Préparez votre attestation SOC 2 avec des preuves toujours à jour.
SOC 2 concerne les organisations de services qui doivent rassurer leurs clients sur la maîtrise de leurs systèmes. L'enjeu est de démontrer des contrôles efficaces selon les Trust Services Criteria, en continu pour un rapport de Type II. CYBERACT centralise les contrôles, l'analyse de risques, les politiques et la collecte de preuves pour soutenir le travail de votre auditeur.
Chaque exigence SOC 2, sa réponse CYBERACT.
Critère Sécurité (Security, commun)
Les systèmes doivent être protégés contre les accès non autorisés, physiques et logiques. Ce critère commun est obligatoire pour toute attestation SOC 2.
Contrôles de sécurité tracés et documentés
CYBERACT formalise les contrôles d'accès et de protection des systèmes via la gouvernance et les politiques, en les reliant aux risques et aux preuves.
Critère Disponibilité (Availability)
Les systèmes doivent être disponibles pour l'exploitation et l'usage conformément aux engagements, ce qui couvre la résilience et la continuité.
Suivi de la disponibilité et des incidents
La gestion des incidents et le contrôle continu suivent les engagements de disponibilité, les événements et les actions correctives associées.
Critère Intégrité du traitement (Processing Integrity)
Le traitement doit être complet, valide, exact, opportun et autorisé afin de répondre aux objectifs de l'entité.
Contrôles d'intégrité reliés aux risques
Les exigences d'intégrité du traitement sont gérées comme contrôles dans le référentiel, reliées à l'analyse de risques et au suivi des preuves.
Confidentialité et Vie privée (Confidentiality, Privacy)
Les informations confidentielles doivent être protégées, et les données personnelles collectées, utilisées et conservées conformément aux engagements.
Confidentialité et vie privée encadrées
CYBERACT gère les politiques de confidentialité et de protection des données, en cohérence avec les exigences de vie privée et le risque associé.
Évaluation des risques et environnement de contrôle
L'entité doit identifier et évaluer les risques liés à l'atteinte de ses objectifs et maintenir un environnement de contrôle adapté.
Analyse de risques EBIOS RM et ISO 27005
L'analyse de risques alimente un registre central et un environnement de contrôle structuré, en appui des critères communs SOC 2.
Type I et Type II : efficacité dans la durée
Le Type I évalue la conception des contrôles à un instant donné, le Type II évalue leur efficacité opérationnelle sur une période, ce qui impose une collecte continue de preuves.
Collecte continue de preuves pour le Type II
Le contrôle continu (CCM) collecte et trace les preuves dans la durée, ce qui soutient un rapport de Type II et la revue par votre auditeur.
CYBERACT délivre-t-il le rapport SOC 2 ?
Non. SOC 2 est une attestation émise par un auditeur indépendant. CYBERACT prépare et structure les contrôles, les risques et les preuves afin de faciliter le travail de votre auditeur.
Quelle différence entre Type I et Type II dans CYBERACT ?
Pour le Type I, CYBERACT documente la conception des contrôles. Pour le Type II, le contrôle continu collecte les preuves dans la durée afin de démontrer leur efficacité opérationnelle sur la période.
Tous les Trust Services Criteria sont-ils couverts ?
Oui. La plateforme permet de gérer le critère commun Sécurité et les critères additionnels Disponibilité, Intégrité du traitement, Confidentialité et Vie privée selon votre périmètre.
Le risque fournisseur est-il pris en compte ?
Oui. Le module TPRM gère le risque tiers, ce qui contribue aux attentes SOC 2 sur la maîtrise des sous-traitants et prestataires.
NIS 2
La directive NIS 2 (UE 2022/2555) élargit considérablement le périmètre des organisations soumises à des obligations de cybersécur...
DORA
Le règlement DORA (UE 2022/2554) impose au secteur financier un cadre harmonisé de résilience opérationnelle numérique. Entités fi...
RGPD
Le RGPD (UE 2016/679) impose à tout organisme traitant des données personnelles des obligations strictes de documentation, de gest...
ISO 27001
ISO 27001:2022 concerne toute organisation qui veut certifier son système de management de la sécurité de l'information (SMSI). L'...
PCI-DSS
PCI-DSS v4.0 s'applique à toute entité qui stocke, traite ou transmet des données de cartes de paiement. L'enjeu est de tenir les ...
Prêt pour SOC 2 ?
On part de votre périmètre réel et on vous montre la couverture en 30 minutes.