Répondre à cette question est au moins aussi difficile que de trancher le débat Benzema-Giroud en équipe de France ! En somme l’objectif est le même : marquer des buts mais la façon de le faire risque d’être légèrement différente.
La première chose à comprendre entre ces 2 standards de la sécurité c’est qu’ils sont assez identiques. Disons que l’immense majorité des exigences et mesures de sécurité que vous trouverez dans l’un seront présentes dans l’autre, à de très rares exceptions près.
La bonne nouvelle est donc que l’effort pour votre organisation sera similaire pour l’un ou l’autre ( en somme ça sera long et douloureux 😃) et qu’il sera aisé de se mettre en conformité avec les deux référentiels.
La principale différence se situe plutôt au niveau du processus d’évaluation/certification.
Du côté d’ISO, il s’agit d’un processus de certification. C’est à dire qu’un auditeur se rendra dans votre organisation chaque année pour évaluer la conformité de votre système de management (le fameux SMSI) avec les exigences et principes de la norme. Il évaluera également le niveau de maitrise global de votre système de management, c’est pourquoi il est illusoire de penser pouvoir passer une certification avec un simple outil dédié au SMSI (on en reparle un peu plus tard). A l’issue du processus d’audit, vous aurez (au mieux) votre joli certificat et une déclaration d’applicabilité que vous pourrez transmettre à vos clients (pour peu qu’ils sachent de quoi il s’agit).
En ce qui concerne SOC, il ne s’agit pas d’une certification mais d’un rapport d’évaluation. Certes, l’AICPA (l’organisme ayant rédigé le référentiel) émet des critères d’évaluation mais c’est bel et bien l’évaluation de l’auditeur qui primera lors de la rédaction du rapport.
Dès le rapport rédigé, vous n’avez aucune obligation à faire revenir un auditeur l’année suivante, ce n’est pas une obligation (vous devez simplement réaliser l'équivalent d'un audit interne) toutefois, du point de vue de vos clients, si vous leur partagez un rapport qui date de 5 ans auparavant ils risquent de considérer que c’est un peu léger…
Les + et les - de SOC
Le référentiel SOC est basé sur socle de critères communs (common criteria). A cela, vient s’ajouter des modules complémentaires tels que :
Disponibilité - Availability
Intégrité/effectivité des processus – Processing Integrity
Confidentialité – Confidentiality
Protection de la vie privée – Privacy
A l’inverse du référentiel ISO (qui ne laisse que peu de marge de manoeuvre) vous pouvez avec SOC “commencer” avec les critères communs puis au fur et à mesure ajouter des modules complémentaires. A présent que vous connaissez cette astuce, soyez vigilant lorsque votre fournisseur vous envoie fièrement son rapport SOC et vérifiez quels critères ont été évalués ;).
Il existe 3 types de rapport SOC 2
SOC 2 TYPE 1
Rapport qui consiste a vérifier la mise en oeuvre des mesures de securité sans en vérifier le fonctionnement sur. On pourrait considérer qu’il s’agit d’une déclaration d’intention avant de passer au SOC 2 TYPE 2. Ce type de rapport peut être une bonne alternative pour des sociétés devant apporter des gages rapidement à leurs clients et qui n’auraient pas un très grand niveau de maturité. Toutefois ce type de rapport peut suffire dans un premier temps mais n’est souvent pas suffisant à long terme
SOC 2 TYPE 2
Il s’agit du rapport le plus commun, il détaille avec précision l’ensemble des critères et leur niveau d’implémentation. L’auditeur se basera sur une période de référence (généralement 12 mois) pour vérifier que les processus sont effectifs et efficaces. C’est donc l’assurance pour vos clients que vos mesures ne sont pas seulement des intentions mais une réalité sur le terrain. Le rapport SOC 2 TYPE 2 est donc très complet (parfois même un peu trop) mais il est un atout indéniable lorsqu’il s’agit de rassurer vos clients.
SOC 2 TYPE 3
Il s’agit d’une version allégée du SOC 2 TYPE 2, sorte de vue d’ensemble sans rentrer dans un niveau de détail trop important. Ce type de rapport est souvent utilisé par les grands groupes qui ne souhaitent pas divulger trop de détail sur leur gouvernance de sécurité.
Ne s’agissant d’un processus de certification mais d’évaluation, vous serez soumis à l’appréciation de l’auditeur. On pourrait considérer que SOC est un peu plus “difficile” à obtenir mais dans les faits il n’en est rien. Si vous avez suivi les recommandations de l’AICPA (et d’une bonne aide à l’implémentation) vous n’avez pas de soucis à vous faire.
Dernier point, les cabinets délivrant des rapports SOC sont uniquement des cabinets d’audit financiers, BIG 4 en tête (EY, PwC, Deloitte, KPMG) avec la politique tarifaire qui les accompagne. La fourchette tarifaire pour la rédaction s’étale entre 30K€ et 50K€ pour ces cabinets. D’autres entités (moins prestigieuses mais tout aussi compétentes) proposent des offres plus abordable (autour de 20K€)
Les + et les - d’ISO
Le processus de certification ISO est basé sur le principe d’amélioration continue. Bien qu’il s’agisse d’un référentiel assez monolithique, les auditeurs ont conscience qu’il n’est pas forcément facile pour une organisation de mettre en œuvre à l’état de l’art toutes les exigences dès la première année. Les auditeurs ont donc une approche assez bienveillante, ils vont veiller à ce que toutes les exigences soient couvertes mais ne rentreront pas toujours dans le détail et ne chercheront pas à traquer la non-conformité à tout prix. Ils émettront plutôt des recommandations (caractérisées par des non-conformités mineures, des points sensibles, des opportunités d’amélioration) pour permettre à votre organisation de s’améliorer d’année en année. Cependant, leur niveau d’exigence ira crescendo au fur et à mesure des audits ; c’est pourquoi il est fondamental de ne pas relâcher l’effort une fois le processus d'audit initial terminé sinon c’est la suspension de votre certification assurée.
S’agissant d’un référentiel de certification, ISO27001 ne laisse que peu d’opportunités d’adapter le référentiel à son organisation (tout le référentiel est immédiatement applicable, il n’y pas la possibilité d’ajouter des rubriques au fur et à mesure). Certains experts peuvent s’étrangler en lisant cela, en expliquant que l’on peut rendre certaines mesures de sécurité inapplicables mais dans les faits c’est assez compliqué à justifier (mais pas impossible). Autre différence de taille, certains aspects sont purement normatifs et par conséquent ne seront utiles que pour d’autres organisations également ISO27001.
Dernier point, du point de vue du client final, les seuls éléments que vous aurez à leur présenter seront votre certificat et votre déclaration d’applicabilité (le plan d’assurance sécurité n’est pas une exigence mais plutôt une bonne pratique). Par conséquent, si votre client ou prospect est déjà ISO27001, il saura que vous avez couvert les exigences et mis en œuvre certaines mesures mais sans connaitre le niveau de profondeur de ces mesures et il pourrait être tenté de vous demander des détails complémentaires à votre simple certificat. Si votre client n’est pas ISO27001 c’est encore plus simple, il ne comprendra a priori rien à votre DDA et vous demandera de remplir quand même son doc Excel, avouez que c’est ballot. C’est une des limites qu’on peut trouver à la norme ISO qui est assez binaire : vous êtes certifié ou non. Pour la finesse on repassera.
La territorialité
C’est finalement là que tout se joue entre ces 2 standards car elles n’ont pas la même aura selon que vous soyez du coté EST ou OUEST de l’Atlantique. Si on devait caricaturer : Si votre marché est majoritairement tourné vers l’Amérique du Nord optez pour le référentiel SOC qui a bien plus de valeur là-bas.
Si votre marché est plutôt européen, optez pour ISO27001 (ajoutez ISO27701 pour la partie protection des données personnelles) et cela devrait vous ouvrir nombre de portes.
Ce n’est pas une vérité absolue et il existe des exceptions à tout mais c’est le reflet du marché actuel.
Puis-je être SOC et ISO en même temps ?
Bien sûr, les 2 standards étant très proches vous pouvez tout à fait être conformes sur les 2 référentiels sur la base des mêmes mesures de sécurité. Il existe certaines spécificités mais à la marge, si votre organisation a fait l’effort pour se mettre en conformité avec l’un ou l’autre des référentiels, alors vous ne rencontrerez aucune difficulté à faire un (petit) effort supplémentaire pour couvrir les 2. Certains organismes de certification proposent même de faire votre audit ISO et votre rapport SOC en même temps ce qui peut générer une économie non négligeable.
Quid des logiciels de GRC ?
C’est la grosse tendance du moment, des outils qui vous promettent d’être conformes en 5 jours sur n’importe quel référentiel de sécurité. Alors navré de doucher vos espoirs mais ne rêvez pas trop. Nombre de clients s’étant lancés à l’aveugle dans ce type de solutions ont soit finalement opté pour un accompagnement plus classique, soit se sont royalement vautrés à la certification. La mise en œuvre d’une gouvernance de sécurité de l’information est assez complexe et va toucher à beaucoup de secteurs de votre entreprise (RH, IT, Legal, Direction, Commerce). Bâtir un socle de gouvernance demande un peu d’expérience et nécessite d’être orchestré. Certes ces outils vont vous faire gagner un temps précieux, et automatiser nombre de tâches fastidieuses. Mais si vous ne comprenez pas à quoi cela sert, cela revient à donner un couteau à un poule. Si vous optez pour un accompagnement, veillez à ce que la dimension formation soit intégrée pour capitaliser à long termes.
En synthèse
| + | - |
SOC 2 |
|
|
ISO27001 |
|
|