La conformité des données – un champ de mines ! Il est presque difficile de croire combien de données sont stockées dans le nuage (sur les serveurs de quelqu’un d’autre) de nos jours. Les organisations, grandes et petites, ont établi une présence en ligne et adopté une multitude de solutions basées sur le cloud pour gagner en souplesse opérationnelle, accroître leur rentabilité et améliorer leur compétitivité.
Même les organisations opérant dans des secteurs où la confidentialité et la sécurité des données sont de la plus haute importance, comme les soins de santé, ont abandonné les architectures sur site et migré vers le cloud. Tout organisme de soins de santé qui choisit de stocker et de traiter les informations personnelles ou confidentielles des utilisateurs auprès d’un fournisseur tiers doit être en mesure de démontrer que ce dernier opère de manière conforme à la loi HIPAA . C’est là qu’interviennent les normes d’audit SSAE 16 et SSAE 18 pour les organismes de services.
Comme si la compréhension de la différence entre SSAE 16 et SAE 18 n’était pas assez difficile, il existe bien d’autres termes qui sont fréquemment utilisés de manière abusive et mal comprise en rapport avec ces normes, notamment SAS 70, rapport SOC 1, rapport SOC 2, rapport SOC 3, rapport de type 1 et rapport de type 2. Mettons fin à cette confusion et expliquons tout depuis le début.
SAS 70
Conscient de la nécessité pour les organisations de services et les prestataires de services de démontrer qu’ils disposent de contrôles et de garanties adéquats lorsqu’ils hébergent ou traitent des données appartenant à leurs clients, l’American Institute of Certified Public Accountants (AICPA), l’organisation professionnelle nationale des experts-comptables agréés (CPA) aux États-Unis, a publié en avril 1992 une série de normes permettant de rendre compte des contrôles mis en œuvre par les organisations de services, connues sous le nom de SAS 70.
“Pendant près de 18 ans, SAS 70 a fait autorité en permettant aux organismes de services de divulguer leurs activités et processus de contrôle à leurs clients et aux auditeurs de ces derniers dans un format de rapport uniforme“, explique . SAS70.com est la première et la plus ancienne ressource Internet entièrement consacrée à la norme d’audit SAS 70.
SSAE 16
L’ère de la norme SAS 70 a effectivement pris fin en janvier 2010 avec la finalisation du Statement on Standards for Attestation Engagements (SSAE) No. 16, Reporting on Controls at a Service Organization, par l’AICPA. La norme SSAE 16 est entrée en vigueur le 15 juin 2011 et a mis l’accent sur les contrôles internes en matière d’information financière (CIIF), ce qui n’a pas grand-chose à voir avec les services offerts par les organismes de certification. Fournisseurs d’hébergement web conformes à la loi HIPAA et centres de données en général.
Afin d’élargir le champ d’application de la norme SSAE 16, l’AICPA a créé les rapports SOC (Service Organization Controls) comme nouvelles options pour les organisations préoccupées par la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la vie privée :
- Rapports SOC 1: Utilisés uniquement dans le but d’établir un rapport sur le système de contrôle interne relatif au contrôle interne des rapports financiers.
- Rapports SOC 2 et Rapports SOC 3: Se concentrent sur les contrôles d’un organisme de services en rapport avec les principes de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité et de respect de la vie privée. La principale différence entre les rapports SOC 2 et les rapports SOC 3 est que le premier type est partagé sous NDA alors que le second est accessible à tous publiquement.
Les fournisseurs d’hébergement Web, les fournisseurs de services gérés, les entreprises de logiciels en tant que service (SaaS) et les fournisseurs d’informatique en nuage qui utilisaient SAS 70 par le passé doivent maintenant obtenir un rapport SOC 2.
Comme pour tout compliquer, les rapports SOC 1 et SOC 2 peuvent être de type I ou de type II :
- Type I: Examine si la description du système de l’organisme de service correspond au système de l’organisme de service qui a été conçu et mis en œuvre à une date précise. Il examine également si les contrôles liés aux objectifs de contrôle énoncés dans la description du système de l’organisme de services par la direction ont été conçus de manière appropriée pour atteindre ces objectifs de contrôle.
- Type II: En plus de tout ce qui est inclus dans les rapports de type I, un rapport de type II examine en outre si les contrôles liés aux objectifs de contrôle énoncés dans la description par la direction du système de l’organisme de services ont fonctionné efficacement tout au long de la période spécifiée pour atteindre ces objectifs de contrôle’.
SSAE 18
Le 1er mai 2017, l’AICPA a remplacé la norme SSAE 16 par une nouvelle norme, appelée SSAE 18, ou Statement on Standards for Attestation Engagements No. 18. Tout comme SAS 70 et SSAE 16 avant elle, la conformité des données SSAE 18 n’est pas une certification. Il s’agit d’une norme d’audit et d’attestation utilisée pour produire des rapports sur les contrôles des systèmes et des organisations (SOC) (SOC 1, SOC 2 et SOC 3).
“La mise à jour de la norme SSAE 18 apporte quelques différences importantes par rapport à son prédécesseur, la norme SSAE 16. Son principal objectif est de clarifier certaines anciennes normes et de rationaliser et simplifier le processus d’examen”, explique Colocation America, un fournisseur d’hébergement en colocation conforme à la HIPAA. “La mise à jour de cette norme exigera également des entreprises qu’elles prennent davantage de contrôle et de responsabilité vis-à-vis des personnes avec lesquelles elles travaillent, principalement les fournisseurs tiers.”
Selon la norme SSAE 18, un organisme de services, qui se définit comme toute entité qui fournit des services à d’autres organismes, doit identifier tous les organismes de sous-services utilisés pour fournir les services et décrire tous les contrôles des organismes de sous-services sur lesquels l’organisme de services s’appuie pour fournir les services primaires à ses clients. Les autres exigences comprennent une évaluation des risques qui met en évidence les principaux risques internes de l’organisation ainsi que la mise en œuvre de contrôles pour surveiller l’efficacité des contrôles pertinents dans l’organisation de sous-services, entre autres choses.
En faisant réaliser un examen SSAE 18, les fournisseurs d’hébergement Web conformes à la loi HIPAA et tous les autres organismes de services peuvent rassurer leurs partenaires en leur offrant la preuve concrète qu’ils mènent leurs activités conformément à leurs spécifications.
Conclusion sur la conformité des données
Nous espérons que vous comprenez maintenant la différence entre les normes de conformité des données SAS 70, SSAE 16, SSAE 18, SOC 1, SOC2 et SOC3. Dans un monde où tout le monde stocke des données dans le nuage, il est important d’avoir les moyens d’évaluer objectivement la façon dont les différents fournisseurs de services traitent, exploitent et contrôlent les données relatives aux clients et aux rapports financiers.
Grâce à la norme SSAE 18 et à ses prédécesseurs, les fournisseurs d’hébergement Web conformes à la loi HIPAA et les autres organismes de services peuvent avoir l’esprit tranquille, sachant que l’environnement qu’ils ont créé est sûr et sécurisé.