Le rôle du SOC 2 pour une entreprise de développement
La cybercriminalité coûtera aux entreprises du monde entier 10 500 milliards de dollars par an d’ici 2025, contre 3 000 milliards de dollars en 2015, selon les prévisions des experts (en anglais). Face à l’augmentation des menaces de cybersécurité, il est donc impératif pour une entreprise de développement d’améliorer de façon proactive les protocoles internes afin de garantir la confidentialité et la sécurité des projets clients.
En plus du comité de sécurité déjà établi, nous sommes fiers d’être une entreprise conforme au standard SOC 2 (« System and Organization Controls », ou contrôles des systèmes et des organisations), un standard de conformité élaboré par l’American Institute of Certified Public Accountants (AICPA) pour garantir la cybersécurité de l’entreprise et de nos projets.
Francis Venne, Responsable de la sécurité informatique chez nventive, nous explique concrètement le rôle du SOC 2 dans notre organisation.
Les critères de sécurité du standard SOC 2
SOC 2 est un standard de conformité que les entreprises peuvent passer afin d’établir des pratiques et des contrôles organisationnels pour protéger efficacement la confidentialité et la sécurité des données clients ainsi que leur organisation.
C’est donc un ensemble de politiques, de procédures et de contrôles audités par les CPA auditeurs.
Pour mieux comprendre, voici la définition de ces termes :
- Contrôles : système ou politique pour mitiger un problème.
- Politiques : document écrit qui décrit les choses à faire ou à ne pas faire.
- Procédures : document dictant les étapes à suivre dans une situation donnée.
Le standard SOC 2 comprend cinq critères qui constituent les « Trust Services Criteria » (critères des services de confiance) :
- Sécurité : protéger les données et les systèmes contre les accès non autorisés.
- Confidentialité : limiter à un ensemble spécifique de personnes l’accès et la divulgation des données.
- Intégrité : assurer qu’une donnée ou un système n’a pas été modifié ou détruit de manière non autorisée.
- Disponibilité : garantir l’accessibilité du système comme stipulé dans un contrat comprenant des critères de sécurité.
- Vie privée : protéger tous les renseignements personnels.
Afin d’assurer la conformité au SOC 2, les auditeurs évaluent l’efficacité des contrôles effectués tout au long de l’année.
Une équipe d’experts en cybersécurité
L’équipe Confidentialité et sécurité, composée notamment de Francis Venne, Responsable de la sécurité informatique, de nos spécialistes de l’équipe TI et de notre direction, est donc une équipe pluridisciplinaire solide, qui s’assure que tous les processus SOC 2 sont mis en œuvre au quotidien.
«C’est important d’avoir plusieurs talents qui ont une expérience et des connaissances différentes, ça permet de challenger les idées et de voir les problèmes (et leurs solutions) sous un angle qui est plus proche de leur secteur d’activités. En effet, une équipe de sécurité ne peut pas être efficace si elle ne connait pas la réalité des opérations»
Francis Venne
L’impact de notre certification SOC 2 dans nos projets
La sécurité des données de nos clients est notre priorité. À cet effet, plusieurs contrôles sont effectués lors du développement mobile et Web. Pour tous nos projets, une analyse de risque approfondie est réalisée, un plan de récupération en cas de violation est établi et, enfin, une culture de la sécurité est favorisée en utilisant la pratique agile DevSecOps (développement, sécurité, opérations).
La pratique agile DevSecOps au-delà du SOC 2
Nous conformer au standard SOC 2 nous a offert l’occasion de renforcer et d’optimiser nos pratiques en cybersécurité et selon la pratique DevSecOps.
En se fondant sur une méthodologie agile et itérative, nos experts sont proactifs dans l’identification des risques et la mise en œuvre de processus correctifs pour garantir un environnement sécurisé à nos clients.
Un contrôle est effectué à chacune des étapes du développement logiciel de nos projets :
- Planification : Planifier les tâches et établir des modèles de menace.
- Code : développer au moyen de pratiques fiables et d’un système de révision du code.
- Création : compiler le code source en binaire pour nous assurer qu’il est fonctionnel et tester la qualité du code avant de le diffuser.
- Test : effectuer des tests d’assurance qualité (QA) et d’intégration.
- Sortie : sécuriser l’infrastructure de l’environnement d’exécution.
- Déploiement : résoudre les problèmes de sécurité qui surviennent uniquement dans le système de production en direct après la mise en production.
- Opérations : déployer des outils d’infrastructure en tant que code pour mettre à jour et sécuriser l’ensemble de l’infrastructure.
- Suivi : surveiller en permanence les irrégularités de sécurité.
Établir une culture de la sécurité
Les attaquants évoluent constamment et il est important que les équipes de développement de logiciels évoluent elles aussi. C’est la raison pour laquelle l’équipe Confidentialité et sécurité a également le mandat d’améliorer en permanence notre culture de la cybersécurité. Pour y arriver, celle-ci offre du soutien et des formations, en plus de diffuser les informations et les nouvelles pratiques avec les équipes afin d’offrir un service sécurisé à nos clients. Ceci se matérialise par des formations mensuelles en cybersécurité et des dîners-causeries (Lunch & Learn) sur des sujets précis en matière de cybersécurité.
« Les gens sont plus motivés à être prudents lorsqu’ils comprennent l’impact qu’ils ont sur la cybersécurité de l’entreprise. En plus, c’est plus gratifiant d’enseigner des choses à des équipes que de devoir expliquer après coup ce qu’elles auraient dû faire », conclut Francis.