• François El Assad, Director |

La sécurité, la disponibilité ou la protection des données dans un monde de plus en plus connecté sont impératifs. Et pour les garantir, le standard SOC 2 est devenu une référence en la matière. Nous explorons ce qu’il en est pour les entreprises suisses. 

Les rapports SOC 2, c’est quoi au juste?

Les rapports SOC 2 sont un type de rapport d’assurance de l’AICPA (American Institute of Certified Public Accountants) utilisé par les fournisseurs de services pour donner à leurs clients une assurance sur le fait qu’ils ont conçu et mis en place des contrôles efficaces afin de gérer un ou plusieurs des aspects suivants (appelés «catégories»): sécurité, disponibilité, intégrité de traitement, confidentialité et protection de la vie privée. Ce standard existe depuis de nombreuses années aux Etats-Unis et trouve son équivalent à travers le monde avec la norme ISAE 3000 (voir la figure en bas).

Pourquoi est-ce aujourd’hui d’actualité en Suisse?

Dans le domaine du reporting SOC 2, la Suisse est en retard d’environ dix ans par rapport aux Etats-Unis et de cinq ans par rapport au reste de l’Europe. Ce n’est pas forcément une mauvaise chose; cela signifie simplement que la sensibilisation et l’attention portée aux sujets couverts par le standard (principalement la sécurité informatique et la protection des données) en sont aujourd’hui à leurs balbutiements. Dans le pays, la première vague vient des grandes sociétés soumises à une réglementation plus stricte, ainsi que du secteur financier. Ces sociétés demandent de plus en plus à leurs prestataires de services critiques (p. ex. IT, paie, service client) de se conformer au standard et d’émettre un rapport SOC 2 annuel sur diverses catégories. Elles peuvent ainsi se conformer aux exigences internes et externes auxquelles elles sont sujettes.

Mais le plus important est qu’elles commencent – enfin – à mettre en place les mesures nécessaires dans un monde où les risques liés aux attaques informatiques ne cessent d’augmenter. La gestion de ces risques est primordiale lorsque l’on observe que désormais personne n’est à l’abri, et qu’une grande partie des incidents de cybersécurité sont dus à des intrusions via des sociétés externes. Cela fut notamment le cas du Comité international de la Croix-Rouge (CICR), victime récemment d’une attaque de grande envergure via une société de services localisée en Suisse. Cet exemple n’est pas un cas isolé: nous comptons parmi nos clients de nombreuses victimes d’incidents similaires, et très souvent le fautif se trouve chez un prestataire externe fournissant des services, la plupart du temps IT.

Quelle est la réponse de ces mêmes prestataires de services?

Nous observons un manque inquiétant de maturité de la part des prestataires de services, dont la grande majorité n’ont jamais entendu parler de SOC 2. Et ceux qui en ont entendu parler n’ont pas assez d’expérience pour faire face à la complexité, au degré de détail et à l’étendue du standard. Il faut dire qu’il s’agit d’un sujet très complexe: selon le nombre de catégories couvertes par le rapport, il peut y avoir jusqu’à 200 contrôles à tester. La quasi-totalité des grands prestataires de services dans le monde (p. ex. Amazon Web Services, Microsoft Azure, Google Cloud, SAP) émettent de tels rapports, et ils sont volumineux. Un autre aspect est le coût d’un tel exercice de conformité: avec autant de contrôles devant être évalués par un auditeur indépendant, les chiffres peuvent vite prendre l’ascenseur et rendre la pilule difficile à avaler.

Que doivent faire les sociétés suisses?

D’une part, les sociétés qui externalisent actuellement des systèmes et des processus critiques doivent déterminer la manière dont elles obtiennent une assurance sur le fait que les prestataires de services associés contrôlent de manière adéquate la façon dont ils traitent leurs données et leurs transactions. Ce n’est qu’une question de temps avant que les parties prenantes internes et externes ne commencent à poser des questions plus pointues au conseil d’administration et à la direction – ou qu’un incident malheureux ne survienne.

S’agissant des prestataires de services, ils doivent clairement commencer à se pencher sur le sujet. A défaut, ils risquent d’être dépassés par la concurrence, c’est-à-dire les grands acteurs d’envergure mondiale qui se conforment déjà au standard. Même si le prix à payer est élevé, cela leur sera profitable à long terme.

Informations complémentaires