Depuis quelques temps on constate l’émergence de plateformes qui vous promettent une mise en conformité en quelques jours sur n’importe quel référentiel de sécurité (ISO, SOC, PCIDSS, NIST etc.).
Que le temps des implémentations longues et douloureuses étaient révolu et qu’il suffisait de vous laisser guider.
Mais attention, derrière ces belles promesses se cachent parfois de grandes désillusions et l’expérience peut parfois tourner à l’échec.
En quoi ces logiciels consistent-ils ?
Le point commun de toutes ces solutions ? Elle sont construites autour du besoin de prouver la conformité mais elles ne sont pas (encore) complètement orientées vers le pilotage complet que requiert un système de management.
La raison est très simple : un système de management de la sécurité est très complexe et adresse TOUS les aspects de votre organisation(Tech, Legal, RH, DEV, Sales, CSM, Produit), à tel point qu’il est difficile pour un seul outil de couvrir tout le spectre.
La mise en place d’un système outillé de gouvernance de la sécurité de l’information va (au minimum) concerner :
La gestion des vulnérabilités techniques
La gestion des actifs (inventaire, classification, marquage)
L’analyse des risques
L’analyse des menaces (merci ISO27001:2022 et NIS)
La rédaction et la validation des politiques/chartes
La protection des données personnelles
La gestion des contrats clients & fournisseurs
La conformité aux lois et règlements
La sécurité des ressources humaines (incluant la gestion de formations)
La sensibilisation des équipes
La sécurité physique
Le plan de contrôle et d’amélioration
L’évaluation de l’efficacité des mesures de sécurité
La gestion documentaire (incluant le marquage de classification)
La gestion des accès
Le traitement des incidents de sécurité
La sauvegarde et la continuité d’activité
La sécurité des réseaux
La protection des points d’accès (laptops, mobiles, tablettes)
La sécurité des développements
La supervision
Gestion des traces et journaux
Ca va vous respirez encore ?
Mettre en oeuvre un système de gouvernance de la sécurité de l’information consiste à adresser tous ces points et cerise sur le gateau : de les maitriser.
A ce jour, aucun outil ne couvre tout ce périmètre.
Donc vous faire croire que vous serez conforme uniquement grâce à leur solution relève au mieux de la naiveté au pire une l’escr du discours purement marketing.
Les solutions les plus abouties couvrent 6 ou 7 points peut être 10 en creusant un peu mais guère plus. Et dans ces 10 points, tous ne sont pas au même niveau de maturité et ne sont pas forcément aligné aux exigences des normes.
D’un autre coté, il faut reconnaitre qu’il est très compliqué de développer un tel outil répondant à tous les critères exigés par ces normes et que cela va prendre encore du temps.
Pourquoi un tel écart ?
A cela on ajoute quelques jolis graphiques de “conformité”, 2 ou 3 vulnérabilités et hop comme par magie vous êtes certifiés…
La génèse de ces solutions se situe souvent outre Atlantique et sont souvent à l’origine construites sur des référentiels nord-américains dont la culture est très souvent déclarative.
En somme on jure la main sur le coeur que l’on va bien faire attention à vos données et que tout ceci est écrit noir sur blanc sur des contrats. Par contre si vous vous faites prendre la main dans le sac cela peut vous couter très cher (coucou HIPAA)
C’est pourquoi, vous allez systématiquement retrouver un joli pack de politiques prêtes à l’emploi que vous n’aurez qu’à partager à vos collaborateurs. A cela on ajoute quelques jolis graphiques de “conformité”, 2 ou 3 vulnérabilités et hop comme par magie vous êtes certifiés…
Vous l’aurez compris on est loin de la réalité ;)
La temporalité
Il s’agit d’un point crucial tant du point de vue de la société candidate que de l’auditeur. D’un coté, la société souhaite y consacrer le moins de temps (et de ressources) possibles - Donc l’argument de la certification en 35h c’est une promesse qui donne envie.
Du coté de l’auditeur par contre c’est une autre histoire. En effet, qu’il s’agisse de SOC 2 (type 2-3), HDS, ISO27001, l’objectif sera de démontrer que les mesures de sécurité et la gouvernance sont en place depuis plusieurs mois (pour SOC 2 on parle même d’une année complète) et que cela fonctionne pour tous les points que j’ai listé plus haut.
Donc le meilleur des cas, avant l’audit il faudra avoir :
1- Défini les attentes, objectifs et mesures à travers les politiques
2- Implémenté l’ensemble des mesures
3 -Fait fonctionner votre système pendant plusieurs mois (voire 12 pour SOC2)
4 - Avoir mis en oeuvre un plan de controle et d’efficacité sur l’ensemble de vos mesures de sécurité
5 - (le tout en ayant compris ce que vous faites et que vous soyez capable de l’argumenter point par point )
Le risque pour votre organisation est donc d’être complètement dépendant d’un l’outil sans en maitriser les fondamentaux de votre référentiel de certification.
De la théorie à la pratique
Pour celles et ceux qui se sont lancés dans l’aventure de la certification - vous avez du remarquer que le plus difficile n’est pas vraiment de définir les règles et les mesures de sécurité. Il est assez simple de définir le “comment il faudrait faire”.
Pourtant, passer du cap théorique à la pratique relève souvent du parcours du combattant. Il va falloir expliquer/justifier les choix, les faire adopter par l’organisation et les vérifier.
Croyez moi c’est bien plus compliqué que cela n’y parait.
Entre les réfractaires au changement, les “moi je sais faire”, ceux pour qui la sécurité c’est avant tout pour les autres vous risquez de cramer beaucoup de carburant avant qu’une mesure soit effective sur le terrain.
Armez vous de patience et de force de conviction pour faire passer votre message. Ne perdez jamais de vue, que toutes ces mesures ne sont pas faite POUR la norme, mais POUR la société. L
La certification n’est qu’une conclusion logique a un besoin de sécurité que vous avez pour (vous) rassurer et rassurer vos clients et partenaires. Le choix des mots sera donc primordial -
Et ce n’est pas un logiciel qui ira expliquer à Pierre Paul ou Jacques pourquoi c’est important qu’il verrouille sa session lorsqu’il va prendre un café.
Sans maitrise la puissance n’est rien
Outre le parallèle douteux avec une marque de pneumatique - Il sera primordial de démontrer pendant la phase d’audit ou d’évaluation que votre organisation maitrise pleinement la gouvernance de la sécurité de l’information. Dans le cadre d’ISO c’est même un point fondamental.
Si l’auditeur ressent que vous lui présenter tout un tas de document ou de preuve pour répondre aux exigences sans comprendre l’articulation des différents thèmes il pourra tout à fait émettre un avis défavorable arguant du manque de maitrise du système de management. C’est la raison pour laquelle il est impératif de se former sur le pilotage de votre sécurité.
Les outils vous apporteront des indicateurs et des voyants, mais si vous êtes incapable de les déchiffrer ca ne vous sera pas très utile.
Un pilote d’avion connait avant tout les principes de physique qui font que son avion tient en l’air
Le risque de la citadelle
Il est d’usage de croire que c’est à la société de se transformer pour coller aux exigences d’une norme - Or c’est tout à fait le contraire !
C’est aux standards de venir en support de vos processus métiers auxquels viendront s’ajouter quelques mesures de contrôle ou de vérification.
Mais en aucun cas la sécurité n’est là pour transformer la façon de faire.
La sécurité est là pour (spoiler à venir) : sécuriser votre information.
L’enjeu est donc que la sécurité soit présente partout et que l’information soit facilement disponible d’une manière ou d’une autre. Donc si vous optez pour ce type de solution propriétaires dans lesquelles vous allez insérer vos politiques, vos tableaux de bord, l’analyse de risque. Vous risquez alors de vous détacher du terrain et que vos équipes se mettent à produire du contenu “pour la norme” - Ce qui est le signe d’une implémentation ratée.
Créer une tour de contrôle de la conformité est en soi un concept intéressant mais il se doit d’être au plus proche de la réalité du terrain et ne doit pas être perçu comme une tour d’ivoire dans laquelle on ne veut absolument pas se rendre.
A quel moment dois-je considérer ces solutions ?
Le meilleur moment pour recourir à ces solutions est lorsque vous avez compris avec précision ce à quoi ils vont servir et quelle couverture fonctionnelle précise ils vont couvrir dans votre système de management.
Vous constaterez alors ce que je vous ai décrit dans le premier chapitre, à savoir qu’un seul outil est rarement suffisant.
Toutefois ils sont très puissants et vont vous permettre d’automatiser un très grand nombre d’action qui étaient autrefois attribué au responsable de la conformité.
Pour les petites structures type start-up scale-up, c’est une alternative très intéressante lorsqu’ils ne disposent pas de responsable de la conformité. Et cela représente même une économie financière substantielle comparé au coût d’un salarié dédié à ces actions (car oui piloter un système de conformité est un métier à part entière)
En conclusion, leur utilité est vraiment significative sur la phase de management et de suivi de votre système de management mais rarement pour les aspects d’implémentation.