{"id":12137,"date":"2019-08-22T08:59:22","date_gmt":"2019-08-22T08:59:22","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12137"},"modified":"2022-05-20T09:49:46","modified_gmt":"2022-05-20T07:49:46","slug":"soc2-audit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/soc2-audit\/12137\/","title":{"rendered":"L’audit SOC 2 : quoi, comment et pourquoi ?"},"content":{"rendered":"
\n

Mise \u00e0 jour du 18 mai 2022<\/h2>\n

En 2022, Kaspersky a \u00e0 nouveau effectu\u00e9 l\u2019audit Service Organization Controls (SOC 2) de type 1, dont le premier remonte \u00e0 2019. Cette \u00e9valuation ind\u00e9pendante a \u00e9t\u00e9 r\u00e9alis\u00e9e par une des entreprises du groupe d\u2019audit financier international Big Four.<\/p>\n

Cette nouvelle \u00e9valuation a d\u00e9but\u00e9 fin janvier 2022 et a \u00e9t\u00e9 compl\u00e9t\u00e9e avec succ\u00e8s fin avril. Ce processus a confirm\u00e9 que les processus de d\u00e9veloppement et de lancement des bases d\u2019antivirus de Kaspersky sont prot\u00e9g\u00e9es par des contr\u00f4les de s\u00e9curit\u00e9 contre les modifications non autoris\u00e9es. Lors de cet examen, les auditeurs de Big Four ont notamment v\u00e9rifi\u00e9 les politiques et les proc\u00e9dures de l\u2019entreprise relatives au d\u00e9veloppement et au lancement des bases d\u2019antivirus, le r\u00e9seau et la s\u00e9curit\u00e9 physique de l\u2019infrastructure impliqu\u00e9e dans ces processus et les outils de contr\u00f4le utilis\u00e9s par les \u00e9quipes de Kaspersky.<\/p>\n

L\u2019\u00e9tendue de l\u2019audit en cours a \u00e9t\u00e9 plus importante que celui r\u00e9alis\u00e9 en 2019 puisque Kaspersky a introduit de nouveaux contr\u00f4les et de nouveaux outils de s\u00e9curit\u00e9. Le rapport complet peut-\u00eatre fourni aux clients sur demande.\n<\/p><\/div>\n

Comme vous avez pu l\u2019apprendre sur le blog d\u2019Eug\u00e8ne Kaspersky<\/a> et notre communiqu\u00e9 de presse officiel<\/a>, nous avons r\u00e9cemment r\u00e9ussi notre audit SOC 2. Au cas o\u00f9 vous ne sauriez pas ce que c\u2019est et pourquoi il \u00e9tait n\u00e9cessaire, voici quelques informations suppl\u00e9mentaires.<\/p>\n

Qu\u2019est-ce qu\u2019un audit SOC 2\u00a0?<\/h2>\n

Le Service and Organization Controls 2<\/em> (SOC 2) est un audit de proc\u00e9dure de contr\u00f4le dans les organisations informatiques fournissant des services. Il s\u2019agit essentiellement d\u2019une norme internationale d\u2019information pour les syst\u00e8mes de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Cette norme, d\u00e9velopp\u00e9e par par le American Institute of Certified Public Accountants<\/em> (AICPA, Institut Am\u00e9ricain d\u2019Expert-Comptable), a \u00e9t\u00e9 mise \u00e0 jour en mars 2018.<\/p>\n

Cette publication concerne l\u2019audit SOC 2 de type 1 (que nous avons r\u00e9ussi), qui certifie que les m\u00e9canismes de contr\u00f4le de s\u00e9curit\u00e9 ont \u00e9t\u00e9 efficacement install\u00e9s sur un syst\u00e8me unique. Autrement dit, un v\u00e9rificateur tiers est venu nous rendre visite et a examin\u00e9 notre syst\u00e8me de gestion des risques ainsi que les pratiques que nous avions mises en place, dans quelles mesures nous avons suivi les proc\u00e9dures et comment nous enregistrons les modifications apport\u00e9es au processus.<\/p>\n

Pourquoi devons-nous nous soumettre \u00e0 des audits ?<\/h2>\n

N\u2019importe quelle entreprise qui fournit des services peut repr\u00e9senter une potentielle menace pour ses clients. M\u00eame une entreprise totalement l\u00e9gitime pourrait devenir le maillon d\u2019une cha\u00eene d\u2019approvisionnement<\/a> qu\u2019un cybercriminel pourrait utiliser pour mener \u00e0 bien une attaque. Mais les entreprises travaillant dans le domaine de la s\u00e9curit\u00e9 des informations ont une responsabilit\u00e9 bien plus grande encore : leurs produits doivent avoir le plus haut niveau d\u2019acc\u00e8s aux syst\u00e8mes d\u2019information des utilisateurs.<\/p>\n

Par cons\u00e9quent, les clients et plus particuli\u00e8rement les grandes entreprises se posent parfois des questions : dans quelles mesures pouvons-nous avoir confiance en ces services ? Quelle est la politique interne des services que nous utilisons\u00a0? Quelqu\u2019un pourrait nous faire du tort avec ses produits ou des services \u00e9quivalents ?<\/p>\n

Et c\u2019est l\u00e0 que se renverse la situation\u00a0: la r\u00e9ponse que nous ou une autre entreprise donnons n\u2019a pas d\u2019importance car elle para\u00eetra toujours convaincante. C\u2019est pourquoi nous faisons appel \u00e0 des v\u00e9rificateurs externes pour avoir l\u2019avis d\u2019un expert. Il est primordial pour nous que nos clients et nos partenaires n\u2019aient aucun doute sur la fiabilit\u00e9 de nos produits et de nos services. Nous croyons aussi qu\u2019il est important que nos processus internes soient conformes aux normes internationales et aux meilleures pratiques.<\/p>\n

Qu\u2019est-ce que les auditeurs ont examin\u00e9?<\/h2>\n

La pr\u00e9occupation majeure est toujours le m\u00e9canisme utilis\u00e9 pour fournir des informations sur les ordinateurs des clients. Nos solutions couvrent plusieurs segments de march\u00e9 et industries, et la majorit\u00e9 d\u2019entre elles utilise un moteur antivirus comme technologie d\u00e9fensive de base pour scanner des objets dans le but de trouver des signes de cybermenaces. Parmi ces nombreuses technologies, le moteur utilise des fonctions de hachage tr\u00e8s rapides, \u00e9mulation dans un environnement isol\u00e9 et des mod\u00e8les math\u00e9matiques d\u2019apprentissage automatique hautement r\u00e9sistant aux mutations. Les bases de donn\u00e9es antivirus \u00a0doivent \u00eatre r\u00e9guli\u00e8rement mises \u00e0 jour pour que ces technologies soient efficaces contre les cybermenaces modernes.<\/p>\n

Les auditeurs ind\u00e9pendants ont donc \u00e9tudi\u00e9 notre syst\u00e8me de gestion de ces bases de donn\u00e9es et nos m\u00e9thodes de surveillance de l\u2019int\u00e9grit\u00e9 et de l\u2019authenticit\u00e9 des mises \u00e0 jour des bases de donn\u00e9es des produits antivirus pour les serveurs de Windows et d\u2019Unix. Ils v\u00e9rifient que nos m\u00e9thodes de contr\u00f4le fonctionnent correctement ainsi que les processus de d\u00e9veloppement et de validation des bases de donn\u00e9es antivirus afin de d\u00e9celer toute possibilit\u00e9 de falsification non autoris\u00e9e.<\/p>\n

Comment ont-ils men\u00e9 leur \u00e9tude\u00a0?<\/h2>\n

Les auditeurs \u00e9tudient le processus des vendeurs afin de d\u00e9terminer dans quelles mesures ils respectent les cinq principes fondamentaux de la s\u00e9curit\u00e9 : protection (le processus est-il prot\u00e9g\u00e9 contre les acc\u00e8s non autoris\u00e9s ?), disponibilit\u00e9 (le processus est-il fonctionnel ?), int\u00e9grit\u00e9 du processus (est-ce que les donn\u00e9es d\u00e9livr\u00e9es au client sont s\u00fbres ?), confidentialit\u00e9 (quelqu\u2019un d\u2019autre peut-il acc\u00e9der \u00e0 ces donn\u00e9es ?) et intimit\u00e9 (est-ce que les donn\u00e9es sont stock\u00e9es de notre c\u00f4t\u00e9, et si c\u2019est le cas, comment ?)<\/p>\n

Dans notre cas, les auditeurs ont analys\u00e9\u00a0:<\/p>\n