L’association américaine AICPA qui représente les professions comptables (Certified Public Accountant) est active depuis de nombreuses années dans le domaine du contrôle interne et plus spécifiquement de la sécurité des systèmes d’information. A l’origine SAS 70 remplacé par le standard américain SSAE, et généralisé avec les certifications internationales ISAE 3402, les rapports « SOC » 1, 2 et 3 sont destinés à renforcer la confiance entre le client et son fournisseurs, sur les aspects financiers et sécurité. Ces niveaux de certification trouvent toute leur place dans le cadre des programmes de migrations massives vers les solutions de Cloud Public des groupes publics et privés. L’AICPA a mis au point un nouveau référentiel « SOC for Cybersecurity » que cet article se propose de présenter.

La plupart des groupes vivent au quotidien des transformations digitales structurantes. L’objectif est de développer le business avec des outils performants et sécurisés, de le faire vite, avec agilité et en maitrisant les coûts. Il faut créer de la valeur et la protéger. La sécurité doit évidemment accompagner cette transformation, sans la freiner mais avec des garanties que les risques sont traités et sous contrôle. On a de plus en plus besoin de professionnels de la sécurité qui participent activement aux phases de conception et de développement afin d’intégrer la sécurité de manière continue aux différents projets. Le travail des architectes sécurité est facilité si un cadre méthodologie est défini et adapté aux besoins et au contexte business de l’entité. Cet article examine comment utiliser le référentiel SABSA pour mettre en place ce cadre et faciliter le travail des architectes sécurité au sein des programmes de transformation (migrations vers des plateformes Cloud publics et privés, agilité dans les cycles de développement logiciel, initiatives « big data », test des technologies blockchain, utilisation des containers, développement d’API pour automatiser l’orchestration…).