Proximus obtient l’attestation “ISAE 3000/SOC 2 - Type II”

La norme ISAE, c’est quoi ?

ISAE est l’abréviation d’International Standard on Assurance Engagement. Grâce à l’attestation ISAE 3000, les organisations prouvent que leur sécurité informatique et leurs mesures de protection de la vie privée sont solides sur le plan opérationnel. Pour obtenir cette attestation, l’entreprise doit se soumettre à un audit qui évalue les contrôles et processus au moyen des Trust Services Criteria (TSC). Les cinq critères sont la sécurité, la disponibilité, l’intégrité des traitements, la confidentialité, et la protection des données personnelles.

Deux types de rapports ISAE 3000

On distingue deux types de rapports ISAE 3000. S’ils se ressemblent beaucoup, l’audit du Type II est toutefois nettement plus étendu que celui du Type I.

• Le Type I fournit une image à un moment donné en évaluant les systèmes et mesures de gestion interne d’une organisation. Proximus a obtenu le Type I en avril 2023.
• Le Type II évalue le fonctionnement des mesures durant une période préalablement définie de minimum six mois.

Différence entre les normes ISO 27001 et ISAE 3000

La norme ISO 27001 est reconnue mondialement comme la norme en matière de sécurité de l’information et représente la meilleure façon de gérer la sécurité de l’information au sein d’une organisation. Pour obtenir cette certification, les organisations doivent répondre à une liste complète d’exigences.

L’attestation ISAE 3000 atteste que l’organisation met effectivement en œuvre les processus internes, en gérant et en rendant compte des (nouveaux) risques technologiques et en appliquant les pratiques de contrôle. Elle porte sur la sécurité informatique et la confidentialité d’une organisation, ainsi que sur son traitement de l’intégrité et de la vie privée des clients.

La norme ISAE 3000 combine la garantie accrue de l’exécution opérationnelle des processus internes avec une attention particulière à la cybersécurité comme dans la norme ISO 27001. Cette norme combine donc le meilleur des deux mondes.

Des garanties pour nos clients

Après l’audit du Type I en avril 2023, un auditeur indépendant a effectué durant les mois d’octobre et de novembre 2023 un audit du Type II au sein de notre organisation. Les clients étant demandeurs de services de bout en bout, nos filiales Davinsi Labs et Proximus Ada ont également été impliquées dans l’audit.

Le rapport SOC 2 Type II qui en résulte fournit une évaluation des Managed Security Services que nous fournissons à nos clients sur une période de six mois :

• Managed Detection and Response (MDR)
• Vulnerability Management Services (MVS)
• Managed Full Care sur les dispositifs de sécurité

L’audit confirme que nous traitons les données de nos clients avec le plus grand soin et que nous sommes toujours en mesure de garantir une sécurité informatique et une confidentialité fiables.

En outre, nous disposons de la certification ISO 27001 depuis plusieurs années.