Conformité en matière de cybersécurité

SOC 2, ISO, HIPAA, Cyber Essentials – tous les cadres de sécurité et les certifications sont aujourd’hui une soupe d’acronymes qui peut faire tourner la tête même à un expert en conformité.

Si vous vous lancez dans votre voyage de conformité, lisez ce qui suit pour découvrir les différences entre les normes, la meilleure pour votre entreprise et comment la gestion de la vulnérabilité peut contribuer à la conformité.

La gestion de la vulnérabilité est un élément essentiel de la sécurité des systèmes d’information.

La conformité en matière de cybersécurité signifie que vous avez respecté un ensemble de règles convenues concernant la manière dont vous protégez les informations sensibles et les données de vos clients.

Ces règles peuvent être établies par la loi, les autorités de régulation, les associations commerciales ou les groupes industriels.

Par exemple, le GDPR est établi par l’UE avec un large éventail d’exigences en matière de cybersécurité auxquelles chaque organisation entrant dans son champ d’application doit se conformer, tandis que la norme ISO 27001 est un ensemble volontaire (mais internationalement reconnu) de meilleures pratiques pour la gestion de la sécurité de l’information. Les clients attendent de plus en plus l’assurance qu’apporte la conformité, car les violations et la divulgation de données auront un impact sur leurs opérations, leur chiffre d’affaires et leur réputation.

Pour certains secteurs, la conformité est la loi. Les secteurs qui traitent des informations personnelles sensibles, comme les soins de santé et la finance, sont très réglementés. Dans certains cas, les réglementations en matière de cybersécurité se chevauchent d’un secteur à l’autre. Par exemple, si vous êtes une entreprise de l’UE qui traite des paiements par carte de crédit, vous devrez vous conformer à la fois aux réglementations sur les cartes de crédit et les cartes bancaires (PCI DSS) et au GDPR.

Les bases de la sécurité comme les évaluations des risques (ISO 31000), le stockage de données cryptées (AES 256-bit encryption), la gestion des vulnérabilités (Intruder),et les plans de réponse aux incidents sont relativement communs à toutes les normes [citation nécessaire], mais les systèmes et les opérations qui doivent être sécurisés [citation nécessaire], et la manière dont [citation nécessaire], sont spécifiques à chaque norme.
Les normes que nous explorons ci-dessous sont loin d’être exhaustives [citation nécessaire], mais elles constituent la conformité la plus courante pour les start-ups [citation nécessaire] et les entreprises SaaS [citation nécessaire] qui traitent des données numériques.
Plongeons dans l’histoire.

Le règlement général sur la protection des données (RGPD) est un texte législatif de grande portée qui régit la manière dont les entreprises – y compris celles des États-Unis – collectent et stockent les données privées des citoyens de l’Union européenne. Les amendes en cas de non-respect sont élevées [citation nécessaire] et l’UE n’hésite pas à les faire appliquer.

Attachez votre ceinture, car toute personne qui collecte ou traite les données à caractère personnel d’un citoyen de l’UE [citation nécessaire], quel que soit l’endroit où il se rend ou fait des achats en ligne, est concernée. Les informations personnelles ou « données à caractère personnel » comprennent à peu près tout, du nom [citation nécessaire] et de la date de naissance [citation nécessaire] aux informations géographiques [citation nécessaire], en passant par l’adresse IP [citation nécessaire], les identifiants de cookies [citation nécessaire], les données relatives à la santé [citation nécessaire] et les informations de paiement [citation nécessaire]. Par conséquent, si vous faites des affaires avec des résidents de l’UE, vous êtes tenu de vous conformer au GDPR[1][2][3][4][5][6][7][8]. Votre politique de sécurité informatique pour le GDPR n’a pas besoin d’être un document compliqué – il suffit de présenter en termes faciles à comprendre les protocoles de sécurité que les employés de votre entreprise doivent suivre. Vous pouvez également utiliser des modèles gratuits du SANS comme modèles[9]. Les plateformes automatisées facilitent la détermination des exigences que vous remplissez déjà et de celles qui doivent être corrigées[10]. Par exemple, vous êtes tenu de mettre en place des mesures de protection appropriées pour limiter l’impact d’un événement de cybersécurité potentiel, ce que l’analyse des vulnérabilités à l’aide d’un outil comme Intruder peut aider à réaliser[11]. Les entreprises SaaS fournissent des systèmes de services numériques les plus connus SOC 2 couvre le stockage, la manipulation et la transmission de données numériques, bien que la certification devienne de plus en plus populaire chez les fournisseurs de services[12]. Il existe deux rapports : l’évaluation ponctuelle de la cyber posture (type 1) et l’audit continu (type 2) ; un évaluateur externe vérifie que les engagements sont respectés ; l’audit est renouvelé tous les 12 mois ; SOC 2 laisse une certaine marge de manœuvre pour répondre aux critères, alors que PCI DSS HIPAA est beaucoup plus prescriptif[13]. SOC 2 est un bon choix pour les entreprises qui veulent démontrer leur engagement et donner à leurs clients la tranquillité d’esprit dont ils ont besoin pour traiter leurs données en toute sécurité.

SOC 2 n’est pas une exigence légale, mais c’est le cadre de sécurité le plus recherché par les fournisseurs de services en SaaS en croissance. Il est plus rapide et moins cher à mettre en place que la plupart des autres standards de cette liste, tout en montrant un engagement concret en matière de cybersécurité.

La conformité SOC 2 est un cadre de sécurité le plus recherché par les fournisseurs de services en SaaS en croissance.

La conformité SOC 2 nécessite la mise en place de contrôles ou de mesures de protection sur la surveillance du système, les alertes sur les violations des données, les procédures d’audit et la numérisation forensique. Le rapport SOC 2 subséquent est l’opinion du vérificateur sur la façon dont ces contrôles répondent aux exigences des cinq « principes de confiance » : sécurité, confidentialité, intégrité du traitement, disponibilité et confidentialité.

ISO 27001 : L’ISO produit un ensemble normalisés volontaires pour une variétés d’industries – ISO 27001 est la norme pour les meilleures pratiques dans un SMIS (système de gestion de la sûreté des informations) afin de gerer la securite des informations financières , propriétés intellectuelles , informations personnelles , et d’autres tiers . ISO 27001 n’est pas une obligation légale par défaut , mais beaucoup d’entreprises ou agences gouvernementales ne travailleront qu’avec vous si vous êtes certifiés ISO . Il est reconnu comme l’un des cadres les plus rigoureux mais il est infamement difficile , coûteux et chronophage à accomplir .

Comme SOC 2 , ISO 27001 est un bon moyen pour démontrer publiquement que votre entreprise s’engage et fait preuve d’une diligence raisonnable en matière de cybersantée , et que vous avez pris des mesures pour assurer la sûretée des donnée partagée avec eux.

PCI DSS : Le PCI DSS (Data Security Standard) a été développé par le PCI Security Standards Council et les principales marques cartes (American Express , Mastercard et Visa) afin de réguler toute personne qui stocke , traite ou transmet donnée carte titulaire. En théorie, toute personne qui effectue le traitement transactionnelle paiement carte, mais il y a différentes règles selon le nombre et type paiements que vous prenez. Si vous utilisez un tiers fournisseur service paiement carte comme Stripe ou Sage, ils devraient gerer le processus et fournir une validation pour vous.

Toute entreprise soumissionnant pour un contrat du gouvernement britannique ou du secteur public qui implique des informations sensibles et personnelles ou qui fournit certains produits et services techniques devrait avoir une certification Cyber Essentials.

Le certificat de base est une auto-évaluation des contrôles de sécurité de base. est une certification technique plus avancée, plus complète et plus pratique qui comprend une série de tests de vulnérabilité qui peuvent être fournis par un outil automatisé tel qu’Intruder. Le test interne est une analyse interne authentifiée et un test de la sécurité et de la configuration anti-malware de chaque appareil.

La conformité peut sembler être un exercice laborieux et coûteux, mais elle peut pâlir en comparaison du coût de la réparation d’une violation, du versement d’indemnités aux clients, de la perte de votre réputation ou du paiement d’amendes. Vous pouvez également passer à côté d’affaires potentielles si vous ne disposez pas des certifications attendues par les clients.

Mais la conformité en matière de cybersécurité n’a pas besoin d’être difficile avec les outils automatisés d’aujourd’hui. Si vous utilisez la gestion des vulnérabilités d’Intruder qui s’intègre déjà avec des plateformes de conformité automatisées comme Drata, alors l’audit, le reporting et la documentation pour la conformité deviennent beaucoup plus rapides et plus faciles. Que vous soyez au début de votre parcours de conformité ou que vous cherchiez à améliorer votre sécurité, Intruder peut vous aider à y parvenir plus rapidement. Commencez dès aujourd’hui avec un essai gratuit.