COSO et SOC

COSO (Committee Of Sponsoring Organizations of the Treadway Commission et son référentiel  de contrôle interne éponyme) c’est 83 critères structurés selon 17 principes organisés en 5 composants :

SOC (Service Organization Control) définit des critères de gestion des données clients basés sur cinq principes de service de confiance :

• Sécurité/ security

• Disponibilité/ availability

• Intégrité / integrity

• Confidentialité / confidentiality

• Protection des données / Privacy

Les critères de gestion des données clients sont définis dans le TSC (Trust Services Criteria), répartis sur les 17 principes COSO, reprenant les critères communs (83) complétés de critères spécifiques de services de confiance (185) :

• dans chacun des 5 composants COSO et 17 principes commun COSO (CC1 à CC5)

CC1 - Control environment (principes COSO 1 à 5)

CC2 - Information and communication (principes COSO 13 à 15)

CC3 - Risk assessment (principes COSO 6 à 9)

CC4 - Monitoring activities (principes COSO 16 et 17)

CC5 - Control activities (principes COSO 10 à 12)

• dans des chapitres spécifiques complémentaires du principe 12 du COSO (CC6 à CC9)

CC6 - Contrôles d'accès logiques et physiques

CC7 - Fonctionnement du système

CC8 - Gestion du changement

CC9 - Atténuation des risques

• Dans des chapitres additionnels spécifiquement dédiés aux principes de services de confiance SOC

A1 - additional criteria for availability

C1 - additional criteria for confidentiality

PI1 - additional criteria for processing integrity

P1 à P8 - additional criteria for privacy

Répartition des 296 critères (83 communs COSO et 213 spécifiques SOC) du TSC par principes de confiance SOC et par chapitre du TSC

Audits SOC

> SOC 1 est un audit de contrôle pour les organisations proposant des services et porte sur le contrôle interne des rapports financiers.

> SOC 2 est un audit qui évalue les systèmes d'information en termes de sécurité, de disponibilité, d'intégrité des traitements et de confidentialité .

Deux types d’audits SOC 2 :

• Un rapport SOC 2 de type 1 atteste de la conception et de la documentation des contrôles et procédures internes d’un organisme de service à une certaine date.

• Un rapport SOC 2 de type 2 fournit également des preuves de la manière dont une entreprise a effectivement exercé ses contrôles sur une certaine période de temps (généralement entre six mois et un an).

> SOC 3 est un audit SOC 2 type2 dont le rapport d'audit SOC 3 est une version expurgée du rapport d'audit SOC 2 de type II qui permet aux organisations de services de partager publiquement des informations suffisantes sur l'infrastructure de leur système d'information, les contrôles et leur efficacité, sans information confidentielle

 

SOC et ISO 27001

Les TSC sont alignés et cohérents avec de nombreux standards et normes : ISO 27001 et ISO 27002, norme PCI DSS (Payment Card Industry Data Security Standard), Normes HIPAA (Health Insurance Portability and Accountability Act), DoD 8500.2 (Department of Defense, Information Assurance Implementation), standard NERC-CIP (North American Electric Reliability Corporation), SOX (Sarbanes-Oxley Act), IAS / IFRS, standard NIST (National Institute of Standards and Technology)...

Si bon nombre de ces standards sont issus de structures privées ou publiques anglo-saxonne (avec les avantages et inconvénients qu’on leur connaît), l’ISO 27001 présente l’avantage d’être une norme commune et internationale et très rationnelle (moins de subjectivité dans les critères).

Pour rappel, "ISO/IEC 27001 - Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Exigences" exige la mise en place d'une déclaration d'applicabilité (dite « annexe A ») précisant les mesures de sécurité à mettre en place par rapport à la politique, objectifs, risques... s'appuyant sur des mesures type de sécurité précisées dans "ISO/IEC 27002 - Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information" dont l’exclusion ou l’inclusion doit être justifiée.
Iso 27002 a évolué en début d'année 2022 (93 mesures dont 11 nouvelles par rapport à la version 2013, voir le détail).

 

Bon à savoir: Pour faciliter la mise en oeuvre et la conformité, Synertal et ses partenaires ont établi des matrices d'exigences des critères SOC et tableau de correspondance SOC-ISO 27001-ISO 27002...