SOC 2 est devenu la norme d’assurance de facto pour les fournisseurs SaaS, les organisations de services technologiques et toute entreprise dont les clients exigent une v\u00e9rification ind\u00e9pendante des contr\u00f4les de s\u00e9curit\u00e9. Un rapport SOC 2 Type II \u2014 \u00e9mis par un cabinet comptable (CPA) suivant les crit\u00e8res de services de confiance (Trust Service Criteria) de l’AICPA \u2014 fournit aux parties prenantes la preuve que les contr\u00f4les d’une organisation sont non seulement con\u00e7us de mani\u00e8re appropri\u00e9e mais ont fonctionn\u00e9 efficacement sur une p\u00e9riode soutenue.<\/p>\n\n\n\n
Pour les organisations qui livrent des logiciels via des pipelines CI\/CD, le pipeline lui-m\u00eame est un composant syst\u00e8me qui affecte directement la s\u00e9curit\u00e9, la disponibilit\u00e9 et l’int\u00e9grit\u00e9 du traitement des services examin\u00e9s. Cette page hub fournit des conseils complets sur la correspondance des crit\u00e8res de services de confiance avec les contr\u00f4les CI\/CD, la pr\u00e9paration aux audits Type II et la constitution de la piste de preuves continue que les auditeurs exigent.<\/p>\n\n\n\n
SOC 2 est r\u00e9gi par les crit\u00e8res de services de confiance (TSC) de l’AICPA, qui d\u00e9finissent cinq cat\u00e9gories de contr\u00f4les : S\u00e9curit\u00e9 (les crit\u00e8res communs, requis pour tous les engagements SOC 2), Disponibilit\u00e9, Int\u00e9grit\u00e9 du traitement, Confidentialit\u00e9 et Vie priv\u00e9e. Les crit\u00e8res de s\u00e9curit\u00e9 \u2014 d\u00e9sign\u00e9s CC1 \u00e0 CC9 \u2014 constituent le fondement et sont toujours dans le p\u00e9rim\u00e8tre.<\/p>\n\n\n\n
Le rapport SOC 2 inclut l’opinion de l’auditeur, une description du syst\u00e8me, les crit\u00e8res de contr\u00f4le test\u00e9s, les tests effectu\u00e9s et les r\u00e9sultats. Toute exception de contr\u00f4le \u2014 cas o\u00f9 un contr\u00f4le n’a pas fonctionn\u00e9 comme pr\u00e9vu \u2014 est document\u00e9e et peut qualifier l’opinion de l’auditeur.<\/p>\n\n\n\n
La description du syst\u00e8me dans un rapport SOC 2 d\u00e9finit les limites de ce qui est examin\u00e9. Les pipelines CI\/CD sont des composants syst\u00e8me qui affectent directement la posture de s\u00e9curit\u00e9 des services livr\u00e9s aux clients. Ils contr\u00f4lent la mani\u00e8re dont le code passe du d\u00e9veloppement \u00e0 la production, comment les changements sont approuv\u00e9s, comment les vuln\u00e9rabilit\u00e9s sont identifi\u00e9es et comment l’acc\u00e8s aux environnements de production est gouvern\u00e9.<\/p>\n\n\n\n
Exclure le CI\/CD du p\u00e9rim\u00e8tre du syst\u00e8me cr\u00e9e une lacune significative que les auditeurs et les clients avertis questionneront. Si le pipeline peut d\u00e9ployer du code arbitraire en production sans contr\u00f4les, alors les contr\u00f4les sur l’environnement de production lui-m\u00eame sont compromis. Les engagements SOC 2 modernes reconnaissent de plus en plus cela et s’attendent \u00e0 ce que l’infrastructure de livraison logicielle soit incluse dans le p\u00e9rim\u00e8tre.<\/p>\n\n\n\n
CC6 traite de la mani\u00e8re dont l’organisation restreint l’acc\u00e8s logique et physique aux composants du syst\u00e8me. Dans les environnements CI\/CD, cela se traduit par :<\/p>\n\n\n\n
CC7 exige que l’organisation d\u00e9tecte et r\u00e9ponde aux anomalies et \u00e9v\u00e9nements de s\u00e9curit\u00e9. Pour le CI\/CD :<\/p>\n\n\n\n
CC8 est souvent le crit\u00e8re le plus scrut\u00e9 dans les environnements CI\/CD car le pipeline est le m\u00e9canisme principal par lequel les changements atteignent la production :<\/p>\n\n\n\n
CC9 traite de la mani\u00e8re dont l’organisation identifie, \u00e9value et att\u00e9nue les risques li\u00e9s aux relations commerciales et aux d\u00e9pendances externes :<\/p>\n\n\n\n
Lorsque la disponibilit\u00e9 est incluse dans le p\u00e9rim\u00e8tre SOC 2, les pipelines CI\/CD doivent d\u00e9montrer :<\/p>\n\n\n\n
Lorsque la confidentialit\u00e9 est dans le p\u00e9rim\u00e8tre, les contr\u00f4les CI\/CD suivants s’appliquent :<\/p>\n\n\n\n
La diff\u00e9rence entre Type I et Type II est particuli\u00e8rement significative pour les environnements CI\/CD. Un audit Type I peut v\u00e9rifier que les contr\u00f4les du pipeline sont correctement configur\u00e9s \u00e0 un moment donn\u00e9 \u2014 les r\u00e8gles de protection de branche sont activ\u00e9es, les portes d’approbation existent, l’analyse de s\u00e9curit\u00e9 est int\u00e9gr\u00e9e. C’est un instantan\u00e9.<\/p>\n\n\n\n
Un audit Type II exige des preuves que ces contr\u00f4les ont fonctionn\u00e9 de mani\u00e8re coh\u00e9rente pendant toute la p\u00e9riode d’audit, g\u00e9n\u00e9ralement de six \u00e0 douze mois. Cela signifie que l’organisation doit d\u00e9montrer :<\/p>\n\n\n\n
Les pipelines CI\/CD sont particuli\u00e8rement bien adapt\u00e9s aux preuves Type II car ils produisent des enregistrements continus, g\u00e9n\u00e9r\u00e9s par le syst\u00e8me et horodat\u00e9s de chaque action. L’essentiel est de s’assurer que la journalisation est compl\u00e8te, que la conservation respecte la fen\u00eatre d’audit et que les preuves peuvent \u00eatre r\u00e9cup\u00e9r\u00e9es efficacement lorsque les auditeurs les demandent.<\/p>\n\n\n\n
Les d\u00e9ficiences suivantes sont fr\u00e9quemment identifi\u00e9es lors des examens SOC 2 Type II des organisations avec des pipelines CI\/CD :<\/p>\n\n\n\n
Explorez des conseils d\u00e9taill\u00e9s sur des aspects sp\u00e9cifiques de la conformit\u00e9 SOC 2 dans les environnements CI\/CD :<\/p>\n\n\n\n
Les contr\u00f4les SOC 2 chevauchent fr\u00e9quemment les exigences d’autres r\u00e9f\u00e9rentiels r\u00e9glementaires. Les organisations soumises \u00e0 plusieurs obligations de conformit\u00e9 peuvent construire un environnement de contr\u00f4le unifi\u00e9 :<\/p>\n\n\n\n
SOC 2 : les crit\u00e8res de services de confiance appliqu\u00e9s au cycle de livraison logicielle SOC 2 est devenu la norme d’assurance de facto pour les fournisseurs SaaS, les organisations de services technologiques et toute entreprise dont les clients exigent une v\u00e9rification ind\u00e9pendante des contr\u00f4les de s\u00e9curit\u00e9. Un rapport SOC 2 Type II \u2014 \u00e9mis … Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1460,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1479","page","type-page","status-publish"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1479","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1479"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1479\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1460"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}