Par Robert Pruyn
La sécurité de l’information est une préoccupation importante et croissante pour les entreprises, en particulier celles qui externalisent des activités commerciales clés auprès de fournisseurs tiers, pour des services tels que les robots en tant que service (RaaS ou Robots-as-a-Service), les logiciels en tant que service (SaaS ou Software-as-a-Service) et les fournisseurs d’informatique dans le Cloud. La sécurité de l’information est une préoccupation légitime, car une mauvaise gestion des données et des processus non sécurisés peuvent rendre une entreprise vulnérable et entraîner des attaques, par des ransomwares et autres logiciels malveillants, ou des vols de données.
Lorsque vous externalisez un processus commercial critique, il est impératif de savoir si vous pouvez faire confiance aux pratiques de sécurité du fournisseur. L’une des méthodes consiste à examiner le rapport Contrôle de l’organisation des services 2 de ce fournisseur, plus connu sous le nom de rapport SOC 2 (SOC pour Service Organization Control).
Un rapport SOC 2 est une procédure volontaire et normalisée d’audit de la conformité, destinée aux entreprises qui proposent des produits basés dans le Cloud. Un rapport SOC 2 garantit aux clients et parties prenantes actuels et potentiels que la sécurité d’un service en particulier est correctement assurée. L’Institut des comptables publics assermentés des États-Unis (AICPA ou American Institute of Certified Public Accountants) établit les recommandations de conformité du SOC 2 afin de garantir la sécurité, la disponibilité et la confidentialité des services.
Intérêt d’un rapport SOC 2 dans le domaine de la robotique
Les entreprises de robotique, telles que Locus Robotics, doivent permettre à un client de faire face aux problèmes de sécurité et de se conformer aux exigences en matière de sécurité, de confidentialité, de sûreté et autres exigences réglementaires.
La robotique est un secteur relativement nouveau, qui évolue très rapidement. C’est pour cette raison que les pratiques de sécurité standard du secteur sont encore en cours de définition et de mise en œuvre, et que peu d’entreprises disposent effectivement de pratiques de sécurité.
Les pratiques de sécurité sont la norme pour les entreprises qui utilisent des ordinateurs portables, car ceux-ci peuvent recueillir et contenir des données exclusives. Les robots collectent également des données et nécessitent donc des précautions de sécurité adaptées.
Lors d’un audit SOC 2 de type II, un cabinet d’audit indépendant est amené à évaluer les pratiques de sécurité en vigueur dans l’entreprise, y compris sur les ordinateurs portables et les robots, en regard des recommandations de l’AICPA.
Les tests d’audit comprennent un examen des catégories suivantes :
- La séparation des tâches
- La gestion des changements
- L’accès utilisateur
- L’analyse des vulnérabilités
- La poursuite des activités et la reprise après sinistre
- La sauvegarde et la restauration des données
- La gestion des tiers
- La gestion des correctifs
Ces processus sont essentiels et garantissent des normes de sécurité à la hauteur et la conformité d’une entreprise aux recommandations SOC 2.
En résumé, la robotique est une technologie très avancée et en constante évolution. Sans contrôles informatiques généraux (ITGC ou IT General Controls) performants, les entreprises de robotique ne peuvent prouver qu’elles ont bien mis en place des mesures de conformité sûres et efficaces, et il est donc crucial de démontrer sa conformité au SOC 2.
Et après ?
La conformité SOC 2 ne se limite pas à un unique rapport. Au contraire, pour qu’une entreprise puisse se dire conforme au SOC 2, elle doit constamment mettre en œuvre des mesures de conformité et des pratiques de sécurité. Locus Robotics a récemment établi son premier rapport SOC 2 et le renouvellera chaque année. Nous surveillons en permanence l’efficacité de la conformité sur l’ensemble de l’entreprise et mettons à jour nos politiques et procédures le cas échéant. Notre rapport SOC 2 n’est qu’une étape vers nos futures réalisations.
Cliquez ici pour lire notre rapport SOC 3 destiné au public. (Remarque : un rapport SOC 2 est privé, tandis que la version publique du même rapport est connue sous le nom de SOC 3).
Nous nous consacrons à l’examen régulier des pratiques de sécurité de l’information, ce qui implique de mettre en œuvre en permanence des améliorations et des mises à jour qui nous permettent de maximiser la protection de nos produits et de nos clients. Consultez notre page TRUST Center pour en savoir plus sur nos examens réguliers de la sécurité et de la conformité, nos certifications, nos politiques et nos pratiques d’excellence.
