RGPD, LPM, NIS… Les entreprises sont aujourd’hui soumises à de plus en plus de cadres réglementaires et de conformité. Si ces règles sont indispensables pour garantir un haut niveau de sécurité dans l’organisation, elles peuvent parfois entraver la fluidité des opérations.
Mais alors comment gérer une situation non conforme à la politique de sécurité du système d’information (PSSI) de l’entreprise ou à l’un des nombreux textes applicables ? Qu’est-ce qu’une dérogation ? Et surtout, comment mettre en place un système de gestion des dérogations dans une entreprise ?
What is a derogation?
Une dérogation peut être définie comme une autorisation exceptionnelle ou une exemption temporaire accordée en vue de déroger aux règles ou politiques établies au sein de l’organisation.
Pour Baptiste David, Responsable PreSales et Delivery à Tenacy, « la dérogation est une non-application d’une mesure de sécurité. ».
Un exemple concret de cette nécessité de dérogation peut être observé dans la gestion de la politique d’accès à internet en entreprise : il n’est pas rare de voir des DSI bloquer l’accès à des sites à caractère récréatif tels que Facebook au sein des entreprises, par crainte de fuites d’informations sensibles ou d’une infection de malware. Si elle est légitime, cette restriction généralisée impacte systématiquement les équipes de communication et marketing, qui elles, utilisent légitimement les réseaux sociaux. C’est dans ce cas de figure que les dérogations permettent d’adapter la politique de sécurité de l’entreprise à des besoins spécifiques.
Un autre exemple de dérogation concerne la gestion des droits d’administrateurs au sein d’une organisation. En règle générale, les employés ne disposent pas de droits pour administrer leurs postes de travail. Il peut cependant arriver que dans des situations particulières, l’utilisateur ait besoin des droits administrateurs pour installer ou mettre à jour un logiciel. Là encore, la dérogation permet d’adapter la règle en fonction de la situation.
À noter que les dérogations ne se limitent pas uniquement aux besoins individuels des utilisateurs. Elles peuvent également s’appliquer à un niveau hiérarchique, comme à un service ou à une direction – les fameux VIP.
Utiliser des dérogations, est-ce obligatoire ?
Les dérogations ne sont pas strictement obligatoires, mais il est à noter que certaines réglementations les requièrent. Du point de vue de la gestion des risques, l’absence de gestion de dérogations peut être un signe que l’entreprise ne prend pas en compte tous les scénarios potentiels et les besoins spécifiques de ses utilisateurs.
Ces derniers, souvent créatifs dans leurs besoins, peuvent trouver des justifications pour ne pas se conformer aux politiques établies – voire même de contourner le problème en utilisant des outils logiciels non approuvés par la DSI. Une bonne gestion des dérogations consiste à se poser la question du « pourquoi » derrière chaque demande d’exception.
Pour Baptiste David, « dans ce cas de figure, les dérogations visent à distinguer les besoins légitimes des besoins illégitimes, tout en assurant la sécurité de l’entreprise et en évitant les contournements non autorisés ». Une multiplication des demandes qui oblige les entreprises à se doter d’un système de gestion des dérogations.
POURQUOI METTRE en place Un système de gestion des dérogations ?
Defining a regulatory framework
Un système de gestion des dérogations permet de :
- recevoir les demandes d’ouverture ;
- conserver un historique des échanges dans le but de renforcer la transparence et la responsabilité de chacun.
Cette centralisation permet aux équipes informatiques de suivre et de prendre en compte toute modification au regard de la politique de sécurité de l’entreprise.
Faciliter les audits
En disposant d’un outil centralisant les demandes de dérogations antérieures, l’entreprise peut démontrer de manière transparente et documentée comment elle gère ces exceptions.
Lorsqu’un auditeur pose des questions sur la gestion des dérogations, l’entreprise peut fournir des preuves tangibles de son processus de dérogation, montrant ainsi son engagement envers la conformité et la sécurité. Sans cette documentation, l’entreprise risque de devoir consolider les informations, ce qui peut compliquer et prolonger le processus d’audit tout en augmentant le niveau de stress dans les équipes.
Avoiding penalties
L’absence d’un système de gestion des dérogations peut entraîner des conséquences graves pour une entreprise. En cas d’audit, l’entreprise risque de se voir reprocher un manque de suivi et de documentation, ce qui peut entraîner des sanctions, telles que des amendes ou des pertes de certifications.
Rappelons que la certification, comme celle de la norme ISO 27001, est devenue aujourd’hui un gage de confiance et un impératif dans le choix d’un prestataire. Perdre cette certification peut nuire à la réputation de l’entreprise et compromettre sa capacité à accéder à des contrats voire à répondre à des appels d’offres.
How do you set up a exemptions management system with Tenacy ?
Tenacy offers powerful features designed to simplify and optimize management of exemptions.
Set up an easy-to-use tool
Avec Tenacy, un utilisateur peut soumettre une demande de dérogation par ticket, indiquant les raisons et la durée de cette exception. L’approbateur peut ensuite accepter ou refuser la demande, en y ajoutant une date d’expiration. Cette collaboration transparente garantit que toutes les parties prenantes bénéficient d’un même niveau de connaissance.
Organizing follow-up
La plateforme Tenacy garantit le suivi et la traçabilité de chaque dérogation. Cette traçabilité comprend les dates, les personnes impliquées, les objets de la dérogation, et la durée de validité. Il est important de noter que les dérogations sont généralement temporaires, ce qui implique de spécifier une date de fin pour chaque exception.
Afin de corréler les demandes avec la politique de sécurité de l’entreprise (PSSI), Tenacy permet de relier ces deux éléments pour fournir une vision d’ensemble permettant la prise de décision afin d’accepter ou non la demande.
Les utilisateurs peuvent également ajouter des documents et commentaires dans le but de compléter le suivi.
Measuring performance
L’utilisation d’indicateurs de performance (KPI) permet d’évaluer l’efficacité globale du processus de gestion des dérogations. Nombre de dérogations traitées, non traitées, nombre de dérogations total… Tenacy dispose d’indicateurs de performance générés quotidiennement, fournissant des informations indispensables au pilotage. Pour être sûr de ne rien oublier, des alertes et notifications rappellent aux utilisateurs si une dérogation est sur le point d’expirer.
A platform that goes beyond exemptions
Just as choosing a CRM involves much more than taking notes on a company file, the functional scope of the Tenacy platform goes far beyond simple exemptions management.
Cette plateforme propose un éventail de fonctionnalités allant du reporting à l’automatisation, avec des fonctionnalités spécifiques comme l’intégration d’un catalogue de conformité : celui-ci permet aux entreprises de cibler précisément les politiques de sécurité qui s’appliquent à leur secteur d’activité.
En BREF
L’utilisation de dérogations est un élément essentiel dans la gestion des risques et l’application de la politique de sécurité dans l’entreprise. Toutefois, elle ne peut se faire sans la mise en place d’un système de gestion des dérogations fiable et efficace.
Avec Tenacy, la gestion des dérogations devient un processus transparent, fluide en accord avec les exigences de conformité les plus strictes. N’hésitez pas à contacter nos experts pour en savoir plus !