« Risk-based approach » et « compliance-based approach » : ça vous dit sûrement quelque chose. Ces deux termes anglais peuvent se traduire dans la langue de Molière par « approche par les risques » et « approche par la conformité » – et ils ne manquent pas de diviser le monde de la cyber.
Pour faire simple, ils désignent l’état d’esprit avec lequel le RSSI construit sa stratégie cyber. Mais comment choisir son camp ? Et surtout, faut-il vraiment en choisir un ?
RisqueS vs. conformité : un duel au sommet ?
On pourrait vulgariser ces termes en disant que le premier vient de la « peur d’avoir mal » (de subir une cyberattaque), tandis que le deuxième vient de la « peur du gendarme » (d’être épinglé pour non-conformité).
Approche par la conformité : de quoi parle-t-on ?
La conformité peut relever de trois domaines distincts :
- conformité aux bonnes pratiques (NIST, guide d’hygiène de l’ANSSI…) ;
- conformité à la réglementation applicable ;
- conformité aux exigences d’une certification.
Quand on sait que 72 % des organisations sont impactées par au moins une réglementation (Baromètre du CESIN) et que les certifications sont un atout business indéniable, on comprend que la démarche conformité apparaît comme un incontournable.
En quoi consiste-t-elle ? On peut la résumer en 4 étapes :
- identifier les réglementations ou normes à suivre ;
- évaluer l’écart entre celles-ci et la situation actuelle ;
- mettre en place les actions nécessaires pour combler cet écart ;
- maintenir la conformité (et corriger si nécessaire).
Approche par la conformité : le pour et le contre
L’avantage principal de l’approche par la conformité est double : il permet de traiter le risque légal, tout en répondant aux enjeux business de l’organisation.
Mais elle a aussi ses défauts (après tout, qui n’en a pas ?). Parmi eux, le manque d’objectivité dans la mesure de la conformité : pour une même situation, le taux de conformité décrété peut varier entre 80 et 100 %, selon la personne chargée de l’évaluer…
On compte aussi la complexité de la gestion des audits, et surtout la forte dépendance à l’égard de la direction : sans l’appui et la légitimation du C-level, le RSSI peut peiner à imposer des mesures de conformité dont les équipes ne voient pas toujours l’intérêt.
Approche par les risques : de quoi parle-t-on ?
Adopter une approche par les risques, c’est procéder (là aussi) en 4 étapes :
- identifier un scénario d’incident possible ;
- analyser l’impact qu’aurait un tel incident sur les différents acteurs de l’organisation ;
- évaluer la probabilité de ce scénario (motivations et moyens de l’agent de menace, niveau de sécurité actuel…) ;
- implémenter des actions correctives pour mitiger ce risque (et en mesurer la performance).
Approche par les risques : le pour et le contre
Contrairement à l’approche par la conformité, l’approche par les risques a l’avantage d’être une démarche transverse et collaborative. En parlant aux différents services de LEURS risques, de ce qui peut leur arriver et de la manière dont cela va les impacter, on capte généralement bien mieux leur attention.
L’approche par les risques fait gagner en flexibilité et en proactivité, permettant d’anticiper des menaces potentielles précises avant qu’elles ne se concrétisent.
Cerise sur le gâteau : il est plus facile de justifier les investissements cyber en démontrant le ROI des actions déployées, notamment en chiffrant l’impact qu’une attaque aurait pu avoir sur l’organisation.
Cette approche a pourtant son – ou plutôt ses – talons d’Achille :
- l’approche par les risques ne permet pas vraiment de rassurer les clients et autres acteurs externes (contrairement à la certification) ;
- la démarche d’analyse peut être lourde et chronophage, laissant finalement peu de temps pour le traitement du risque en lui-même ;
- il est difficile de quantifier précisément le niveau de risque d’une entreprise, et encore plus de comparer ces niveaux entre plusieurs entités d’une organisation.
L’approche hybride, « sweet spot » du pilotage cyber ?
Et si « approche par la conformité » et « approche par les risques » n’étaient finalement que deux étapes dans une seule et même stratégie de pilotage ? Si elles étaient cumulatives au lieu d’être exclusives ?
C’est ce que semble nous dire la pyramide EBIOS RM (si tant est que les pyramides puissent parler).
Tout n’est finalement qu’une question de temporalité, et de maturité de l’organisation.
- Dans un premier temps, l’approche par la conformité permet d’établir des principes d’hygiène de base, puis d’intégrer le cadre réglementaire et normatif applicable.
- C’est dans un second temps (ou dans des organisations disposant déjà d’une bonne maturité cyber) que l’approche par les risques peut être mise en place – sans pour autant mettre fin à la démarche de conformité.
L’objectif ultime : une approche hybride qui intègre le socle de conformité, tout en étant orienté « risques ».
Le coin des chiffres
Lors de notre webinaire sur le sujet risques vs. conformité, nous avons interrogé les participants sur l’approche qu’ils privilégiaient au quotidien. Et nous avons noté que l’approche hybride était (de loin) la gagnante, étant adoptée par 58 % des répondants.
Les autres se partageaient le reste du gâteau avec :
- 25 % pour l’approche par la conformité ;
- 8 % pour l’approche par les risques ;
- 8 % pour une approche dite « instinctive ».
Bonne nouvelle : Tenacy a justement été pensé (entre autres) pour vous aider à concilier risques et conformité ! Traçabilité, cohérence, reporting, collaboration, base de connaissances… l’outil intègre toutes les fonctionnalités nécessaires à un pilotage hybride efficace.
Pour voir à quoi ça peut bien ressembler, réservez votre démo !