Comment SOC 2 contribue à sécuriser votre chaîne d’approvisionnement logicielle

De nombreuses entreprises du secteur de la construction ont investi massivement dans des mesures de cybersécurité afin de protéger les infrastructures et les informations stratégiques. La sécurité et la protection de la vie privée sont des préoccupations majeures pour le secteur de la construction, dans la mesure où les menaces se sont considérablement accrues. Selon la société d’audit de sécurité A-LIGN, 73 % des organisations ont été confrontées à des fuites de données au cours des 12 derniers mois. Cependant, le risque de sécurité s’étend au-delà de l’entreprise. Les applications logicielles utilisées par une entreprise, aujourd’hui appelées chaîne d’approvisionnement logicielle, peuvent également poser des problèmes de sécurité.

Bien que la cybersécurité soit une priorité absolue pour la plupart des entreprises d’AECO, il existe des failles cachées qui passent souvent inaperçues. Les fournisseurs de logiciels tiers sont une extension de l’entreprise et peuvent créer une faille de sécurité. Si les fournisseurs de logiciels ne prennent pas les mesures appropriées pour protéger les données de leur clientèle, des informations sensibles peuvent être exposées ou divulguées.

Les problèmes liés à la sécurité de la chaîne logicielle se multiplient. En mai 2021,le National Institute of Standards and Technology (NIST), a publié un décret soulignant le nombre croissant de risques liés à la sécurité de la chaîne d’approvisionnement logicielle. « Les ministères et organismes fédéraux sont exposés à des risques de cybersécurité par le biais des logiciels et services qu’ils achètent, déploient, utilisent et gèrent à partir de leur chaîne d’approvisionnement (incluant également des composants logiciels libres). Les logiciels achetés peuvent contenir des points faibles connus et inconnus en raison de l’architecture du produit et du cycle de développement. »

Ce problème ne concerne pas seulement le gouvernement fédéral. Il concerne tous les secteurs d’activité. Dans le secteur de la construction, les fournisseurs de logiciels stockent souvent des informations sensibles sur des serveurs hébergés dans le nuage, y compris des plans et des spécifications de construction. De plus, des informations numériques sont transférées entre les membres externes de l’équipe du projet plusieurs fois par jour.  Les données « en transit » sont exposées à des risques si elles ne sont pas cryptées. Par ailleurs, veiller à ce que les informations soient envoyées à la personne autorisée est un facteur de sécurité essentiel. À cet égard, l’authentification multifactorielle (MFA) vient renforcer la sécurité, de façon à ce que les informations ne tombent pas entre de mauvaises mains.

Mais comment savoir si votre fournisseur de logiciels protège vos informations? C’est là qu’intervient la certification SOC 2 

Les entreprises de construction peuvent renforcer leur sécurité en vérifiant les mesures et pratiques de sécurité de leurs fournisseurs de logiciels. Similaire aux normes de sécurité du NIST, le SOC 2, développé par l’American Institute of Certified Public Accountants (AICPA), vérifie et documente l’efficacité des processus internes et des contrôles de cybersécurité d’un fournisseur de logiciels. Il s’agit d’une procédure de vérification rigoureuse qui permet de garantir que les fournisseurs de logiciels gèrent et protègent les données de leur clientèle en toute sécurité. Il existe trois niveaux de certification SOC :  SOC 1, SOC 2 et SOC 3. Alors que le SOC 1 porte sur les contrôles et les rapports financiers, les SOC 2 et SOC 3 se concentrent sur les contrôles informatiques, opérationnels et organisationnels d’une entreprise.

La clientèle et les parties prenantes se basent sur les rapports SOC 2 et SOC 3 pour accorder leur confiance aux systèmes d’une organisation. Toutefois, le rapport SOC 2 comprend les détails des tests de traitement et de contrôle effectués par l’auditeur·rice indépendant·e, ainsi que les résultats de ces tests.

La certification SOC 2 est devenue la norme de facto.  Il s’agit d’une certification de sécurité américaine qui définit les critères de gestion des données de la clientèle.

L’audit de certification SOC 2 couvre cinq critères de service de confiance spécifiques, à savoir la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée.

L’organisme de sécurité Imperva décrit les cinq principes spécifiques au SOC 2 :

Les termes « conformité » et « certification » sont souvent utilisés de manière interchangeable. Mais il existe une différence. La certification implique qu’une tierce partie indépendante a physiquement évalué, testé et certifié la conformité du produit ou du service à toutes les exigences de la norme. La certification SOC 2 exige qu’un·e auditeur·rice indépendant·e évalue et teste les cinq principes de confiance spécifiques décrits ci-dessus.

Un fournisseur de logiciels peut adhérer aux principes de confiance et se déclarer conforme. Cependant, la « conformité » n’est pas contrôlée et vérifiée par une autorité indépendante.  La conformité repose essentiellement sur une auto-vérification.

Newforma a récemment obtenu la certification SOC 2 afin de mieux protéger les données et la vie privée de sa clientèle.

La certification des politiques, procédures et contrôles d’infrastructure de Newforma a fait l’objet d’un examen approfondi sur une période de trois mois par A-LIGN, un auditeur indépendant et certifié par une tierce partie.

Les questions de sécurité et de confidentialité continuent d’être une priorité pour le secteur de la construction et de nombreuses entreprises attendent plus de transparence de la part des fournisseurs de logiciels en ce qui concerne la sécurité et la confidentialité. De plus, le gouvernement fédéral, les infrastructures et les projets classifiés exigent des preuves de contrôles de sécurité en vue de remporter les appels d’offres.

« La clientèle de Newforma a la garantie que ses données, ses mots de passe et ses accès sont sécurisés et protégés », déclare Johnathon Kinville, directeur de la sécurité chez Newforma. « Newforma continue de se positionner en tête du marché des logiciels d’AECO en matière des meilleures pratiques de sécurité. »