L’importance de disposer d’une vue synthétique de la conformité de son SI
Cet article à été publié dans la newsletter du Clusis, Association suisse de la sécurité de l’information. L’accès à la publication complète est disponible ici.
Les données prennent une place prépondérante dans nos vies. En effet, pas un jour ne passe sans que l’on ne parle de transformation digitale, de plateformes d’échanges, d’Internet des Objets (IoT), de Big Data, de smartcities, de cloud… Nous stockons et gérons un volume exponentiel d’informations, que ce soit à titre professionnel ou privé. Liés à ces informations, les principes de sécurité et de privacy. sont connus et maitrisés par les spécialistes, mais il n’en pas de même pour tout le monde. En parallèle, se multiplient des normes qui rendent la compréhension mal aisée : ISO/IEC 27001:2013, COBIT 5 for information security, ISF Standard of Good Practices 2013, SANS 20 Critical Security Controls, PCI/DSS 3, AICPA Generally Accepted Privacy Principles, CSA Cloud Security Controls, NIST…. Sans compter qu’avec ce nombre croissant de normes, il devient compliqué de s’assurer de la conformité de nos activités et de la gestion des données associées.
Les technologies, les lois et règlements évoluent ; en résulte une charge de plus en plus importante sur les organisations, dont la responsabilité est souvent du ressort de la Direction et du Conseil d’Administration. La mesure de l’état de situation, de son évolution est souvent difficile et l’établissement d’objectifs, de délais et de critères mesurables potentiellement un challenge. D’où la nécessité d’établir des repères appropriés et reconnus, et de suivre les progrès réalisés afin de s’assurer que les efforts sont correctement focalisés.
Je prendrais pour exemple le nouveau règlement général sur la protection des données (RGPD – en anglais : General Data Protection Regulation, GDPR) adopté le 27 avril 2016 qui sera directement applicable dans tout État membre de l’Union Européenne, dès le 25 mai 2018. Cela concerne également toutes les entreprises suisses qui font du business avec un ou plusieurs de ces Etats. Ce règlement prévoit des sanctions allant jusqu’à 4% du chiffre d’affaires mondial annuel d’une organisation pour celle qui ne serait pas conforme.
Considérant ce qui précède, il devient alors primordial pour le Management de s’assurer de la bonne conformité de leurs opérations et de la gestion de leurs données et ce, de manière simple et synthétique.
Le challenge est double :
- Comment gérer la conformité avec les différentes normes, alors que les cadres normatifs évoluent ?
- Comment faire en sorte que, dans une organisation, les décideurs puissent avoir une visibilité synthétique sur ces aspects de risques bien particuliers ?
Gestion de la conformité
La gestion de la conformité est un vaste domaine. Nous comptons un nombre croissant de cadre normatifs qui concernent beaucoup d’acteurs différents qui ne sont clairement pas tous experts du domaine, que ce soient les managers et dirigeants, les propriétaires d’entreprise, les responsables de la sécurité de l’information, les auditeurs internes et autres intervenants en matière de protection des données. De plus, les activités à couvrir sont diverses :
- la conception et la mise en œuvre des politiques de protection
- la mesure de la performance
- l’étalonnage
- la surveillance et l’audit des procédures
La partie « conception » ne fait pas l’objet du présent article. Nous allons ici focaliser sur les trois autres points et proposer une démarche. Tout d’abord, il faut se rappeler que l’objectif n’est pas d’atteindre un niveau de maturité maximum sur tous les domaines, mais de répartir les efforts selon une décision circonstanciée, découlant d’une analyse de risques et de la tolérance relative à chacun d’entre eux. Les objectifs pourront être revus de période en période en fonction de l’évolution de l’environnement et de l’appétence aux risques.
Les chapitres et les points de la norme sont revus au moins une fois par année afin de mesurer le niveau de maturité. Celui-ci est évalué en fonction du niveau de maturité désiré (objectif). Dans les cas où le niveau de maturité est inférieur au niveau souhaité, il convient de prendre des mesures d’amélioration.
Le responsable de la mesure d’amélioration s’assure du bon déroulement de celle-ci et maintient son statut tout en ajoutant des commentaires ou documents liés (évidences) si cela est nécessaire.
Une fois l’action finalisée, l’impact de celle-ci doit être évalué afin de définir si niveau de norme souhaité a été rétabli. Dans le cas contraire, il convient de redéfinir une ou plusieurs mesures.
Dans l’intervalle des revues périodiques, il se peut que des exceptions surviennent, que ce soit :
- des incidents
- des contrôles de processus qui mettent en évidence un problème
Dans ce cas, il convient de procéder de la même manière, à savoir de définir une ou plusieurs actions correctives et de s’assurer du bon déroulement de celles-ci et finalement si l’impact désiré est atteint.
Donner la visibilité au management
Sachant que ces processus se répètent pour tous les cadres normatifs applicables, le challenge pour les responsables de la conformité est donc de disposer d’une vision synthétique transverse sur les différents aspects. Une solution agile et pragmatique est de disposer de plusieurs cockpits de suivi des normes et d’un cockpit synthétique donnant une vision sommaire de la situation.
Chaque norme disposerait d’un cockpit dédié présentant les éléments propres à celle-ci et un cockpit donnerait une vision synthétique de l’état de conformité de chaque norme et des actions en cours.
En effet, si l’on considère la multitude de normes et les différents sujets couverts, tels que la sécurité de l’information, la confidentialité de l’information (privacy), les aspects cybernétiques, etc. il est intéressant de s’assurer de disposer d’une vision similaire de ces différents aspects dans un système central pouvant être partagé et audité. Ceci est d’autant plus efficace que pour chaque cadre normatif, une solution technique différente peut être utilisée, créant ainsi de véritables silos. Il devient donc essentiel de pouvoir disposer d’une vision transverse de la bonne santé de la conformité de l’entreprise aux différentes normes..
N’oublions pas que le Management doit non seulement avoir une vision claire de l’état de santé de la conformité de ses opérations, mais doit aussi pouvoir comprendre les autres aspects tels que la performance financière, la gestion des risques opérationnels, l’avancement des projets clés… L’avantage de disposer de différents cockpits présentant des perspectives différentes et permettant de partager des informations clés devient alors clairement visible. Ainsi, on peut, par exemple, partager le niveau de conformité global et le statut des actions en cours dans un cockpit « orienté Direction » sans présenter tous les détails d’une norme. En définissant clairement les rôles et responsabilités, on s’assure de la bonne gouvernance, non seulement du système d’information mais aussi de l’organisation dans son ensemble.
En conclusion
La gestion de la conformité est un voyage qui nécessite un réalignement constant en fonction de l’évolution de l’environnement normatif, des incidents / non-conformités et des actions correctives / améliorations. Il faut concilier deux aspects complémentaires, le suivi de la conformité d’une norme d’une part et le partage de l’information synthétique au niveau du management d’autre part. Ce dernier point est crucial puisque sans l’appui et l’implication du management, les projets de conformités sont voués à l’échec, surtout ceux de l’ampleur du nouveau règlement général sur la protection des données (RGPD). Disposer d’un système agile permettant de suivre ces évolutions tout en garantissant un partage efficient de l’information devient donc un « must ».