ISAE 3402, norme de qualité de service
ISAE 3402 (pour International Standard on Assurance Engagements n°3402) est un standard créé en 2011 destiné à fournir aux entreprises une garantie quant à la qualité des services qu’elles confient à un prestataire. Elle succède à une autre norme de qualité, américaine, SAS 70. Elle est reconnue par deux organismes internationaux majeurs : l’IAASB (International Auditing and Assurance Standards Board) et l’IFAC (International Federation of Accountants).
Dans le domaine du Cloud et des softwares as a service (SaaS), ce standard international est de plus en plus prisé car il est de nature à rassurer les donneurs d’ordres sur la fiabilité des prestations proposées, en particulier au regard des questions de cyber-sécurité ou de confidentialité.
ISAE 3402 est la première norme internationale dédiée aux prestations de services : elle garantit que le prestataire met en œuvre des dispositifs de contrôle interne efficaces. Ce qui est particulièrement important pour des activités externalisées qui impactent les finances ou les données du client : assurances, gestion des ressources humaines, technologies de l’information…
ISAE 3402, au service de relations commerciales transparentes
Le premier intérêt de la norme ISAE 3402 est de permettre une relation de confiance et de transparence entre une entreprise et son prestataire.
Pour une société de prestation de services, le fait d’être accrédité ISAE 3402 constitue un avantage concurrentiel, notamment dans le cadre d’appels d’offres. Il contribue à donner une image d’entreprise fiable, qui joue la carte de la transparence en mettant en place un dispositif de contrôle interne validé par des auditeurs reconnus. De ce fait, le prestataire s’affranchit de devoir subir les audits de chacun de ses clients – et le client n’a pas besoin de recourir aux services d’un auditeur pour s’assurer de l’existence et de l’efficacité de dispositifs de contrôle interne.
Il convient de noter toutefois que, pour le prestataire de services, l’ISAE 3402 présente l’inconvénient d’être une procédure assez longue et lourde.
Si la plupart des grands groupes de services ont obtenu leur certification ISAE 3402, celle-ci concerne également les PME, dans des domaines aussi variés que l’assurance, l’investissement immobilier et bien sûr les services informatiques.
Comment fonctionne le standard ?
L’obtention du standard ISAE 3402, réalisé par un cabinet d’audit indépendant, se déroule en deux temps. Le premier, sanctionné par le « rapport de type 1 », atteste de l’existence de procédures de contrôle interne adaptées. Le second, au terme d’un audit de six à neuf mois, valide l’efficacité du contrôle interne.
Le rapport de type 1 comprend :
- une description des systèmes de la société de services,
- la présentation des services et la description des contrôles internes,
- le rapport de l’auditeur.
Le rapport définitif se compose de cinq sections :
- les conclusions de l’auditeur indépendant sur la qualité du contrôle interne,
- une déclaration de la société de services sur la sincérité de la description de son dispositif de contrôle interne,
- la présentation de la société de services et de son dispositif de contrôle interne,
- la description des tests réalisés par l’auditeur indépendant et de leurs résultats,
- d’éventuelles informations complémentaires fournies par la société de services, non auditées.
Une norme de référence dans le domaine du Cloud et des SaaS
L’ISAE 3402 est devenu une référence dans le domaine du Cloud et des services numériques. La sécurité des données constitue en effet une préoccupation pour 62 % des dirigeants d’entreprise, et cela davantage encore depuis la crise sanitaire, selon une enquête sur la digitalisation des TPE et PME menée par Sage et Opinion Way en février 2021.
En mars 2021, Sage a validé la seconde phase de la certification ISAE 3402 (la phase 1 avait été obtenue en décembre 2019), avec l’accompagnement de Grant Thornton, pour ses solutions Sage X3 et Sage XRT. « Le standard ISAE 3402 est l’assurance que nos processus sont sécurisés, transparents et efficaces, pour un service le plus parfait possible dans le monde du Cloud », explique Pacôme Lesage, Président Sage France et Europe du Sud.
Dans le domaine informatique, les entreprises sont très nombreuses à recourir aux services d’opérateurs assurant des prestations externalisées (outsourcing) et, de plus en plus, elles optent pour des solutions « as a service » – infrastructure as a service (IaaS) ou software as a service (SaaS) –, ces dernières gagnant du terrain depuis la fin des années 2000 et plus encore depuis la crise sanitaire. Dans ce contexte, « les entreprises ont besoin d’avoir confiance dans les services, solutions et expertises, afin d’amorcer ou de renforcer leur transformation numérique », souligne Franck Hourdin, vice-président Sales Moyennes Grandes Entreprises et International chez Sage.
En conclusion, la certification ISAE 3402 garantit qu’un prestataire de services, en particulier dans le domaine du Cloud, répond à toutes les exigences de sécurité en pratiquant des contrôles internes fiables. Contribuant à la transparence dans les relations commerciales, elle constitue un gage de sérénité pour les entreprises qui s’engagent dans leur transition digitale.
Pour aller plus loin :
- Le Cloud de confiance, un nouveau label pour sécuriser les opérations en ligne
- Cyber-sécurité : les 3 nouveaux défis
- Un nouveau dispositif d’alerte des TPE en cas de cyberattaque
- Pourquoi j’ai choisi Sage X3 [guide]
10 idées reçues sur le Cloud
Et comment s’en débarrasser…