Nous savons tous que la cybersécurité est devenue un élément essentiel de la gestion des risques liés aux fournisseurs. En théorie, un audit SOC 2 (qui évalue les contrôles de sécurité d'un fournisseur) est le moyen d'évaluer ces menaces de cybersécurité.

Mais dans la pratique, cela est plus facile à dire qu'à faire. En effet, les audits SOC 2 peuvent porter sur de nombreux éléments différents, mais le risque de cybersécurité évolue constamment. Les nouvelles réglementations en matière de protection des données ne cessent d'arriver. Les rôles que jouent les fournisseurs dans vos processus métier changent constamment. Et les conséquences d'une défaillance de la cybersécurité ne font qu'augmenter.

Cela signifie que la capacité d'évaluer correctement un audit SOC 2 est devenue essentielle pour les équipes de gestion des risques.

De ce fait, comment se fait le cadrage, avec une menace aussi glissante ?

Commencez par les principes qui sous-tendent les audits SOC 2

Rappelons-nous comment les audits SOC 2 ont vu le jour. Ils sont fondés sur cinq « principes de services de confiance » élaborés à l'origine par l'AICPA (Association of International Certified Professional Accountants)  :

• Sécurité
• Confidentialité
• Intégrité du processus
• Confidentialité
• Disponibilité

Ainsi, lors de l'évaluation d'un audit SOC 2, la première question est la suivante : quels principes s'appliquent à ce fournisseur ?

Cette question peut sembler évidente, mais considérez ce qui est en jeu. Si vous incluez trop peu de principes (ou les mauvais), votre entreprise se trouve dans un état de sous-assurance : il n'y a pas assez de contrôles vis-à-vis des risques de sécurité que posent vos fournisseurs. À l'inverse, si vous incluez trop de principes, l'entreprise se trouve dans un état de surassurance : il y a trop d'atténuation (et de ressources gaspillées) vis-à-vis des risques que vous n'avez pas réellement.

Par exemple, examinons l'évaluation d'un fournisseur de stockage de données Cloud. Si vous ne stockez aucune information personnellement identifiable chez ce fournisseur, vous ne courez aucun risque en matière de confidentialité. Cela signifie que vous pouvez garder ce principe hors du champ d'application. En revanche, si vous stockez des plans de produits confidentiels, les risques de sécurité sont élevés.

Ainsi, le fondement de tout audit SOC 2 est de comprendre ce que nous faisons réellement avec ce fournisseur.

Trouvez vos partenaires de calcul de champ d'application

Une autre étape cruciale consiste à savoir qui d'autre dans votre entreprise doit être impliqué dans l'évaluation d'un audit SOC 2. Il est de plus en plus difficile de dresser cette liste, car les fournisseurs offrent de plus en plus de services essentiels.

Tout d'abord, vous devrez consulter les responsables des processus opérationnels de la première ou de la deuxième ligne de défense qui auront effectivement recours à ce fournisseur. Quel service le vendeur fournira-t-il ? À quelles informations sur l'entreprise aura-t-il accès ? Comment les employés veulent-ils que cette relation fonctionne ?

Vous devrez également consulter la fonction de sécurité informatique, car ce sont les experts en la matière. Ils ont des idées sur les méthodes d'attaque, les contrôles à tester et les assurances qui devraient être incluses dans tout rapport final SOC 2.

N'oubliez pas non plus la fonction de conformité. Ces collaborateurs peuvent vous dire quelles sont les conséquences d'une erreur en matière de cybersécurité ou de protection de la vie privée : amendes réglementaires, responsabilité en cas de litige ou mesures réglementaires. Ce sont également les experts en matière de sécurité et de respect de la vie privée.

Par exemple, si vous faites appel à un fournisseur pour analyser les habitudes d'achat des consommateurs et que certains de vos clients sont des citoyens européens, la règle générale de protection des données de l'UE (RGPD) s'applique. Dans ce cas, les principes RGPD de disponibilité (voir toutes les données sur demande) et d'intégrité du processus (s'assurer que « supprimer tout » supprime bien tout) deviennent des éléments cruciaux de votre audit SOC 2. (Les responsables de la sécurité informatique et des opérations commerciales peuvent ne pas connaître ces nuances du RGPD.) En savoir plus sur la gestion de votre conformité RGPD.

Construire un processus durable à partir de là

Jusqu'à présent, nous avons parlé de la manière de réaliser un audit SOC 2. Dans le monde réel, les équipes de gestion des risques ont deux autres tâches à accomplir : vous devez savoir quoi faire avec un audit SOC 2, et vous devez intégrer cela dans votre gestion des risques liés aux fournisseurs à l'échelle.

Un rapport SOC 2 réalisé par un cabinet d'audit indépendant vous donnera une image claire du risque de cybersécurité que pose votre fournisseur. Il signalera les faiblesses du fournisseur en matière de sécurité et les dommages potentiels d'une défaillance de la cybersécurité. À partir de là, vous pouvez commencer à effectuer une rétro-ingénierie des mesures correctives nécessaires pour ramener le risque lié au fournisseur à des niveaux acceptables.

Maintenant, les choses peuvent être familières. Ces audits SOC 2, avec leurs listes de faiblesses et de mesures correctives, peuvent être intégrés dans un système plus large de gestion des risques liés aux fournisseurs. Ce système doit être un répertoire central d'informations, où les fonctions de sécurité, d'audit, de conformité et de risque peuvent suivre l'avancement de chaque fournisseur. Les cadres supérieurs peuvent l'utiliser pour obtenir à tout moment une image complète de la situation de la gestion des risques liés aux fournisseurs.

Ces étapes ne sont pas très différentes de ce que les équipes d'audit et de risque ont déjà fait pour les audits financiers et autres exercices similaires. Il s'agit de créer une source de données unique et fiable, d'impliquer les bonnes personnes pour mettre en œuvre les mesures correctives et de rendre compte des progrès aux cadres supérieurs.

Ce qui est nouveau, c'est la nécessité d'intégrer le risque de cybersécurité dans votre effort plus large de gestion des risques liés aux fournisseurs- et cela commence par un audit SOC 2 clair et réfléchi.

Le risque de cybersécurité ne disparaît pas, et l'assistance des fournisseurs ne fera qu'augmenter. Par conséquent, plus votre fonction d'audit interne pourra se doter d'une capacité solide et polyvalente pour évaluer le risque de cybersécurité des fournisseurs, mieux vous serez positionné.