Outils pour atteindre et maintenir la conformité SOC 2

La conformité aux normes SOC 2 (System and Organization Controls) ne se résume pas à un simple processus mis en œuvre une seule fois pour réussir un audit. Les changements permanents de procédures sont fastidieux et prennent du temps, mais ils sont nécessaires pour que l'organisation puisse passer un audit SOC 2. Il ne s'agit pas seulement de fournir une trace écrite à un expert-comptable. Vous devez disposer des contrôles et des outils adéquats pour maintenir la conformité de façon permanente ou risquer de violer les normes de conformité. Perdre la conformité SOC 2 n'est pas une option pour la plupart des organisations, mais les bons outils vous permettront de rester conforme et de faciliter la conformité continue lors des futurs audits.

Contenu

1. Un bref aperçu de SOC 2
2. Respect des normes SLA
3. Suivi des mesures pour déterminer la conformité
4. KPIs affectant d'autres métriques
5. Outils pour rester conforme
6. Conclusion

Un bref aperçu de SOC 2

Pour les organisations qui étudient actuellement la conformité SOC, la quantité d'informations à prendre en compte peut être écrasante. On pourrait avoir l'impression que tout doit être revu. La plupart des organisations travaillent pour obtenir SOC 2 ou SOC 3 ou SOC 3. La principale différence entre la conformité SOC 2 et SOC 3 est que les rapports d'audit SOC 3 sont rendus publics. Les exigences pour les deux types sont les mêmes, mais SOC 3 est généralement diffusé publiquement sur le site du fournisseur. Par exemple, la plateforme de cloud computing de Google est conforme à la norme SOC 3 et les rapports peuvent être consultés sur leur site.

Les audits SOC 2 se concentrent sur la capacité de votre organisation à sécuriser les données et sur les contrôles utilisés pour garantir la disponibilité et l'intégrité continues des données de vos clients. Les cinq grands principes d'un audit sont les suivants

• Confidentialité: Votre organisation assure-t-elle la confidentialité des données à l'aide de contrôles d'accès, d'une authentification multifactorielle (MFA) et du cryptage ?
• Sécurité: Bloquez-vous l'accès des attaquants aux données à l'aide de pare-feu, de détection des intrusions et de MFA ?
• La disponibilité: Votre infrastructure inclut-elle la surveillance des performances, la reprise après sinistre et la capacité de gérer les incidents ?
• Intégrité du traitement: Votre cycle de développement de logiciel (SDLC) et le contrôle des changements incluent-ils l'assurance qualité et la surveillance des processus ?
• La confidentialité: Le stockage des données comprend-il un cryptage, des contrôles d'accès et des pare-feu pour se protéger des utilisateurs non autorisés ?

Notez que la conformité SOC 2 n'est pas une certification comme les autres normes de conformité. Il s'agit d'un audit de vos procédures et de votre infrastructure actuelles visant à garantir que vous répondez à un niveau élevé de sécurité et de disponibilité des données. 

Respect des normes SLA

Souvent, dans la hâte de revoir et de renforcer l'infrastructure de cybersécurité, les normes des accords de niveau de service (SLA) sont négligées. Les SLA sont les promesses que vous faites à vos clients, et ces promesses sont contractuelles et doivent être respectées. Par exemple, si vous donnez à vos clients un délai de résolution de 5 jours pour un problème de niveau moyen, il doit être résolu dans ce délai, sinon vous manquez votre objectif SLA.

Sur KernelCarenous sommes à la fois un client et un fournisseur. Nous fournissons des services aux clients, mais notre personnel informatique interne doit soutenir les employés internes et respecter les SLA définis par nos propres normes et les promesses faites aux employés internes. En étant à la fois client et fournisseur, nous comprenons l'importance de respecter les accords de niveau de service et de fixer des attentes raisonnables.

Les SLA peuvent être négociés, mais une fois le contrat signé, il est impératif que les organisations s'efforcent de respecter les exigences des SLA. Les exigences et les mesures des SLA sont généralement suivies dans des applications internes telles que les systèmes de billetterie. L'une de ces exigences SLA est le temps de disponibilité et couvre le principe d'audit SOC 2 pour la disponibilité.

Suivi des mesures pour déterminer la conformité

Pour les organisations qui s'efforcent de se mettre en conformité, l'une des premières étapes consiste à établir des rapports et à collecter des données sous la forme d'indicateurs clés de performance (ICP). Les KPI sont utilisés pour mesurer plusieurs paramètres distincts dans tous les systèmes informatiques. Les KPI peuvent vous indiquer où vous excellez et où il y a place à l'amélioration. Ils peuvent également vous indiquer où vous devez vous concentrer sur de meilleures stratégies et éliminer les goulots d'étranglement.

Les mesures du temps de disponibilité constituent un indicateur clé de performance communément utilisé dans le cadre de la conformité SOC 2. Le temps de fonctionnement (ou temps de fonctionnement du système) est le temps pendant lequel un système est disponible tout au long de l'année. Il peut s'agir d'un serveur, d'un équipement de réseau ou de stockage. Tout temps d'arrêt a une incidence sur cette mesure, y compris la maintenance programmée qui met le service hors ligne et nécessite un redémarrage. 

Pour obtenir d'excellentes notes de disponibilité, les fournisseurs s'efforcent d'atteindre un nombre de neuf. Plus le pourcentage de temps de disponibilité est élevé, plus la qualité du temps de disponibilité et de la disponibilité qu'un fournisseur peut offrir à ses clients est élevée. À titre d'exemple, une organisation qui peut promettre seulement 52,60 minutes de temps d'arrêt par an a un pourcentage de disponibilité ou de temps de fonctionnement de 99,99 % ou quatre neufs. Plus le nombre de temps d'arrêt est faible, plus le pourcentage de disponibilité est élevé. Toutes les organisations s'efforcent d'atteindre 100 %, mais la réalité est que des problèmes peuvent survenir et entraîner l'interruption inattendue d'un service, même si ce n'est que pour quelques millisecondes, et que la surveillance, les alertes et la réaction du personnel sont essentielles pour les accords sur le niveau de service.

Le temps de fonctionnement n'est pas la seule mesure utilisée dans les examens de conformité. En général, les organisations ont plusieurs indicateurs clés de performance qu'elles suivent pour déterminer l'efficacité des procédures actuelles. Voici quelques autres mesures :

• Le nombre d'applications jugées vulnérables aux CVE (Common Vulnerability Exposures) séparées par niveau de gravité (par exemple, élevé, moyen, faible).
• Temps moyen nécessaire pour appliquer un correctif aux logiciels vulnérables, y compris le système d'exploitation
• Disponibilité par service
• Charge et latence de l'hôte ou du réseau

KPIs affectant d'autres métriques

Dans certains cas, vous pouvez constater que vous avez des ICP contradictoires qui brouillent les pistes et rendent difficile la détermination de ce qui se passe. L'un des indicateurs clés de performance les plus courants est le fameux "écart de vulnérabilité", qui correspond au temps nécessaire pour corriger un système après qu'une analyse a révélé que le logiciel est vulnérable ou obsolète. Cet écart augmente chaque fois qu'une heure s'écoule et que le système n'est pas corrigé. 

Les organisations qui retardent l'application des correctifs risquent de trouver cette mesure trop élevée pour être conforme. En général, les correctifs sont programmés pour un jour précis chaque mois (ou éventuellement chaque semaine). Le problème est que les vulnérabilités sont maintenant connues publiquement et que certaines sont annoncées avec un code d'exploitation. En retardant les mises à jour des logiciels, le serveur reste vulnérable et ouvert aux exploits. En 2019, 60 % des violations de données ont été causées par des vulnérabilités pour lesquelles un correctif était disponible. 

Un indicateur de performance clé peut en affecter un autre et compromettre plusieurs objectifs. Par exemple, l'écart de vulnérabilité et les correctifs qui sont apportés peuvent affecter le temps de fonctionnement si le serveur doit être redémarré. De nouvelles CVE sont annoncées et des correctifs sont déployés tous les jours, il peut donc devenir difficile pour les organisations de suivre le rythme et d'éviter un redémarrage, qui crée alors un temps d'arrêt affectant les accords de niveau de service. Par exemple, si vous devez appliquer un correctif à un système dans les 30 jours et que chaque session de correctif programmée nécessite un redémarrage, votre pourcentage de temps de fonctionnement diminue.

Outils pour rester conforme

Une bonne stratégie pour respecter la conformité et rester dans les limites des SLA consiste à utiliser l'automatisation. L'automatisation peut détecter de nombreux problèmes avant qu'ils ne deviennent des brèches critiques ou des violations de conformité. Elle peut également être utilisée pour remédier à certains problèmes, comme l'application de correctifs. Les outils d'automatisation de la gestion des correctifs s'intègrent bien avec de nombreux outils d'analyse des vulnérabilités sur le marché, de sorte qu'ils peuvent être utilisés conjointement pour améliorer l'écart de vulnérabilité.

Lorsque les vulnérabilités sont corrigées manuellement, les administrateurs peuvent être dépassés. Ils doivent lire les rapports, déterminer la bonne version du logiciel, tester les correctifs, puis les déployer en production. Pour une organisation comptant des centaines de serveurs, cela nécessiterait une équipe entière qui gérerait les correctifs à plein temps. Ce système serait un gaspillage de ressources pour l'organisation alors que des outils d'automatisation sont disponibles. Au lieu de patcher manuellement, les outils d'automatisation permettent d'économiser du temps et des ressources.

Voici quelques outils utilisés par KernelCare pour répondre à la conformité SOC 2 et améliorer la sécurité sur chaque serveur :

• Tenable Nessus: Nessus est l'un des scanners de vulnérabilité les plus populaires du marché. Il analyse votre réseau et trouve les vulnérabilités, y compris les logiciels non corrigés.
• Ivanti: Ivanti va découvrir les actifs et gérer l'automatisation des correctifs. 
• KernelCare: Nous utilisons notre propre produit pour maintenir les logiciels patchés, y compris les bibliothèques tierces et le noyau Linux. En plus de patcher automatiquement les logiciels, KernelCare est une solution sans redémarrage, ce qui signifie que les serveurs n'ont pas besoin d'être redémarrés après avoir été patchés. Ce service permet de maintenir notre taux de disponibilité aussi élevé que possible sans perdre de points de pourcentage en raison des temps d'arrêt dus aux redémarrages.

Conclusion

La mise à jour des serveurs avec les derniers correctifs de vulnérabilité est nécessaire pour rester conforme, mais le respect des accords de niveau de service l'est tout autant. En raison de ce conflit, il peut être difficile pour les organisations de trouver les bons outils et de développer des procédures qui répondent à toutes les exigences. Grâce à l'automatisation, notamment l'application de correctifs sans redémarrage, les organisations peuvent maintenir un pourcentage élevé de temps de fonctionnement tout en appliquant des correctifs aux systèmes vulnérables dans un délai de 30 jours. Le résultat est que ces outils vous rapprochent d'autant plus de la conformité SOC 2 après avoir subi un audit.