• Attestation et Certification – ISAE3402/SOC1/SOC2

    « En tant que prestataire de services, il nous arrive de plus en plus fréquemment que nos clients nous demandent de prouver la qualité de nos processus et de nos mesures de sécurité. Que ce soit via des questionnaires détaillés ou en faisant appel à des auditeurs externes. Comment pouvons-nous y remédier ? »

Attestation et Certification – ISAE3402/SOC1/SOC2

Les activités peuvent être sous-traitées, les risques non. Logique, mais pas toujours facile. Il est tout à fait normal que vos clients vous demandent de prouver que leurs processus et données sont sécurisés et contrôlés dans les règles (parfois obligatoires) de l’art. Pour le prouver, vous pouvez recourir à un rapport System & Organisation Controls (SOC). Dans la pratique, les rapports SOC englobent deux variantes : le rapport SOC1 (mieux connu sous le nom de ISAE3402), qui se focalise principalement sur les prestataires de services financiers, et le rapport SOC2, qui s’applique aux prestataires de services non financiers.

En tant que prestataire de services, votre attestation SOC vous procurera un atout commercial non négligeable pour convaincre vos clients de la qualité de vos prestations. Et leur démontrer noir sur blanc que vous maîtrisez tous les risques.
 

Entre de bonnes mains

Vous l’avez compris : l’attestation SOC offre des avantages indéniables. Elle couvre tous les processus, la façon dont ces processus (et risques) sont maîtrisés, ainsi que leur degré de sécurité et de conformité par rapport aux meilleures pratiques ou aux obligations légales. L’année 2018 a par exemple vu la nouvelle réglementation européenne de protection des données à caractère personnel (RGDP) entrer en vigueur, avec pour conséquence que de nombreux clients se posent des questions concernant la protection de leurs données et la manière dont vous assurez la conformité de votre société avec la loi.

Bref, grâce à cette attestation, vous offrez à vos clients une garantie qui leur permet de vous confier leurs processus et leurs données en toute tranquillité.
 

Rentabilité

Supposons que vous proposiez plusieurs services (IT, Software as a Service, secrétariat social, gestion des actifs…). Comment faire en sorte que vos clients puissent dormir sur leurs deux oreilles ? Des audits distincts rassurent, mais ils sont coûteux et mettent l’efficacité de votre organisation sous pression. De plus, la charge de travail et les coûts inhérents à des audits distincts par client ou par service s’accumulent rapidement, pour vous et votre client. Avec le rapport SOC, nos experts indépendants rassemblent toutes leurs interventions en un seul audit standardisé. Ils fournissent une vue d’ensemble sur tous les processus et la façon dont vous maîtrisez et rapportez les risques. Toutes ces informations sont contenues dans un rapport accessible et lisible qui répond à toutes les questions de vos clients.


Condition sine qua non

Les rapports SOC1 et SOC2 sont devenus la norme internationale pour la certification de tous les processus et systèmes sous-traités. Éditée par l’International Federation of Accountants (IFA), la norme ISAE3402 est reconnue dans la sphère internationale.

Les exigences imposées aux organisations en matière de conformité étant de plus en plus importantes, il arrive de plus en plus fréquemment que l’on vous demande, en tant que prestataire de services, de présenter ce type d’attestations.

À l’heure actuelle, cette demande croissante de certification de la part des prestataires de services est fortement présente chez les organisations actives dans le secteur financier et public et les entreprises cotées en bourse. Dans ces secteurs, tout cahier des charges ou appel d’offres exige ce type de rapports. La présentation de telles attestations est devenue une condition sine qua non. À l’avenir, cette exigence s’étendra à d’autres secteurs, tels que le secteur des soins de santé.
 

Plus d’informations ?

Pour plus d’informations concernant les rapports SOC, consultez notre brochure SOC générale ainsi que notre brochure relative à la « Data Privacy Attestation », qui traite de la nouvelle réglementation RGDP.