Sécurité du cloud 101 : toutes les bases que vous devez connaître
prophix
Feb 22, 2022, 3:25:00 AM
Il est facile d’être intimidé par le volume d’acronymes qui existent dans le domaine de la sécurité et de la conformité. Ces acronymes font qu’il est difficile de savoir ce qu’il faut rechercher lors du choix d’un fournisseur de cloud SaaS (Software-as-a-Service). En fin de compte, vous voulez avoir l’esprit tranquille en sachant que vos données sont sûres et protégées. C’est pourquoi nous aimerions démystifier le processus d’évaluation et expliquer ce qu’il faut rechercher lors de la comparaison et de l’évaluation des fournisseurs de SaaS Cloud. Dans ce blog, nous allons décrire les normes de conformité et leur impact sur la sécurité du cloud.
Qu’est-ce qu’une norme de conformité ?
Parmi les acronymes les plus courants que vous pouvez rencontrer , citons Sécurité Operations Center (SOC) et Trust Service Principles (TSP). La responsabilité d’un centre d’opérations de sécurité (SOC) est de surveiller et d’analyser en permanence la posture de sécurité d’une organisation. Les rapports SOC donnent l’assurance sur les environnements de contrôle en ce qui concerne la récupération, le stockage, le traitement et le transfert des données. Il existe plusieurs rapports qui prouvent qu’une organisation est en règle. À savoir, les conformités SOC 1 et SOC 2 – il est important que les rapports de type 1 et de type 2 soient complets pour ces SOC.- Rapport de type 1 - Démontre que les contrôles internes d’une entreprise sont correctement conçus pour respecter les principes de confiance pertinents. Ce rapport ne confirme pas l’efficacité des contrôles sur une période donnée.
- Rapport de type 2 - Démontre en outre que vos contrôles fonctionnent efficacement sur une période donnée.
Différences entre les conformités SOC 1 et SOC 2
Maintenant que nous avons décrit les normes de conformité les plus courantes, examinons les différences entre SOC 1 et SOC 2. SOC 1 – Un rapport SOC 1 donne l’assurance que vos informations financières sont traitées en toute sécurité. La version internationale du rapport SOC 1 est communément appelée ISAE 3402. En règle générale, lorsqu’un fournisseur déclare qu’il est conforme à la norme SOC 1, cela signifie qu’il a rempli les rapports de type 1 et de type 2. SOC 2 – Ce rapport donne une assurance sur les environnements de contrôle en ce qui concerne la récupération, le stockage, le traitement et le transfert des données. C’est là que les principes de service de confiance (TSP) entrent en jeu. SOC 2 (en anglais seulement )Les rapports évaluent la conformité d’une organisation en fonction de cinq critères, communément appelés principes de service de confiance (FST). Les cinq principes de service de confiance sont les suivants :- Sécurité– Les informations et les systèmes sont protégés contre l’accès non autorisé, la divulgation non autorisée d’informations et les dommages aux systèmes.
- Disponibilité– Les informations et les systèmes sont disponibles pour l’utilisation et l’utilisation.
- Intégrité du traitement – Le traitement du système est complet, valide, exact, opportun et autorisé.
- Confidentialité– Les informations désignées comme confidentielles sont protégées.
- Protection de la vie privée – les renseignements personnels sont recueillis, utilisés, conservés, divulgués et éliminés.