Les entreprises du numérique face aux enjeux de la conformité
Le projet de règlement européen sur les données personnelles qui entrerait en vigueur en 2015-2016 va demander aux entreprises un effort de conformité. Avec la multiplication des législations, référentiels, normes, certifications et agréments pour assurer la confidentialité, l’intégrité et la disponibilité des données jugées sensibles.
Ces référentiels sont l’œuvre du législateur, national ou européen ou de conglomérats à l’intérêt commun comme le PCI Council pour les données bancaires.
Les entreprises françaises sont donc toutes soumises au moins à la loi dite Informatique et Libertés et selon leur métier, à PCI DSS, à l’Autorité de Régulation des Jeux en Ligne (ARJEL), à l’agrément hébergeur données de santé défini par l’Asip, bientôt au futur décret européen ou même encore pour celles travaillant à l’international, à Sarbanes-Oxley. Qu’une plateforme e-commerce ou qu’un logiciel en mode Saas stocke les données bancaires des internautes ou encore qu’un CRM s’oriente vers le domaine médical, et ce sont des nouvelles contraintes à respecter.
Les concepteurs de ces référentiels veulent s’assurer que les bonnes pratiques et les standards de sécurité sont appliqués correctement. Et ils se sont inspirés pour la plupart du même socle, ISO27002 ou les Critères Communs. À la lecture du guide Cnil pour la sécurité informatique, de l’agrément de données de santé, de PCI DSS ou encore du guide d’hygiène informatique de l’ANSSI, les mêmes grandes mesures apparaissent systématiquement :
* La séparation des réseaux et des
règles de firewall strictes et pertinentes,
* La mise en place de différents types
d’outils anti-intrusion : IDS, IPS, AFM…
* Des bonnes pratiques de
développement, se basant sur des référentiels comme l’Owasp,
* La gestion des patchs, la veille en
vulnérabilité,
* Le sacro-saint antivirus,
* Le chiffrement des données dites
sensibles : données de santé, données bancaires, données personnelles,
* Sensibilisation et formation du
personnel.
Mais ces mesures techniques ne suffisent pas ou plus. Un
cadre organisationnel rigoureux est désormais systématiquement exigé, demandant
un effort très conséquent en termes de processus et de documentation :
PRA, PCA, gestion de crise, gestion d’incident et de changement, matrice des
rôles. « Security
is a process, not a product » comme le dit Bruce Schneier.
Mais alors se pose la question de
savoir si ces obligations de conformité ne sont pas contradictoires avec le
mouvement d’externalisation de l’IT qui s’est enclenché ces dernières années.
Car cette sécurisation par obligation pose le problème du ROI. Les MOA et chef
de projet informatiques doivent considérer immédiatement ces nouvelles
contraintes dans leurs projets en développement, sous peine de se faire
surprendre par la patrouille « sécurité et conformité » et de se voir
greffer des coûts non prévus initialement.
L’externalisation reste-t-elle une
réponse dans ce contexte ? Oui mais pas n’importe comment.
Les prestataires de service devront
être choisis vis-à-vis de leur apport face à la conformité aux référentiels
nécessaires à l’entreprise, mais aussi vis-à-vis de leur adhérence à la PSSI de
leur client. Quel est l’intérêt de mise en place de sonde anti-intrusion si
aucune gestion d’incident commun n’a été établi entre les deux partis ?
Des mesures trop coûteuses en interne
pourront être reportées sur des prestataires à haut niveau de service, capable
d’adapter leurs outils et processus à la politique de sécurité de leurs clients.
Et ces derniers devront choisir leur fournisseur non plus uniquement en prenant
compte des considérations financières mais aussi par des méthodes d’analyse de
risque et de classification de données (définies par exemple par l’Enisa et le Cloud Security Alliance).
Les offres de Cloud Computing et
d’infogérance, tellement diverses, avec des niveaux de service très différents,
ne peuvent pas toutes répondre aux obligations et donc exigences de conformité
des entreprises clientes. La dichotomie entre offre low-cost et offre à haute
valeur ajoutée devrait s’accentuer, chacune répondant à des besoins métiers
différents. Les MOA des projets informatiques, guidées par la gestion des
risques des RSSI et des DSI, doivent par exemple appréhender et comprendre les
concepts cachés derrière des termes Cloud Privé ou Cloud Public.
Le choix d’un prestataire sur lequel
« le transfert de conformité » peut se réaliser est une solution envisageable,
mais avec méthode. L’analyse de risque reste indispensable, non pas pour
déterminer les mesures qui sont de toute façon imposées par ces référentiels ou
guides, mais pour servir de grille de validation des fournisseurs potentiels.