Dans un paysage réglementaire en constante évolution, les entreprises doivent se conformer, à un ensemble de normes et de réglementations liées à la protection des données, à la sécurité informatique du système d’information et des collaborateurs ou encore à la sécurité et à la sûreté de fonctionnement de produits.
Au-delà des sanctions pour non-conformité dont le montant peut être significatif,
une faille de sécurité ou une vulnérabilité non traitée peut ternir l’image de marque de l’organisation.
Mais alors qu’est-ce qu’un écart de conformité ? Comment gérer ses écarts de manière efficace ? Quelles sont les conséquences d’une absence de gestion de ces écarts ? Quelles solutions mettre en place en entreprise ? Explication.
Qu’est-ce qu’un écart de conformité ?
Un écart de conformité est une situation où les règles définies par la politique de sécurité informatique (PSSI) ne sont pas correctement appliquées. Pour Baptiste David, Responsable PreSales et Delivery chez Tenacy : « Un écart de conformité se caractérise par une constatation de non-conformité au regard d’un référentiel établi ».
La plupart du temps, les écarts sont détectés lors d’audits externes menés par des auditeurs indépendants. Ces auditeurs inspectent, interrogent, et documentent les non-conformités qu’ils identifient. Pour s’assurer de la prise en compte de ces écarts, des audits à intervalles réguliers sont effectués pour suivre dans le temps les actions de correction menées par l’entreprise.
Qu’ils soient de nature technique ou organisationnelle, chaque entreprise est susceptible de générer des écarts de conformité. C’est pourquoi il est essentiel de mettre en œuvre une stratégie proactive de détection de ces écarts qui peuvent prendre plusieurs formes.
Écart technique
Un écart technique se réfère généralement à une vulnérabilité, à une mauvaise configuration, où à une erreur de conception dans l’infrastructure technique dans l’entreprise.
Non-application d’une mise à jour critique, non-activation d’une fonctionnalité de sécurité, les sources d’écarts peuvent être nombreuses.
Écart organisationnel
Un écart organisationnel se manifeste lorsque les politiques ou procédures de sécurité définies au sein d’une organisation ne sont pas correctement suivies, mises en œuvre ou documentées.
Un cas fréquemment observé est celui d’une entreprise ayant établi une politique de sensibilisation à la cybersécurité, obligeant les employés à suivre un cursus de sensibilisation. Toutefois, lors d’un audit, il peut être constaté que cette formation n’a été effectuée qu’une fois tous les deux ans, ou que l’engagement des collaborateurs à suivre une formation e-learning est insatisfaisant. Qu’ils soient mineurs ou majeurs, des écarts de conformité organisationnels doivent faire l’objet d’un suivi rapproché.
Que se passe-t-il si l’entreprise ne gère pas les écarts ?
La gestion des écarts est une obligation pour toutes les entreprises quels que soient leurs secteurs d’activité. Cette gestion fait partie intégrante d’un système de management de la sécurité informatique (SMSI) et ne se limite pas à la simple identification des problèmes, mais oblige également à mettre en place des mesures correctives pour les résoudre.
Lorsqu’un écart est constaté, que ce soit une vulnérabilité, une non-conformité ou tout autre dysfonctionnement, il est impératif de le documenter, de le suivre, et de s’assurer que des actions appropriées sont entreprises pour le résoudre.
Au-delà du risque cyber, l’absence d’un système de gestion des écarts peut avoir des conséquences préjudiciables pour l’entreprise, comme la perte d’une certification (ISO 27001, TISAX …).
Augmentation de la surface d’attaque
L’absence de gestion des écarts au sein d’une entreprise augmente le risque cyber. Pour Baptiste David : « En termes de gestion du risque, ne pas traiter un écart équivaut à laissé ouvert un trou connu et à élargir la surface d’attaque de l’entreprise ». Une faute qui peut être lourdement sanctionnée en cas de compromission.
Sanction du législateur
Ne pas gérer les écarts expose les entreprises à des sanctions potentielles de la part des organismes de régulation.
Ces sanctions peuvent prendre la forme d’amendes significatives, comme celles imposées par des autorités telles que la CNIL. Dans le cadre de la RGPD (Règlement Générale de la Protection des Données), le dirigeant peut d’ailleurs être poursuivi pénalement si la négligence est manifeste. Une sanction pouvant aller de deux mois à dix ans d’emprisonnement (article 131-4 du Code pénal) associée ou non à une amende d’un minimum de 3750 euros.
En complément et dans le but de marquer les esprits, les autorités peuvent choisir d’adopter une approche de “name and shame,” où non seulement elles infligent des amendes, mais rendent également publique la violation de l’entreprise, décrédibilisant ainsi la marque incriminée auprès de ses clients et fournisseurs.
Augmentation des coûts de la cyber assurance
Les compagnies d’assurances sont de plus en plus attentive à la gestion des risques et à la sécurité de ces clients.
Les organisations qui négligent la gestion des écarts peuvent se voir infliger des primes d’assurance plus élevées, car les assureurs considèrent qu’elles présentent un niveau de risque accru.
De plus, si une entreprise ne prend pas les mesures nécessaires pour corriger les écarts et les vulnérabilités identifiés, les assureurs peuvent refuser de couvrir les incidents survenus à la suite d’un écart non résolu. L’entreprise devra alors supporter seule les coûts associés aux dommages ou aux perturbations. Une double peine en quelque sorte.
Comment gérer les écarts dans l’entreprise efficacement ?
Centraliser les écarts
La première étape pour gérer les écarts est de les centraliser. En d’autres termes, lorsque quiconque identifie un écart ou une anomalie, il doit être en mesure de le signaler et de le documenter. Cette approche centralisée facilite le suivi et l’évaluation de l’avancement des actions réalisées dans la résolution des écarts.
Prioriser les écarts
La deuxième étape consiste à hiérarchiser les écarts. En cela, il est nécessaire de déterminer quels problèmes sont les plus critiques et nécessitent une action curative.
Lors des audits de certification, les auditeurs attribuent généralement des niveaux de gravité aux non-conformités qu’ils relèvent, les classant en mineures ou majeures en fonction de leur impact sur la sécurité et la conformité.
En priorisant les écarts en fonction de leur importance, l’entreprise peut se concentrer sur les plus critiques en premier lieu, s’assurant ainsi que les problèmes les plus graves sont résolus rapidement.
Accepter de ne pas résoudre certains écarts, avec une gestion des dérogations
Il est parfois nécessaire de reconnaître qu’un problème existe et qu’il peut être justifié de ne pas le traiter immédiatement.
Il n’est pas rare par exemple de voir des machines d’imageries médicales (Scanner, IRM) utiliser des systèmes d’exploitation Windows qui ne sont plus maintenus. Le cycle de vie et le temps d’amortissement de ces équipements pouvant atteindre plusieurs dizaines d’années, les hôpitaux et centres de santé doivent faire avec et accepter les écarts en ajoutant des actions de sécurisation complémentaires autour de l’équipement incriminé.
Se fixer des objectifs
Lorsque vous abordez un écart, qu’il soit mineur ou majeur, vous devez définir une date à laquelle il doit être corrigé ou traité. En déterminant une date butoir pour la résolution de l’écart, vous établissez une mesure de responsabilité et de suivi.
Si cet objectif n’est pas atteint, cela peut signaler un problème dans la compréhension ou la mise en œuvre des mesures correctives. Bien heureusement, il existe des solutions techniques permettant de simplifier ce travail.
Comment la plateforme Tenacy vous aide à gérer les écarts ?
La solution Tenacy offre plusieurs fonctionnalités permettant la gestion des écarts de conformité.
Centralisation des différentes sources
L’interface de la solution permet de centraliser toutes les sources d’écarts de conformité, qu’ils proviennent d’audits annuels, de solutions techniques, ou de connecteurs intégrés à des plateformes tierces. Cette centralisation permet d’avoir une vision globale de tous les écarts rencontrés, éliminant ainsi la dispersion des informations.
Un suivi précis des écarts
La plateforme Tenacy offre la possibilité de suivre un état d’avancement détaillé de chaque écart. Au lieu de simplement signaler un problème, l’outil permet de fournir des informations, telles que la date de constatation de l’écart, la personne qui l’a identifié, les actions prévues pour le corriger, le tout accompagné de commentaires des équipes internes.
Priorisation simplifiée
L’interface de la plateforme Tenacy facilite la priorisation des écarts. Cette tâche qui incombe souvent au RSSI, permet d’évaluer la criticité de chaque écart en fonction de l’impact potentiel sur l’entreprise. La plateforme Tenacy simplifie cette démarche en normalisant les évaluations de criticité, tout en laissant la possibilité au RSSI d’ajouter des informations spécifiques.
Reporting en temps réel
Enfin, la plateforme Tenacy propose une fonctionnalité de reporting avancée qui permet de visualiser en temps réel l’état de gestion des écarts. Cette fonctionnalité offre une visibilité complète sur l’avancement de la résolution des problèmes. Elle inclut également des métriques de performance, telles que la validité et le pourcentage de réalisation des actions prévues.