La maîtrise des risques doit s'associer au contrôle de la conformité
Malgré leurs logiques opposées, les démarches de contrôle de conformité et de maîtrise des risques s'avèrent complémentaires dans l'entreprise. Telle est la conclusion du colloque organisé par le Club de la sécurité de l'information français (Clusif), le 13 décembre.
« Concrètement, la grande majorité des mesures pratiques que l'on doit mettre en oeuvre sont les mêmes dans une démarche de maîtrise des risques ou dans la mise en place d'une conformité à une norme » a estimé Jean-Philippe Jouas, membre du CLUSIF (Club de la Sécurité de l'Information Français), et conseil en management (en photo). Il s'exprimait lors du colloque organisé par ce Club, le jeudi 13 décembre 2012 au Cercle National des Armées à Paris.
La démarche de conformité vise à garantir le respect de règles définies dans une norme, un standard de bonnes pratiques ou un texte réglementaire. Il s'agit alors de respecter des prescriptions définies de façon générale et a priori.
A l'inverse, la maîtrise des risques repose sur une analyse d'une situation donnée afin de définir les risques encourus et ensuite arbitrer entre prévoir une réponse à la réalisation du risque, prévenir le risque ou ne rien faire. Les deux démarches vont donc dans un sens contraire : la première va de la règle générale au cas particulier, la seconde part du cas particulier à la règle.
Des démarches opposées mais complémentaires
Des démarches opposées mais complémentaires
Jean-Philippe Jouas rappelle malgré tout : « il n'est pas nécessaire de faire une analyse de risques pour savoir qu'il faut un PCA/PRA. Le référentiel est issu d'un consensus du marché, un compromis. Par définition, il n'intègre pas les particularités d'un contexte donné. » Et c'est là que l'analyse de risques devient nécessaire.
Pour les intervenants du CLUSIF, le pire ennemi pourrait être appelé le "PDG Ponce Pilate". Celui-ci pense que puisque les pratiques de l'entreprise sont conformes à tel référentiel, tout va bien, lavons nous les mains du reste. Or l'assurance de la conformité a certes des rôles, tels que notamment de donner confiance aux interlocuteurs que sont les partenaires, les clients, les actionnaires, le régulateur, et être opposable à des tiers, mais elle est insuffisante.
« La conformité vise à se défendre en cas d'incident grâce à des règles. De son côté, la maîtrise des risques vise à piloter les risques avec un but interne grâce à une méthodologie comme Mehari » résume Jean-Philippe Jouas.
Une opportunité, pas une contrainte
Une opportunité, pas une contrainte
Frédéric Malmartel, RSSI de l'ACOSS (Agence Centrale des Organismes de Sécurité Sociale), juge, quant à lui, qu'il ne faut en effet pas opposer la sécurité et la conformité. Il a mis en place une démarche inspirée du référentiel ITIL dans un contexte fortement contraint par des dispositions légales et réglementaires obligatoires. Il estime que « la conformité est essentielle pour ne rien oublier. C'est une opportunité, pas une contrainte. »
« La maîtrise des risques peut aller au secours de la conformité et inversement » a confirmé Baptiste Parent, expert sécurité des Systèmes d'information de la CNAM-TS (Caisse Nationale d'Assurances Maladies des Travailleurs Salariés). Cet organisme a choisi pour sa part de suivre la méthode EBIOS pour sa maîtrise des risques. Il en résulte une cartographie des risques impliquant une politique de sécurité.
Cette politique a ensuite été confrontée aux obligations s'imposant à l'organisme, notamment les exigences de la Cour des Comptes en matière de conformité ISO 2700x. « Les mesures issues des deux démarches étaient communes à 75% » témoigne Baptiste Parent.
On modère la conformité selon l'analyse des risques
Pour les 25% restant, un « risque général » a été ajouté aux chapitres concernés de la politique de sécurité. Certaines mesures imposées par les normes mais n'étant pas jugées comme cruciales après l'analyse de risques, à l'inverse, ont été implémentées en mode « light ».
Dans certaines entreprise, comme Docapost, la conformité est une obligation conditionnant l'offre commerciale. La non-conformité devient alors en elle-même un risque. « Nous nous engageons vis-à-vis de nos clients sur les normes qui s'imposent à nous, notamment en matière de prestation de dématérialisation avec valeur fiscale : plus de conformité, c'est plus rien à vendre » a expliqué Olivier Corbier RSSI de Docapost.
Dans ce type de contexte, les évolutions même de la norme doivent être anticipées. La réponse à ces évolutions est en elle-même une réponse à un risque.
