Luc Delpha, Directeur de l’offre de services Gestion des Risques, Provadys
Les Compliance Officer, les RSSI, Risk Manager doivent, à la fois, faire face à la multiplication et l’évolution des référentiels ainsi qu’aux nécessités d’optimisations lors des chantiers à mener pour :
• Se mettre en conformité
• Se maintenir en conformité
• Prouver / démontrer la conformité
Pour aborder cette délicate équation, il semble nécessaire d’envisager plusieurs pistes de réflexion.
Mettre en place une approche unifiée de la conformité du SI
La multiplication des référentiels conduit à s’éloigner du modèle « une norme = un projet » ou « une norme = un outil de gestion ». Ce type d’approche est propice au développement de silos spécialisés et à la duplication des efforts. Il apparaît beaucoup plus efficace de penser le maintien en conformité, le contrôle et le reporting comme des activités devant nécessairement s’appuyer sur des référentiels multiples. Cette approche unifiée repose sur trois principes fondateurs :
• Consolider les exigences issues des différents référentiels de conformité
• Identifier et mutualiser toutes les activités qui doivent être réalisées pour plusieurs référentiels
• Préparer l’entreprise aux mutations de son environnement de conformité (introduction de nouvelles normes / lois ou mises à jour des textes existants).
Mettre en place une gestion continue de la conformité du SI
Pour être efficace, la conformité du SI ne doit pas être vue comme un élément ponctuel. En effet, cela conduit généralement à négliger certaines tâches récurrentes, ce qui augmente les risques et la charge de travail nécessaire afin de remettre les SI en conformité avant les échéances.
Une approche continue permet de prendre en compte les changements et les évolutions du SI qui doit être maintenu en conformité. Ainsi, par exemple, un système de gestion de la conformité en continu permet, dès lors qu’un changement affecte le SI cible, d’identifier les non-conformités potentielles, les risques associés, les chantiers de remédiation à mettre en œuvre, les contrôles à réaliser et les reporting éventuels à prévoir.
Une telle approche ne peut être envisagée sans des mécanismes de contrôle garantissant, en continu, le bon fonctionnement des processus supportant la conformité du SI.
Adresser les problématiques spécifiques et opérationnelles de la conformité des SI
Au sein d’une entreprise, même si les référentiels sont multiples, le SI et les ressources concernées sont essentiellement les mêmes que l’on parle de PCI DSS, d’ISO 27000, etc. Afin d’optimiser les processus, il convient de mettre en place des outils permettant d’automatiser les tâches de contrôle et d’adresser le facteur d’échelle sur les SI importants, tout en minimisant la charge de travail induite sur les opérateurs du SI.
Ainsi, par exemple, il est crucial de pouvoir automatiser / outiller le contrôle de la conformité des postes de travail et des serveurs aux exigences du référentiel unifié de conformité IT. En effet, dès lors que le nombre d’équipement devient important il n’est plus envisageable de garantir l’application ou le contrôle d’une politique de conformité, sans outils adaptés. De même, pour garantir la conformité des processus tels que la gestion des identités et des accès, il est impératif de pouvoir s’appuyer sur des outils spécialisés.
Enfin, pour optimiser les moyens humains, il faut impliquer, de manière transverse, l’ensemble des équipes informatiques et expliquer que la conformité n’ajoute pas de nouvelles tâches mais doit seulement permettre à tous les acteurs de mieux travailler.
Conclusion
Au-delà de la complexité inhérente à la mise en conformité des SI, maintenir et prouver la conformité dans le temps se révèle être un challenge encore plus délicat. C’est pour les entreprises, dans le contexte actuel, un défi qui allie des questions bien réelles de gestion de la conformité technique mais également des problématiques de gestion des risques et de gouvernance.
Il existe aujourd’hui sur le marché, une panoplie d’outils qui peuvent aider à adresser les problématiques évoquées ci-dessus. Ces produits dits de gestion de conformité technique, d’IT GRC ou de GRC sont autant de briques qui doivent pouvoir permettre aux acteurs de la conformité des SI de bâtir des solutions pérennes dès lors que la bonne démarche est retenue. En effet, Il s’agit de toujours mettre en œuvre les moyens pour atteindre et maintenir la conformité, sans jamais perdre de vue que le véritable objectif doit être la Maîtrise des Risques de l’entreprise.
• Se mettre en conformité
• Se maintenir en conformité
• Prouver / démontrer la conformité
Pour aborder cette délicate équation, il semble nécessaire d’envisager plusieurs pistes de réflexion.
Mettre en place une approche unifiée de la conformité du SI
La multiplication des référentiels conduit à s’éloigner du modèle « une norme = un projet » ou « une norme = un outil de gestion ». Ce type d’approche est propice au développement de silos spécialisés et à la duplication des efforts. Il apparaît beaucoup plus efficace de penser le maintien en conformité, le contrôle et le reporting comme des activités devant nécessairement s’appuyer sur des référentiels multiples. Cette approche unifiée repose sur trois principes fondateurs :
• Consolider les exigences issues des différents référentiels de conformité
• Identifier et mutualiser toutes les activités qui doivent être réalisées pour plusieurs référentiels
• Préparer l’entreprise aux mutations de son environnement de conformité (introduction de nouvelles normes / lois ou mises à jour des textes existants).
Mettre en place une gestion continue de la conformité du SI
Pour être efficace, la conformité du SI ne doit pas être vue comme un élément ponctuel. En effet, cela conduit généralement à négliger certaines tâches récurrentes, ce qui augmente les risques et la charge de travail nécessaire afin de remettre les SI en conformité avant les échéances.
Une approche continue permet de prendre en compte les changements et les évolutions du SI qui doit être maintenu en conformité. Ainsi, par exemple, un système de gestion de la conformité en continu permet, dès lors qu’un changement affecte le SI cible, d’identifier les non-conformités potentielles, les risques associés, les chantiers de remédiation à mettre en œuvre, les contrôles à réaliser et les reporting éventuels à prévoir.
Une telle approche ne peut être envisagée sans des mécanismes de contrôle garantissant, en continu, le bon fonctionnement des processus supportant la conformité du SI.
Adresser les problématiques spécifiques et opérationnelles de la conformité des SI
Au sein d’une entreprise, même si les référentiels sont multiples, le SI et les ressources concernées sont essentiellement les mêmes que l’on parle de PCI DSS, d’ISO 27000, etc. Afin d’optimiser les processus, il convient de mettre en place des outils permettant d’automatiser les tâches de contrôle et d’adresser le facteur d’échelle sur les SI importants, tout en minimisant la charge de travail induite sur les opérateurs du SI.
Ainsi, par exemple, il est crucial de pouvoir automatiser / outiller le contrôle de la conformité des postes de travail et des serveurs aux exigences du référentiel unifié de conformité IT. En effet, dès lors que le nombre d’équipement devient important il n’est plus envisageable de garantir l’application ou le contrôle d’une politique de conformité, sans outils adaptés. De même, pour garantir la conformité des processus tels que la gestion des identités et des accès, il est impératif de pouvoir s’appuyer sur des outils spécialisés.
Enfin, pour optimiser les moyens humains, il faut impliquer, de manière transverse, l’ensemble des équipes informatiques et expliquer que la conformité n’ajoute pas de nouvelles tâches mais doit seulement permettre à tous les acteurs de mieux travailler.
Conclusion
Au-delà de la complexité inhérente à la mise en conformité des SI, maintenir et prouver la conformité dans le temps se révèle être un challenge encore plus délicat. C’est pour les entreprises, dans le contexte actuel, un défi qui allie des questions bien réelles de gestion de la conformité technique mais également des problématiques de gestion des risques et de gouvernance.
Il existe aujourd’hui sur le marché, une panoplie d’outils qui peuvent aider à adresser les problématiques évoquées ci-dessus. Ces produits dits de gestion de conformité technique, d’IT GRC ou de GRC sont autant de briques qui doivent pouvoir permettre aux acteurs de la conformité des SI de bâtir des solutions pérennes dès lors que la bonne démarche est retenue. En effet, Il s’agit de toujours mettre en œuvre les moyens pour atteindre et maintenir la conformité, sans jamais perdre de vue que le véritable objectif doit être la Maîtrise des Risques de l’entreprise.
Autres articles
-
Le MIT a recensé 777 risques potentiels liés à l’IA dans une base de données partagée gratuitement
-
Gouverner l’intelligence artificielle : les données, leur qualité, leur conformité (4ème partie)
-
Gouverner l’intelligence artificielle : cadres réglementaires et normatifs (3ème partie)
-
Gouverner l’intelligence artificielle : cartographier les risques (2ème partie)
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand