Les solutions Thinkproject passent avec succès les audits SOC 2 et C5
Thinkproject a reçu une attestation officielle SOC 2 pour ses solutions SaaS CONCLUDE CDE et EPLASS CDE.
La norme de sécurité américaine SOC 2 (System and Organization Controls 2), définie par l’American Institute of Certified Public Accountants (AICPA), vise principalement la sécurité de l’informatique en nuage, contrairement à des normes telles que ISO/IEC 27001. La norme vise également à assurer une sécurité maximale des informations pour les services en nuage, tant pour les opérateurs que pour les clients. L’audit pour l’attestation SOC 2 de Thinkproject a été réalisé par HKKG Wirtschaftsprüfungsgesellschaft, dont le siège se trouve à Cologne.
Le test SOC 2 a été dérivé du test C5 en comparant les exigences. Ainsi, Thinkproject a reçu une attestation selon les critères allemands C5 et les exigences SOC 2 en même temps. C5:2020 (Cloud Computing Compliance Controls Catalogue) est un catalogue de critères utilisé par l’Office fédéral allemand pour la sécurité de l’information (BSI) pour définir les exigences en matière de cloud computing sécurisé et conforme. Si, par exemple, les autorités (fédérales) et les institutions financières allemandes utilisent des offres de cloud computing, il existe même une obligation légale d’insister sur le respect des critères C5 lors de l’attribution des contrats. Le C5 présente un intérêt similaire pour les opérateurs d’infrastructures critiques (KRITIS), conformément à la loi allemande BSI.
Les catalogues de critères SOC 2 et C5
Les attestations SOC 2 et C5 prouvent que les Common Data Environment (CDE) de Thinkproject basés sur le SaaS – CONCLUDE CDE et EPLASS CDE – présentent le plus haut niveau de sécurité pour les solutions cloud. SOC 2 est à l’origine une norme américaine selon laquelle les organisations de services produisent des rapports sur l’état des paramètres de contrôle interne définis. Ces paramètres comprennent la sécurité et la disponibilité des données, l’intégrité du traitement des données, la confidentialité et la protection des données.
L’American Institute of Certified Public Accountants a défini cette norme de sécurité conformément aux principes et critères des services fiduciaires de l’AICPA. Le catalogue de critères spécifiquement allemands C5 de l’Office fédéral allemand pour la sécurité de l’information (BSI) est étroitement lié aux critères de SOC 2.
Une attestation selon le catalogue de critères C5 de la BSI peut également être considérée comme un indicateur qu’un provider de services cloud protège son infrastructure aussi fortement que possible contre les cyberattaques. Le catalogue C5 du BSI comprend 17 catégories (domaines), qui se composent de critères de base, de critères supplémentaires et d’informations complémentaires.
Au total, le catalogue C5 définit 127 exigences (contrôles) pour l’ensemble de l’entreprise, ses processus et son personnel. Par exemple, le C5 traite des exigences relatives au personnel déployé, à la conformité de la sécurité physique, à la gestion des identités et des droits, à la sécurité des communications, aux mesures cryptographiques et à la gestion des clés, ainsi qu’au traitement des incidents de sécurité.
La sécurité informatique est indispensable pour les solutions SaaS
“En Allemagne, la conformité C5 est souvent un critère obligatoire, légalement requis pour les appels d’offres du secteur public”, explique le Dr Ralf Hundhammer, directeur technique de Thinkproject. “Ce catalogue d’exigences du BSI est tout aussi pertinent pour les opérateurs d’infrastructures critiques et les institutions financières. On pourrait dire que l’attestation C5 de sous-traitants tels que Thinkproject est indispensable aux opérateurs de KRITIS pour assurer une sécurité de l’information vérifiée et la plus élevée possible. Mais le triomphe du cloud computing se poursuit dans l’ensemble de l’économie, partout dans le monde”, déclare Ralf Hundhammer, directeur technique de Thinkproject.
“Qu’il s’agisse de SOC 2 ou de C5, de plus en plus d’entreprises sont attentives au fait qu’un fournisseur réponde aux normes de sécurité pertinentes lorsqu’elles choisissent un fournisseur de cloud computing ou de SaaS, ne serait-ce que par intérêt bien compris. Dans ce contexte, le grand avantage des catalogues de critères tels que SOC 2 et C5 est qu’ils traitent spécifiquement de la sécurité dans l’informatique en nuage. Dans ce secteur, les exigences sont beaucoup plus granulaires que celles de la norme ISO 27001, par exemple. Grâce à la réussite de l’audit SOC 2 et C5, nous pouvons désormais documenter que nous répondons à toutes les exigences de sécurité chez Thinkproject : de la certification générale selon ISO 27001 aux attestations spécifiques au cloud. Pour nous comme pour nos clients, la cybersécurité est à juste titre un sujet d’une importance capitale, ajoute-t-il, car la numérisation et la sécurité de l’information doivent aller de pair.”