Une culture de sécurité pour nos clients grâce à la certification SOC 2 de type 2

De nos jours, les entreprises sont de plus en plus nombreuses à compter sur les logiciels pour mener leurs activités – d’où l’importance vitale de la sécurité. Les données sensibles qui sont stockées et transmises par les logiciels doivent être protégées rigoureusement contre les rançongiciels et les cyberattaques, plus répandus que jamais.

Le magazine Fortune le confirme : « Les gouvernements du monde entier ont vu les attaques par rançongiciel augmenter de 1 885 % en 2021, et le secteur des soins de santé, de 755 %, selon le rapport 2022 sur les cybermenaces publié ce jeudi par SonicWall, une entreprise de cybersécurité internet. Les rançongiciels affichent d’ailleurs une hausse de 104 % en Amérique du Nord, tout juste sous la moyenne mondiale de 105 %. »

Ces statistiques n’ont rien de drôle. C’est pourquoi Osedea s’emploie depuis toujours à devancer la tendance en matière de sécurité. Aujourd’hui, cerise sur le gâteau, nous sommes fiers d’annoncer que nous détenons officiellement depuis mai 2022 la certification SOC 2 de type 2!

L’importance de la certification SOC 2

SOC 2 est l’une des normes de sécurité les plus reconnues en Amérique du Nord. C’est aussi l’une des certifications les plus rigoureuses qui soient : pour la mériter, une entreprise doit avoir travaillé avec diligence pour instaurer des pratiques exemplaires, et elle doit avoir la ferme intention de les maintenir à l’avenir.

La certification de type 1 permet de vérifier si l’organisation applique les mesures de sécurité qui s’imposent à un moment précis; celle de type 2 permet d’évaluer le maintien de ces mesures sur une période donnée. Toutes deux apportent une preuve tangible que ce que l’organisation dit faire sur le plan organisationnel et technique correspond bel et bien à ce qui se passe en coulisses.

Les cinq principes de base

La certification SOC 2 permet d’évaluer les normes de sécurité selon les cinq principes de base nommés « Trust Service Principles » (TSP) de l’American Institute of CPAs. Le respect des cinq TSP est une garantie que l’entreprise applique les normes les plus élevées dans cinq domaines :

1. Sécurité: Les données sont toujours protégées contre les accès non autorisés.
2. Disponibilité: Les systèmes conçus (où l’on stocke et traite les données) demeurent en ligne et sont accessibles en tout temps.
3. Confidentialité: Toutes les données sensibles sont classées comme privées, sans exception, et l’accès à ces données est protégé.
4. Intégrité du traitement: Le traitement des données est 100 % exact et complet.
5. Protection de la vie privée: Les données sont traitées conformément aux promesses énoncées dans la politique sur la vie privée de l’entreprise, ce qui dégage cette dernière de responsabilités légales.

Notre cheminement vers la certification SOC 2 de type 2

Étant donné les statistiques susmentionnées sur les cyberattaques et le nombre effarant de données que les entreprises modernes ont à traiter, la sécurité trône, à juste titre, au sommet des priorités de nos clients. Nous ne voulons pas les exposer à des risques (ni en courir nous-mêmes). Ainsi, pour leur donner la certitude que nous avions mis en place des processus sûrs, sécuritaires et solides contre les atteintes aux données – d’un côté comme de l’autre –, nous savions qu’il était essentiel de nous soumettre au rigoureux processus de certification SOC 2 de type 2. Et ce processus ne s’adresse pas à n’importe qui : il est à la fois long, exigeant et coûteux.

La première étape consistait à sélectionner une plateforme de conformité qui nous aiderait à structurer nos processus de sécurité. Nous avons opté pour Vanta, un logiciel-service de premier plan qui trace une feuille de route vers la conformité. Ses ressources, modèles de politiques robustes, listes de vérification et nombreux autres outils ont su guider notre démarche.

Nous avons eu le bonheur d’apprendre que nous avions déjà beaucoup de bons réflexes. Nous avions un code de conduite robuste, utilisions un gestionnaire de mots de passe, avions recours à des services exclusivement infonuagiques pour réduire les vulnérabilités, etc. Et tout cela était dûment consigné dans nos registres.

Pour nous, le plus long a été de rédiger et d’implanter des politiques de sécurité – pour à peu près tout, ou du moins c’est ce qui nous a semblé. Il y avait un total de 15 politiques, et elles touchaient un tas d’aspects de nos activités : sécurité de l’information, classification des données, gestion des ressources, gestion des fournisseurs... Nous avons aussi remplacé notre pare-feu, renforcé nos capacités de détection des menaces dans les points terminaux (EDR, de l’anglais endpoint detection and response) pour protéger notre infrastructure et notre parc informatique, choisi un nouvel antivirus, logiciel de filtrage web et outil de filtrage DNS, et ajouté toutes sortes de nouveaux dispositifs de sécurité. Enfin, nous avons lancé des campagnes anti- hameçonnage périodiques pour que notre équipe reste sur ses gardes et bonifié notre formation annuelle interne sur la sécurité.

Une fois les pièces justificatives réunies et versées dans Vanta, il nous fallait choisir un vérificateur indépendant digne de confiance qui allait examiner nos processus pendant trois mois. C’est le groupe américain BOULAY que nous avons mandaté pour déterminer si nos processus étaient conformes à la certification SOC 2 de type 2. Ses spécialistes ont fait un travail scrupuleux, nous demandant de fournir des preuves supplémentaires des contrôles de sécurité que nous avions en place.

Les avantages de travailler avec un fournisseur certifié

Il y a plusieurs avantages directs à faire affaire avec une agence de développement logiciel qui détient la certification SOC 2 de type 2, qu’on pense aux économies de coûts, à la prévention des pertes ou à la

protection contre les dommages à la réputation qui peuvent découler d’une fuite de données ou d’une atteinte lorsqu’un logiciel n’est pas conçu selon les normes appropriées.

Voici un bref tour d’horizon des mesures de sécurité en place chez Osedea :

• Formation annuelle sur la sécurité de l’information obligatoire pour tous les membres de l’équipe.
• Lecture et acceptation annuelles des politiques de sécurité de l’information en place par tous les membres de l’équipe (sécurité physique, gestions des mots de passe et des secrets, continuité des activités et reprise après sinistre, cryptographie, gestion des ressources, etc.).
• Gestion centralisée de l’équipement informatique et vérification en temps réel de l’état actif des composants clés du système (chiffrement de disque, détection de maliciels, gestionnaire de mots de passe, etc.).
• Authentification multifacteur obligatoire dans toutes les applications qui le permettent.
• Mise à l’essai d’une campagne trimestrielle anti-hameçonnage.
• Examen trimestriel (étayé par des documents) des accès pour tous les systèmes utilisés chez Osedea.
• Vérification des antécédents criminels à chaque embauche.
• Processus de fin d’emploi réalisé conformément à l’accord sur les niveaux de service.
• Vérification des rapports de conformité pour les fournisseurs clés.
• Absence d’accès direct aux artéfacts liés au déploiement ou à la production, automatisation par intégration continue et pipeline de déploiement.
• Historique d’archivage du code source gardant la trace des contributeurs et des réviseurs, aux fins d’« archéologie Git » et de vérification.
• Verrouillage du « tronc » pour prévenir la manipulation en amont et révision des modifications de code par (au moins) un autre membre de l’équipe.

C’est un immense plaisir pour nous d’avoir obtenu la certification SOC 2 de type 2 au terme de ce long processus. Grâce à cette nouvelle marque de reconnaissance, nos clients auront l’esprit encore plus tranquille lorsqu’ils nous choisiront pour bâtir leur logiciel ou leur application sur mesure, sachant que nous avons fait tous nos devoirs et que nous prenons la sécurité au sérieux.

Crédit photo: Liam Tucker