OneTrust L’automatisation de la certification comme pilier de la confiance

OneTrust vient de lancer une offre d’automatisation du processus de la certification relative à la sécurité de l’information. Quels types de certifications cette offre couvre-t-elle ?

Alexandre Berthier : Notre métier est d’augmenter le niveau de confiance des entreprises en s’assurant qu’elles ont mis en œuvre des politiques, des procédures et des certifications dans le domaine de la gestion et de la protection de leur système d’information et de ses données.

Les certifications concernées sont notamment, pour la France et l’Europe, ISO 27001 et ses dérivées, NIS 1 et 2 (Network & Information Security 1 et 2), PCI DSS (Payment Card Industry Data Security Standard)… Pour les États-Unis, il s’agit de certifications comme SOC 2 (Systems and Organizations Controls 2) et HIPAA (Health Insurance Portability and Accountability Act).

Nous aidons les entreprises à préparer les processus de certification en termes de workflow et de périmètre, puis à recueillir les preuves pour, ensuite, préparer l’ensemble des documents permettant de réaliser la ou les certifications cibles.

Jusqu’où peut-on automatiser ce genre de démarche ?

Alexandre Berthier : Dans un programme de certification, les informations dont nous avons besoin peuvent provenir de deux sources différentes. La première source vient de questionnaires que nous adressons, en interne, aux différents départements concernés. Nous aidons les entreprises en automatisant la collecte de ces informations, c’est la partie « workflow ».

La deuxième source provient de l’acquisition, via des API, de preuves relatives aux contrôles effectués par l’organisation. Ces API se connectent au SI de l’entreprise, comme son Active Directory ou son système d’authentification. Un des principaux enjeux de l’automatisation est de réduire le temps d’obtention de la certification. Cette réduction peut aller jusqu’à 50 % du temps qui aurait été passé en mode manuel ou semi-automatique.

Autre bénéfice de l’automatisation : un contrôle qui est utilisé dans ISO 27 001 par exemple peut servir dans NIS, et réciproquement. Ce partage des contrôles s’applique aussi aux questions présentes dans les questionnaires. Une fois que le travail est fait une fois, il peut être dupliqué et servir à plusieurs projets simultanément.

Quel est votre apport en matière de veille et de mise à jour réglementaire ?

Alexandre Berthier : tous les jours, ou presque, de nouvelles normes et réglementations se créent ou connaissent des évolutions. Concernant la réglementation sur la protection des données, par exemple, cela représente – aux États-Unis – une loi par État. Et si vous prenez le cas particulier du transfert de données personnelles entre ce pays et l’Europe, vous faites face à un Data Privacy Framework au caractère hautement instable et provisoire.

En Europe, l’arrivée de NIS 2 constitue un véritable changement de paradigme, avec de nouvelles obligations et un régime de sanctions modifié. Et d’ici janvier 2025, la réglementation Dora (Digital Operational Resilience Act) sur la résilience opérationnelle numérique du secteur financier va entrer en vigueur. Autant de changements incessants que les entreprises doivent suivre et auxquels elles doivent se conformer.

Nous disposons en interne d’équipes composées, d’un côté, de juristes et, de l’autre, d’experts en cybersécurité, qui mettent à jour en permanence notre plateforme et peuvent guider nos clients dans leurs projets de mise en conformité.

Quels sont les autres bénéfices de l’automatisation ?

Alexandre Berthier : il y a tout d’abord le fait d’éviter les amendes que certaines réglementations prévoient en cas de non-conformité. En cas de non-respect de la directive NIS 2, par exemple, les organisations s’exposent à des sanctions financières pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

En termes de « business », le fait de mener des projets de certification deux fois plus rapidement signifie par ailleurs augmenter ses chances de développer son activité et de « rester dans la course » vis-à-vis de son écosystème. Nous voyons très régulièrement des fournisseurs être déclassés par leurs clients en raison de leur retard en termes de certification. Si vous représentez un risque juridique pour un grand donneur d’ordres, cela peut vous amener à « sortir du jeu ».

Dans quelle grande famille l’automatisation de la certification rentre-t-elle ?

Alexandre Berthier : l’automatisation de la certification fait partie chez Onetrust d’un ensemble plus vaste, dédié à la sécurité, qui comprend également les activités de gestion du risque IT (IT Risk Management) et de Gestion des risques liés aux tiers (Third Party Risk Management).

Nous constatons que les équipes dédiées à la sécurité et les équipes de DPO (Data protection officers) travaillent de plus en plus souvent ensemble. C’est une évolution inéluctable car, une fois le consentement des utilisateurs recueilli et les données acquises, il faut les protéger.

En ce sens, nous contribuons à casser les silos dans les entreprises. Les enjeux propres au RGPD d’un côté et à NIS ou ISO 27001 de l’autre peuvent être traités séparément, mais quand il y a synergie, cela permet d’augmenter plus rapidement la confiance que les clients accordent à une entreprise donnée.