2 articles avec le tag "soc2"

Si vous dirigez l'ingénierie ou la sécurité dans une entreprise d'Europe centrale et orientale, vous avez probablement entendu la même conversation deux fois au cours des six derniers mois — une fois de la part des juristes (« nous avons besoin d'ISO 27001 ») et une fois d'un prospect d'entreprise américain (« nous avons besoin de SOC 2 Type II »). Les deux ont raison. Les deux ont des conséquences réelles. Et les deux ont la gestion des accès à privilèges comme exigence fondamentale en matière de mécanismes de contrôle. La question est : lequel implémentez-vous en premier, et le travail se chevauche-t-il ?

La préparation à SOC 2 Type II est un marathon. La plupart des organisations traversent la documentation des politiques, les questionnaires de risque fournisseur et les diagrammes de segmentation réseau sans trop de difficultés. Puis elles arrivent à CC6 — Contrôles d'accès logiques et physiques — et l'audit devient difficile.

CC6 est l'endroit où les auditeurs passent le plus de temps et où les entreprises reçoivent le plus souvent des exceptions. Il couvre qui a accès à vos systèmes, comment cet accès est contrôlé, comment il est surveillé et comment il est révisé. Si votre réponse en matière de gestion des accès à privilèges est « nous utilisons un VPN plus RDP avec des identifiants administrateur partagés », vous ne passerez pas l'audit.

Voici exactement ce que CC6 exige, ce que les auditeurs demandent et comment fournir les preuves.