Les entreprises du numérique face aux enjeux de la conformité

Le projet de règlement européen sur les données personnelles qui entrerait en vigueur en 2015-2016 va demander aux entreprises un effort de conformité. Avec la multiplication des législations, référentiels, normes, certifications et agréments pour assurer la confidentialité, l’intégrité et la disponibilité des données jugées sensibles.

Ces référentiels sont l’œuvre du législateur, national ou européen ou de conglomérats à l’intérêt commun comme le PCI Council pour les données bancaires.

Les entreprises françaises sont donc toutes soumises au moins à la loi dite Informatique et Libertés et selon leur métier, à PCI DSS, à l’Autorité de Régulation des Jeux en Ligne (ARJEL), à l’agrément hébergeur données de santé défini par l’Asip, bientôt au futur décret européen ou même encore pour celles travaillant à l’international, à Sarbanes-Oxley. Qu’une plateforme e-commerce ou qu’un logiciel en mode Saas stocke les données bancaires des internautes ou encore  qu’un CRM s’oriente vers le domaine médical, et ce sont des nouvelles contraintes à respecter.

Les concepteurs de ces référentiels  veulent s’assurer que les bonnes pratiques et les standards de sécurité sont appliqués correctement. Et ils se sont inspirés pour la plupart du même socle, ISO27002 ou les Critères Communs. À la lecture du guide Cnil pour la sécurité informatique, de l’agrément de données de santé, de PCI DSS ou encore du guide d’hygiène informatique de l’ANSSI, les mêmes grandes mesures apparaissent systématiquement :

* La séparation des réseaux et des règles de firewall strictes et pertinentes,
*
La mise en place de différents types d’outils anti-intrusion : IDS, IPS, AFM…
* Des bonnes pratiques de développement, se basant sur des référentiels comme l’
Owasp,
* La gestion des patchs, la veille en vulnérabilité,
*
Le sacro-saint antivirus,
* Le chiffrement des données dites sensibles : données de santé, données bancaires, données personnelles,
* Sensibilisation et formation du personnel.

Mais ces mesures techniques ne suffisent pas ou plus. Un cadre organisationnel rigoureux est désormais systématiquement exigé, demandant un effort très conséquent en termes de processus et de documentation : PRA, PCA, gestion de crise, gestion d’incident et de changement, matrice des rôles.  « Security is a process, not a product » comme le dit Bruce Schneier.
Mais alors se pose la question de savoir si ces obligations de conformité ne sont pas contradictoires avec le mouvement d’externalisation de l’IT qui s’est enclenché ces dernières années. Car cette sécurisation par obligation pose le problème du ROI. Les MOA et chef de projet informatiques doivent considérer immédiatement ces nouvelles contraintes dans leurs projets en développement, sous peine de se faire surprendre par la patrouille « sécurité et conformité » et de se voir greffer des coûts non prévus initialement.

L’externalisation reste-t-elle une réponse dans ce contexte ? Oui mais pas n’importe comment.

Les prestataires de service devront être choisis vis-à-vis de leur apport face à la conformité aux référentiels nécessaires à l’entreprise, mais aussi vis-à-vis de leur adhérence à la PSSI de leur client. Quel est l’intérêt de mise en place de sonde anti-intrusion si aucune gestion d’incident commun n’a été établi entre les deux partis ?
Des mesures trop coûteuses en interne pourront être reportées sur des prestataires à haut niveau de service, capable d’adapter leurs outils et processus à la politique de sécurité de leurs clients. Et ces derniers devront choisir leur fournisseur non plus uniquement en prenant compte des considérations financières mais aussi par des méthodes d’analyse de risque et de classification de données (définies par exemple par l’
Enisa et le Cloud Security Alliance).
Les offres de Cloud Computing et d’infogérance, tellement diverses, avec des niveaux de service très différents, ne peuvent pas toutes répondre aux obligations et donc exigences de conformité des entreprises clientes. La dichotomie entre offre low-cost et offre à haute valeur ajoutée devrait s’accentuer, chacune répondant à des besoins métiers différents. Les MOA des projets informatiques, guidées par la gestion des risques des RSSI et des DSI, doivent par exemple appréhender et comprendre les concepts cachés derrière des termes Cloud Privé ou Cloud Public.
Le choix d’un prestataire sur lequel « le transfert de conformité » peut se réaliser est une solution envisageable, mais avec méthode. L’analyse de risque reste indispensable, non pas pour déterminer les mesures qui sont de toute façon imposées par ces référentiels ou guides, mais pour servir de grille de validation des fournisseurs potentiels.

Autour du même sujet