L’audit SOC 2 : quoi, comment et pourquoi ?

Nous vous expliquons ce qu’est un audit SOC 2, pourquoi nous nous y sommes soumis et comment il a été exécuté.

Mise à jour du 18 mai 2022

En 2022, Kaspersky a à nouveau effectué l’audit Service Organization Controls (SOC 2) de type 1, dont le premier remonte à 2019. Cette évaluation indépendante a été réalisée par une des entreprises du groupe d’audit financier international Big Four.

Cette nouvelle évaluation a débuté fin janvier 2022 et a été complétée avec succès fin avril. Ce processus a confirmé que les processus de développement et de lancement des bases d’antivirus de Kaspersky sont protégées par des contrôles de sécurité contre les modifications non autorisées. Lors de cet examen, les auditeurs de Big Four ont notamment vérifié les politiques et les procédures de l’entreprise relatives au développement et au lancement des bases d’antivirus, le réseau et la sécurité physique de l’infrastructure impliquée dans ces processus et les outils de contrôle utilisés par les équipes de Kaspersky.

L’étendue de l’audit en cours a été plus importante que celui réalisé en 2019 puisque Kaspersky a introduit de nouveaux contrôles et de nouveaux outils de sécurité. Le rapport complet peut-être fourni aux clients sur demande.

Comme vous avez pu l’apprendre sur le blog d’Eugène Kaspersky et notre communiqué de presse officiel, nous avons récemment réussi notre audit SOC 2. Au cas où vous ne sauriez pas ce que c’est et pourquoi il était nécessaire, voici quelques informations supplémentaires.

Qu’est-ce qu’un audit SOC 2 ?

Le Service and Organization Controls 2 (SOC 2) est un audit de procédure de contrôle dans les organisations informatiques fournissant des services. Il s’agit essentiellement d’une norme internationale d’information pour les systèmes de gestion des risques liés à la cybersécurité. Cette norme, développée par par le American Institute of Certified Public Accountants (AICPA, Institut Américain d’Expert-Comptable), a été mise à jour en mars 2018.

Cette publication concerne l’audit SOC 2 de type 1 (que nous avons réussi), qui certifie que les mécanismes de contrôle de sécurité ont été efficacement installés sur un système unique. Autrement dit, un vérificateur tiers est venu nous rendre visite et a examiné notre système de gestion des risques ainsi que les pratiques que nous avions mises en place, dans quelles mesures nous avons suivi les procédures et comment nous enregistrons les modifications apportées au processus.

Pourquoi devons-nous nous soumettre à des audits ?

N’importe quelle entreprise qui fournit des services peut représenter une potentielle menace pour ses clients. Même une entreprise totalement légitime pourrait devenir le maillon d’une chaîne d’approvisionnement qu’un cybercriminel pourrait utiliser pour mener à bien une attaque. Mais les entreprises travaillant dans le domaine de la sécurité des informations ont une responsabilité bien plus grande encore : leurs produits doivent avoir le plus haut niveau d’accès aux systèmes d’information des utilisateurs.

Par conséquent, les clients et plus particulièrement les grandes entreprises se posent parfois des questions : dans quelles mesures pouvons-nous avoir confiance en ces services ? Quelle est la politique interne des services que nous utilisons ? Quelqu’un pourrait nous faire du tort avec ses produits ou des services équivalents ?

Et c’est là que se renverse la situation : la réponse que nous ou une autre entreprise donnons n’a pas d’importance car elle paraîtra toujours convaincante. C’est pourquoi nous faisons appel à des vérificateurs externes pour avoir l’avis d’un expert. Il est primordial pour nous que nos clients et nos partenaires n’aient aucun doute sur la fiabilité de nos produits et de nos services. Nous croyons aussi qu’il est important que nos processus internes soient conformes aux normes internationales et aux meilleures pratiques.

Qu’est-ce que les auditeurs ont examiné?

La préoccupation majeure est toujours le mécanisme utilisé pour fournir des informations sur les ordinateurs des clients. Nos solutions couvrent plusieurs segments de marché et industries, et la majorité d’entre elles utilise un moteur antivirus comme technologie défensive de base pour scanner des objets dans le but de trouver des signes de cybermenaces. Parmi ces nombreuses technologies, le moteur utilise des fonctions de hachage très rapides, émulation dans un environnement isolé et des modèles mathématiques d’apprentissage automatique hautement résistant aux mutations. Les bases de données antivirus  doivent être régulièrement mises à jour pour que ces technologies soient efficaces contre les cybermenaces modernes.

Les auditeurs indépendants ont donc étudié notre système de gestion de ces bases de données et nos méthodes de surveillance de l’intégrité et de l’authenticité des mises à jour des bases de données des produits antivirus pour les serveurs de Windows et d’Unix. Ils vérifient que nos méthodes de contrôle fonctionnent correctement ainsi que les processus de développement et de validation des bases de données antivirus afin de déceler toute possibilité de falsification non autorisée.

Comment ont-ils mené leur étude ?

Les auditeurs étudient le processus des vendeurs afin de déterminer dans quelles mesures ils respectent les cinq principes fondamentaux de la sécurité : protection (le processus est-il protégé contre les accès non autorisés ?), disponibilité (le processus est-il fonctionnel ?), intégrité du processus (est-ce que les données délivrées au client sont sûres ?), confidentialité (quelqu’un d’autre peut-il accéder à ces données ?) et intimité (est-ce que les données sont stockées de notre côté, et si c’est le cas, comment ?)

Dans notre cas, les auditeurs ont analysé :

  • Ce que nos services offrent,
  • Comment nos systèmes interagissent avec les utilisateurs et les partenaires potentiels,
  • Comment nous mettons le contrôle du processus en pratique, et quelles sont ses limites,
  • Quels sont les outils de contrôle dont disposent les utilisateurs et comment ils interagissent avec les nôtres
  • Quels sont les risques que nos services rencontrent et quels outils de contrôle minimisent ces risques.

Pour comprendre tout cela, ils ont étudié notre structure organisationnelle, nos mécanismes et notre personnel. Ils se sont penchés sur comment nous menions nos vérifications des antécédents lorsque nous recrutions de nouveaux employés. Ils ont également examiné nos procédures pour faire face aux exigences de sécurité changeantes. Ils ont étudié le code source du mécanisme que nous utilisons pour envoyer les mises à jour des bases de données des antivirus automatiquement et, plus important, quelles sont les possibilités de pouvoir modifier ce code sans autorisation et bien plus encore. Si vous êtes intéressé par les détails de l’audit, cliquez sur le lien plus bas pour télécharger le rapport complet (en anglais).

Qui a mené l’étude et où lire le rapport ?

L’audit a été mené par une des entreprises des Big Four. Comme vous l’avez sans doute remarqué, nous ne révélons jamais le nom de la compagnie. Mais cela ne veut pas dire que les auditeurs sont anonymes. Nous ne mentionnons pas de noms par habitude, mais le rapport est bien entendu signé.

Au final, les auditeurs en ont conclu que les processus de développement et de vérification de la base de données de nos antivirus sont suffisamment protégés contre la falsification non autorisée. Pour des conclusions plus détaillées, une description du processus de recherche et d’autres informations, vous devriez consulter le texte complet du rapport (inscription gratuite requise).

Conseils