ISO 27001 et SOC2 : quelle norme choisir ?
Mantra Team
Comparaison - ISO 27001 et SOC2
Comparaison - ISO 27001 et SOC2
Comparaison - ISO 27001 et SOC2
ISO 27001 et SOC 2 sont deux normes répandues et utiles.
Elles permettent de protéger votre entreprise et aussi de communiquer à votre marché le sérieux de votre approche en matière de gestion et de sécurisation des données.
Mais laquelle est la bonne pour votre entreprise ? Pour répondre à cette question, il faut regarder quelles sont les points communs mais surtout les différences entre ces deux standards.
Nos équipes ont préparé un aperçu des normes ISO 27001 et SOC 2, un examen de leurs différences et quelques éléments qui pourraient amener à choisir l’une plutôt que l’autre.
Présentation de l'ISO 27001 et du SOC 2
Qu'est-ce que la norme ISO 27001 ?
La norme ISO 27001 permet à une entreprise d’obtenir une certification qui vient valider la mise en place effective d’un système de management de la sécurité de l’information (Information Security Management System ou ISMS en anglais).
Cette notion est au coeur de cette norme.
Elle vient certifier de l’a mise en oeuvre d’un plan pour assurer la disponibilité, l’intégrité et la confidentialité des données traitées par l’entreprise (surtout les données sensibles comme les informations financières, les données employés, la propriété intellectuelle ou encore les données tierces), sur un périmètre qui couvre les infrastructures IT, les équipes, et les logiciels utilisés.
L’ensembles des standards de la norme ISO 27001 constitue un ensemble de bonnes pratiques pour assurer la gestion de la sécurité des données, sur 3 axes principaux :
- Disponibilité : Les données sont accessibles à des utilisateurs autorisés
- Intégrité : Seuls des utilisateurs autorisés peuvent éditer les données
- Confidentialité : Seuls des utilisateurs autorisés peuvent avoir accès aux données
Qu'est-ce que la certification SOC 2 ?
SOC2, pour “Systems and Organizations Controls 2” est une certification des contrôles de sécurité mis en oeuvre par une entreprise pour protéger les données des clients.
Ces contrôles s’articulent autour de 5 “Trust Services Principles” ou critères de services de confiance (TSC) :
- Sécurité : Protection des systèmes et données contre les risques
- Disponibilité : Disponibilité des systèmes et données
- Intégrité du traitement : Fiabilité du fonctionnement des systèmes
- Confidentialité : Seuls des utilisateurs autorisés peuvent avoir accès aux données
- Données privées : Traitement approprié de données contenant des informations personnelles
A noter qu’il existe deux types de certifications SOC2 : SOC2 Type 1 et SOC2 Type 2.
Dans les deux cas la conformité s’obtient après un audit par un auditeur indépendant. Ces certifications s’articulent de la manière suivante :
- SOC2 Type 1 : Evalue la conception et la mise en place, à un instant donné, des mesures de sécurité
- SOC 2 Type 2 : Evalue l’efficacité opérationnelle de vos contrôles internes sur une période plus longue (au moins 6 mois mais jusqu’à 1 an)
Quelles sont les différences entre ISO 27001 et SOC2 ?
Une étude suggère qu’ISO 27001 et SOC2 partagent quasiment l’ensemble des mêmes contrôles de sécurité. Pourtant, il existe quelques différences notables entre ces deux certifications.
Périmètre
Il y a plusieurs différences entre l’ISO 27001 et le SOC2 mais la principale est le périmètre.
- ISO 27001 : cette norme se concentre sur le déploiement et la maintenance d’un ISMS, qui est une méthode générale de gestion des pratiques de protection de données. Pour obtenir la conformité ISO 27001, il faut conduire une analyse de risque, identifier et mettre en place des contrôles de sécurité, et évaluer et revoir régulièrement leur efficacité
- SOC2 : par contraste, le SOC2 est plus flexible. Comme évoqué ci-dessus il s’articule autour de 5 principes dont seul le premier (Sécurité) est obligatoire. Les entreprises peuvent décider de mettre en places des contrôles internes relatifs aux 4 autres si ils le souhaitent mais ce n’est pas nécessaire pour la certification.
De manière schématique, l’ISO 27001 est centrée autour de la continuation dans le temps de la protection des données par la mise en place et le contrôle de procédures identifiées, alors que le SOC2 est audit des mesures en place à un moment donné (sans regard sur leur pérennité dans le temps).
En conséquence, l’ISO 27001 requiert plus d’efforts pour obtenir la certification.
Nature
L’ISO 27001 est un standard international de certification de sécurité formel alors que SOC2 est un ensemble de rapports d’audits réalisés par des auditeurs indépendants. Ceci implique des différences :
- ISO 27001 : Cette certification est prescriptive, sur la base de normes universelles spécifiques à chaque secteur d'activité et à chaque lieu géographique. Cela signifie que les éléments à mettre en œuvre sont très clairement et précisément identifiés et doivent être respectés.
- SOC2 : Au contraire, le SOC2 est bien plus flexible. Une conformité SOC2 ne spécifie pas quels contrôles doivent être mis en place pour répondre à un critère de sécurité donné, mais plutôt que des critères efficaces soient mis en place compte tenus des opérations de l’entreprise. Cela laisse plus de latitude dans le choix des éléments mis en oeuvre
Marché
Les deux cadres sont reconnus dans le monde, mais il y a une spécificité régionale.
Le SOC2 est particulièrement associé à l’Amérique du Nord. Dans cette région, les normes ISO 27001 et SOC2 sont communes, alors qu’en dehors d’Amérique du Nord, et en particulier en Europe, c’est la norme ISO 27001 qui est plus populaire.
Durée du projet
Le projet de certification est semblable entre les normes ISO 27001 et SOC2, avec 3 étapes à compléter :
- Définition des éléments manquants pour lesquels il faut se mettre en conformité, en fonction notamment des objectifs de sécurité
- Définition des mesures de sécurité à mettre en oeuvre en fonction de son entreprise pour répondre aux besoins identifiés. Documentation et définition d’un process de revue et d’amélioration
- Audit par un auditeur externe pour la certification
Cependant, la durée de ce projet varie entre les deux normes.
Typiquement, une implémentation SOC2 prendra 2 à 3 mois alors qu’il en faudra plutôt 6 à 9 (voire plus) pour l’ISO 27001.
Le coût du projet a aussi tendance a être plus élevé pour l’ISO 27001 que le SCO2.
Quelle norme choisir pour votre entreprise ?
En conclusion, quel standard choisir pour votre entreprise ? Nous avons évoqué un certain nombre d’éléments qui permettent d’esquisser un choix :
- SOC2 : Vous êtes à la recherche d’une norme flexible, qui peut être mise en place rapidement et est reconnue tout particulièrement en Amérique du Nord
- ISO 27001 : Vous préférez prendre le temps de suivre une norme moins flexible mais construite autour de la mise en oeuvre d’un ISMS qui sera efficace dans le temps, et qui est reconnue en Europe
Toutefois, l' essentiel est que ces deux normes sont complémentaires : une entreprise qui début peut commencer par mettre en oeuvre une certification SOC2 (d’abord Type 1 puis Type 2) avant de convertir les mesures mises en place et de les enrichir de nouvelles dans le cadre d’une mise en conformité ISO 27001.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Le monde des hackers: Initial Access Broker (Fournisseur d'Accès Initial)
Initial Access Broker - qui sont-ils, que font-ils et comment se protéger ?
Qui sont les courtiers en accès initial et que font-ils ? Quelles sont certaines de leurs techniques, et comment pouvez-vous protéger votre entreprise contre elles ?
Mantra Team