Comment décoder les rapports SOC 2 de tiers
Comment décoder les rapports SOC 2 établis par des tiers ?
Description
Au lieu de réaliser une évaluation complète des risques basée sur des normes, certains fournisseurs se contentent de soumettre leur dernier rapport SOC 2. Cependant, pour les organisations qui ne disposent pas de l'expertise et des ressources nécessaires, l'interprétation de ces rapports SOC 2 peut s'avérer complexe et fastidieuse, sans compter qu'elle n'est pas cohérente avec la manière dont les autres fournisseurs sont évalués.
Comment simplifier le processus d'analyse des rapports SOC 2 et obtenir ce dont vous avez besoin pour visualiser les risques importants liés aux fournisseurs ?
Rejoignez Thomas Humphreys, expert en conformité, qui :
- Décompose un rapport SOC 2 type, y compris les cinq principes des services de confiance.
- Explique comment mapper les exceptions de contrôle du rapport SOC 2 aux risques dans un cadre commun de gestion des risques et de sécurité des fournisseurs.
- Décrit les meilleures pratiques pour remédier aux lacunes des contrôles SOC 2 d'un fournisseur.
Regardez ce webinaire pour découvrir comment analyser l'efficacité des contrôles de sécurité d'un fournisseur de manière cohérente avec le reste de votre parc tiers.
Vous souhaitez savoir comment Prevalent peut vous aider ? Demandez une démonstration et un appel stratégique pour discuter de votre projet avec l'un de nos experts.
Intervenants
Thomas Humphreys
Expert en conformité
Transcription
Melissa Lent: Hello everyone. Melissa Lent: This is Melissa Lent. Melissa Lent: I’m the director of education at OAG and I’d like to welcome you to our webcast today during which we will present how to decode third-party SOCK 2 reports. Melissa Lent: We are glad you can join us for this event. Melissa Lent: Instead of completing a full standardsbased risk assessment, some vendors simply submit their most recent SOCK 2 report. Melissa Lent: However, for organizations that lack the expertise and resources. Melissa Lent: Interpreting these SOCK 2 reports can be complex and timeconuming, not to mention inconsistent with how other vendors are assessed. Melissa Lent: How do you simplify the process of analyzing SOCK 2 reports and get what you need to visualize important vendor risks? Melissa Lent: We are glad you can join us as we discuss how to analyze the effectiveness of a vendor’s security controls consistently with the rest of your third party estate. Melissa Lent: For our discussion today, we are joined by our speaker Thomas Humphre, compliance expert and content manager with prevalent. Melissa Lent: We are very pleased to be joined by Thomas as he shares his insight on analyzing the effectiveness of a vendor’s security controls and how to decode third-party SOCK 2 reports. Melissa Lent: But before we start, I’d like to take a minute to go over a few housekeeping notes. Melissa Lent: First, regarding continuing education credit, we provide NASBA approved CPE credit to you for participation in live webinars. Melissa Lent: If you have an OG All Access Pass, which you can purchase individually or as part of a company subscription, the All Access Pass includes many benefits in addition to CPE credit for webcasts, such as access to all OEG resources and ondemand education series. Melissa Lent: So, if you don’t already have a pass, I would encourage you to check it out on the OEG site. Melissa Lent: If you do have an all access pass and would like a certificate of completion for CPE for this event, please be sure to stay with us. Melissa Lent: for the entire hour and to answer all the polls. Melissa Lent: These are requirements for receiving CPE credit for this event. Melissa Lent: And please note, certificates of completion for CPE credit are available only for live events. Melissa Lent: They are not available for viewing archived webinars. Melissa Lent: Second, regarding the recording from this webcast, we will have the recording of this event posted on the OSC website. Melissa Lent: Just log into the site, then go to the webinars tab and select past webinar recordings and then this webcast. Melissa Lent: This recording may be viewed by anyone for about one week and after this time the recording may be viewed by anyone with an all accessess pass. Melissa Lent: Third, regarding upcoming events and activities, please watch your email for announcements from Og about other upcoming webinars. Melissa Lent: You can view information about these upcoming webcasts on the OEG site. Melissa Lent: So today we will address the following learning objectives. Melissa Lent: We will learn how to deconstruct a typical SOCK 2 report including the five trust services principle. Melissa Lent: Explain how to map SOCK 2 report control exceptions into risks in a common vendor risk and security framework. Melissa Lent: Describe best practices to remediate a vendor’s SOCK 2 control deficiencies and determine how to create an agile, integrated, and techdriven compliance program. Melissa Lent: But before we hand over the presentation to our speaker, we’d like to offer our first poll. Melissa Lent: And again, please be sure to answer this poll if you are interested in receiving CPE credit for this event. Melissa Lent: The first poll question is, “Do you have an OAG all accessess pass, which is a paid membership, and would you like to receive CPE credit for this event?”. Melissa Lent: Your options here are yes, I have an all access pass and I would like to receive a CPE certificate of completion for this event. Melissa Lent: I have an all access pass, but I don’t need a CPE certificate of completion. Melissa Lent: No, I do not have an all access pass, but I would like to get one and receive CPE credit for this. Melissa Lent: And future webcasts I attend or no I do not have an all access pass and I don’t want to buy one at this time so I won’t receive CPE credit for this event. Melissa Lent: As you are answering this poll I’d like to hand over the quest the presentation to Thomas to begin our discussion today.
Thomas Humphre: Merci beaucoup et bonjour à tous. Thomas Humphre: Je m'appelle Thomas Humphre. Thomas Humphre: Je suis responsable du contenu chez Prevalent. Thomas Humphre: Je travaille à l'élaboration de diverses évaluations et structures basées sur de nombreuses normes. Thomas Humphre: notamment SOCK 2. Thomas Humphre: Comme indiqué, je suis ici aujourd'hui pour vraiment comprendre ce qu'est un rapport SOCK 2 et être en mesure d'assimiler les sujets et aspects pertinents qui nous permettront de comprendre les risques et les exceptions dans les rapports et comment les intégrer dans notre programme plus large de gestion des risques et de gestion des risques tiers. Thomas Humphre: Commençons donc par une introduction aux évaluations SOCK 2. Thomas Humphre: SOCK, ou contrôles des systèmes et des organisations, est un ensemble de cadres qui permet aux organisations de démontrer la sécurité et, dans certains cas, les contrôles de confidentialité de leurs propres opérations, systèmes, informations et l'efficacité de ces contrôles. Thomas Humphre: Les rapports sont donc fournis par des organismes indépendants, des organismes d'audit indépendants. Thomas Humphre: Ils peuvent être divisés en deux types, le type 1 et le type 2. Thomas Humphre: Un rapport SOCK de type 1 est un rapport remis à un moment donné par un auditeur. Thomas Humphre: L'accent est principalement mis sur la conception des contrôles. Thomas Humphre: On constate souvent que les organisations qui se lancent dans la certification pour la première fois commencent généralement par un rapport de type 1, car cela leur donne la confiance nécessaire pour développer et démontrer que les contrôles ont été conçus de manière appropriée, que des politiques, des processus et des groupes de contrôle ont été mis en place. Thomas Humphre: Les rapports de type 2 sont plus longs, plus complets et fournissent plus de détails à l'auditeur, à l'organisation auditée, mais aussi à un public plus large. Thomas Humphre: les clients, les régulateurs, toute autre personne susceptible de recevoir ou de demander un rapport de type SOCK. Thomas Humphre: L'objectif du rapport de type 2 est avant tout d'examiner l'efficacité opérationnelle des contrôles et, à ce titre, il est établi sur une période plus longue, généralement jusqu'à six mois. Thomas Humphre: L'objectif est bien sûr que l'auditeur qui examine les contrôles ait confiance et s'assure que les contrôles qui ont été conçus fonctionnent efficacement. Thomas Humphre: Et le plus souvent, il faut un délai raisonnable pour y parvenir.
Thomas Humphre: Ainsi, par exemple, lorsqu'une organisation a mis en place des contrôles autour de la gestion du changement, de la gestion des incidents et de la planification des capacités, elle doit être en mesure d'examiner en détail les changements existants et la manière dont ils sont gérés, ou encore l'impact des capacités sur les systèmes. C'est précisément l'objectif des rapports de type 1 ou 2. Thomas Humphre: Il s'agit donc de l'efficacité de la conception et de l'efficacité opérationnelle. Thomas Humphre: Ils sont donc fournis par des auditeurs indépendants et des organismes d'audit qui ont été certifiés pour effectuer de telles évaluations. Thomas Humphre: En ce qui concerne le Sock lui-même, il existe une structure importante autour de celui-ci, basée sur cinq groupes de contrôle clés appelés « critères de service de confiance », que nous aborderons plus tard. Thomas Humphre: Ceux-ci définissent une série de contrôles qui ne sont pas très différents des autres normes et cadres reconnus. Thomas Humphre: Quiconque connaît la norme ISO 27 000, par exemple, ou le NIST ou l'ISF, ou d'autres cadres de sécurité de l'information ou de cybersécurité, reconnaîtra ici certaines similitudes avec le type de contrôles qui sont identifiés et évalués. Thomas Humphre: Il existe donc une série de groupes de contrôle que les auditeurs utilisent pour valider l'organisation. Thomas Humphre: Mais il est important de noter à ce stade, et comme nous le verrons plus tard dans le webinaire, qu'il n'est pas toujours nécessaire que chaque groupe de contrôles soit évalué par rapport à une organisation particulière. Thomas Humphre: Lorsqu'il s'agit de définir la portée de votre évaluation, SOCK 2 permet aux organisations d'adapter l'évaluation en fonction de leurs produits et services. Thomas Humphre: Et comme nous le verrons, certains groupes de contrôle ne sont pas considérés comme applicables à l'activité des organisations. Thomas Humphre: Que ce soit pour des raisons logiques liées à la nature des produits et services qu'elles proposent ou en raison d'autres facteurs qui déterminent la portée et délimitent le champ d'application de l'évaluation. Thomas Humphre: SOCK 2 est donc une approche structurée qui établit un cadre permettant aux organisations de démontrer leurs meilleures pratiques en matière de sécurité de l'information, de cybersécurité et, dans certains cas, de confidentialité, qui est le plus souvent utilisée et communiquée à leur clientèle élargie et à d'autres parties prenantes externes. Thomas Humphre: Il est donc important maintenant de jeter un regard plus large sur le concept même du rapport SOCK 2.
Thomas Humphre: J'ai déjà mentionné qu'il existe deux types de rapports et qu'ils sont évalués et remis par des auditeurs indépendants. Thomas Humphre: Cependant, l'un des points essentiels que nous devons clarifier et qui peut devenir évident à mesure que vous recevez davantage de rapports Sock 2, c'est qu'ils peuvent être très différents selon l'organisme qui les rédige. Thomas Humphre: La manière dont ils structurent le rapport Sock peut être légèrement différente, ce qui peut parfois prêter à confusion. Si nous recevons deux rapports, nous devons tout de même obtenir les mêmes informations détaillées pour savoir si la portée correspond aux services fournis par ce fournisseur. Thomas Humphre: Sommes-nous en mesure de déterminer s'il existe des exceptions ou des non-conformités auxquelles nous devons prêter une attention particulière ? Thomas Humphre: Cependant, malgré les différences dans la conception et la mise en page de chaque rapport SOCK, tous les rapports contiennent généralement cinq sections. Thomas Humphre: Certains seront plus détaillés que d'autres, mais ils devraient tous comporter ces cinq sections. Thomas Humphre: Si nous comprenons ce que sont ces cinq sections et que vous êtes capable de les identifier dans un rapport. Thomas Humphre: Il est alors beaucoup plus facile de déterminer si nous devons nous préoccuper de cette organisation en fonction des risques perçus ou connus, ou si elle est en bonne santé grâce aux normes de bonnes pratiques qu'elle a mises en œuvre. Thomas Humphre: Sur le côté gauche de l'écran, vous voyez cinq puces : le résumé de l'auditeur, la vue d'ensemble des processus et des systèmes opérationnels de l'organisation, la portée du rapport et les critères de service de confiance, les activités de contrôle et l'audit pour la validation et la réponse de la direction. Thomas Humphre: Sur le côté droit, nous avons un exemple de table des matières montrant certains des domaines pertinents que nous voyons dans un rapport de type Sock 2 type 2. Thomas Humphre: En ce qui concerne le résumé de l'auditeur, que voyons-nous ici ? Thomas Humphre: Comme dans de nombreux rapports, vous trouverez généralement un résumé de haut niveau, presque un résumé exécutif si vous voulez, qui plante le décor du rapport plus large. C'est là que l'auditeur présente un résumé des résultats et un aperçu de sa méthodologie d'évaluation. Thomas Humphre: Euh, ils peuvent inclure des aspects liés aux exceptions qu'ils ont identifiées. Thomas Humphre: Dans certains cas, ils rendent déjà compte de la portée spécifique de la norme SOC 2.
Thomas Humphre: aux aspects des critères de confiance sur lesquels ils ont évalué l'organisation. Thomas Humphre: Cela donne donc un aperçu très général de ce qui s'est passé et de la performance globale de l'organisation au moment où elle a été évaluée. Thomas Humphre: Passons maintenant à l'aperçu des opérations, des processus et des systèmes organisationnels. Il convient de souligner la section trois afin de mettre en évidence l'étendue et la profondeur de cette section. Thomas Humphre: Comme vous pouvez le constater, il y a ici un grand nombre de sous-contrôles et de sous-clauses qui couvrent une partie assez importante du rapport. Thomas Humphre: L'objectif ici est d'entrer dans les détails des processus, des liens entre les processus, des systèmes utilisés et exploités par l'entreprise et de la manière dont ces processus et systèmes interagissent entre eux. Thomas Humphre: Il peut donc s'agir d'une vue d'ensemble du contexte de l'entreprise, donnant un aperçu de ce que fait l'organisation. Thomas Humphre: Donc, les produits et services qu'elle fournit, peut-être les zones géographiques dans lesquelles l'organisation opère. Thomas Humphre: Puis, on descend vers des détails plus précis concernant les processus fondamentaux qu'elle utilise. Thomas Humphre: Donc les processus d'évaluation des risques, les processus qui permettent la surveillance, les processus d'information et de communication, l'environnement de contrôle lui-même. Thomas Humphre: Nous pouvons ensuite approfondir un peu plus certaines des capacités techniques de l'organisation. Thomas Humphre: Donc, si elle utilise des systèmes de surveillance des événements, si elle effectue des évaluations de vulnérabilité et des tests de pénétration, et si elle effectue des sauvegardes d'informations et le type de systèmes de sauvegarde qu'elle utilise. Thomas Humphre: Au début, cela peut sembler assez impressionnant quand on voit la quantité d'informations, car cela peut vraiment aller très loin, et certains organismes d'audit indépendants choisissent d'aller à ce niveau de détail, ce qui reflète dans certains cas la complexité de l'organisation. Thomas Humphre: Pourquoi est-ce important ? Thomas Humphre: Eh bien, évidemment, lorsque nous recevons un rapport d'un fournisseur, l'un des éléments clés dont nous devons nous assurer est que le périmètre qui a été évalué correspond ou s'aligne sur le périmètre des services que le tiers nous fournit, le type de produit et de service et la prestation de services.
Thomas Humphre: Euh, si le champ d'application dépasse en fait le cadre et est très clairement délimité pour une partie différente des opérations plutôt que ce que cette troisième partie nous fournit. Thomas Humphre: Cela évitera une divergence et présentera alors une perspective complètement différente sur la manière dont nous interagissons avec ce tiers. Thomas Humphre: En particulier s'il existe des systèmes dont nous savons qu'ils n'ont pas été couverts, euh, qui n'ont pas été évalués en termes de contrôles de sécurité ou de contrôles de confidentialité, par exemple. Thomas Humphre: Si cela n'est pas déjà mentionné dans le résumé de l'auditeur, il y aura une section qui abordera le champ d'application du rapport, et c'est l'un des éléments les plus importants à identifier en premier lieu. Thomas Humphre: car elle détaillera les groupes de contrôle exacts qui ont été évalués par l'auditeur. Thomas Humphre: Comme nous le verrons bientôt, il existe cinq groupes de contrôle et, à ce stade, nous aurons une idée de savoir si les cinq ont été identifiés, si l'un d'entre eux a été évalué ou si plusieurs l'ont été entre-temps. Thomas Humphre: Passons maintenant aux activités de contrôle et à la validation de l'audit. Thomas Humphre: C'est là que nous entrons dans les détails de ces contrôles et que nous commençons à identifier ce qu'est le contrôle, comment l'entreprise a réagi ou utilisé ce contrôle, puis la réponse de l'auditeur à son point de vue et son analyse des contrôles, et s'il y a des exceptions ou non qui sont également prises en compte. Thomas Humphre: S'il y a des exceptions, et j'expliquerai plus tard ce qu'est une exception, il y aura également une forme de réponse de la direction dans le rapport. Thomas Humphre: Et c'est assez critique, car lorsque nous examinons les activités de contrôle et que nous comptons et identifions les exceptions qui ont été identifiées. Thomas Humphre: À ce stade, il peut déjà s'agir d'un contrôle qui a été géré, car la réponse de la direction permet à l'organisation d'expliquer s'il existe déjà un plan d'action pour traiter les conclusions qui ont été soulevées. Thomas Humphre: Il se peut qu'il y ait des précisions supplémentaires, de sorte qu'un contrôle qui peut être considéré comme une exception et qui n'est pas visible ait en fait été pris en compte ailleurs.
Thomas Humphre: C'est donc un bon point et une bonne occasion pour la direction de reconnaître, de mettre en place et de consigner l'approche que l'organisation va adopter, ou de valider et de vérifier les contrôles et les activités qui ont déjà été mis en place. Thomas Humphre: Ainsi, dès que nous recevons un nouveau rapport SOC, si nous pouvons déjà identifier ces cinq domaines à partir du résumé, en passant par la portée des activités de contrôle et les réponses éventuelles, cela devrait déjà nous mettre dans une bien meilleure position pour aller au cœur de ce qui a été capturé et couvert, et déterminer s'il existe des risques dont nous devons tenir compte. Thomas Humphre: J'ai donc mentionné à plusieurs reprises les cinq critères de service de confiance et j'ai souligné que les organisations sont en mesure de définir leur champ d'application sur la base de ces critères transversaux. Thomas Humphre: Nous avons donc cinq groupes clés : la sécurité, la confidentialité, le traitement, l'intégrité, la disponibilité et la vie privée. Thomas Humphre: Quels sont ces cinq groupes ? Thomas Humphre: Comme je l'ai mentionné, à l'instar de l'ISO et du NIST, il s'agit de groupes de haut niveau sous lesquels se trouvent une série de contrôles auxquels les organisations sont ensuite évaluées. Thomas Humphre: Passons en revue chacun d'entre eux. Thomas Humphre: En matière de sécurité, nous examinons les contrôles visant à protéger contre les accès non autorisés, la fermeture non autorisée de disques contenant des informations et les dommages causés aux systèmes. Thomas Humphre: Presque tous les rapports SOCK 2 incluent donc la sécurité dans leur champ d'application. Thomas Humphre: Bien qu'il appartienne aux organisations de déterminer les groupes de contrôles qu'elles souhaitent couvrir, en concertation avec les auditeurs et l'organisme d'audit, nous constatons le plus souvent que la sécurité, qui est le groupe de contrôles le plus important, est également celui qui est le plus couvert. Thomas Humphre: De quel type de contrôles s'agit-il ? Thomas Humphre: Donc, la protection contre les accès non autorisés, la divulgation d'informations et les dommages causés aux systèmes. Thomas Humphre: Nous examinons donc tout, de l'accès logique et physique au chiffrement et à la sauvegarde des données, en passant par certains contrôles de gouvernance, la définition des rôles et des responsabilités, les cadres de gestion des risques et d'autres contrôles physiques et logiques similaires. Thomas Humphre: C'est donc très axé sur la technologie.
Thomas Humphre: Il y a une forte orientation vers la sécurité, mais il existe un regroupement entre les contrôles de confidentialité du côté de la gouvernance et ceux du côté technique pour protéger les informations conçues ou identifiées comme confidentielles. À ce stade, j'ajouterai également le dernier groupe de contrôle, celui de la vie privée.Il existe une différence subtile entre les deux types de confidentialité, car, comme on peut s'y attendre, l'accent est mis sur les données personnelles, c'est-à-dire les informations personnelles identifiables, les données sensibles, les données médicales et toutes les données considérées comme personnelles. L'accent est donc mis sur les contrôles visant à protéger la sécurité et le traitement de ces données. Thomas Humphre: Euh, par exemple, la mise en place de responsables du contrôle des données et de mesures de réponse en cas de violation des données. Thomas Humphre: La confidentialité, en revanche, se concentre davantage sur les informations qui ne sont pas considérées comme des données personnelles. Thomas Humphre: Il peut s'agir d'informations confidentielles de l'entreprise. Thomas Humphre: Il peut s'agir d'informations exclusives, de propriété intellectuelle, d'autres informations ou de systèmes d'information classés sous le signe de la confidentialité. Thomas Humphre: Les contrôles se concentrent donc ici sur la protection de ces informations confidentielles. Thomas Humphre: Il s'agit donc de les protéger contre la destruction, de les protéger en termes de traitement et de stockage. Thomas Humphre: Il y a donc une différence subtile. Thomas Humphre: Il y a une distinction claire pour les entreprises qui choisissent ce groupe de contrôle. Thomas Humphre: Passons ensuite à l'intégrité et à la disponibilité du traitement. Thomas Humphre: L'intégrité... Encore une fois, toute personne ayant une mentalité ISO reconnaîtra ces termes. Thomas Humphre: Il s'agit donc de l'assurance qualité des données. Thomas Humphre: Il s'agit donc de s'assurer que le traitement du système est précis, opportun et valide, que les informations et les systèmes sont disponibles et accessibles à tout moment. Thomas Humphre: Du point de vue de l'intégrité du traitement, il faut donc s'assurer que la manière dont les données sont traitées et transférées. Thomas Humphre: Il n'y a rien qui interrompt et perturbe la manière dont les données sont structurées, par exemple. Thomas Humphre: En revanche, en matière de disponibilité, il faut s'assurer que les données sont disponibles à tout moment et accessibles à ceux qui en ont besoin. Thomas Humphre: Certains contrôles d'accès sont donc à l'ordre du jour lorsqu'il s'agit d'établir des groupes de contrôle de la disponibilité.
Thomas Humphre: Il est important de rappeler ici que c'est l'organisation qui détermine le champ d'application. Thomas Humphre: Euh, cela soulève une question : pourquoi ne pas couvrir tous les champs d'application ? Thomas Humphre: Pourquoi ne pas couvrir les cinq groupes ? Thomas Humphre: Euh, n'est-il pas vrai que toutes les entreprises devraient respecter la sécurité et la confidentialité ? Thomas Humphre: Et la réponse est non. Thomas Humphre: Bien sûr, c'est à elles d'en décider. Thomas Humphre: Et il y a plusieurs raisons à cela. Thomas Humphre: D'un côté, lorsqu'une organisation se lance dans l'obtention de l'accréditation SOC 2 ou ASTATION, elle doit déterminer où ces contrôles s'intègrent dans son organisation. Thomas Humphre: Ainsi, si, par exemple, compte tenu des produits et services fournis par l'entreprise, celle-ci n'interagit pas avec des données à caractère personnel et ne les traite à aucun titre, il semble logique que les groupes de contrôle de la confidentialité ne soient pas concernés. Thomas Humphre: De même, si l'entreprise gère des systèmes sensibles qui capturent des informations confidentielles sur les clients. Thomas Humphre: Peut-être qu'elle fournit ces systèmes, mais qu'elle saisit également ces informations pour le compte du client. Thomas Humphre: Là encore, il semble logique que le groupe de contrôle de la confidentialité soit inclus. Thomas Humphre: Cela dépend donc beaucoup du champ d'activité de l'entreprise, de l'étendue de ses activités. Thomas Humphre: Mais il est également important de réfléchir à la portée en termes de domaines qui doivent être couverts pour l'accréditation Sock 2. Si, par exemple, dans le cadre d'un contrat, il est nécessaire d'appeler et de recevoir Sock 2 à une station, cela peut être très cloisonné en raison d'un type particulier de produit ou de service, et cette détermination du cloisonnement fait partie de l'activité plutôt que d'être globale.englobant tout, cela peut en soi permettre d'identifier les meilleurs groupes de contrôle qui doivent être capturés et évalués par les auditeurs. Avant de passer à la suite, voici une deuxième question du sondage. Thomas Humphre: Envisagez-vous d'augmenter ou de mettre en place un programme de gestion des risques liés aux tiers dans les mois à venir ? Thomas Humphre: Vous pouvez répondre oui, non ou je ne sais pas trop. Thomas Humphre: D'accord. Thomas Humphre: Cherchez-vous donc à renforcer ou à mettre en place pour la première fois un programme de gestion des risques liés aux tiers au cours des prochains mois ? Thomas Humphre: Passons maintenant aux exceptions et à leur signification dans le concept de la section 2, mais réfléchissons également à la manière dont vous gérez les risques et dont vous interagissez avec votre programme tiers.
Thomas Humphre: Sur cet écran, nous pouvons voir un exemple de critères tirés d'un rapport de contrôle qui capture un contrôle particulier. Thomas Humphre: Dans ce cas, en examinant le CC 3.4 qui provient des critères de service de confiance, nous pouvons voir une ventilation de ce que sont ces critères. Thomas Humphre: Donc, ce que l'organisation est tenue de faire, c'est la réponse de l'organisation. Thomas Humphre: Quels contrôles, quelles politiques, quels processus ont été mis en œuvre pour répondre à ces critères ? Thomas Humphre: Ensuite, les tests effectués par l'auditeur lui-même. Thomas Humphre: Quelles techniques de validation et de vérification, quels tests, quelles inspections ou entretiens ont été effectués pour s'assurer que les déclarations de l'organisation correspondent aux critères, puis les résultats finaux de l'auditeur. Thomas Humphre: Donc, dans le premier cas, si vous regardez l'activité de contrôle, l'entreprise identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne et si l'organisation a déclaré que les changements apportés à la structure et aux opérations de l'entreprise sont pris en compte et évalués dans le cadre d'une évaluation annuelle des risques. Thomas Humphre: L'organisation considère donc les changements commerciaux et opérationnels comme faisant partie de son programme plus large d'évaluation des risques et de ses registres des risques. Thomas Humphre: Étant donné que c'est ce qu'a déclaré l'organisation, nous pouvons voir que les évaluateurs inspectent maintenant les feuilles de travail d'évaluation des risques. Thomas Humphre: Ils ont examiné les dernières analyses et évaluations des risques et ont cherché à vérifier que tout changement dans la structure et/ou les opérations commerciales a été pris en compte et évalué. Thomas Humphre: Dans ce premier cas, nous constatons une exception. Thomas Humphre: Il y a donc un manque de visibilité pour identifier les changements dans la structure ou les opérations de l'entreprise dans le cadre de l'évaluation annuelle des risques. Thomas Humphre: Dans ce cas, l'auditeur est intervenu, il a examiné la documentation sur les risques, il a pris en considération les activités spécifiées par l'organisation, mais il n'a rien trouvé qui valide les déclarations de l'organisation par rapport au premier résultat. Thomas Humphre: Comme vous pouvez le constater, aucune exception n'a été relevée. Thomas Humphre: Ils ont donc à nouveau inspecté l'évaluation des risques. Thomas Humphre: Ils ont inspecté euh l'exigence dans ce cas de changement de l'environnement réglementaire, économique ou physique et ils ont trouvé des preuves suggérant qu'il n'y a pas d'autres exceptions à signaler. Thomas Humphre: Il n'y a pas de problèmes à soulever concernant les non-conformités.
Thomas Humphre: Deuxièmement, nous examinons ici un contrôle différent, dans lequel l'organisation a mis en place une analyse instantanée de la sécurité qui est effectuée pour toute instance critique afin de déterminer l'impact de la cause profonde, d'identifier et de trouver une solution. Thomas Humphre: Et là encore, nous pouvons voir que l'auditeur a indiqué qu'après inspection de la sécurité ou des incidents de sécurité critiques. Thomas Humphre: Aucune cause profonde, aucun impact sur le système ni aucune solution n'ont été documentés. Thomas Humphre: Nous avons donc ici un exemple clair d'une organisation qui déclare : « Voici notre processus de travail. Thomas Humphre: Voici ce que nous faisons et voici les mesures que nous devons prendre. Thomas Humphre: Mais maintenant, nous avons des preuves qui montrent que ces mesures n'ont pas été prises. Thomas Humphre: Maintenant, l'un des éléments clés qu'il est important de noter ici, c'est que cela peut être perçu comme manquant par rapport à d'autres évaluations et types d'évaluation, en dehors de l'exception qui est notée. Thomas Humphre: Il n'y a aucune indication sur la gravité de la situation. Thomas Humphre: Nous avons une déclaration et nous avons une exception. Thomas Humphre: Nous n'avons aucune autre indication permettant de savoir si ces éléments sont essentiels à la mission. Thomas Humphre: S'agit-il de ce que l'on pourrait appeler des risques critiques élevés, moyens ou faibles, ou des risques rouges, quelle que soit la méthodologie utilisée pour définir cette exception ? Thomas Humphre: Et c'est important. Thomas Humphre: Dans le cadre des évaluations SOCK 2, nous pouvons trouver et, espérons-le, arriver à un stade où nous pouvons consolider une liste des différentes exceptions, s'il y en a, que l'auditeur a identifiées. Thomas Humphre: Mais nous ne pouvons pas aller jusqu'à nous demander si l'auditeur a considéré cela comme un risque critique, et c'est là que les intégrer dans notre propre programme de gestion des risques peut aider à définir cela. Thomas Humphre: Il y a bien sûr des cas où nous voyons dans les rapports Sock 2 qu'aucune exception n'est signalée, ce que l'on pourrait appeler un bilan de santé parfait. Thomas Humphre: L'auteur est intervenu et n'a identifié aucun contrôle qui n'ait été conçu de manière efficace ou dont l'efficacité opérationnelle soit solide. Thomas Humphre: Le contrôle a démontré et atteint les objectifs fixés. Thomas Humphre: Enfin, euh, avant de passer à autre chose, en examinant les résultats des tests eux-mêmes, comme ces informations proviennent directement de l'auditeur, nous constaterons toujours une légère différence dans la manière dont les résultats des tests sont présentés. Thomas Humphre: Il n'y a donc pas de règle stricte ou immuable en ce qui concerne le niveau de détail que vous souhaitez obtenir.
Thomas Humphre: Dans ces cas-là, ce qu'ils ont vu ou ce qu'ils n'ont pas vu est assez clair, en fonction du contrôle exercé par l'organisation. Thomas Humphre: Donc, ce qu'ils ont déclaré avoir. Thomas Humphre: Dans certains cas, vous disposerez de moins d'informations. Thomas Humphre: Évidemment, plus les informations sont détaillées en termes de type d'inspection et de processus de vérification, plus les résultats des tests sont détaillés, plus il sera facile d'intégrer ces exceptions dans notre programme de gestion des risques plus large, puis lorsque nous commencerons à collaborer avec le tiers. Thomas Humphre: Donc, lorsque nous réfléchissons à la manière d'intégrer ces exceptions dans notre propre plateforme de gestion des risques, nos propres processus de gestion des risques. Thomas Humphre: Tout d'abord, nous devons réfléchir à ce niveau de détail. Thomas Humphre: Donc, lorsque les informations fournies par les auditeurs dans le rapport sont suffisamment détaillées, qu'il y a des réponses de la direction et qu'ils ont peut-être donné plus de détails sur les aspects des résultats qu'ils ont obtenus. Thomas Humphre: Hum, si l'entreprise a déjà dit qu'elle comprenait la marche à suivre. Thomas Humphre: Nous avons ajusté notre processus pour nous assurer que les détails nécessaires sont pris en compte dans le cadre des tickets instantanés et il y a peut-être des éléments manuels et ludiques que nous avons ajoutés dans les contrôles pour appliquer ce niveau de détail qui ne fera qu'aider notre processus lorsqu'il s'agit de prendre ces exceptions et de les intégrer dans notre processus de gestion des risques. Thomas Humphre: Donc, quand nous parlons de cartographier les exceptions par rapport aux risques. Thomas Humphre: Qu'entendons-nous par là ? Thomas Humphre: Eh bien, parce que l'auditeur n'a pas fourni suffisamment de détails pour déterminer s'il s'agit d'un risque critique élevé, moyen ou faible, d'une exception ou d'une indication des scores d'impact, de la probabilité ou de certains des termes standard que l'on attend dans la gestion des risques. Thomas Humphre: C'est là que nous cherchons à tirer parti de nos propres outils et processus de gestion des risques existants. Thomas Humphre: Ainsi, si nous disposons d'un processus qui suit les meilleures pratiques telles que la norme ISO 31 000 ou le cadre de gestion des risques du NIST, nous avons peut-être déjà une structure claire pour identifier un score d'impact et un score de probabilité et attribuer une note de risque globale, ou nous utilisons un système de type « feux tricolores » pour indiquer le niveau de criticité.
Thomas Humphre: Donc, si nous disposons déjà de ces outils, il sera alors plus facile de prendre ces risques et de dire, sur la base de ce que l'auditeur a dit, qu'il n'y a pas d'exception, considérons-nous cela comme un risque critique ou un risque faible, par exemple ? Thomas Humphre: Et bien sûr, plus cet outil de gestion des risques est bien établi, plus nous pouvons entrer dans les détails pour justifier pourquoi nous avons soulevé et calculé le risque de cette manière. Thomas Humphre: Un aspect pour lequel nous constatons que des rapports SOCK 2 sont demandés est lorsque l'organisation envoie des évaluations à des tiers, des évaluations ou des enquêtes liées à un groupe de contrôle particulier. Thomas Humphre: Par exemple, ou ou ou des normes et des bonnes pratiques. Thomas Humphre: Ainsi, dans le cas où, par exemple, nous voyons des enquêtes ISO 27,01 ou CIS envoyées à des organisations, puis un rapport SOCK 2 reçu en retour parce que le fournisseur dit qu'il n'a pas le temps de remplir une longue évaluation ou avant que nous envoyions votre évaluation. Thomas Humphre: Nous avons ce rapport SOP 2 qui démontre les meilleures pratiques que nous avons mises en œuvre et nous pensons que cela est suffisant avant de procéder à l'évaluation. Thomas Humphre: Donc, s'il existe déjà une structure claire en termes d'attentes selon laquelle 27,01 ou CIS ou d'autres cadres doivent être utilisés pour évaluer les fournisseurs lorsque nous introduisons des exceptions telles que les deux ci-dessus, comme nous l'avons vu. Thomas Humphre: nous pouvons déjà commencer à les mettre en correspondance avec ces normes. Thomas Humphre: Ainsi, si nous considérons, par exemple, l'absence d'analyse des causes profondes, un processus de gestion des incidents de sécurité médiocre ou un système de tickets d'incidents de sécurité médiocre comme un risque critique, car cela est considéré comme un contrôle obligatoire dans notre évaluation ISO ou notre évaluation CIS. Thomas Humphre: Cela nous aidera à juger et à fournir une explication claire des raisons pour lesquelles ce risque est répertorié comme critique. Thomas Humphre: par exemple, élevé ou moyen. Thomas Humphre: Ainsi, en tirant parti des outils de gestion des risques existants dont vous disposez, en identifiant l'impact et la probabilité, nous pouvons attribuer des scores de risque raisonnables en tenant compte des mesures de gestion existantes qui peuvent être prises ou qui pourraient être prises par l'organisation. Thomas Humphre: Et enfin, nous pouvons commencer à attribuer les tâches liées à la gestion de l'évaluation. Thomas Humphre: Ainsi, dans le cas où des exceptions ont été soulevées et identifiées.
Thomas Humphre: Cependant, euh, la direction n'a pas réagi ou a simplement déclaré qu'elle prendrait des mesures pour résoudre le problème. Thomas Humphre: Nous devons commencer à réfléchir à la manière dont nous avons intégré ces exceptions dans notre plateforme. Thomas Humphre: Comment pouvons-nous désormais collaborer avec nos fournisseurs pour nous assurer que ces actions, ces risques ou ces non-conformités sont gérés efficacement et résolus ? Thomas Humphre: Il s'agit donc de transformer les exceptions en risques. Thomas Humphre: Une fois que vous avez cerné le risque. Thomas Humphre: Nous avons identifié le calcul et le niveau ou la cote de risque que nous voulons appliquer. Thomas Humphre: Nous pouvons alors commencer à examiner d'autres aspects qui nous aideront à élargir l'exception et à obtenir un cas plus large qui facilitera grandement le processus d'engagement avec le tiers. Thomas Humphre: Tout d'abord, pouvons-nous le mettre en correspondance avec les normes qui sont essentielles pour nous ? Thomas Humphre: J'ai donné l'exemple de la norme ISO 27 000. Si cette norme comporte déjà des contrôles clés clairs, nous pouvons y rattacher cette exception, ce qui facilitera la tâche lorsque nous commencerons à nous engager et à identifier certaines des recommandations ou mesures correctives. Thomas Humphre: Existe-t-il des types de risques dans notre propre registre des risques auxquels nous pouvons appliquer ce risque ? Thomas Humphre: Pouvons-nous donc appliquer des balises et des types de risques autour de la gestion des incidents autour de contrôles SOC 2 particuliers ? Si nous avons effectué ce type de mise en correspondance, disposons-nous d'un registre des risques standard dans lequel nous pouvons intégrer tous ces risques afin que, lorsque nous commencerons à recevoir davantage de rapports SOC 2, nous puissions commencer à effectuer davantage d'analyses de tendances et à avoir une vue d'ensemble, en particulier lorsqu'il existe des risques et des exceptions similaires. Thomas Humphre: Développer le risque lui-même. Thomas Humphre: Pouvons-nous donc appliquer un nom de risque, une description et une responsabilité du risque ? Thomas Humphre: Donc, si nous avons constaté un risque à partir de l'exception signalée par l'auditeur. Thomas Humphre: Disposons-nous de suffisamment d'informations pour déterminer pourquoi il s'agissait d'un risque ? Thomas Humphre: S'agit-il, par exemple, d'une lacune évidente dans le processus ? Thomas Humphre: Y a-t-il un aspect particulier du contrôle qui faisait défaut ? Thomas Humphre: Pouvons-nous donc commencer à étoffer la description et la compréhension de l'origine de ce risque, de l'endroit où il a été établi ? Thomas Humphre: Hum, et puis la responsabilité du risque est bien sûr une fonction particulière au sein de l'entreprise à laquelle nous devons nous adresser. Thomas Humphre: Hum, avec qui devons-nous commencer à discuter pour établir un calendrier de correction des risques ?
Thomas Humphre: Donc, transformer cette exception en un risque plus large sur votre plateforme nécessite plusieurs étapes. Thomas Humphre: Mais comme je l'ai mentionné au début, cela dépend en grande partie du niveau de détail du rapport SOC 2. Thomas Humphre: Il peut bien sûr y avoir des cas où l'auditeur n'a pas capturé autant de détails. Thomas Humphre: Évidemment, nous ne pouvons pas revenir en arrière et parler aux auditeurs. Thomas Humphre: C'est quelque chose d'indépendant et, bien sûr, le rapport a déjà été publié et finalisé. Thomas Humphre: Mais évidemment, si les informations sont insuffisantes, nous pouvons toujours commencer à saisir certains de ces détails, mais c'est à ce moment-là que nous devons faire appel à un tiers, peut-être à un stade plus précoce, afin d'obtenir plus de détails pour comprendre d'où viennent les actions, quelles sont les activités en cours. Thomas Humphre: Nous pouvons ainsi commencer à remplir notre propre registre des risques, notre propre processus de gestion des risques liés aux tiers, avec les détails pertinents sur la manière dont il a été établi et les raisons pour lesquelles il l'a été, ainsi que les mesures actuellement prises par l'organisation. Thomas Humphre: Avant de passer à la question suivante, voici la troisième question du sondage. Thomas Humphre: Qu'est-ce qui vous a incité à participer à ce webinaire aujourd'hui ? Thomas Humphre: Est-ce à des fins éducatives ? Thomas Humphre: Donc, purement pour l'expérience éducative et simplement pour en savoir plus sur la recherche du projet Sock Sock 2 d'un projet TPRM à venir. Thomas Humphre: Peut-être avez-vous déjà commencé votre programme TPR et avez-vous identifié que Sock 2 est un domaine dans lequel vous allez voir beaucoup de traction, ou peut-être demandez-vous des évaluations Sock 2 à vos fournisseurs, ou vous utilisez cela comme un facteur clé pour évaluer les fournisseurs. Thomas Humphre: Je ne sais plus vraiment pourquoi je suis ici ni comment j'en suis arrivé là. Thomas Humphre: Euh, il devrait y avoir un sondage qui s'affiche à l'écran. Thomas Humphre: Donc, euh, si vous pouvez entrer votre réponse appropriée. Thomas Humphre: Merci. Thomas Humphre: Nous en sommes donc arrivés au stade où nous avons établi ce rapport OPT. Thomas Humphre: Nous l'avons reçu. Thomas Humphre: Nous avons compris les détails, les exceptions et la portée. Thomas Humphre: Nous avons déterminé que la portée correspond à ce que le fournisseur nous fournit comme produit ou service. Thomas Humphre: Nous avons maintenant identifié les exceptions qui ont été relevées et nous en sommes arrivés au stade où nous les enregistrons dans notre propre registre des risques, avec, espérons-le, suffisamment de détails pour pouvoir commencer à collaborer avec le tiers. Thomas Humphre: Passons maintenant à la remédiation.
Thomas Humphre: Alors, que faisons-nous maintenant ? Thomas Humphre: Nous avons ces actions, euh, qui peuvent ou non faire l'objet d'une réponse de la direction. Thomas Humphre: Nous devrions donc commencer dès maintenant à élaborer un plan d'action qui nous permettra de remédier à ces deux exceptions. Thomas Humphre: Nous avons donc quatre décisions clés à prendre et trois actions à envisager. Thomas Humphre: Tout d'abord, les exigences minimales ou obligatoires. Thomas Humphre: Y a-t-il des exigences obligatoires de la part de l'entreprise ? Thomas Humphre: Qu'entendons-nous par là ? Thomas Humphre: J'ai mentionné dès le début qu'il pourrait y avoir des évaluations de sécurité que vous avez déjà lancées ou que vous envisagez de lancer auprès du fournisseur. Vous avez déjà une idée de ce que fait le fournisseur, de ce qu'il vous fournit, et à travers ce processus, avez-vous identifié des contrôles obligatoires que vous attendriez d'une organisation qu'elle mette en place par défaut ? Thomas Humphre: Je pense ici à l'exception concernant l'insuffisance ou la mauvaise qualité de la réponse aux incidents et la manière dont les incidents sont enregistrés ou ne sont pas enregistrés. Thomas Humphre: Si vous considérez cela comme une bonne pratique que chaque organisation devrait mettre en œuvre. Thomas Humphre: Cela peut être considéré comme une exigence obligatoire, ce qui met davantage l'accent sur la manière dont elle est corrigée ou le délai dans lequel elle est corrigée. Thomas Humphre: Y a-t-il des meilleures pratiques que l'organisation suit ? Thomas Humphre: Existe-t-il des normes industrielles, qu'elles proviennent des régulateurs, de la législation ou des meilleures pratiques industrielles, ou même que l'organisation elle-même ait décidé que ce sont les domaines qu'elle souhaite suivre ? Thomas Humphre: S'il existe des meilleures pratiques telles que les normes ISO et NIST dans le monde et SIG aux États-Unis. Thomas Humphre: Cela peut-il aider à identifier ces exigences obligatoires et ce qui est requis ? Thomas Humphre: Quel type de remédiation est nécessaire ? Thomas Humphre: Les délais sont ici essentiels. Thomas Humphre: Dans quel délai le risque doit-il être traité ? Thomas Humphre: Si, grâce à notre processus d'identification des risques, nous avons identifié que ces exceptions sont classées comme des risques critiques, en particulier lorsqu'elles sont encore ouvertes et que la réponse de la direction à leur égard est que nous sommes encore en train de les traiter ou que nous sommes encore en train d'examiner ces exceptions.
Thomas Humphre: Nous devons commencer à réfléchir au délai que nous devrions fixer aux tiers, à la fois pour obtenir une réponse immédiate quant aux mesures qu'ils comptent prendre, puis pour connaître le délai dans lequel ils prévoient de mettre en œuvre, d'ajuster ou de mettre à jour les contrôles. Thomas Humphre: Dans quel délai pouvons-nous espérer que ces risques soient traités ? Thomas Humphre: Et enfin, les décisions ou les mesures qui en découlent. Thomas Humphre: Que deviennent les risques corrigés ? Thomas Humphre: À quel moment et à quelle étape pouvons-nous dire que nous avons identifié l'exception ? Thomas Humphre: Nous l'avons classée du point de vue des risques. Thomas Humphre: Nous avons fait appel à un tiers et nous avons indiqué ce que nous attendons, ou nous sommes parvenus à un accord avec le tiers sur les mesures d'atténuation à prendre. Thomas Humphre: Quel est le point de décision final ? Thomas Humphre: Pouvons-nous atteindre un stade, en fonction de notre propre appétit pour le risque et de nos critères d'acceptation du risque, où nous pouvons éliminer le risque ou le réduire à un niveau acceptable ou approprié ? Thomas Humphre: Lorsque vous envisagez de remédier à une vulnérabilité, il y a plusieurs points clés à prendre en compte. Thomas Humphre: Une fois que nous avons défini et identifié les meilleures pratiques en matière de sécurité, s'il s'agit d'un contrôle obligatoire et s'il existe des mesures claires que nous attendons d'un tiers. Thomas Humphre: Ces exigences ou mesures correctives attendues peuvent alors être intégrées dans un rapport de risque plus large et, bien sûr, communiquées de manière appropriée au tiers. Thomas Humphre: Dans ce cas, il faut réfléchir à l'absence d'impact sur le système ou de résolution de la cause profonde qui est documentée dans les tickets d'incident de sécurité. Thomas Humphre: Nous pouvons élaborer une mesure corrective qui stipule que nous exigeons des fournisseurs qu'ils identifient l'impact causé aux opérations commerciales. Thomas Humphre: La cause profonde des incidents et les mesures prises pour les résoudre doivent être documentées, et chaque ticket ou enregistrement d'incident doit clairement indiquer les mesures prises. Thomas Humphre: Enfin, nous avons peut-être besoin qu'ils embellissent ou améliorent la méthode de communication et de traitement des tickets instantanés. Thomas Humphre: Il s'agit donc de sensibiliser le personnel chargé de la communication à la gestion des incidents.
Thomas Humphre: Nous avons donc réfléchi à la cause profonde de ce problème et avons identifié une recommandation ou un plan de remédiation approprié que vous pouvez ensuite transmettre au tiers. Une fois l'accord conclu entre les deux organisations, nous pouvons désormais commencer à surveiller cette mesure corrective jusqu'à son achèvement ou jusqu'à ce que nous estimions que ce risque, d'un point de vue de notation, peut être réduit ou éliminé, car le tiers a mis en œuvre suffisamment de mesures pour que ce risque n'existe plus. Thomas Humphre: Nous avons donc recueilli beaucoup d'informations détaillées sur ce qu'est un rapport SOC 2. Thomas Humphre: Et certaines des étapes clés que nous devons examiner. Thomas Humphre: Il y a quelques points que j'aimerais réitérer ici. Thomas Humphre: En particulier ceux qui viennent de se lancer dans un programme de gestion des risques liés aux tiers et ceux qui commencent à recevoir ou s'attendent à recevoir des rapports SOC 2. Thomas Humphre: Tout d'abord, du point de vue de la gestion des risques, évaluez vos exigences en matière de gestion des risques liés aux tiers. Thomas Humphre: Déterminez donc où ces pratiques sont nécessaires et où les normes sont respectées. Thomas Humphre: Avons-nous déjà une approche claire, une évaluation claire de la sécurité, un cadre de sécurité que nous mettons en place pour les tiers ou que nous utilisons pour auditer les tiers ? Thomas Humphre: Si c'est le cas, avons-nous établi une correspondance appropriée avec ces normes, de sorte que lorsque vous recevez un rapport SOC 2, nous disposons d'orientations claires quant aux exceptions qui pourraient être soulevées. Thomas Humphre: elles correspondent à notre évaluation de la sécurité de l'information. Thomas Humphre: Déterminez les exigences minimales. Thomas Humphre: S'agit-il de contrôles obligatoires que vous attendez de tous les tiers qu'ils mettent en œuvre ou qu'ils aient en place ? Thomas Humphre: Ces contrôles sont-ils dictés par ces normes de bonnes pratiques ? Thomas Humphre: Peut-être sont-ils dictés par l'ensemble du secteur ou par les régulateurs, en fonction de ce qui se passe dans le secteur. Thomas Humphre: Et cela devient en fait une approche très cyclique. Thomas Humphre: Vous examinez donc en permanence si ces meilleures pratiques répondent à nos objectifs et à nos besoins en matière d'évaluation de nos tiers. Thomas Humphre: Utilisons-nous les bonnes normes ? Thomas Humphre: Utilisons-nous les bons contrôles ?
Thomas Humphre: Euh, ces exigences minimales ou contrôles obligatoires que nous avons identifiés dès le départ sont-ils toujours d'actualité ? Thomas Humphre: Euh, ou devons-nous ajuster et identifier des contrôles supplémentaires auxquels nous attendons de nos fournisseurs qu'ils se conforment ? Thomas Humphre: Et enfin, pouvons-nous mettre en correspondance ces deux exigences Sock Two avec les critères de confiance ? Thomas Humphre: Une fois que nous aurons fait cela, nous examinerons l'évaluation réelle des rapports Sock Two eux-mêmes. Thomas Humphre: Ainsi, une fois que vous aurez reçu ce rapport Sock 2, nous pourrons identifier dans le rapport la portée qui a été utilisée et les exceptions qui ont été notées. Thomas Humphre: La portée répond-elle à nos attentes concernant ce qui est fourni par le tiers ? Thomas Humphre: La commande a-t-elle fourni des indications sur les exceptions à la règle, les lacunes dans les processus, les politiques et les systèmes ? Thomas Humphre: Une fois que nous avons identifié cela, pouvons-nous en arriver à un stade où nous pouvons extraire ces exceptions et les intégrer dans notre programme de gestion des risques liés aux tiers ? Thomas Humphre: Nous les consignons donc dans des rapports sur les risques, dans le profil de risque de chaque fournisseur, afin de les aligner sur notre méthode de calcul des risques. Thomas Humphre: Enfin, assurez-vous de mettre en place un processus qui gère ces exceptions afin de garantir un résultat correct, un traitement correct des risques et un résultat positif, obtenu grâce à la correction des risques, puis grâce à ce niveau d'engagement avec la partie concernée. Thomas Humphre: Il convient également de noter, pour finir, qu'à partir d'un rapport SOCK 2 que j'ai mentionné au début, il y aura toujours des cas où aucune exception ne sera signalée. Thomas Humphre: L'auditeur est donc intervenu, il a examiné un ou plusieurs groupes de contrôle et tout est en ordre. Thomas Humphre: Nous constatons cela en particulier dans certaines grandes organisations, notamment celles où le rapport SOCK 2 a été réalisé année après année. Thomas Humphre: C'est donc devenu un processus assez mature. Thomas Humphre: Cela ne veut pas dire pour autant que le rapport n'a plus aucune valeur. Thomas Humphre: Il offre évidemment une autre façon d'utiliser ces informations dans le cadre de notre TPRM. Thomas Humphre: Mais c'est certainement un résultat très positif que nous pouvons utiliser pour peut-être démontrer et identifier les meilleures pratiques adoptées par certaines de ces organisations.
Thomas Humphre: En particulier si nous voulons ensuite voir où se situent les tendances et analyser les tendances entre les fournisseurs similaires qui nous fournissent des rapports sur les chaussettes. Thomas Humphre: Pour finir, je voudrais juste faire une remarque du point de vue de Preven. Thomas Humphre: Preven a donc développé une liste de contrôle pour la gestion des risques liés aux chaussettes et aux tiers, qui traite des principes des services de confiance, cartographie les capacités T prime, mais explique également comment simplifier les rapports de conformité. Thomas Humphre: C'est un document facile à lire, disponible et téléchargeable gratuitement via le lien que vous voyez sur la page. Thomas Humphre: Cela conclut mon webinaire. Thomas Humphre: Je voudrais maintenant passer aux questions. Thomas Humphre: Nous avons déjà reçu quelques questions. Thomas Humphre: L'auditeur Sock assure-t-il un suivi auprès de l'entreprise par le biais d'une médiation pour toute exception, toute exception de contrôle constatée ? Thomas Humphre: L'auditeur Sock assure-t-il un suivi auprès de l'entreprise par le biais d'une médiation pour toute exception de contrôle constatée ? Thomas Humphre: Bonne question. Thomas Humphre: Comme nous l'avons déjà indiqué, le Sock fournira ce rapport détaillé et une liste des exceptions. Thomas Humphre: Dans le cas typique, euh, dans le cas typique, les deux rapports de l'auditeur seront euh réalisés une fois, puis ils seront répétés sur une base annuelle. Thomas Humphre: Il est courant de voir des entreprises être examinées et évaluées sur une base annuelle ou semestrielle. Thomas Humphre: Euh, il est possible d'être euh évalué plus fréquemment si l'entreprise le souhaite euh ou si cela fait partie euh euh des accords contractuels. Thomas Humphre: Euh, et bien sûr, pendant cette période, oui, le service assurera un suivi auprès de l'organisation afin d'identifier les exceptions relevées la dernière fois. Thomas Humphre: Euh, où des améliorations ont été apportées sur la base des réponses de la direction, euh, et euh, toute information que la direction s'est engagée à améliorer, qu'elle ait été suivie ou non et qu'elle soit complète.
Thomas Humphre: Et dans le cadre de cette évaluation annuelle, les évaluateurs examineront ces résultats, en particulier pour voir ce qui a changé au cours des années suivantes ou s'il y a eu des améliorations, surtout si vous constatez beaucoup d'exceptions dans un domaine particulier. Il peut alors être pertinent pour l'évaluateur d'approfondir ses recherches dans ce domaine particulier lorsqu'il rédige son rapport. Thomas Humphre: C'est un scénario typique que l'on rencontre lorsqu'il y a un problème particulier dans un groupe de contrôle. Thomas Humphre: Par exemple, si nous examinons le groupe de contrôle de sécurité et qu'il existe une série d'exigences en matière de contrôle d'accès et qu'il y a une succession d'exceptions qui ont été... Au moins, il peut être pertinent pour l'évaluateur de faire un suivi auprès de cette organisation et de dire que nous devons examiner cela plus en détail pour nous assurer que les mesures que vous avez prises ont été couronnées de succès et que nous sommes arrivés à un stade où le processus fonctionne désormais efficacement et est également efficace. Thomas Humphre: Euh, oui, il y a un suivi de la part de l'auditeur, euh, au moins une fois par an, mais dans certains cas, cela peut être plus fréquent. Thomas Humphre: Euh, nous avons une deuxième question ici. Thomas Humphre: La constatation d'exceptions signifie-t-elle automatiquement la délivrance d'une opinion avec réserve ? Thomas Humphre: La constatation d'exceptions signifie-t-elle automatiquement la délivrance d'une opinion avec réserve ? Thomas Humphre: C'est une question intéressante. Thomas Humphre: Euh, parce qu'il existe deux types d'opinions qui peuvent être émises, à savoir une opinion sans réserve et une opinion avec réserve. Thomas Humphre: Euh, et il est intéressant de comprendre ce que cela signifie réellement ou ce qui est considéré comme un rapport ou une opinion avec réserve ou sans réserve. Thomas Humphre: Donc, euh, la réponse est que cela dépend de l'exception. Thomas Humphre: Il peut donc y avoir des cas où des exceptions sont euh euh relevées et soulevées et qui sont très graves ou très sérieuses. Thomas Humphre: Un exemple parfait de cela est lorsqu'un processus a été documenté, mais qu'il n'y a aucune preuve suggérant que ce processus fonctionne, en particulier lorsque vous examinez le type deux et l'efficacité opérationnelle. Thomas Humphre: Cela peut donc être un problème assez grave.
Thomas Humphre: D'un autre côté, il peut y avoir des exceptions, mais le processus peut tout de même fonctionner. Thomas Humphre: Ainsi, toute personne ayant une mentalité ISO peut entendre les mots « observations », « non-conformités mineures et majeures », et c'est un processus similaire. Thomas Humphre: Donc, s'il y a des problèmes qui ont été soulevés et qu'il y a des aspects d'un processus, d'une politique ou d'un contrôle qui doivent être améliorés, mais qui n'ont pas eu d'impact négatif sur l'ensemble de l'organisation, cela fera la différence entre l'émission d'une opinion avec réserve. Thomas Humphre: Donc, si un rapport de conformité est émis, il vaut probablement la peine de mentionner également l'absence de réserve. Thomas Humphre: Ainsi, lorsqu'un rapport de contrôle est émis avec une opinion avec réserve, cela indique essentiellement qu'un ou plusieurs contrôles n'ont pas été conçus de type 1 ou ne fonctionnent pas efficacement de type 2. Thomas Humphre: Donc, s'il s'agit d'un rapport avec réserve, ces exceptions ont été suffisamment importantes pour considérer qu'un ou plusieurs contrôles sont totalement inefficaces. Thomas Humphre: D'un autre côté, une opinion sans réserve ou un rapport sans réserve indique que tous les contrôles qui ont été testés, qu'ils soient de type 1 ou de type 2, fonctionnent efficacement. Thomas Humphre: Dans un tel scénario, il se peut qu'aucun problème n'ait été identifié, qu'il n'y ait aucune exception ou qu'il y ait eu quelques problèmes, mais que ceux-ci n'aient pas eu d'impact négatif. Thomas Humphre: La décision de délivrer une opinion avec réserve ou sans réserve dépend donc en grande partie de la gravité de l'exception que vous déterminez. Thomas Humphre: J'espère que cela vous semble clair. Thomas Humphre: Dernière question. Thomas Humphre: J'ai déjà entendu parler du terme « lettre de transition » pour certaines entreprises. Thomas Humphre: De quoi s'agit-il et remplace-t-elle le rapport SOC 2 ? Thomas Humphre: Hum, question intéressante. Thomas Humphre: Hum, donc une lettre de transition peut être utilisée dans de nombreuses entreprises et elle est essentiellement considérée comme un pont, d'où le terme « transition ». Cela signifie que les données du dernier rapport SOC 2 qui a été réalisé et chaque rapport SOC indiqueront clairement les dates. Thomas Humphre: Mais il peut y avoir un écart entre le dernier rapport Sock qui a été réalisé et le prochain rapport Sock ou l'évaluation Sock qui sera réalisée.
Thomas Humphre: S'il y a un écart important, ce qui signifie généralement un écart de trois mois ou plus, une lettre peut être émise qui constitue essentiellement une validation de la part de l'entreprise indiquant que nous n'avons apporté aucun changement significatif à nos contrôles relevant du champ d'application de notre Sock 2 ou de notre Sock 2 qui a été émis la dernière fois. Thomas Humphre: Il n'y a eu aucun changement opérationnel ou commercial significatif qui ait affecté nos contrôles. Thomas Humphre: Il est donc important de préciser que cela ne remplace pas un rapport SOC 2, mais cela permet de fournir cette assurance, en particulier aux clients, s'il y a un écart important entre les audits SOC 2. Thomas Humphre: Et nous constatons que cela est souvent utilisé dans de nombreuses entreprises, en particulier certaines grandes entreprises, les grandes multinationales qui ont mis en place le Sock 2 depuis de nombreuses années et qui, pour une raison ou une autre, ont constaté un écart entre deux rapports. Il s'agit donc d'un niveau d'assurance publié et signé par l'organisation elle-même, qui n'est pas vérifié par un auditeur, mais qui est fourni par l'organisation. C'est donc quelque chose quiil est toujours intéressant de prendre en considération du point de vue du client, de votre propre point de vue, mais en gardant à l'esprit que cela n'a pas été validé par un auditeur. Il s'agit simplement de la réponse de l'organisation qui dit que nous pouvons confirmer qu'il n'y a pas eu de changement significatif depuis notre dernier Sock Two et en préparation de notre prochaine évaluation prévue. Thomas Humphre: D'accord. Thomas Humphre: Je ne vois pas d'autres questions pour le moment. Thomas Humphre: Si vous avez d'autres questions après ce webinaire, n'hésitez pas à nous les poser et je me ferai un plaisir d'y répondre. Thomas Humphre: Merci. Melissa Lent: Super. Melissa Lent: Merci beaucoup, Thomas, d'avoir participé à cette discussion et d'avoir partagé votre point de vue sur la manière d'analyser l'efficacité des contrôles de sécurité d'un fournisseur et de décoder les rapports SOC 2 de tiers. Melissa Lent: Nous apprécions vraiment toutes vos informations. Melissa Lent: Et à notre public, nous serions ravis que vous vous joigniez à nous pour d'autres webinaires OAG à venir. Melissa Lent: Veuillez surveiller les e-mails de l'OAG concernant ces événements futurs. Melissa Lent: Cela conclut notre webcast d'aujourd'hui. Melissa Lent: Merci beaucoup à tous d'avoir été avec nous.
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.