principales menaces pour la sécurité et l’économie de la Suisse. Il est capital que les attaques dirigées vers les entreprises suisses puissent être détectées suffisamment tôt et de pouvoir évaluer les menaces le plus précisément possible.» Confédération suisse, avril 2022 

Correctifs système, détection des intrusions, campagnes de sensibilisation du personnel... ce ne sont pas les mesures qui manquent en matière de cybersécurité. Toutes constituent des moyens efficaces pour empêcher les piratages par hameçonnage ou ingénierie sociale. On observe toutefois sur le marché que le recours de plus en plus fréquent à l’externalisation force les entreprises à s’assurer que de telles mesures soient mises en œuvre par l’ensemble de leurs principaux prestataires de services. Or il n’est pas aisé d’y arriver, car leurs réseaux de prestataires deviennent de plus en plus complexes et interconnectés. Et les entreprises sont soumises à une pression de plus en plus forte pour prouver qu’elles sont en mesure de gérer toutes les cybermenaces. 

Les rapports SOC (Service Organization Controls) for Cyber sont une approche structurée pour gérer cette complexité. Ce rapport d’attestation est basé sur une norme publiée en 2017. Il s’agit d’un cadre de reporting qui permet aux organisations de rendre compte de leur programme de gestion des risques de cybersécurité, et de l’efficacité des contrôles effectués au sein de ce programme.

L’Association of International Certified Professional Accountants (AICPA) décrit SOC for Cyber comme étant une mission d’audit examinant le programme de gestion des risques de cybersécurité d’une entité. Il porte sur deux aspects distincts, mais complémentaires: 
(a) une description du programme de gestion des risques de cybersécurité d’une entité;
(b) une analyse de l’efficacité des contrôles effectués dans le cadre de ce programme pour permettre à l’entité d’atteindre ses objectifs en matière de cybersécurité.

Le rapport a pour objet principal de présenter la façon dont une entreprise gère sa cybersécurité, et d’établir si les contrôles mis en place sont efficaces pour lui permettre d’atteindre son objectif. Le deuxième aspect est la partie la plus importante du rapport puisqu’il s’agit d’une évaluation indépendante, généralement conduite par un cabinet d’audit reconnu, qui s’appuie sur des méthodologies robustes et respecte des normes de haute qualité.

SOC for Cyber comprend aussi un ensemble de critères descriptifs ainsi que des recommandations pour la mise en œuvre. Cette base sera d’un grand secours pour toutes les organisations qui ne savent pas par où commencer. Voici, à titre d’exemple, le critère descriptif DC12: «Le processus servant à identifier, évaluer et gérer les risques liés aux fournisseurs et partenaires commerciaux». Il s’accompagne des recommandations suivantes pour la mise en œuvre: «Eu égard à la nature et à l’étendue des informations devant être divulguées pour ce critère, prenez en compte:

• Le processus servant à identifier les fournisseurs et les partenaires commerciaux qui ont une incidence sur le programme de gestion des risques de cybersécurité de l’entité, et à faire l’inventaire de ces parties
• Le processus servant à identifier et à évaluer les risques qui pourraient être atténués en souscrivant une assurance de cybersécurité
• La façon dont l’entité gère les risques, liés à ses fournisseurs et partenaires commerciaux, qui pèsent sur la réalisation de ses objectifs de cybersécurité

Quoique robuste et bien décrit, le cadre peut vite devenir déroutant et sujet à interprétation. Évaluer son degré de préparation, en se laissant guider par un expert, peut être une première étape salutaire en vue de la réalisation de ses objectifs finaux.

Les organisations qui ont externalisé une partie de leurs processus, de leurs systèmes et de leurs infrastructures critiques à des tiers devraient envisager de demander un tel rapport à leurs fournisseurs. Ce n’est plus qu’une question de temps avant que les conseils d’administration et les régulateurs commencent à l’exiger. Quant aux sous-traitants et aux prestataires de services, ils devraient prendre leurs dispositions pour commencer à se doter de rapports SOC for Cyber. Cela contribuera à renforcer la confiance que leurs clients ont dans leurs mesures de cybersécurité. On dit souvent que «la sécurité a un coût, mais elle n’a pas de prix». Et cela n’a jamais été aussi vrai qu’aujourd’hui.