Dans un paysage réglementaire en constante évolution, les entreprises doivent se conformer à un ensemble de normes et de réglementations liées à la protection des données, à la sécurité du SI et des collaborateurs, ou encore le fonctionnement de leurs produits.
Au-delà des sanctions pour non-conformité – dont le montant peut être significatif –,
une faille de sécurité ou une vulnérabilité non traitée peuvent gravement ternir l’image de marque de l’organisation.
La gestion des écarts de conformité est donc un sujet central, qui ne manque pas de soulever plusieurs questions.
- Comment se caractérise un écart de conformité ?
- Que se passe-t-il s’ils ne sont pas correctement gérés ?
- Quelles solutions mettre en place en entreprise ?
Avant d’y répondre, commençons par le commencement.
Qu’est-ce qu’un écart de conformité ?
Un écart de conformité est une situation où les règles définies par la politique de sécurité du système d’information (PSSI) ne sont pas correctement appliquées. Pour Baptiste David, Responsable PreSales et Delivery chez Tenacy, « un écart de conformité se caractérise par une constatation de non-conformité au regard d’un référentiel établi ».
La plupart du temps, les écarts sont détectés lors d’audits externes menés par des auditeurs indépendants. Ces auditeurs inspectent, interrogent, et documentent les non-conformités qu’ils identifient. Les audits sont effectués à intervalles réguliers pour s’assurer de la prise en compte de ces écarts et suivre dans le temps les actions de correction menées par l’entreprise.
Chaque entreprise est susceptible de générer des écarts de conformité, qu’ils soient de nature technique ou organisationnelle. C’est pourquoi il est essentiel de mettre en œuvre une stratégie proactive de détection de ces écarts, qui peuvent prendre plusieurs formes.
Écart technique
Un écart technique se réfère généralement à une vulnérabilité, à une mauvaise configuration, où à une erreur de conception dans l’infrastructure technique de l’entreprise.
Non-application d’une mise à jour critique, non-activation d’une fonctionnalité de sécurité… Les sources d’écarts peuvent être nombreuses.
Écart organisationnel
Un écart organisationnel se manifeste lorsque les politiques ou procédures de sécurité définies au sein d’une organisation ne sont pas correctement suivies, mises en œuvre ou documentées.
Un cas fréquemment observé est celui d’une entreprise ayant établi une politique de sensibilisation à la cybersécurité, obligeant les employés à suivre un cursus de sensibilisation. Toutefois, lors d’un audit, il peut être constaté que cette formation n’a été effectuée qu’une fois tous les deux ans, ou que l’engagement des collaborateurs à suivre une formation e-learning est insatisfaisant. Qu’ils soient mineurs ou majeurs, les écarts de conformité organisationnels doivent faire l’objet d’un suivi rapproché.
Que se passe-t-il si l’entreprise ne traite pas ces écarts ?
La gestion des écarts de conformité est une obligation pour toutes les entreprises, quel que soit leur secteur d’activité. Cette gestion fait partie intégrante d’un système de management de la sécurité informatique (SMSI) et ne se limite pas à la simple identification des problèmes : elle oblige également à mettre en place des mesures correctives pour les résoudre.
Lorsqu’un écart est constaté – qu’il s’agisse d’une vulnérabilité, d’une non-conformité ou de tout autre dysfonctionnement –, il est impératif de le documenter, le suivre, et s’assurer que des actions appropriées sont entreprises pour le résoudre.
Au-delà du risque cyber, l’absence d’un système de gestion des écarts peut avoir des conséquences préjudiciables pour l’entreprise, comme la perte d’une certification (ISO 27001, TISAX…).
Augmentation de la surface d’attaque
L’absence de gestion des écarts de conformité au sein d’une entreprise augmente le risque cyber. Pour Baptiste David, « en termes de gestion du risque, ne pas traiter un écart équivaut à laisser ouvert un trou connu et à élargir la surface d’attaque de l’entreprise ». Une faute qui peut être lourdement sanctionnée en cas de compromission.
Sanction du législateur
Laisser des écarts de conformité non traités expose les entreprises à des sanctions potentielles de la part des organismes de régulation.
Ces sanctions peuvent prendre la forme d’amendes significatives, comme celles imposées par des autorités telles que la CNIL : dans le cadre du RGPD (Règlement Général sur la Protection des Données), un dirigeant peut être poursuivi pénalement si la négligence est manifeste. La sanction peut aller de deux mois à dix ans d’emprisonnement (article 131-4 du Code pénal), associés ou non à une amende d’un minimum de 3 750 euros.
En complément, et dans le but de marquer les esprits, les autorités peuvent choisir d’adopter une approche de « name and shame ». Il s’agit ici de rendre publique la violation de l’entreprise, décrédibilisant ainsi la marque incriminée auprès de ses clients et fournisseurs.
Augmentation des coûts de la cyber assurance
Les compagnies d’assurances sont de plus en plus attentives à la gestion des risques et à la sécurité de leurs clients. Les organisations qui négligent la gestion des écarts de conformité peuvent donc se voir infliger des primes d’assurance plus élevées, car les assureurs considèrent qu’elles présentent un niveau de risque accru.
De plus, si une entreprise ne prend pas les mesures nécessaires pour corriger les écarts et les vulnérabilités identifiés, les assureurs peuvent refuser de couvrir les incidents survenus à la suite d’un écart non résolu. L’entreprise devra alors supporter seule les coûts associés aux dommages ou aux perturbations. Une double peine en quelque sorte.
4 conseils pour gérer vos écarts de conformité
#1 Centralisez les écarts
La première étape pour gérer les écarts de conformité est de les centraliser. En d’autres termes, lorsqu’un utilisateur identifie un écart ou une anomalie, il doit être en mesure de le signaler et de le documenter rapidement. Cette approche centralisée facilite le suivi et l’évaluation des actions réalisées dans la résolution des écarts.
#2 Priorisez les écarts
La deuxième étape consiste à hiérarchiser les écarts de conformité. En cela, il est nécessaire de déterminer quels problèmes sont les plus critiques et nécessitent une action curative.
Lors des audits de certification, les auditeurs attribuent généralement des niveaux de gravité aux non-conformités qu’ils relèvent, les classant « mineures » ou « majeures » en fonction de leur impact sur la sécurité et la conformité. En priorisant les écarts en fonction de leur importance, l’entreprise peut se concentrer sur les plus critiques en premier lieu, s’assurant ainsi que les problèmes les plus graves sont résolus rapidement.
#3 Acceptez de ne pas résoudre certains écarts, avec une gestion des dérogations
Il est parfois nécessaire de reconnaître qu’un problème existe et qu’il peut être justifié de ne pas le traiter immédiatement. C’est ce qu’on appelle les dérogations de conformité.
Il n’est pas rare, par exemple, de voir des machines d’imagerie médicale (scanner, IRM) utiliser des systèmes d’exploitation Windows qui ne sont plus maintenus. Le cycle de vie et le temps d’amortissement de ces équipements pouvant atteindre plusieurs dizaines d’années, les hôpitaux et centres de santé doivent faire avec et accepter les écarts – en ajoutant tout de même des actions de sécurisation complémentaires autour de l’équipement incriminé.
#4 Fixez-vous des objectifs
Lorsque vous abordez un écart de conformité, qu’il soit mineur ou majeur, vous devez définir une date à laquelle il doit être corrigé ou traité. En déterminant une date butoir pour la résolution de l’écart, vous établissez une mesure de responsabilité et de suivi.
Si cet objectif n’est pas atteint, cela peut signaler un problème dans la compréhension ou la mise en œuvre des mesures correctives. Fort heureusement, il existe des solutions techniques permettant de simplifier ce travail !
4 bonnes raisons de gérer vos écarts de conformité avec tenacy
La solution Tenacy offre plusieurs fonctionnalités permettant la gestion des écarts de conformité.
#1 La centralisation des différentes sources
L’interface de la solution permet de centraliser toutes les sources d’écarts de conformité, qu’ils proviennent d’audits annuels, de solutions techniques, ou de connecteurs intégrés à des plateformes tierces. Cette centralisation permet d’avoir une vision globale de tous les écarts rencontrés, éliminant ainsi la dispersion des informations.
#2 Un suivi précis des écarts de conformité
La plateforme Tenacy offre la possibilité de suivre un l’avancement de chaque écart de manière détaillée. Au lieu de simplement signaler un problème, l’outil permet de fournir des informations, telles que :
- la date de constatation de l’écart ;
- la personne qui l’a identifié ;
- les actions prévues pour le corriger…
… le tout accompagné de commentaires des équipes internes.
#3 Une priorisation simplifiée
L’interface Tenacy facilite la priorisation des écarts de conformité. Cette tâche, qui incombe souvent au RSSI, permet d’évaluer la criticité de chaque écart en fonction de l’impact potentiel sur l’entreprise. La plateforme Tenacy simplifie cette démarche en normalisant les évaluations de criticité, tout en laissant la possibilité au RSSI d’ajouter des informations spécifiques.
#4 Un reporting en temps réel
Tenacy propose une fonctionnalité de reporting avancé, qui permet de visualiser en temps réel l’état de gestion des écarts de conformité. Vous obtenez ainsi une visibilité complète sur l’avancement de la résolution des problèmes, avec également des métriques de performance telles que la validité et le pourcentage de réalisation des actions prévues.