Qu'est-ce que SOC 2 ?

Une solide stratégie de sécurité est vitale à une époque où les cyberattaques prolifèrent. Les cybermenaces (ransomwares et hameçonnage, par exemple) continuent de poser problème aux entreprises de toutes tailles, dans tous les secteurs. De plus, les attaques ciblant la chaîne d'approvisionnement sont devenues un sérieux problème. Dans des enquêtes menées par le Forum économique mondial, 90 % des personnes interrogées se sont dites préoccupées par la cyber-résilience des tiers. Des cadres sont conçus pour aider les entreprises à mettre en place une stratégie de sécurité robuste. L'un de ces cadres, SOC 2 (System and Organization Controls, contrôles d'organisation et de système 2), vise à établir les risques et à améliorer l'efficacité opérationnelle.

Qu'est-ce que la conformité SOC 2 ?

Développé par l' American Institute of Certified Public Accountants (AICPA), SOC 2 repose sur les critères des services de confiance de l'AICPA qui facilitent les audits et la création de rapports sur les contrôles qu'une entreprise de services met en place pour sécuriser les informations. Les rapports SOC 2 font état de la sécurité, de la disponibilité, de l'intégrité du traitement, de la confidentialité et de la protection des données. En outre, les rapports SOC 2 garantissent que les contrôles mis en place par l'entreprise de services respectent une partie ou l'ensemble des cinq critères SOC 2.

La gestion des risques doit s'étendre aux tiers. Le cadre SOC 2 permet de s'assurer qu'une entreprise de services dispose d'une politique de protection des informations robuste, mais également qu'elle peut l'appliquer et prévenir les incidents de sécurité. SOC 2 permet de vérifier la stratégie de sécurité de fournisseurs tiers afin de garantir qu'ils offrent le niveau de protection attendu par votre entreprise.

Comment Akamai aide-t-elle les entreprises à respecter la conformité SOC 2 ?

Les solutions de sécurité d'Akamai fournissent des informations et une protection de bout en bout pour protéger les données contre toute violation ou exposition accidentelle, et empêchent tout accès non autorisé grâce à une application rigoureuse des règles de contrôle d'accès. Akamai aide vos équipes de sécurité à optimiser l'efficacité et le retour sur investissement de vos investissements en matière de sécurité. Akamai ne se contente pas d'une détection classique des terminaux, mais offre une solution Zero Trust performante, dédiée à la protection et à la confidentialité des données.

Akamai fournit :

une plateforme de sécurité mondiale qui applique la sécurité Zero Trust avec une couverture complète de votre environnement informatique
une visibilité approfondie sur les actifs, les accès et les flux réseau
une application granulaire de la règle de sécurité et une protection des informations personnelles identifiables (PII).

Quels sont les cinq critères des services de confiance de SOC 2 ?

Schéma sous forme de cercle affichant les mots qui décrivent les cinq critères des services de confiance de la certification SOC 2 : sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée.

L'audit SOC 2 couvre cinq aspects du traitement des données qui, lorsqu'ils sont correctement mis en œuvre, forment une stratégie cohérente et solide en matière de cybersécurité. Le Groupe de travail sur l'intégrité de l'information de l'ASEC est responsable de l'exactitude technique des critères des services de confiance (TSC). Le Comité exécutif des services d'assurance de l'AICPA est responsable des critères TSC et décrit les cinq critères des services de confiance de SOC 2 comme suit :

Sécurité: protection des données et sécurité du système contre tout accès non autorisé et toute exposition des données. La sécurité inclut également la protection contre les dommages au système susceptibles d'entraîner l'indisponibilité, la perte d'intégrité ou l'atteinte à la confidentialité des données.
Disponibilité: fiabilité des systèmes qui permettent à l'entité de mener ses activités.
Intégrité du traitement: le traitement du système doit être complet, valide, précis, régulier et autorisé.
Confidentialité: les données classées « confidentielles » doivent être protégées pour atteindre les objectifs de l'entité.
Protection de la vie privée: les informations doivent être collectées, utilisées, conservées, divulguées et éliminées pour atteindre les objectifs de l'entité en matière de protection des données.

Un fournisseur de services démontrant sa conformité à une partie ou à l'ensemble des cinq principes des services de confiance (le cas échéant) démontre son engagement en matière de sécurité des informations.

Quelle importance votre entreprise accorde-t-elle au cadre SOC 2 ?

Le cadre SOC 2 s'applique aux fournisseurs de services technologiques ou aux entreprises SaaS qui stockent, traitent ou gèrent des données clients. SOC 2 s'étend également aux autres fournisseurs tiers qui gèrent/fournissent des données et des applications et permet de démontrer les systèmes et les mesures de protection en place pour garantir l'intégrité des données. La conformité SOC 2 peut avoir une influence sur les décisions d'achat et fait partie des risques associés à la gestion des fournisseurs.

Fournisseurs de services cloud et informatiques

Selon Thales et 451 Research, 66 % des entreprises stockent jusqu'à 60 % de leurs données sensibles dans le cloud. De plus, le pourcentage d'entreprises victimes d'une violation de données impliquant une application cloud est passé de 35 % en 2021 à 45 % en 2022. La conformité SOC 2 permet à un fournisseur technologique de prouver qu'il applique des contrôles de sécurité, tels que l'authentification à deux facteurs. Il s'agit d'un facteur de différenciation essentiel à une époque où les risques liés au cloud et à la sécurité informatique sont potentiellement élevés. Les violations de sécurité dans le cloud qui affectent l'ensemble de la chaîne sont de plus en plus courantes. Un fournisseur de services cloud et informatiques qui démontre sa conformité à SOC 2 prouve qu'il accorde une importance essentielle à la sécurité des informations.

Clients des fournisseurs de services cloud et informatiques

En choisissant un fournisseur certifié SOC 2, votre entreprise bénéficie d'un audit transparent avec des rapports SOC définissant les risques encourus et les contrôles mis en place par le fournisseur tiers. Ces normes et mesures de sécurité des informations se répandent alors dans votre entreprise, assurant ainsi la sécurité des données nécessaire au respect des normes internes et des exigences réglementaires.

Autres fournisseurs de la chaîne d'approvisionnement connexes

Les attaques de la chaîne d'approvisionnement ont augmenté de plus de 600 % en 2021/2022. Les attaques telles que les vulnérabilités Zero Day dans MOVEit Transfer ont prouvé toute l'étendue et la portée de leur impact. Les équipes d'Akamai chargées de la recherche sur la sécurité concernant les attaques MOVEIT ont détecté un nombre alarmant de serveurs vulnérables exposés à Internet. Ces types de vulnérabilités sont ciblés par les cybercriminels qui se servent des fournisseurs de la chaîne d'approvisionnement pour accéder à des réseaux lucratifs situés plus haut dans la chaîne. Les fournisseurs de la chaîne d'approvisionnement qui prouvent leur conformité SOC 2 peuvent démontrer leur engagement en matière de sécurité des données.

Solutions Akamai pour la conformité SOC 2

Akamai propose une gamme complète de solutions qui garantissent une sécurité Zero Trust et facilitent la conformité SOC 2 en donnant aux entreprises les moyens de satisfaire les critères des services de confiance SOC 2. Nos principales solutions de sécurité sont reconnues comme étant les meilleures de leur catégorie par nos clients, qui utilisent Akamai pour protéger leurs données sensibles sur l'ensemble de l'environnement informatique actuel étendu. La gamme de solutions de sécurité d'Akamai est passée d'un ensemble de solutions ponctuelles à une plateforme Zero Trust complète et performante. Les solutions de premier ordre de la société offrent les contrôles de sécurité requis pour satisfaire les critères SOC 2 en matière de sécurité, de disponibilité, d'intégrité, de confidentialité et de protection des données. Akamai garantit une visibilité complète sur votre environnement informatique, vos ressources critiques, vos besoins d'accès et vos flux réseau à travers votre infrastructure étendue, y compris les fournisseurs.

Sécurité Zero Trust et conformité SOC 2

Le contrôle d'accès et l'autorisation d'utilisation des données est un aspect essentiel de la sécurité des informations dans le cadre SOC 2. Le développement d'une approche Zero Trust en matière de sécurité des données permet d'associer les critères des services de confiance à des mesures de sécurité robustes.

Les mesures de sécurité SOC 2 suivantes contribuent à la création d'une approche de sécurité Zero Trust :

Gestion des identités et des accès des personnes et des terminaux
Protection des API sur l'ensemble des flux de données et des écosystèmes
Authentification multifactorielle (MFA)
Détection des intrusions
Visibilité et surveillance pour appliquer une autorisation proportionnelle
Principe du moindre privilège pour limiter l'accès aux données
Chiffrement des données

Foire aux questions (FAQ)

SOC 2 est un rapport d'audit qui atteste de l'efficacité des contrôles d'une entreprise de services en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de protection de la vie privée.

SOC 1 et SOC 2 diffèrent en matière d'objectif et de portée. SOC 1 privilégie l'intégrité des contrôles financiers des clients et l'exactitude des données financières, tandis que SOC 2 se concentre sur les contrôles internes qui protègent les données à l'aide des cinq critères des services de confiance. SOC 2 a une portée plus large, couvrant tous les fournisseurs de services, y compris les services cloud.

Les fournisseurs de services stockant des données clients dans le cloud ont besoin d'un rapport SOC 2. Il s'agit d'un élément crucial pour les sociétés technologiques et de Cloud Computing. La certification SOC 2 est réalisée par un auditeur SOC 2 certifié, un un expert-comptable certifié (CPA) affilié à l'AICPA indépendant . L'audit concerne une partie ou sur l'ensemble des critères des services de confiance (TSC). Les critères TSC audités dépendent du type d'entreprise. Par exemple, un fournisseur SaaS réaliserait sans doute un audit sur les critères de sécurité, de disponibilité et de confidentialité.

La portée de l'audit dépend également du type d'entreprise. Les grandes entreprises peuvent choisir d'auditer des sections ou des produits spécifiques de l'entreprise. L'auditeur doit accéder à tous les documents et politiques démontrant vos modèles de sécurité. La mise en place d'un modèle Zero Trust documenté facilite le processus.

La conformité SOC 2 exige que les audits annuels respectent les cinq critères des services de confiance.

Pourquoi les clients choisissent-ils Akamai ?

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.

Produits connexes

Akamai Guardicore Segmentation

Visualisez, protégez et segmentez les environnements sur site, cloud et hybrides.

Sécurité Zero Trust

Couverture complète de la cybersécurité associée à une visibilité approfondie et à un contrôle granulaire.

Ressources supplémentaires

Simplification de la conformité avec Zero Trust

Découvrez comment une architecture de sécurité Zero Trust peut vous aider à respecter un large éventail d'exigences de conformité.

Regardez la vidéo

Présentation du règlement sur la résilience opérationnelle numérique (DORA)

Règlement sur la résilience opérationnelle numérique (DORA) - Préparer les entités financières à la conformité DORA avec Akamai

Découvrez comment Akamai aide les entités financières à gérer efficacement les défis liés à la conformité.

Accélérer la conformité PCI et en garantir la validation continue avec Akamai Guardicore Segmentation

Akamai Guardicore Segmentation permet de se conformer à plusieurs exigences PCI DSS à l'aide d'un seul outil, afin d'offrir de la visibilité aux auditeurs et d'aider les équipes d'intervention à détecter les violations.

Simplification de la conformité NERC CIP avec Akamai Guardicore Segmentation

Un modèle pour la construction d'une architecture Zero Trust

Akamai Guardicore Segmentation peut aider les entreprises déjà en conformité avec NERC CIP en simplifiant et en améliorant leur posture de conformité.