Cette partie de l’audit permet de vérifier que l’information et les systèmes sont disponibles et prêts pour les opérations et pour permettre aux clients de tenir leurs objectifs. Découvrez dans cet article les éléments sur lesquels Troops a été audité concernant sa gestion de la disponibilité des données.
Pourquoi auditer la disponibilité dans le cadre SOC 2
De nombreuses organisations de services fournissent un service externalisé à leurs clients, et la plupart d'entre elles auront des exigences contractuelles ou des accords de niveau de service (SLA) en place autour des services fournis. En raison de ces exigences et de ces accords de niveau de service, il est bon d'inclure l’audit de disponibilité pour prouver le bon respect de toutes ces règles. En tant qu’éditeur d’un logiciel en tant que service (SaaS) il nous a semblé important d’inclure l’audit de disponibilité pour assurer le bon fonctionnement de nos services à nos clients et utilisateurs. Jusqu'alors, on ne recensait que 18 % des éditeurs de SaaS comme étant certifiés SOC 2 !
Les critères de l’audit SOC 2 sur la disponibilité
Il y a trois critères qui sont testés dans le cadre de l’audit de disponibilité SOC 2 :
A1.1 : L'entreprise maintient, surveille et évalue la capacité de traitement actuelle et l'utilisation des composants du système (infrastructure, données et logiciels) pour gérer la demande de capacité et permettre la mise en œuvre de capacités supplémentaires pour aider à atteindre ses objectifs.
A1.2 : L'entreprise autorise, conçoit, développe ou acquiert, met en œuvre, exploite, approuve, maintient et surveille les protections environnementales, les logiciels, les processus de sauvegarde des données et l'infrastructure de récupération pour atteindre ses objectifs.
A1.3 : L'entreprise teste les procédures du plan de récupération soutenant la récupération du système pour atteindre ses objectifs.
Afin d’auditer au mieux et en phase avec les services fournis aux clients, voici les types de contrôles qui peuvent être réalisés :
Mesures de l'utilisation actuelle : la mesure de l'utilisation des composants du système est effectuée pour établir une base de référence pour la gestion de la capacité et à laquelle se référer lors de l'évaluation du risque de manque de disponibilité en raison de contraintes de capacité.
Prévisions des capacités : une prévision et une comparaison de l'utilisation moyenne et élevée attendue des composants du système avec la capacité et les tolérances du système sont effectuées. Les évaluations incluent la capacité en cas de défaillance du système.
Identification des menaces environnementales : la direction identifie les menaces environnementales dans le cadre de l'évaluation des risques qui pourraient nuire à la disponibilité du système. Ceux-ci pourraient inclure des menaces résultant des conditions météorologiques, d'une défaillance des systèmes de contrôle de l'environnement, d'une décharge électrique, d'un incendie et d'une inondation/d'eau.
Mesures de détection : des mesures sont mises en œuvre pour détecter les anomalies qui pourraient résulter d'événements de menace environnementale.
Mise en œuvre et maintien des mécanismes de protection de l'environnement : des mécanismes de protection de l'environnement sont mis en œuvre par la direction pour prévenir et atténuer les événements environnementaux.
Réponse aux événements de menace environnementale : des procédures ont été élaborées et mises en place pour répondre aux menaces environnementales et pour évaluer l'efficacité de ces politiques et procédures sur une base continue ou périodique. Cela inclut, mais sans s'y limiter, les systèmes d'atténuation automatique (c'est-à-dire l'onduleur et le sous-système de secours du générateur).
Tests du plan de continuité des activités : les tests du plan de continuité des activités sont effectués au moins une fois par an. Les tests comprennent le développement de scénarios de test basés sur la probabilité et l'ampleur de la menace ; la prise en compte des composants du système de l'ensemble de l'entité qui peuvent avoir un impact sur la disponibilité ; des scénarios qui tiennent compte du potentiel de manque de disponibilité du personnel clé ; et mettre à jour les plans et systèmes de continuité en fonction des résultats des tests.
Tests d'intégrité et d'exhaustivité des données de sauvegarde : l'intégrité et l'exhaustivité des informations de sauvegarde sont testées au moins une fois par an.
Si cette partie de l’audit SOC 2 était optionnelle, il nous semblait pourtant essentiel de faire vérifier et valider notre politique et nos procédures de gestion de la disponibilité des données afin de vous assurer de notre parfaite maîtrise de ce sujet pour vos données sensibles, d’autant plus dans un contexte de crise sanitaire ayant poussé à des confinements. Pour en savoir plus, rendez-vous dans notre Trust Center !
