Piloter sa conformité IT : les bonnes pratiques

RGPD, NIS2, PCI-DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act), NIST (Cybersecurity Framework, FIPS), SOC 2 (Service Organization Control)… Le nombre et la diversité des normes, lois, règlements et autres directives actuellement en vigueur en Europe et dans le reste du monde en matière de conformité informatique peuvent parfois être perçus comme un excès de règles, voire un trop-plein réglementaire que certaines entreprises ont du mal à gérer.

Mais pour Lucie Shen, Managing Consultant chez Capgemini, l’existence de cette abondante réglementation correspond à une réalité terrain : « Je n’ai pas vraiment le sentiment d’un excès de règles en matière de conformité IT. Au lieu de regarder le chiffre absolu des réglementations existantes, il faut plutôt se dire que cet arsenal réglementaire correspond à de réelles tendances du marché et donc à un besoin avéré de régulation. En d’autres termes, il faut mettre le nombre de réglementations en parallèle de la croissance des impacts des cyberattaques et de la dépendance toujours plus forte des entreprises aux technologies. »

La directive NIS2 a ainsi une véritable raison d’être, selon la consultante. En élargissant le périmètre de NIS (le nombre de secteurs d’activité concernés va ainsi passer de 19 à 35) et en s’adressant désormais à certaines entreprises privées (celles qui emploient plus de 50 salariés et qui réalisent plus d’un million d’euros de CA), elle prend en compte la réalité du marché, à savoir toujours plus de menaces et une probabilité de plus en plus élevée qu’un nombre croissant d’organisations soient touchées.

« Avec DORA, la logique est la même. La directive tient compte de la direction prise par le marché de ne plus adresser uniquement la cybersécurité au sens identification des menaces et protection, mais bien d’inclure la résilience dans les stratégies des acteurs financiers. Le marché analyse que de plus en plus de crises vont survenir et que les entreprises vont devoir renforcer leurs capacités de gestion de crise, de restauration et de reconstruction », ajoute Lucie Shen.

Mettre en place une veille efficace et s’inscrire dans une logique de capitalisation

Pour que la mise en œuvre d’une politique de conformité IT soit couronnée de succès, une bonne pratique est de mettre en place une veille réglementaire efficace. « Cette veille réglementaire ne doit pas être épisodique, mais s’inscrire dans le temps long. Au sein de l’Union européenne, par exemple, il existe un calendrier réglementaire précis, avec des mécanismes de consultation qui permettent aux entreprises d’anticiper au maximum et de se tenir à jour sur les textes qui vont arriver », note Lucie Shen.

Autre recommandation : se mettre dans une logique de capitalisation vis-à-vis des réglementations qui existent déjà. « Au lieu de repartir de zéro à chaque fois que de nouvelles directives ou lois sortent, il est préférable de se créer un mapping de tous les articles et exigences déjà en vigueur. Par exemple, pour DORA, nous avons comparé plusieurs standards et réglementations existants tels que le framework NIS, ISO 27001 et une réglementation sur la cybersécurité venant de l’Autorité Bancaire Européenne (EBA). Il est alors plus facile d’identifier rapidement les nouveautés et de se concentrer sur les vrais points différenciants de chaque réglementation », complète Lucie Shen.

Quelle organisation idéale ?

Si l’on se penche sur l’organisation idéale qu’il faut mettre en œuvre, il existe aujourd’hui, dans la plupart des grandes entreprises, des départements transverses qui traitent des sujets de conformité IT. Mais si l’on se focalise uniquement sur les sujets de cybersécurité et de cyber-résilience, une organisation légèrement différente peut être mise en place. « Notre recommandation serait, a minima, qu’une responsabilité partagée soit mise en œuvre entre une équipe conformité, une équipe cybersécurité et une équipe risque. Ce triptyque permet de capitaliser sur d’autres standards que les équipes conformité n’ont peut-être pas en tête, car ils ne sont pas obligatoires », note Lucie Shen.

Autre point de vigilance : l’implication, pleine et entière, de la direction générale dans les projets de conformité informatique. « Dans les textes réglementaires, les exigences sont de plus en plus fortes pour que la responsabilité de la cybersécurité remonte au plus haut niveau des entreprises. Pour Dora, par exemple, il est écrit noir sur blanc que c’est bien l’équipe dirigeante qui doit valider la revue de l’analyse de risque de manière annuelle, et que c’est elle qui doit estampiller la stratégie de cyber-résilience associée. Les dirigeants doivent être réellement sensibilisés à tous ces enjeux de cybersécurité pour prendre les décisions en conséquence », ajoute Lucie Shen.

S’outiller : une nécessité ?

Enfin, il existe sur le marché de très nombreuses solutions dont l’objectif est d’accompagner les entreprises dans leur conformité informatique. Beaucoup de dirigeants et managers se posent la question de savoir s’ils doivent s’équiper de tels logiciels.

« Tout dépend du niveau de maturité de départ et de la capacité à mobiliser des ressources pour assurer le suivi de conformité. D’un côté, certaines entreprises suivent leur conformité IT en créant un projet pour chaque réglementation. Elles gèrent ensuite le suivi des plans d’action permettant de combler les non-conformités identifiées. Pour une organisation qui maîtrise bien ses processus d’audit, cela peut être suffisant. D’un autre côté, certaines entreprises décident de s’outiller, le plus souvent par simplicité, mais aussi pour maintenir la conformité sur le long terme », répond Lucie Shen.

Heureusement, la réglementation liée à la conformité IT des entreprises respecte de plus en plus fréquemment le principe de proportionnalité. « Les régulateurs, dans leurs introductions et dans l’esprit des textes, appliquent désormais ce principe presque systématiquement. Cela permet d’adapter de façon pragmatique les exigences à la taille et au caractère systémique ou non des entreprises et offre de la flexibilité aux organisations », conclut Lucie Shen.