Face à des référentiels multiples, une approche cohérente de la conformité est-elle possible ?

Alors que la liste des référentiels s'allonge régulièrement (ARJEL, PCI DSS, SOX, ISO2700x...), la conformité IT devient plus que jamais une gageure. Car il faut agir sur la durée dans un contexte juridique et technique en évolution permanente. Et dans le respect des contrats signés.

Enjeux et problématiques de la conformité IT face aux référentiels multiples. Toutes les entreprises sont concernées.

La conformité touche toutes les entreprises à des degrés divers. En effet, elles évoluent toutes dans un "environnement de conformité". Nous définissons l’environnement de conformité d’une entreprise comme l’ensemble des lois, règlements, normes et référentiels s’appliquant à son activité et à ses processus. L’environnement de conformité de chaque entreprise est un espace à plusieurs dimensions. On y retrouve fréquemment les dimensions suivantes : Légale : la loi est toujours la première et la plus forte de toutes les exigences de conformité. Toutes les entreprises sont soumises aux lois des pays dans lesquels elles exercent leurs activités. Autant qu’une personne physique, une personne morale ne peut ignorer la loi et doit s’y conformer. Contractuelle : les engagements contractuels de l’entreprise régissent ses interactions avec ses partenaires, ses clients et ses collaborateurs. Les engagements contractuels ont force de loi entre les parties. Sectorielle : certains codes de pratiques ou règlements encadrent les activités des acteurs économiques dans des secteurs donnés. La force contraignante de ces règlements ou codes de pratiques est généralement liée à l’existence d’une autorité de régulation, ainsi qu’aux pouvoirs de sanction du régulateur. Interne : la stratégie et les objectifs de l’entreprise peuvent la conduire à définir un cadre dans lequel elle s’engage à opérer. L’entreprise peut également choisir d’opérer dans un cadre normatif prédéfini et se soumettre ainsi ou s’imposer la conformité à un ou plusieurs référentiels. La conformité à ces référentiels peut même alors être vérifiée par des organismes externes à l’entreprise. Il est à noter que l’environnement de conformité d’une entreprise peut varier de manière notable avec le temps.

Tous les processus de l’entreprise sont concernés.

Il est de plus en plus souvent nécessaire de donner l’assurance, aux régulateurs, partenaires commerciaux, clients et même aux magistrats, que l’entreprise opère avec « Due Diligence » : ·         Pour sa gouvernance générale ·         Pour ses finances ·         Pour la sécurité de ses collaborateurs ·         Pour le respect de l’environnement ·         Pour le traitement de ses informations ·         … L’environnement de conformité se décline alors pour tous les processus concernés. l se décline aussi, en particulier, sous l’angle des systèmes d’information et plus particulièrement sous l’angle de la Sécurité. Les différents axes de l’environnement de conformité doivent donc être pris en compte dans toute réflexion sur la conformité IT.

Les entreprises ne doivent pas simplement se mettre en conformité. Elles doivent PROUVER la conformité et DEMEURER en conformité dans le temps. Ainsi, atteindre les différentes cibles de conformité est simplement une première étape. Prouver la conformité et demeurer en conformité à tout instant sont des points majeurs qui impliquent, dans l’entreprise, des processus particuliers.

Les référentiels sont presque toujours multiples

Dans le monde de l’entreprise, la loi et les engagements contractuels sont omniprésents. Toutes les entreprises doivent respecter le cadre légal applicable à leurs activités et toutes les entreprises interagissent sur la base de contrats. Ainsi, la conformité à la loi et aux engagements souscrits par  l’entreprise définissent un cadre de conformité de base. Les autres composantes de l’environnement de conformité de l’entreprise vont venir s’ajouter à ce cadre. De fait, les exigences et les contraintes issues des différents référentiels s’appliquant à l’entreprise vont se cumuler, se compléter, se superposer et/ou s’imbriquer. Il est évident que la résultante de ce type de combinaison peut se révéler particulièrement complexe à adresser au premier abord. De plus, il apparait légitime de s’interroger sur la meilleure façon d’adresser les processus vus plus haut, de manière efficace, sur des cibles multiples ou sur une combinaison composant une cible complexe. Ainsi, la question peut être reformulée comme suit : comment optimiser les processus de conformité face à des cibles de conformité multiples ou des combinaisons complexes d’exigences ? ·         En phase de mise en conformité ·         En phase de preuve de conformité ·         En phase de maintien de la conformité  Ces points impliquent des réflexions et des questions telles que : - Comment maîtriser les charges de travail et les coûts associés? Il s’agirait d’éviter une augmentation linéaire voire exponentielle de la charge, en fonction du nombre de référentiels adressés. - Comment gérer les exigences a priori incompatibles ? Il s’agirait de pouvoir réaliser les arbitrages nécessaires pour « prioriser » le traitement des exigences. - Comment préparer et optimiser les audits de contrôle de conformité ? Il s’agirait, ici, d’optimiser les processus récurrents de preuve de la conformité. - Comment s’adapter aux évolutions des différents référentiels ? Il s’agirait de faciliter le plus possible la prise en compte des évolutions inévitables des référentiels. - Comment se préparer à intégrer de nouvelles cibles de conformité ? Il s’agirait de doter l’entreprise des processus lui permettant la prise en compte facile d’un nouveau référentiel dans son environnement de conformité. Une approche COHÉRENTE est-elle possible ? Pourquoi ? Une partie des défis lancés à une approche cohérente de la conformité IT réside dans les différences majeures qui existent entre les référentiels. Ces différences sont perceptibles notamment au niveau des objectifs, du vocabulaire, du périmètre d’application et des sponsors. Chaque référentiel a ses propres objectifs : ·         PCI DSS : Protéger les données Cartes Bancaires contre le vol massif ·         ARJEL : Protéger le joueur et le cadre légal du jeu en France ·         ISO 27001 : … Derrière chacun de ces référentiels, il y a une analyse de risques. Chacun de ces référentiels propose des mesures visant à couvrir les risques spécifiques que leur concepteur/rédacteur a voulu adresser. Chaque référentiel a son propre langage. Les référentiels ont souvent des périmètres d’application différents. Les acteurs / sponsors sont généralement différents. La conformité de l’entreprise à chaque référentiel peut avoir un sponsor différent. Cela peut également constituer un frein pour une approche cohérente de la conformité IT. Une approche cohérente pourrait permettre de réduire l’impact de ces différences et optimiser la gestion de la conformité IT.