transparence

L’audit SOC 2 : quoi, comment et pourquoi ?

Nous vous expliquons ce qu’est un audit SOC 2, pourquoi nous nous y sommes soumis et comment il a été exécuté.

Igor Kumagin
22 Août 2019

Mise à jour du 18 mai 2022

En 2022, Kaspersky a à nouveau effectué l’audit Service Organization Controls (SOC 2) de type 1, dont le premier remonte à 2019. Cette évaluation indépendante a été réalisée par une des entreprises du groupe d’audit financier international Big Four.

Cette nouvelle évaluation a débuté fin janvier 2022 et a été complétée avec succès fin avril. Ce processus a confirmé que les processus de développement et de lancement des bases d’antivirus de Kaspersky sont protégées par des contrôles de sécurité contre les modifications non autorisées. Lors de cet examen, les auditeurs de Big Four ont notamment vérifié les politiques et les procédures de l’entreprise relatives au développement et au lancement des bases d’antivirus, le réseau et la sécurité physique de l’infrastructure impliquée dans ces processus et les outils de contrôle utilisés par les équipes de Kaspersky.

L’étendue de l’audit en cours a été plus importante que celui réalisé en 2019 puisque Kaspersky a introduit de nouveaux contrôles et de nouveaux outils de sécurité. Le rapport complet peut-être fourni aux clients sur demande.

Comme vous avez pu l’apprendre sur le blog d’Eugène Kaspersky et notre communiqué de presse officiel, nous avons récemment réussi notre audit SOC 2. Au cas où vous ne sauriez pas ce que c’est et pourquoi il était nécessaire, voici quelques informations supplémentaires.

Qu’est-ce qu’un audit SOC 2 ?

Le Service and Organization Controls 2 (SOC 2) est un audit de procédure de contrôle dans les organisations informatiques fournissant des services. Il s’agit essentiellement d’une norme internationale d’information pour les systèmes de gestion des risques liés à la cybersécurité. Cette norme, développée par par le American Institute of Certified Public Accountants (AICPA, Institut Américain d’Expert-Comptable), a été mise à jour en mars 2018.

Cette publication concerne l’audit SOC 2 de type 1 (que nous avons réussi), qui certifie que les mécanismes de contrôle de sécurité ont été efficacement installés sur un système unique. Autrement dit, un vérificateur tiers est venu nous rendre visite et a examiné notre système de gestion des risques ainsi que les pratiques que nous avions mises en place, dans quelles mesures nous avons suivi les procédures et comment nous enregistrons les modifications apportées au processus.

Pourquoi devons-nous nous soumettre à des audits ?

N’importe quelle entreprise qui fournit des services peut représenter une potentielle menace pour ses clients. Même une entreprise totalement légitime pourrait devenir le maillon d’une chaîne d’approvisionnement qu’un cybercriminel pourrait utiliser pour mener à bien une attaque. Mais les entreprises travaillant dans le domaine de la sécurité des informations ont une responsabilité bien plus grande encore : leurs produits doivent avoir le plus haut niveau d’accès aux systèmes d’information des utilisateurs.

Par conséquent, les clients et plus particulièrement les grandes entreprises se posent parfois des questions : dans quelles mesures pouvons-nous avoir confiance en ces services ? Quelle est la politique interne des services que nous utilisons ? Quelqu’un pourrait nous faire du tort avec ses produits ou des services équivalents ?

Et c’est là que se renverse la situation : la réponse que nous ou une autre entreprise donnons n’a pas d’importance car elle paraîtra toujours convaincante. C’est pourquoi nous faisons appel à des vérificateurs externes pour avoir l’avis d’un expert. Il est primordial pour nous que nos clients et nos partenaires n’aient aucun doute sur la fiabilité de nos produits et de nos services. Nous croyons aussi qu’il est important que nos processus internes soient conformes aux normes internationales et aux meilleures pratiques.

Qu’est-ce que les auditeurs ont examiné?

La préoccupation majeure est toujours le mécanisme utilisé pour fournir des informations sur les ordinateurs des clients. Nos solutions couvrent plusieurs segments de marché et industries, et la majorité d’entre elles utilise un moteur antivirus comme technologie défensive de base pour scanner des objets dans le but de trouver des signes de cybermenaces. Parmi ces nombreuses technologies, le moteur utilise des fonctions de hachage très rapides, émulation dans un environnement isolé et des modèles mathématiques d’apprentissage automatique hautement résistant aux mutations. Les bases de données antivirus doivent être régulièrement mises à jour pour que ces technologies soient efficaces contre les cybermenaces modernes.

Les auditeurs indépendants ont donc étudié notre système de gestion de ces bases de données et nos méthodes de surveillance de l’intégrité et de l’authenticité des mises à jour des bases de données des produits antivirus pour les serveurs de Windows et d’Unix. Ils vérifient que nos méthodes de contrôle fonctionnent correctement ainsi que les processus de développement et de validation des bases de données antivirus afin de déceler toute possibilité de falsification non autorisée.

Comment ont-ils mené leur étude ?

Les auditeurs étudient le processus des vendeurs afin de déterminer dans quelles mesures ils respectent les cinq principes fondamentaux de la sécurité : protection (le processus est-il protégé contre les accès non autorisés ?), disponibilité (le processus est-il fonctionnel ?), intégrité du processus (est-ce que les données délivrées au client sont sûres ?), confidentialité (quelqu’un d’autre peut-il accéder à ces données ?) et intimité (est-ce que les données sont stockées de notre côté, et si c’est le cas, comment ?)

Dans notre cas, les auditeurs ont analysé :

Ce que nos services offrent,
Comment nos systèmes interagissent avec les utilisateurs et les partenaires potentiels,
Comment nous mettons le contrôle du processus en pratique, et quelles sont ses limites,
Quels sont les outils de contrôle dont disposent les utilisateurs et comment ils interagissent avec les nôtres
Quels sont les risques que nos services rencontrent et quels outils de contrôle minimisent ces risques.

Pour comprendre tout cela, ils ont étudié notre structure organisationnelle, nos mécanismes et notre personnel. Ils se sont penchés sur comment nous menions nos vérifications des antécédents lorsque nous recrutions de nouveaux employés. Ils ont également examiné nos procédures pour faire face aux exigences de sécurité changeantes. Ils ont étudié le code source du mécanisme que nous utilisons pour envoyer les mises à jour des bases de données des antivirus automatiquement et, plus important, quelles sont les possibilités de pouvoir modifier ce code sans autorisation et bien plus encore. Si vous êtes intéressé par les détails de l’audit, cliquez sur le lien plus bas pour télécharger le rapport complet (en anglais).

Qui a mené l’étude et où lire le rapport ?

L’audit a été mené par une des entreprises des Big Four. Comme vous l’avez sans doute remarqué, nous ne révélons jamais le nom de la compagnie. Mais cela ne veut pas dire que les auditeurs sont anonymes. Nous ne mentionnons pas de noms par habitude, mais le rapport est bien entendu signé.

Au final, les auditeurs en ont conclu que les processus de développement et de vérification de la base de données de nos antivirus sont suffisamment protégés contre la falsification non autorisée. Pour des conclusions plus détaillées, une description du processus de recherche et d’autres informations, vous devriez consulter le texte complet du rapport (inscription gratuite requise).

The Great Hack – Notre analyse

Une critique du nouveau documentaire Netflix, The Great Hack, l’affaire Cambridge Analytica et la vie dans l’ère des réseaux sociaux en général.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

L’audit SOC 2 : quoi, comment et pourquoi ?

Mise à jour du 18 mai 2022

Qu’est-ce qu’un audit SOC 2 ?

Pourquoi devons-nous nous soumettre à des audits ?

Qu’est-ce que les auditeurs ont examiné?

Comment ont-ils mené leur étude ?

Qui a mené l’étude et où lire le rapport ?

Initiative Globale de Transparence de Kaspersky : mise à jour de septembre 2022

La transparence chez Kaspersky

The Great Hack – Notre analyse

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky