Garantir la sécurité de son organisation passe par une parfaite connaissance des conformités réglementaires en vigueur. C’est pourquoi la veille réglementaire sur la sécurité des systèmes d’information est l’une des principales missions et obligations du RSSI. Avec une veille structurée, suivez facilement l’évolution des pratiques, des normes et lois qui encadrent la cybersécurité de votre organisation. Pilotage du projet, identifications des référentiels, mises à jour documentaires, diffusion de l’information pertinente, analyse des impacts… autant de sujets à coordonner derrière cette notion de veille réglementaire et normative. Alors comment mettre en place une veille réglementaire SSI sans se faire déborder ? Nous vous partageons des pistes de réflexion et réponses dans cet article.
Qu’est-ce qu’une veille réglementaire et normative ?
Avant d’entrer dans le vif du sujet, il convient de revenir sur la définition de la veille réglementaire et de comprendre la différence avec la veille normative.
La veille réglementaire, indispensable pour se conformer aux règles du jeu
Par définition, la veille réglementaire consiste à se tenir informé de la législation applicable à son industrie, mais également de suivre l’évolution des textes et obligations. Connaître le cadre législatif dédié à la sécurité des systèmes d’information permet de mettre en place les actions nécessaires pour garantir la conformité du SI auquelle l’organisation est soumise. Cette surveillance de l’environnement réglementaire est indispensable au RSSI et à ses équipes pour découvrir les nouvelles lois, décrets ou réglementations, analyser les impacts et adapter la politique de sécurité du SI de l’organisation en conséquence. Quel que soit la taille, le type d’activité ou le secteur géographique de l’organisation, la veille réglementaire s’inscrit dans une démarche de gestion des risques. Elle peut également être obligatoire pour des secteurs réglementés ou lors d’audit de conformité.
La veille normative, pour aller plus loin dans les garanties de sécurité du SI
La veille normative, quant à elle, permet d’identifier les normes en vigueur auxquelles votre organisation doit se conformer. Comme la veille réglementaire, il s’agit d’une activité continue et itérative qui vise à une surveillance active de l’environnement de son organisation. Normes internationales, européennes, nationales ou bien encore sectorielles, elles sont gages de qualité et leur bon respect s’avère obligatoire pour l’obtention de certification. Prenons un exemple concret : si votre société héberge ou exploite des données de santé, votre société est soumise à l’obligation d’utilisation d’un hébergement certifié HDS (hébergement de données de santé).
Comment structurer efficacement la veille réglementaire SSI ?
Pour suivre les évolutions réglementaires et garantir la conformité de la sécurité de son entreprise, il est indispensable au RSSI de structurer efficacement sa veille réglementaire SSI afin de ne pas subir les changements mais de les anticiper au mieux.
Définir la stratégie de veille pour être aligné sur l’objectif
La première étape dans la mise en place d’un projet de veille réglementaire et normative SSI est d’aligner toutes les parties prenantes du projet sur un objectif commun. Comme abordé précédemment, la veille a pour but d’identifier vos obligations légales et normatives afin de vous permettre de valider votre conformité. Le cas échéant, un plan d’actions correctives sera mis en place. Mais la veille ne se limite pas à compiler les documents ! Elle engendre des prises de décisions stratégiques pour votre organisation.
Pour définir votre stratégie de veille, il est nécessaire de répondre aux questions suivantes :
Quel est l’impact sur les équipes métiers au sein de l’organisation ? Quel est l’investissement à produire et le retour sur investissement attendu ? Quelles ressources humaines et matérielles seront mobilisées ?
La démarche de veille s’inscrit dans une notion de capitalisation des connaissances, de gestion de l’information, et est une des composantes de l’intelligence économique de l’organisation. La veille réglementaire et normative SSI est un élément fondateur de la stratégie d’entreprise. Elle permet de sécuriser votre activité en s’assurant du respect des normes et législations en vigueur. C’est pourquoi la définition du cadre, des responsabilités, des moyens ainsi que la périodicité de la surveillance sont autant d’éléments clés à définir initialement.
Délimiter le périmètre de la veille réglementaire et normative pour piloter les risques
Il s’agit de déterminer les documents et informations auxquels votre entreprise doit se référer. Il peut s’agir de textes de lois, de décrets, de normes, de rapports gouvernementaux, etc. Chaque entreprise ou organisation possède son propre cadre de veille réglementaire et “piochera” ainsi dans les textes de législations en vigueur en fonction de :
- Sa zone géographique : Quels sont les textes de lois applicables localement et/ou nationalement ? Êtes-vous soumis à la réglementation européenne et internationale ? Quelles législations étrangères devez-vous appliquer ?
- Son secteur d’activité : Êtes-vous dans un domaine d’activités réglementées (domaine de la santé ou bancaire par exemple) ?
- Ses gages de qualité : Quelles sont les certifications que votre organisation souhaite posséder ou conserver (la certification ISO 270001 par exemple) ? Quelles sont les politiques de sécurité internes à l’organisation (PSSI, PRA, PCA…) ?
Surveiller les sources pour anticiper les évolutions
Une fois votre référentiel réglementaire et normatif de sécurité des systèmes d’informations effectué, vous serez alors en mesure de suivre l’évolution des textes. Quel sera l’impact sur votre organisation d’un texte législatif en préparation ? Quelles seraient les nouvelles actions à mettre en place lorsque la directive européenne NIS V2.0 sera adoptée à la Commission européenne ?
Suivre ces évolutions vous permet de contrôler l’impact des nouveaux risques législatifs sur votre entreprise et de prendre une longueur d’avance sur votre mise en conformité.
Exploiter les données pour mettre en place des actions correctives
La réalisation de cette veille vous permet de définir et de caractériser des exigences de conformité pour sécuriser le SI de votre organisation. Ces exigences peuvent être regroupées en catégories et sous-catégories afin de faciliter le management des risques. Prenons l’exemple de la norme ISO 27001 qui pose le cadre du management de la sécurité de l’information au sein d’une organisation. Cette norme internationale est découpée en 252 exigences regroupées en 6 familles de processus. Il est à noter qu’une même exigence peut être issue de différents textes réglementaires ou normatifs. Vous établissez alors votre propre référentiel d’exigences à respecter.
Répondre à l’ensemble des critères peut s’avérer complexe si votre organisation intègre des systèmes informatiques obsolètes mais néanmoins capital dans le bon fonctionnement de votre activité comme c’est souvent le cas dans les secteurs de la santé ou de l’énergie. C’est pourquoi l’identification de nouvelles exigences ou leurs modifications vous permet d’analyser les actions correctives à mettre en place selon une approche basée sur les risques. Quel est l’impact de ne pas répondre à une exigence ? Quel serait le coût financier d’une non-conformité ? En fonction des réponses, un plan d’action adapté est établi. Votre objectif est bel et bien la conformité SSI de votre organisation.
Diffuser l’information pour faciliter la prise de décision
Fournir la bonne information, au bon moment et au bon interlocuteur est le triptyque gagnant pour faciliter la prise de décision. Les formats pour partager votre veille SSI sont nombreux et vont dépendre de la finalité recherchée auprès de vos destinataires : newsletter, note de synthèse, analyse, plateforme d’accès à la documentation complète. Déterminez la fréquence d’envoi en gardant à l’esprit ces deux questions : pour qui envoyez-vous l’information et à quoi peut leur servir cette information ?
Pour votre comité de direction et les décideurs de votre entreprise, fournissez une vue stratégique des menaces et des opportunités liées aux évolutions législatives et normatives. Privilégiez des formats courts tels que des notes stratégiques accompagnées d’une analyse.
Diffusez également un résumé de votre veille à votre service commercial et marketing. Ils auront ainsi la capacité de s’appuyer sur les certifications et conformités pour le discours de ventes. Des atouts et gages de confiance qu’ils sauront mettre en avant auprès des clients, prospects et partenaires de votre organisation.
L’équipe R&D, quant à elle, se servira de votre veille pour anticiper les évolutions dans leur roadmap produit. Donnez-leur la possibilité d’accéder à l’information complète s’ils le souhaitent, via une plateforme de knowledge management par exemple.
La mission du RSSI est de diffuser de l’information utile et pertinente à ses différents interlocuteurs afin d’éclairer leurs prises de décisions. Et aux yeux de vos collaborateurs, vous serez un facilitateur !
Les 5 bonnes pratiques pour réaliser efficacement une veille de sécurité informatique
-
Mettez un pilote dans l’avion
En lisant cet article, vous comprenez que la mise en place d’un projet de veille réglementaire et normatif SSI est un projet complexe et stratégique pour votre organisation. Désignez une personne de votre équipe comme responsable de la veille. Il pourra s’appuyer en partie ou en totalité sur l’aide de prestataires externes dont c’est le métier.
-
Traduisez le jargon juridique
La veille réglementaire et normative SSI ne consiste pas à empiler des textes plus complexes les uns que les autres. Rendez intelligibles les textes en les modélisant en exigences de conformité. Avec un langage “intelligible”, vous facilitez la compréhension des menaces et opportunités.
-
Effectuez des mises à jour régulièrement
Établir une fréquence de mise à jour de la veille est indispensable. En suivant régulièrement les évolutions, vous êtes armés pour appréhender les actions correctives à mettre en place. Ne vous laissez pas déborder.
-
Délimitez correctement votre périmètre
Face à la multiplication des textes réglementaires et des exigences de sécurité, délimiter les textes strictement applicables et/ou nécessaires s’avère indispensable. Vous éviterez ainsi d’être submergé par une multitude d’informations qui ne vous concernent pas.
-
Arrêtez de croire que vous y arriverez seul
Définir le référentiel des textes, les traduire en exigences, piloter les mises à jour et en déduire les conséquences sur la conformité de son entreprise… Cela ne s’improvise pas ! En fonction de vos contraintes, de vos ressources, de votre budget ou encore du temps à allouer à cette mission, appuyez vous en partie ou en totalité sur des prestataires externes experts du sujet. Vous gagnerez en sérénité et dégagerez du temps pour vos autres missions.
L’adaptation aux réglementations et normes qui s’appliquent à votre organisation est capitale pour le bon déroulement de votre activité. La veille réglementaire touche ainsi à la maîtrise des risques et à la correction des non-conformités. La modélisation en exigences et les mises à jour sont chronophages et complexes. Faites-vous accompagner par des experts !