BLOG

Un aperçu de l'évolution des processus SOC 2 de Threat Stack

Miniature F5
F5
Publié le 09 janvier 2020

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .

Pour la troisième année consécutive, la plateforme de sécurité cloud Threat Stack répond aux normes de sécurité et de disponibilité définies par l'American Institute of Certified Public Accountants (AICPA) sans aucune exception

Pour la troisième année consécutive, Threat Stack a obtenu la conformité SOC 2 de type 2 en matière de sécurité et de disponibilité sans aucune exception. L'examen de cette année (par Schellman & Company ) a été le plus rigoureux et le plus complet à ce jour, et a une fois de plus souligné notre engagement et notre capacité à maintenir des normes de sécurité rigoureuses dans la technologie, les processus et le personnel de notre entreprise ainsi que le plus haut niveau de sécurité et de confidentialité pour nos clients.

La réussite de cette année signifie-t-elle que nous avons simplement répété ce que nous avons fait l’année dernière et l’année précédente ? Absolument pas ! Compte tenu de la nature en constante évolution des défis et des technologies de cybersécurité, il est essentiel de pouvoir s’adapter. Chez Threat Stack, nous sommes fiers de notre capacité à apprendre et à nous améliorer en permanence, et c'est exactement ce que nous avons fait pour obtenir les résultats de cette année. Pour en savoir plus sur la manière dont Threat Stack a constamment amélioré ses processus d’examen SOC 2 et élargi son champ d’application pour inclure de nouveaux contrôles et fonctionnalités, plongeons dans l’histoire de SOC 2 chez Threat Stack.

 

Une brève histoire de SOC 2 chez Threat Stack

Année 1 : Construire les fondations

Au cours de la première année (2017), nous avons choisi SOC 2 parce que nous sommes une entreprise de sécurité qui aide les clients à se conformer à SOC 2 et nous pensons qu’il est important de montrer l’exemple en effectuant nous-mêmes l’examen. Nous avons choisi le type 2 plutôt que le type 1 car il démontre un processus beaucoup plus rigoureux ainsi qu’une preuve d’adhésion continue. Comme l’a déclaré Sam Bisbee, responsable de la sécurité chez Threat Stack : « En choisissant le Type 2, nous avons envoyé au marché un signal beaucoup plus fort, indiquant que nous sommes capables de respecter nos propres revendications de « conformité continue » en appliquant cette politique en interne. »

Une fois que nous nous sommes engagés à poursuivre le SOC 2 de type 2, nous avons utilisé la période précédant l’examen pour construire une base solide de contrôles, de processus et de gouvernance. Plus précisément, nous avons mis en œuvre de nouvelles politiques et technologies pour renforcer notre infrastructure et instaurer la sécurité à chaque phase du développement des produits. De plus, nous avons profité de l’occasion pour mieux intégrer notre équipe Sécurité au sein de nos pratiques DevOps. Enfin, nous avons créé des outils pour intégrer les attentes SOC 2 dans nos processus automatisés afin de garantir que les contrôles nécessaires soient intégrés à notre processus de développement plutôt que ajoutés comme un obstacle à la fin. 

Les résultats: En réussissant l'examen sans exception, nous avons démontré que la Threat Stack Cloud Security Platform®, les personnes qui la soutiennent et les processus en place pouvaient être considérés comme fiables pour adhérer en permanence à des normes de conformité rigoureuses. 

Année 2 : Mise en place d'une fonction GRC dédiée et optimisation des processus 

Bien que la première année ait été très fructueuse, il est devenu évident que nous pouvions obtenir les mêmes résultats, voire de meilleurs, d’une manière encore plus rigoureuse et efficace à l’avenir. Dans cet esprit, nous avons utilisé l’année 2 pour :

  • Créez une approche distribuée à l'échelle de l'entreprise pour soutenir les audits en créant une fonction dédiée à la gouvernance, aux risques et à la conformité (GRC) au sein de notre équipe de sécurité, en tirant parti des équipes d'ingénierie, d'exploitation et de sécurité de la plate-forme.
  • Concevoir et exécuter un audit interne rigoureux avant l'évaluation formelle sur site SOC 2 pour évaluer et améliorer l'efficacité de bout en bout de nos contrôles, politiques et processus, et pour déterminer quels outils nous pourrions créer ou exploiter pour obtenir une plus grande précision et efficacité. 

Le résultat a été significatif. Non seulement nous avons renforcé notre gouvernance et nos fondations sous-jacentes, mais nous avons également continué à améliorer nos processus internes avant l’examen officiel. Alors que notre examen interne a duré environ un mois, l’examen officiel n’exigeait que la présence des auditeurs sur place pendant trois jours. (Nous avons en fait réduit le temps nécessaire aux auditeurs pour être sur place, car l’audit interne nous avait préparés à identifier et à extraire rapidement les preuves dont les auditeurs avaient besoin.)

Les résultats: Des processus simplifiés, une visite sur place raccourcie et un examen réussi sans exception !

Année 3 : Élargissement de notre champ d’action et intégration de nouveaux contrôles

L’année 3 a été à la fois intéressante et stimulante. On pourrait penser que deux examens réussis et sans exception permettraient d’en obtenir facilement un troisième. Mais compte tenu de l’évolution constante qui caractérise le secteur de la cybersécurité en général, ainsi que du changement et de la croissance que nous avons connus chez Threat Stack, ce n’était certainement pas le cas. Pour répondre aux défis posés par les changements de périmètre et l’introduction de nouveaux contrôles, nous avons concentré nos efforts sur trois domaines :

  • Validation de la surveillance et des contrôles existants : Bien que nous ayons construit et amélioré une base solide de politiques, de procédures et de contrôles au cours de nos deux premières années, cela ne garantit pas en soi une conformité continue (et il est donc nécessaire de procéder à un réexamen annuel). Anticipant cela, nous avons veillé à mettre en place des contrôles et des audits internes qui nous permettraient de valider l’efficacité de nos processus existants et nous permettraient également de démontrer facilement notre conformité aux examinateurs. En bref, nous avons adopté une approche proactive qui nous a permis de tester nos systèmes avant l’examen, garantissant ainsi une efficacité et une conformité de bout en bout. En intégrant ces processus dans les opérations standard, nous avons pu garantir que le maintien d’une conformité continue était un facilitateur de travail, et non un ajout chronophage à la fin.
  • Élargir la portée de notre gouvernance pour inclure de nouvelles fonctionnalités : Chaque fois que la portée des fonctionnalités d’une organisation change, il est essentiel de s’assurer que la nouvelle fonctionnalité respecte les mêmes politiques et procédures qui régissent le reste de l’organisation. Dans notre cas, Threat Stack a déployé une nouvelle solution unifiée de surveillance de la sécurité des application à la mi-2019, en tant que partie intégrante de la plateforme de sécurité cloud Threat Stack. Il était donc essentiel de veiller à ce que tout cela soit surveillé et contrôlé de manière appropriée et que nous puissions le démontrer aux examinateurs et fournir des preuves appropriées pour étayer notre démonstration. Par conséquent, nous avons inclus de manière proactive la fonctionnalité de sécurité des application dans le cadre de nos activités de gouvernance SOC 2 pour garantir que l'équipe responsable de la sécurité des applications aborde toutes nos politiques et procédures, y compris notre processus de gestion des changements.
  • Fournir la preuve de la conformité avec des contrôles supplémentaires : Dans le cadre de notre examen de 2019, nous avons été informés que nous devions fournir la preuve du respect d’un certain nombre de contrôles supplémentaires. Parmi ces compétences, la capacité à « évaluer et à gérer les risques liés aux fournisseurs et aux partenaires commerciaux » était essentielle.

    Les organisations sous-traitent de plus en plus à des fournisseurs qualifiés. La responsabilité de ces fournisseurs n’est bien entendu pas externalisée. La responsabilité incombe à votre organisation et il est essentiel que vous incluiez les fournisseurs dans votre programme de gestion des fournisseurs et que vous les gouverniez avec les mêmes politiques, procédures et contrôles que ceux que vous utilisez dans le reste de votre entreprise. Encore une fois, parce que Threat Stack avait adopté une approche proactive en matière de gestion des fournisseurs tiers, nous avons pu démontrer que nous avions déjà mis en place une politique de gestion des fournisseurs appropriée. Essentiellement, notre système GRC nous a permis de garantir que nous avions anticipé cette éventualité et pris en compte les exigences de gestion des fournisseurs.

Conclusion

La création d’un cadre solide pour régir la conformité SOC 2 tout en restant flexible a permis à Threat Stack de s’adapter positivement aux changements dans la nature et la portée de ses opérations, et de garantir que la conformité continue a été un défi gratifiant. Alors que nous continuons à valider nos fondations et à nous adapter au changement, nous renforçons continuellement notre posture de sécurité tout en optimisant nos politiques et procédures opérationnelles. En tant que telle, la conformité est devenue un outil d’amélioration et de facilitation des activités qui nous permet de bénéficier en interne tout en transmettant de la valeur à nos clients via la plateforme de sécurité cloud Threat Stack ainsi que grâce aux enseignements que nous partageons avec eux.

En plus de son propre examen SOC 2 de type 2, Threat Stack aide ses clients à simplifier la gestion de la conformité du cloud avec une observabilité complète de la sécurité du cloud, une surveillance continue, des alertes, des enquêtes et une vérification de l'infrastructure cloud via notre plateforme de sécurité cloud. 

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .