Tests de sécurité et gestion des vulnérabilités SOC 2
Les auditeurs SOC 2 Type II examinent votre programme de gestion des vulnérabilités tout au long de la période d'audit. L’époque des analyses ponctuelles satisfaisant les auditeurs est révolue. KENSAI fournit la piste de preuves continue requise par les audits SOC 2 modernes.
Démarrer l’évaluation SOC 2 → Réservez une démoSOC 2 Critères communs pour la gestion des vulnérabilités
SOC 2 est basé sur les critères de services de confiance (TSC) de l'AICPA. Les preuves de gestion des vulnérabilités sont requises principalement dans le cadre de laCritères communs (CC)liés aux opérations du système et à la gestion du changement :
L'entité utilise des procédures de détection et de surveillance pour identifier les modifications de configuration, les nouvelles vulnérabilités et les anomalies. Les auditeurs veulent voir : une analyse continue des vulnérabilités, des processus documentés et des preuves que la surveillance est continue, et pas seulement trimestrielle.
Les incidents de sécurité (y compris l'exploitation des vulnérabilités) sont identifiés et traités. La gestion des vulnérabilités s’intègre directement dans le processus de réponse aux incidents.
Les modifications apportées à l'infrastructure, aux données, aux logiciels et aux processus sont autorisées, conçues, développées, documentées, testées, examinées et mises en œuvre. L’analyse des vulnérabilités après les modifications est une preuve attendue.
L'entité sélectionne et développe des activités d'atténuation des risques, y compris l'identification et la remédiation des vulnérabilités. C’est ici que vos SLA de priorisation des vulnérabilités et de remédiation sont évalués.
💡 Type I contre Type II :SOC 2 Type I est une évaluation ponctuelle. Le type II couvre une période (généralement de 6 à 12 mois). Pour le type II, les auditeurs échantillonneront les preuves de l'analyse des vulnérabilités tout au long de la période d'audit et rechercheront une exécution cohérente et reproductible. Une seule analyse au cours du 11e mois ne réussira pas.
Ce que demandent réellement les auditeurs SOC 2
Sur la base des demandes courantes des auditeurs dans les missions SOC 2, voici ce que vous devrez fournir :
| Type de preuve | Fréquence | Ce que veulent les auditeurs |
|---|---|---|
| Résultats de l'analyse des vulnérabilités | Mensuel ou continu | Horodatages, portée, nombre de résultats, répartition de la gravité |
| Rapport de test d'intrusion | Annuel | Méthodologie, portée, conclusions, état d’assainissement |
| Suivi des mesures correctives | Continu | Parcours de billetterie, de la découverte à la correction, puis au nouveau test |
| Enregistrements de gestion des correctifs | Continu | Correctifs critiques appliqués dans le cadre du SLA (généralement 30 jours) |
| Politique de gestion des vulnérabilités | Lors de l'audit | Politique écrite avec définitions de gravité et SLA de remédiation |
| Documentation d'acceptation des risques | Par exception | Acceptation des risques signée pour les vulnérabilités connues non corrigées |
Tests d'intrusion pour SOC 2
Bien que SOC 2 n'exige pas explicitement la fréquence des tests d'intrusion, pratiquement tous les rapports SOC 2 crédibles incluent des preuves de tests d'intrusion annuels. Les auditeurs considèrent cela comme la preuve d’un programme de gestion des vulnérabilités mature.
Exigences clés pour les preuves pentest SOC 2 :
- Réalisé par un tiers qualifié (pas uniquement par une équipe de sécurité interne)
- Le champ d'application couvre les systèmes concernés par SOC 2 (pas seulement un sous-ensemble)
- Le rapport inclut les résultats avec des évaluations de gravité et des recommandations de mesures correctives.
- Correction des résultats élevés/critiques documentés avec confirmation des nouveaux tests
- Résumé pouvant être inclus dans le rapport SOC 2 lui-même
Comment KENSAI prend en charge la conformité SOC 2
✓ Preuve d'analyse continue
Des analyses quotidiennes ou hebdomadaires avec des rapports horodatés fournissent la piste de preuves continue dont les auditeurs SOC 2 Type II ont besoin tout au long de la période d'audit.
✓ Suivi des SLA de remédiation
Définissez et suivez les SLA de remédiation par gravité. KENSAI génère des rapports montrant le respect de vos délais de correction des vulnérabilités documentés.
✓ Analyse déclenchée par un changement
Déclenchez automatiquement des analyses après des modifications de l'infrastructure pour répondre aux exigences CC8.1 en matière de tests de sécurité des modifications.
✓ Rapports prêts pour l'auditeur
Exportez l’historique des analyses, les mesures de correction et l’analyse des tendances dans des formats conçus pour l’examen par les auditeurs. Réduisez considérablement le temps de préparation des audits.
✓ Flux de travail d'acceptation des risques
Documentez les décisions d’acceptation des risques pour les vulnérabilités qui ne peuvent pas être immédiatement corrigées, avec les signatures des approbateurs et les dates d’examen.
✓ Rapports de couverture des actifs
Démontrez aux auditeurs que tous les systèmes concernés sont couverts par votre programme de gestion des vulnérabilités avec un inventaire complet des actifs.
Création d'un programme de gestion des vulnérabilités compatible SOC 2
- Définir votre politique de gestion des vulnérabilités— Documenter les définitions de gravité, les SLA de remédiation (par exemple, Critique : 7 jours, Élevé : 30 jours, Moyen : 90 jours)
- Inventorier tous les actifs concernés— L'inventaire complet des actifs constitue la base ; tu ne peux pas scanner ce que tu ne connais pas
- Mettre en œuvre une analyse continue— Au minimum des analyses hebdomadaires ; quotidien préféré pour les systèmes connectés à Internet
- Établir des workflows de remédiation— Billets, propriétaires, délais et critères de clôture avec preuves
- Tests d'intrusion annuels— Engager un tiers qualifié au moins une fois par an
- Documenter les exceptions— Pour les vulnérabilités qui ne peuvent pas être corrigées immédiatement, documenter l'acceptation du risque avec une justification commerciale
- Démontrer une amélioration des tendances— Les auditeurs veulent voir un programme qui s'améliore au fil du temps, et non statique
Réussissez votre audit SOC 2 en toute confiance
KENSAI fournit l'analyse continue des vulnérabilités, le suivi des mesures correctives et les rapports prêts à l'auditeur requis par SOC 2 Type II. Commencez dès aujourd’hui à construire votre piste de preuves.
Démarrer la conformité SOC 2 → Parlez à un expert en conformité