SOC 2, ISO, HIPAA, Cyber Essentials : tous les cadres de sécurité et certifications d’aujourd’hui sont une soupe d’acronymes qui peut faire tourner la tête même à un expert en conformité. Si vous vous lancez dans votre démarche de conformité, poursuivez votre lecture pour découvrir les différences entre les normes, celle qui convient le mieux à votre entreprise et comment la gestion des vulnérabilités peut faciliter la conformité.
Qu’est-ce que la conformité en matière de cybersécurité ?
La conformité en matière de cybersécurité signifie que vous respectez un ensemble de règles convenues concernant la manière dont vous protégez les informations sensibles et les données des clients. Ces règles peuvent être fixées par la loi, les autorités de régulation, les associations professionnelles ou les groupes industriels.
Par exemple, le RGPD est fixé par l’UE avec un large éventail d’exigences en matière de cybersécurité auxquelles chaque organisation relevant de son périmètre doit se conformer, tandis que la norme ISO 27001 est un ensemble volontaire (mais internationalement reconnu) de bonnes pratiques pour la gestion de la sécurité de l’information. Les clients attendent de plus en plus l’assurance que leur apporte la conformité, car les violations et la divulgation de données auront également un impact sur leurs opérations, leurs revenus et leur réputation.
Quelle norme de conformité en matière de cybersécurité vous convient le mieux ?
Chaque entreprise dans chaque secteur est opérationnellement différente et a des besoins différents en matière de cybersécurité. Les mesures de protection utilisées pour préserver la confidentialité des dossiers des patients hospitalisés ne sont pas les mêmes que les réglementations régissant la sécurité des informations financières des clients.
Pour certaines industries, la conformité est la loi. Les secteurs qui traitent des informations personnelles sensibles, comme les soins de santé et la finance, sont très réglementés. Dans certains cas, les réglementations en matière de cybersécurité se chevauchent entre les secteurs. Par exemple, si vous êtes une entreprise dans l’UE qui gère les paiements par carte de crédit, vous devrez vous conformer à la fois aux réglementations sur les cartes de crédit et bancaires (PCI DSS) et au RGPD.
Les bases de la sécurité telles que l’évaluation des risques, le stockage de données cryptées, la gestion des vulnérabilités et les plans de réponse aux incidents sont assez courantes dans toutes les normes, mais les systèmes et les opérations qui doivent être sécurisés, et comment, sont spécifiques à chaque norme. Les normes que nous explorons ci-dessous sont loin d’être exhaustives, mais elles constituent la conformité la plus courante pour les start-ups et les entreprises SaaS qui gèrent des données numériques. Allons-y.
RGPD
Le Règlement général sur la protection des données (RGPD) est une législation de grande envergure qui régit la manière dont les entreprises – y compris celles des États-Unis – collectent et stockent les données privées des citoyens de l’Union européenne. Les amendes en cas de non-conformité sont élevées et l’UE est n’hésite pas à les appliquer.
Qui doit se conformer au RGPD ?
Attachez votre ceinture, car il s’agit de toute personne qui collecte ou traite les données personnelles de toute personne dans l’UE, où qu’elle aille ou fasse ses achats en ligne. Les informations personnelles ou « données personnelles » comprennent à peu près tout, du nom et de la date de naissance aux informations géographiques, à l’adresse IP, aux identifiants de cookies, aux données de santé et aux informations de paiement. Ainsi, si vous faites des affaires avec des résidents de l’UE, vous devez vous conformer au RGPD.
Comment l’analyse des vulnérabilités peut contribuer à la conformité au RGPD
Votre politique de sécurité informatique pour le RGPD n’a pas besoin d’être un document compliqué : elle doit simplement exposer, en termes faciles à comprendre, les protocoles de sécurité que votre entreprise et vos employés doivent suivre. Vous pouvez également utiliser des modèles gratuits de SANS comme modèles.
Vous pouvez commencer immédiatement à prendre des mesures simples. Il existe des plateformes automatisées qui permettent de déterminer plus facilement les exigences auxquelles vous répondez déjà et celles que vous devez corriger. Par exemple, vous devez « développer et mettre en œuvre garanties appropriées limiter ou contenir l’impact d’un événement potentiel de cybersécurité » dont l’analyse des vulnérabilités à l’aide d’un outil comme Intrus peut vous aider à réaliser.
SOC2
Les entreprises SaaS et nées dans le cloud qui fournissent des services et des systèmes numériques seront plus familières avec SOC 2 car il couvre le stockage, la manipulation et la transmission des données numériques, bien que la certification soit de plus en plus populaire auprès de tous les fournisseurs de services.
Il existe deux rapports : le type 1 est une évaluation ponctuelle de votre posture de cybersécurité ; Le type 2 est un audit continu réalisé par un évaluateur externe pour vérifier que vous respectez ces engagements, revu et renouvelé tous les 12 mois. SOC 2 vous donne une certaine marge de manœuvre pour répondre à ses critères, alors que PCI DSS, HIPAA et d’autres cadres de sécurité ont des exigences très explicites.
Qui a besoin de la conformité SOC 2 ?
Bien que SOC 2 ne soit pas une obligation légale, il s’agit du cadre de sécurité le plus recherché par les fournisseurs SaaS en pleine croissance. C’est plus rapide et moins cher à mettre en œuvre que la plupart des autres normes de cette liste, tout en démontrant un engagement concret en faveur de la cybersécurité.
Comment se conformer au SOC 2 ?
La conformité SOC 2 vous oblige à mettre en place des contrôles ou des protections sur la surveillance du système, les violations d’alertes de données, les procédures d’audit et l’investigation numérique. Le rapport SOC 2 ultérieur constitue l’opinion de l’auditeur sur la manière dont ces contrôles répondent aux exigences de cinq « principes de confiance » : sécurité, confidentialité, intégrité du traitement, disponibilité et confidentialité.
OIN 27001
L’ISO produit un ensemble de normes volontaires pour diverses industries – ISO 27001 est la norme des meilleures pratiques dans un SMSI (système de gestion de la sécurité de l’information) pour gérer la sécurité des informations financières, de la propriété intellectuelle, des informations sur le personnel et d’autres informations de tiers. La norme ISO 27001 n’est pas une exigence légale par défaut, mais de nombreuses grandes entreprises ou agences gouvernementales ne travailleront avec vous que si vous êtes certifié ISO. Il est reconnu comme l’un des cadres les plus rigoureux, mais il est notoirement difficile, coûteux et long à mettre en œuvre.
Qui en a besoin ?
Comme SOC 2, ISO 27001 est un bon moyen de démontrer publiquement que votre entreprise est engagée et diligente en matière de sécurité des informations, et que vous avez pris des mesures pour assurer la sécurité des données que vous partagez avec elle.
Comment se conformer à la norme ISO 27001 ?
Des auditeurs tiers valident que vous avez mis en œuvre toutes les bonnes pratiques pertinentes conformément à la norme ISO. Il n’existe pas de liste de contrôle universelle ISO 27001 garantissant la certification. C’est à vous de décider comment déterminer ce qui entre dans le champ d’application et mettre en œuvre le cadre, et les auditeurs utiliseront leur pouvoir discrétionnaire pour évaluer chaque cas.
N’oubliez pas que la norme ISO 27001 concerne en grande partie la gestion des risques. Les risques ne sont pas statiques et évoluent à mesure que de nouvelles cybermenaces apparaissent. gestion automatisée des vulnérabilités avec un outil comme Intruder dans vos contrôles de sécurité pour évaluer et analyser les nouveaux risques à mesure qu’ils émergent. Les plateformes de conformité automatisées telles que Drata peuvent contribuer à accélérer le processus.
 |
| Intruder fournit des rapports exploitables et prêts à être audités, afin que vous puissiez facilement montrer votre niveau de sécurité aux auditeurs, aux parties prenantes et aux clients. |
PCI DSS
La norme PCI DSS (Data Security Standard) a été développée par le PCI Security Standards Council et les principales marques de cartes (American Express, Mastercard et Visa) pour réglementer toute personne qui stocke, traite et/ou transmet les données des titulaires de carte.
Qui en a besoin ?
En théorie, toute personne qui traite les transactions de paiement par carte, mais il existe des règles différentes selon le nombre et le type de paiements que vous effectuez. Si vous utilisez un fournisseur de paiement par carte tiers comme Stripe ou Sage, il doit gérer le processus et vous fournir une validation.
Comment se conformer à la norme PCI DSS
Contrairement à ISO 27001 et SOC 2, PCI DSS nécessite un programme strict de gestion des vulnérabilités mais l’accréditation est complexe. Les prestataires de paiement tiers remplissent généralement automatiquement le formulaire PCI, fournissant une validation en un seul clic. Pour les petites entreprises, cela peut permettre d’économiser des heures de travail.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) réglemente le transfert et le stockage des données des patients dans le secteur de la santé aux États-Unis, où la conformité est une exigence légale.
Qui en a besoin ?
La conformité HIPAA est obligatoire pour toute entreprise qui traite des informations sur les patients aux États-Unis, ou pour toute personne faisant des affaires aux États-Unis avec des entreprises également conformes à la HIPAA.
Comment se conformer à la HIPAA
HIPAA peut être difficile à naviguer. Cela nécessite un plan de gestion des risques comportant des mesures de sécurité suffisantes pour réduire les risques à un niveau raisonnable et approprié. Bien que la loi HIPAA ne précise pas la méthodologie, les analyses de vulnérabilité ou les tests d’intrusion avec un outil comme Intruder devraient faire partie intégrante de tout processus d’analyse et de gestion des risques.
Les cyberessentiels
Cyber Essentials est un programme soutenu par le gouvernement britannique et conçu pour vérifier que les entreprises sont correctement protégées contre les cyberattaques courantes. Semblable au SOC 2, considérez-le comme une bonne cyberhygiène – comme se laver les mains ou se brosser les dents. Conçu pour les petites entreprises ne disposant pas d’une expertise dédiée en matière de sécurité, il ne devrait être que le point de départ d’un programme de sécurité plus robuste.
Qui a besoin de la conformité Cyber Essentials ?
Toute entreprise soumissionnant pour un contrat du gouvernement britannique ou du secteur public impliquant des informations sensibles et personnelles ou fournissant certains produits et services techniques.
Comment se conformer à Cyber Essentials
Le certificat de base est une auto-évaluation des contrôles de sécurité de base. Cyber Essentials Plus est une certification technique plus avancée, complète et pratique qui comprend une série de tests de vulnérabilité qui peuvent être fournis par un outil automatisé comme Intruder. Le test interne est une analyse interne authentifiée et un test de la configuration de sécurité et anti-malware de chaque appareil.
La conformité ne signifie pas nécessairement la complexité
La conformité peut sembler un exercice coûteux et exigeant en main-d’œuvre, mais elle peut être dérisoire en comparaison du coût de la réparation d’une violation, du paiement des règlements aux clients, de la perte de votre réputation ou du paiement d’amendes. Vous pouvez également passer à côté d’activités potentielles si vous ne disposez pas des certifications attendues par les clients.
Mais la conformité en matière de cybersécurité ne doit pas nécessairement être difficile avec les outils automatisés d’aujourd’hui. Si vous utilisez la gestion des vulnérabilités d’Intruder qui s’intègre déjà à des plates-formes de conformité automatisées telles que Drata, l’audit, le reporting et la documentation de conformité deviennent beaucoup plus rapides et plus faciles. Que vous commenciez tout juste votre démarche de conformité ou que vous cherchiez à améliorer votre sécurité, Intruder peut vous aider à y parvenir plus rapidement. Commencez dès aujourd’hui avec un essai gratuit.