Quelle place pour le contrôle de conformité en période de ralentissement économique ?
Le nombre de référentiels et la pression pour que les entreprises s’y conforment sont en constante augmentation depuis quelques années alors que les moyens alloués à la conformité des SI semblent, quant à eux, confrontés aux limites imposées par la conjoncture économique.
Les Compliance Officers, RSSI's,
et autres Risk Managers doivent, à la fois, faire face à la multiplication et l’évolution
des référentiels ainsi qu’aux nécessités d’optimisations lors des chantiers à
mener pour :
* se mettre en conformité,
* se maintenir en conformité,
* prouver / démontrer la conformité
Pour aborder cette délicate
équation, il semble nécessaire d’envisager plusieurs pistes de réflexion.
Mettre en place une approche unifiée de la conformité du SI
La multiplication des
référentiels conduit à s’éloigner du modèle « une norme = un projet »
ou « une norme = un outil de gestion ». Ce type d’approche est
propice au développement de silos spécialisés et à la duplication des efforts. Il
apparaît beaucoup plus efficace de penser le maintien en conformité, le
contrôle et le reporting comme des activités devant nécessairement s’appuyer
sur des référentiels multiples.
Cette approche unifiée repose sur trois
principes fondateurs :
* Consolider les exigences issues des différents
référentiels de conformité,
* Identifier et mutualiser toutes les activités
qui doivent être réalisées pour plusieurs référentiels,
* Préparer l’entreprise aux mutations de son
environnement de conformité (introduction de nouvelles normes / lois ou mises à
jour des textes existants).
Mettre en place une gestion continue de la conformité du SI
Pour être efficace, la conformité
du SI ne doit pas être vue comme un élément ponctuel. En effet, cela conduit
généralement à négliger certaines tâches récurrentes, ce qui augmente les
risques et la charge de travail nécessaire afin de remettre les SI en
conformité avant les échéances.
Une approche continue permet de
prendre en compte les changements et les évolutions du SI qui doit être
maintenu en conformité. Ainsi, par exemple, un système de gestion de la
conformité en continu permet, dès lors qu’un changement affecte le SI cible,
d’identifier les non-conformités potentielles, les risques associés, les
chantiers de remédiation à mettre en œuvre, les contrôles à réaliser et les
reporting éventuels à prévoir.
Une telle approche ne peut être
envisagée sans des mécanismes de contrôle garantissant, en continu, le bon
fonctionnement des processus supportant la conformité du SI.
Adresser les problématiques spécifiques et opérationnelles de la conformité des SI
Au sein d’une entreprise, même si
les référentiels sont multiples, le SI et les ressources concernées sont
essentiellement les mêmes que l’on parle de PCI DSS, d’ISO 27000, etc. Afin
d’optimiser les processus, il convient de mettre en place des outils permettant
d’automatiser les tâches de contrôle et d’adresser le facteur d’échelle sur les
SI importants, tout en minimisant la charge de travail induite sur les
opérateurs du SI.
Ainsi, par exemple, il est
crucial de pouvoir automatiser/outiller le contrôle de la conformité des
postes de travail et des serveurs aux exigences du référentiel unifié de
conformité IT. En effet, dès lors que le nombre d’équipement devient important
il n’est plus envisageable de garantir l’application ou le contrôle d’une
politique de conformité, sans outils adaptés. De même, pour garantir la
conformité des processus tels que la gestion des identités et des accès, il est
impératif de pouvoir s’appuyer sur des outils spécialisés.
Enfin, pour optimiser les moyens
humains, il faut impliquer, de manière transverse, l’ensemble des équipes
informatiques et expliquer que la conformité n’ajoute pas de nouvelles tâches mais
doit seulement permettre à tous les acteurs de mieux travailler.
Conclusion
Au-delà de la complexité
inhérente à la mise en conformité des SI, maintenir et prouver la conformité
dans le temps se révèle être un challenge encore plus délicat. C’est pour les
entreprises, dans le contexte actuel, un défi qui allie des questions bien réelles
de gestion de la conformité technique mais également des problématiques de
gestion des risques et de gouvernance.
Il existe aujourd’hui sur le
marché, une panoplie d’outils qui peuvent aider à adresser les problématiques
évoquées ci-dessus. Ces produits dits de gestion de conformité technique, d’IT
GRC ou de GRC sont autant de briques qui doivent pouvoir permettre aux acteurs
de la conformité des SI de bâtir des solutions pérennes dès lors que la bonne
démarche est retenue. En effet, il s’agit de toujours mettre en œuvre les
moyens pour atteindre et maintenir la conformité, sans jamais perdre de vue que
le véritable objectif doit être la Maîtrise des Risques de l’entreprise.