Afin d’offrir à ses clients la garantie d’un service sécurisé, un fournisseur SaaS peut faire appel à un cabinet d’audit pour obtenir une attestation relative aux dispositifs de contrôle interne mis en œuvre. Cette approche appelée garantie par une tierce partie (Third-Party Assurance ou TPA) se matérialise par la consignation des résultats d’audit sous forme de rapports SOC (Service Organisation Controls). Quel type de rapport est destiné à être diffusé publiquement par un fournisseur SaaS auprès de ses clients ou prospects ?
[A] SOC1
[B] SOC2
[C] SOC3
[D] SOC4
Les rapports SOC concernent l’externalisation des services.
Les rapport SOC1 concernent les rapports financiers des entreprises. Ils ne sont pas publics et peuvent être éventuellement diffusés après l’accord de l’organisme d’audit et signature d’un NDA.
Les rapports SOC2 et SOC3 concernent un périmètre d’audit plus large que les données financières sur une ou plusieurs des 5 catégories de confiance appelées TSC (Trust Services Categories). Les 5 TSC définies par l’AICPA sont la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité et le respect de la vie privée et la protection des données personnelles (privacy).
Les rapports SOC2 ne sont pas publics et peuvent être éventuellement diffusés après l’accord de l’organisme d’audit et signature d’un NDA.
Les rapports SOC3 sont publics et peuvent être diffusés largement par le fournisseur Cloud.
La bonne réponse est donc la proposition [C] SOC3
Enfin, les audits ou rapport SOC4 n’existent tout simplement pas. C’est donc une réponse erronée que l’on appelle également un « leurre » ou un « distracteur » dans le jargon des tests d’évaluation.
Pour en savoir plus sur les audits de sécurité , nous vous recommandons de suivre le module n°16 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
