Outre l’efficacité du logiciel, la sécurité des données est un critère prépondérant dans le choix d’une solution SaaS. Parmi les certifications existantes, la SOC 2 (System and Organization Controls 2) atteste du respect des normes de sécurité en matière de gestion des données. Mais qu'est-ce qu’une certification SOC 2 ? Et pourquoi la prendre en compte lors du choix de votre solution EMOS ? Décryptage.
SOC 2 : de quoi parle-t-on ?
SOC 2 : une assurance en matière de sécurité des données
La SOC 2 est une certification développée par l’AICPA (American Institute of Certified Public Accountants), de plus en plus prise en compte à l’international, notamment en Europe. Elle concerne les entreprises qui fournissent des services et des systèmes à leurs clients, tels que le cloud computing, les SaaS ou bien les PaaS.
Son but ? Examiner les services fournis par une société pour permettre aux utilisateurs d’évaluer et de traiter les risques associés à une prestation externalisée.
L’organisation cliente peut ainsi demander au prestataire de fournir un rapport d’audit, en particulier si des informations confidentielles lui sont confiées.
Bon à savoir
Comme de nombreuses certifications, la SOC 2 n’est pas obligatoire. Cependant, elle est fortement recommandée : l’obtenir est gage de confiance et de qualité de service.
Les principes du référentiel SOC 2
Le standard SOC 2 définit des critères de gestion des données basées TSC (Trust Services Criteria) de l'AICPA. Plus largement, elle s’appuie sur les trois grands principes de la cybersécurité.
- La disponibilité. Le système est opérationnel et prêt à être utilisé comme convenu.
- L’intégrité. Une donnée ne doit être modifiée que par des personnes autorisées et selon un procédé défini.
- La confidentialité. Les informations jugées confidentielles sont protégées conformément aux engagements et réglementations en vigueur.
La traçabilité, ou conservation des mouvements des données, souvent oubliée par les néophytes, est également indispensable pour assurer le respect et le bon déroulement des trois précédentes conditions.
Il existe deux types de rapports SOC 2.
- Le « type 1 », basé sur un rapport réalisé lors de la première année d’audit, porte sur la conception théorique des contrôles.
- Le « type 2 », basé sur la pratique, est produit les années subséquentes et atteste que les contrôles réalisés ont été effectifs durant une période complète.
À noter : obtenir une certification SOC 2 démontre que la solution respecte les critères mentionnés ci-dessus.
SOC 2 et ISO/IEC 27001 : quelles différences ?
Quand on parle de cybersécurité, on peut naturellement penser à la norme ISO/IEC 27001, qui spécifie les exigences relatives aux Systèmes de Management de la Sécurité de l’Information (SMSI). Plus largement utilisée en Europe, elle sert de référentiel d’une certification éponyme.
Les rapports SOC 2, quant à eux, sont plus employés en Australie, en Asie-Pacifique et en Amérique, et concernent les contrôles mis en place pour la sécurité des données.
Les standards ISO/IEC 27001 et SOC 2 partagent des critères communs (CC) d’exigence. Il s’agit d’un ensemble de normes reconnu à l’international et dont l'objectif est d'évaluer la sécurité des systèmes et des logiciels informatiques, le tout, de façon impartiale.
Quel lien entre données, EMOS et rapports SOC 2 ?
Le SOC 2 est une protection réglementaire contre les menaces de sécurité qui peuvent se présenter lors de l'utilisation d'un EMOS. Mais quel est le lien entre données, EMOS et SOC 2 ?
Rappel : le fonctionnement d’un EMOS
Le Data Collector implémenté sur le système informatique du client va récupérer des données, les héberger sur le cloud et les traiter sur la plateforme du client sous forme d’indicateurs, de graphiques, etc.
Données énergétiques : des informations à protéger
L’utilisation d’un EMOS (ou Energy Management and Optimization System) conduit à l’ajout, le retrait et le traitement d’informations sensibles au sein du Système de Contrôle et d'Acquisition de Données (SCADA) de l’utilisateur. C’est un vecteur de risque, comme une infection du prestataire qui se propage dans le système du client.
Tout l’enjeu pour l’utilisateur d’un EMOS est de s’assurer que le prestataire soit fiable. Pour cela, il doit :
- Être proactif, définir ses propres exigences de sécurité et les imposer au prestataire choisi (une option fastidieuse, puisqu’elle nécessite des compétences suffisantes en matière de sécurité des systèmes d’information).
- S’appuyer sur les standards internationaux fiables et choisir un prestataire certifié ISO/IEC 27001 ou SOC 2.
Sécuriser ses données : un levier de rentabilité pour l’entreprise
Chaque entreprise a sa propre appétence au risque, c’est-à-dire un niveau de risque global qu'elle peut assumer dans la poursuite de ses objectifs stratégiques. Cependant, tout risque a un coût : ce dernier se calcule en fonction du coût global moyen de réalisation d’un risque et de la probabilité de son occurrence moyenne.
Un prestataire certifié est un élément supplémentaire pour baisser cette occurrence et gagner en maîtrise de son niveau de risque. Il est donc essentiel d’appréhender la sécurité informatique dans son entreprise.
Sécuriser ses données pour réduire le coût du risque
Le coût d’une attaque de phishing dans une entreprise peut être relativement élevé pour les entreprises. En réduisant la propension d’un salarié à cliquer sur un lien malicieux ou en diminuant le volume de données exposées, le coût moyen du risque diminue.
Offrir une solution EMOS hautement sécurisée à ses clients est l’une de nos priorités. Certifiés SOC 2 Type 1 en 2021 et SOC 2 Type 2 en 2022, nous cherchons toujours plus de garanties pour vos données énergétiques. Notre objectif : obtenir prochainement la certification ISO/IEC 27001. Vous prévoyez de vous équiper d’un EMOS et souhaitez en savoir plus sur la sécurisation des données par METRON ?