Zeenea est désormais certifiée SOC 2 Type II

Face à la recrudescence des cyber-menaces, chaque entreprise qui traite des données est soumise à une multitude de demandes de garanties de sécurité. Chez Zeenea, il nous a paru essentiel de mettre en place des systèmes de contrôles de sécurité pour protéger les données sensibles de nos clients. Et l’un des meilleurs moyens de garantir cette transparence était la certification SOC 2 Type II que nous sommes fiers d’avoir obtenue. Explications.

SOC 2 Type II : qu’est-ce que c’est ? 

Après avoir été certifiée SOC 2 Type I en 2020, Zeenea vient d’obtenir un rapport favorable SOC 2 Type II. Cette distinction correspond au plus haut standard en matière de conformité et de sécurité des informations. La certification fait suite à la remise d’un rapport d’audit favorable décerné par un cabinet accrédité par l’American Institute of Certified Public Accountants (AICPA), en récompense de notre démarche continue pour veiller au respect des grands principes fixés par l’organisme. Il s’agit d’une démarche à notre propre initiative, rigoureuse, qui vise à apporter toutes les garanties et la transparence nécessaires lorsqu’il s’agit du traitement des données de nos clients. 

Les rapports SOC

Le System and Organizations Control (SOC) permet de démontrer l’efficacité des contrôles des technologies de l’information. Le rapport SOC assure aux entités utilisatrices que :

• les contrôles de sécurité requis pour protéger les données des clients contre les menaces connues et émergentes ont été mis en place ;
• des alertes existent pour détecter facilement les anomalies et les violations dans l’ensemble de l’écosystème ;
• outre la prévention des situations à risque, la réparation rapide des dommages et le rétablissement d’une situation normale en cas de violation des données ou de défaillance du système sont garantis.

Il existe différents types de rapports SOC. La conformité SOC 1 se concentre entièrement sur les contrôles qui ont un impact direct sur les contrôles internes de l’entité utilisatrice en matière d’information financière (ICFR). Ensuite, la conformité SOC 2 offre des options de reporting allant au-delà des objectifs financiers. Elle couvre les contrôles relatifs aux principes des services de confiance (TSP) : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Enfin la conformité  SOC 3 a une apparence similaire à celle du rapport SOC 2. Toutefois, le rapport SOC 3 est tronqué et peut être distribué sans restriction. Il s’agit plutôt d’un rapport d’usage général. 

Quelles sont les garanties apportées par Zeenea en rapport à SOC 2 de type II ?

Le rapport SOC 2 de type I – validé par Zeena en 2020 – couvrait l’adéquation des contrôles de conception et l’efficacité opérationnelle de nos systèmes à un instant t. Il confirmait que nos systèmes et contrôles de sécurité fonctionnaient comme nous l’avions prévu à un moment donné. Le rapport SOC 2 de type II va encore plus loin : pour prouver la conformité à la norme SOC 2 Type II, Zeenea a été soumise à un audit rigoureux sur une période plus longue. L’auditeur a donc examiné la conception des contrôles internes et l’efficacité opérationnelle des systèmes sur une période de plusieurs mois.

Les examens effectués dans le cadre du SOC 2 Type II

Le rapport SOC 2 de type II se concentre sur les principes des services de confiance TSP (Trust Services Principles) de l’American Institute of Certified Public Accountant (AICPA). Il a examiné les contrôles internes et les systèmes de Zeenea liés à la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et le caractère privé des données. Le rapport se concentre sur les domaines suivants :

• L’infrastructure : les composants physiques et matériels (réseaux, installations et équipements) qui soutiennent l’environnement informatique et qui aident à fournir des services du Data Catalog Zeenea. 
• Logiciels : les logiciels et programmes d’exploitation (utilitaires, applications et systèmes) que nous utilisons pour faciliter le traitement des données et des systèmes.
• Le personnel : Les équipes (managers, développeurs, utilisateurs et opérateurs) impliqués dans la gestion, la sécurité, la gouvernance et les opérations pour fournir des services aux clients du software. 
• Les données : Les informations (fichiers, bases de données, flux de transactions et tableaux) que nous utilisons et traitons pour fournir nos services.
• Les procédures : Les procédures manuelles ou automatisées qui lient les processus et assurent le bon déroulement de la prestation de services. 

Le traitement des données clients chez Zeenea

La certification SOC 2 Type II garantit que les données clients de Zeenea sont :

• Sécurisées : nous nous soumettons régulièrement à des évaluations de la sécurité des applications (AppSec) et des tests de pénétration (PenTest) par une société de sécurité indépendante afin de renforcer la sécurité de nos applications et de nos systèmes d’information.
• Disponibles : nos systèmes sont constamment et facilement accessibles 24 heures sur 24, 7 jours sur 7, pour répondre à toutes les exigences des clients.
• De qualité : nous maintenons la cohérence, l’exactitude et la fiabilité des données de nos clients tout au long de leur cycle de vie, nous n’y avons d’ailleurs pas accès et nous ne les gérons pas. La plateforme Zeenea est proposée aux clients sous forme de logiciel en tant que service (SaaS).
• Confidentielles : nous disposons d’une équipe dédiée à la sécurité de l’information, composée d’un responsable de la sécurité des systèmes d’information, et d’un spécialiste de la sécurité expérimenté chargé de la gestion de la sécurité de l’information dans l’ensemble de l’organisation.

Enfin, pour le respect de la vie privée, les clients de Zeenea disposent d’options d’authentification unique (SSO) et d’authentification multifactorielle (MFA) configurables.

Pourquoi avons-nous décidé d’entreprendre la voie du SOC 2 Type II ?

De plus en plus d’entreprises migrent leurs opérations on-premise vers le cloud. En effet, une infrastructure basée sur le cloud améliore l’efficacité du traitement tout en réduisant les frais. Toutefois, le passage au cloud implique parfois la perte de contrôle en matière de sécurité des données et des ressources système. 

Des entités extérieures à une organisation sont amenées à héberger, manipuler et conserver les données en votre nom. Le sous-traitant peut parfois avoir accès à vos informations sensibles, ce qui vous rend vulnérable aux violations de données. Les statistiques montrent que 72 % des grandes entreprises et 28 % des petites entreprises sont victimes de violations de données, mettant en jeu la réputation de votre entreprise.

Avec le rapport SOC 2 Type II, nous garantissons à nos clients que notre programme de sécurité est correctement conçu et fonctionne efficacement pour protéger leurs données.

Démarrez votre projet de catalogue de données en toute sécurité avec Zeenea

Pour plus d’informations sur notre data catalog et nos engagements vis-à-vis de la sécurité de vos données :