Qu’est-ce que la conformité, la gouvernance et la gestion des risques ?
Pour comprendre la conformité à titre personnel, pensez à la réception d’un avis annuel de confidentialité de votre banque, à la signature d’un formulaire HIPAA lors de votre visite chez le médecin, ou au verrouillage de votre compte en ligne pour utilisation incorrecte d’un mot de passe. Pour les professionnels de l’informatique, la conformité comprend les activités qui maintiennent et fournissent une preuve systématique du respect des politiques internes et des lois, lignes directrices ou réglementations externes imposées à l’entreprise.
Cela se fait à l’aide d’un processus défendable. Il existe deux éléments de conformité : l’un se concentre sur la gestion de la conformité, et le second gère l’intégrité du système utilisé pour respecter et prouver la conformité. Aujourd’hui, le rôle de la conformité informatique ne cesse de s’accroître, car le partage et le stockage électroniques d’informations ont un impact sur les services tels que les finances, les ressources humaines et les opérations qui dépendent tous des services informatiques pour la collecte, la diffusion et la création de rapports d’informations.
La conformité informatique prend le contrôle approprié des informations et les protège, y compris la façon dont elles sont obtenues et stockées, la manière dont elles sont sécurisées, leur disponibilité (comment elles sont distribuées en interne et en externe), et la façon dont les données sont protégées. Les fonctions internes de conformité s’articulent autour des politiques, des objectifs et de la structure organisationnelle de l’entreprise. Les considérations externes comprennent la satisfaction du client/de l’utilisateur final tout en protégeant l’entreprise et l’utilisateur final des dommages. Des outils spécialisés sont utilisés pour identifier, surveiller, rendre compte et auditer en permanence afin d’atteindre et de maintenir la conformité.
En ce qui concerne la conformité informatique, la gouvernance informatique représente la gestion et le traitement des processus techniques, stratégiques et procéduraux prédominants. La gouvernance informatique est un sous-ensemble du processus global de gouvernance d’entreprise et est supervisée dans la plupart des cas par les professionnels de la direction appropriés, comme un chef de la conformité (CCO), avec les responsabilités transversales croissantes d’un directeur technique (CTO).
La gestion des risques est la pratique consistant à atténuer et à gérer les risques grâce aux contrôles du système et est donc étroitement liée en tant que fonction intégrale de la gouvernance informatique et de la conformité informatique. La GRC (gouvernance, risque et conformité) est une stratégie intégrée permettant de gérer efficacement et correctement les politiques, les processus et les contrôles. La gestion collective de ces trois fonctions, plutôt que d’objectifs indépendants, peut éliminer les doublons et faciliter la diffusion sécurisée des informations et des communications.
Qui est l’ISACA ?
Au fur et à mesure que l’environnement réglementaire se développe, il en va de même pour les institutions qui aident les professionnels à trouver des informations afin de mieux comprendre cet environnement (cela comprend les responsables informatiques et les cadres supérieurs). L’Information Systems Audit and Control Association (ISACA) est l’une de ces organisations. L’ISACA est une organisation à but non lucratif dirigée par ses membres qui fournit des informations, des journaux, des outils, de l’éducation, du partage de ressources et des espaces de dialogue sur la conformité, la gestion des risques, les audits et la cybersécurité. L’organisation fait également la promotion des certifications pour les professionnels de la conformité informatique, notamment :
- Certified Information Systems Auditor (Auditeur certifié des systèmes d’information)
- Certified in Risk and Information Systems and Control (Certifié en systèmes et contrôle des risques et de l’information)
- Certified in the Governance of Enterprise IT (Certifié en gouvernance de l’informatique d’entreprise)
- Certified Information Manager (Responsable de l’information certifié)
Ces certifications de l’ISACA et d’autres organisations peuvent aider les professionnels à comprendre et à mettre en œuvre les meilleures pratiques en matière de conformité. Dans le livre Auditing IT Infrastructures for Compliance, les auteurs Martin Weiss et Michael G. Solomon discutent des complexités pour les professionnels d’aujourd’hui : « [...] Tout d’abord, le personnel des technologies de l’information a rarement une formation juridique. Deuxièmement, la plupart des exigences manquent de profondeur technique [...] (et) de nombreuses réglementations sont vagues dans leurs exigences. » Ils continuent en disant que souvent, il appartient à l’industrie, à l’entreprise, à l’équipe juridique, aux cadres supérieurs, aux praticiens de la conformité et aux auditeurs de développer des méthodes pour se conformer aux lois et règlements.
Comprendre les nombreuses normes de conformité réglementaires
Il existe de nombreux statuts réglementaires adoptés par le Congrès. Les lois constituent généralement une réponse face à un problème social ou économique et sont donc considérées comme des « lois habilitantes ». Les organismes gouvernementaux appropriés sont ensuite chargés de créer et d’appliquer les règlements autorisés par la loi. Les protections prévues dans la plupart des cas comportent une réglementation et une protection spécifiques des informations afin de protéger la confidentialité, de prévenir la fraude, d’assurer la sécurité et de protéger les identités grâce à la normalisation, aux mandats et à la responsabilisation.
Les sociétés fournissant des produits et services aux États-Unis doivent connaître et respecter ces réglementations. Les entités juridiques d’entreprise et les cadres supérieurs, y compris les CCO ou les CTO, sont responsables des politiques visant à atteindre et à défendre le respect des réglementations pertinentes. Dans certains cas, ces cadres assument la responsabilité personnelle du respect de la loi et de la communication de rapports et peuvent être tenus personnellement responsables en encourant des peines sévères, voire une peine d’emprisonnement. Il existe également d’autres dispositions de conformité qui comprennent des protections contre la destruction illégale d’informations qui pourraient faire l’objet d’une découverte électronique, lorsque des informations sont demandées dans le cadre de procédures judiciaires et soumises à des processus avant de fournir les données.
En plus des politiques fédérales, de nombreuses entreprises doivent se conformer aux normes internationales, ainsi qu’aux restrictions locales, régionales et étatiques. Il peut être difficile d’identifier les lois, règlements, statuts ou mandats qui sont requis. La plupart s’accordent à dire que l’équipe juridique et les cadres supérieurs, sous la direction et les recommandations de l’agent de conformité, sont chargés de déterminer la portée de la conformité.
Voici quelques-unes des normes les plus connues concernant la conformité informatique :
La Sarbanes-Oxley Act (SOX) de 2002 est une loi d’envergure visant à réglementer la transparence financière et la communication d’informations. Elle a été adoptée par le Congrès en réponse directe aux fautes d’Enron et de WorldCom. L’article 404 est important pour l’informatique dans le domaine des contrôles de l’information financière.
La Gramm-Leach-Bliley Act (GLBA) a été signée en 1999 et oblige les institutions financières à gérer la protection (au moyen d’avis annuels) des politiques de confidentialité des consommateurs. Elle exige également des garanties internes et externes appropriées, même contre la menace de prétexte (obtention illégale d’informations par des moyens frauduleux, des faux-semblants ou des suppositions).
La Federal Information Security Management Act (FISMA) a été adoptée en 2002, et impose la sécurité de l’information à la bureaucratie fédérale en exigeant un examen annuel des systèmes.
L’article II de la loi HIPAA (Health Insurance Portability and Accountability) énonce des politiques et des lignes directrices pour réglementer le traitement des informations, en particulier les informations de santé protégées (PHI) par les assureurs, les prestataires médicaux et les employeurs qui fournissent une assurance santé.
La Norme de sécurité des données du secteur des cartes de paiement de 2001 (PCI DSS) est une recommandation déployée au sein du secteur et mise en œuvre par MasterCard, Visa et d’autres sociétés de cartes de crédit pour fournir des protections d’identité aux membres et aux fournisseurs de services.
Le Statement on Standards for Attestation Engagements (SSAE 16) est entré en vigueur en 2011, remplaçant la norme SAS 70 en tant que rapport sur les contrôles pour les organismes de services. Les centres de données, les FAI et les fournisseurs de services d’hébergement Web sont des entités courantes liées à l’informatique où le SSAE 16 s’applique.
Bâle III s’applique au secteur bancaire et aide à déterminer le montant du capital que l’entreprise doit réserver afin de rétablir la situation en cas de perte. Cette réglementation a un impact sur l’informatique, car elle a besoin de logiciels capables d’effectuer des calculs plus avancés.
Quelles sont les réglementations de conformité qui s’appliquent à votre organisation ?
Faire face à la multitude de réglementations dans de nombreux secteurs est intimidant pour de nombreuses organisations. Aux États-Unis, une entreprise peut être soumise à l’autorité d’un ou de plusieurs organismes de réglementation, dont la Securities and Exchange Commission (SEC), la Federal Communications Commission (CC) et la Federal Trade Commission (FTC). Les secteurs les plus touchés sont les finances, le commerce de détail et le e-commerce, l’assurance maladie et les services, d’autres institutions d’assurance, les banques, la défense, les services publics et les émetteurs de cartes de crédit qui ont accès à des informations sensibles. Mais la liste comprend également toute organisation qui conserve des informations sensibles , par exemple, toute organisation qui a des numéros de sécurité sociale ; cela comprend la plupart des employeurs, des entités gouvernementales et des collèges et universités.
Il est difficile d’identifier les entreprises, en particulier mondiales, qui ne sont pas soumises à des réglementations locales, régionales, étatiques, fédérales ou internationales. Les mandats HIPAA affectent les assureurs et les praticiens de soins de santé, mais il existe également des dispositions qui concernent tout employeur qui offre une assurance maladie à ses employés. En plus des lois et réglementations formelles, soyez conscient des normes de l’industrie (telles que les normes de responsabilisation financière de Bâle III et de PCI DSS dans le secteur des cartes de crédit). L’essentiel est de savoir que si un service informatique est chargé de protéger les informations afin d’assurer la confidentialité, l’intégrité, la fiabilité ou la disponibilité des informations, il y a de fortes chances qu’il existe de nombreuses réglementations qui exigent la conformité.
Audits et rapports de conformité
Les évaluations et les audits sont une méthode permettant de déterminer la conformité. Effectué par un comité d’audit, un audit de conformité peut déterminer si une entreprise respecte les lois applicables à l’aide d’un examen systématique des politiques, des procédures, des opérations et des contrôles. Étant donné que l’informatique a une portée à l’échelle de l’entreprise, un audit est généralement effectué dans de nombreux services. La portée d’un audit de conformité informatique identifie les lois et les exigences, évalue comment les lois, exigences ou normes spécifiques sont respectées, et fournit des recommandations et des recours en cas de non-conformité.
Les rapports de conformité informatique sont souvent requis lors des audits afin de fournir un journal corrélé des données contenant des preuves de conformité. En plus des audits, les rapports de conformité seront utilisés par l’équipe informatique pour découvrir les atteintes à la sécurité, les menaces sous-jacentes et les violations de politique qui doivent être corrigées avant que des dommages graves ne surviennent. Une fiche d’évaluation équilibrée est une option pour mesurer si votre stratégie de conformité est exécutée avec succès sans avoir d’impact sur la mission de votre entreprise.
Cadres des meilleures pratiques de gouvernance
Gartner Research définit la gouvernance informatique comme « les processus qui garantissent l’utilisation efficace et performante de l’informatique, permettant à une organisation d’atteindre ses objectifs ». De nombreux cadres existent déjà pour aider à la gouvernance. Par exemple :
- La Bibliothèque pour l’infrastructure des technologies de l’information (ITIL) dispose de cinq principes fondamentaux qui alignent les services informatiques sur les objectifs de l’entreprise : la stratégie, la conception, la transition, l’exploitation et le service. Ceux-ci se combinent pour fournir la base d’une structure de gouvernance informatique solide. Pour répondre aux besoins croissants et aux complexités de la sécurité de l’information, l’Organisation internationale de normalisation (ISO) fournit des normes pour traiter les contrôles qui prennent en charge la sécurité et les risques.
- Le cadre CobiT (Control Objectives for Information and Related Technologies) a été développé par l’IT Governance Institute (ITGI), un service de recherche de l’ISACA. Il s’agit d’un cadre de gouvernance et de gestion pour l’informatique qui facilite la mise en œuvre logique et l’organisation des contrôles. Il peut être utilisé pour relier efficacement les objectifs de l’entreprise et les objectifs informatiques à l’aide d’un ensemble de quatre domaines de processus.
- L’ISO 27001 identifie douze objectifs pour le contrôle de la sécurité de l’information. Il s’agit d’une approche technologiquement neutre pour développer un système intégré de management de la sécurité (ISMS).
Qui est responsable de la conformité ?
Bien que des cadres de meilleures pratiques soient disponibles pour guider le respect des réglementations de conformité, il est nécessaire qu’elles soient appliquées par le personnel pour que tout cela se produise. Les rôles de la stratégie et de la mise en œuvre de la conformité évoluent au sein des entreprises dotées de services et de postes de direction, y compris un service de conformité dédié qui, avec le CCO, peut être chargé de superviser, de planifier et de gérer les éléments qui fonctionnent pour assurer la conformité informatique. Examinons de plus près les rôles d’un CCO et de l’équipe de conformité globale.
Chief Compliance Officer (CCO) : le CCO sera chargé d’identifier et de gérer les risques de conformité, y compris l’élaboration de contrôles internes et externes pour gérer et résoudre les problèmes de conformité. Souvent, un CCO mettra en place un service dédié à la conformité pour fournir des services de conformité complets à l’entreprise et au personnel.
Chief Technology Office (CTO) : contrairement à un CCO, le CTO supervise l’ensemble du cadre et de l’infrastructure technologiques, y compris la conformité, la gouvernance et l’évaluation des risques.
Service de conformité : si une organisation dispose d’un service de conformité dédié, il sera chargé de gérer et de superviser la conformité à tous les règlements et mandats applicables. Les tâches peuvent inclure :
- Identification des risques
- Mise en œuvre de contrôles des risques
- Rapports sur l’efficacité des contrôles
- Résolution des problèmes de conformité
- Administration de conseils réglementaires à l’entreprise
Toutefois, il convient de noter que bien que la gestion technique, procédurale et stratégique concerne les personnes présentant le risque de responsabilité le plus élevé (personnel informatique, DSI, directeur financier et PDG), tous les membres de la structure de l’entreprise sont responsables du respect de la réglementation qui protège les informations sensibles.
Conformité informatique : objectifs et défis
L’objectif global de la conformité informatique est de créer un cadre technique, procédural et stratégique qui fournit les moyens d’atteindre et de prouver l’intégrité juridique et éthique d’une entreprise. Fournir des mécanismes, des politiques et des procédures défendables peut aider à éviter les problèmes suivants :
- Atteinte à l’image de l’entreprise ou à la confiance des consommateurs
- Perte de chiffre d’affaires, d’opportunités de marché ou de valeur des actions
- Dépenses de réhabilitation (frais juridiques, amendes et jugements, protections des consommateurs achetées, acquisitions d’immobilisations et perte de productivité)
Cependant, l’atteinte de cet objectif est confrontée à de nombreux défis. Tout d’abord, la complexité et la portée des nouvelles lois sont sujettes à interprétation. Étant donné que les règlements eux-mêmes ne sont pas dotés d’une feuille de route concrète, de nombreuses lignes directrices et meilleures pratiques spécifiques à un secteur sont disponibles et apportent clarté et conseils.
Voici d’autres défis à relever :
- Manque de formation des employés
- Problèmes informatiques parallèles, tels que les appareils mobiles personnels qui contournent les systèmes informatiques de l’entreprise
- Applications non autorisées
- Difficultés avec les fournisseurs de services (services cloud et centres de données)
- Rôle des réseaux sociaux
- Nombre de règlements actuels, de mises à jour et de nouvelles lois
Gouvernance informatique, gestion des risques et de la conformité et solutions logicielles
Pour gérer les nombreux besoins croissants et changeants de conformité informatique, de nombreuses organisations mettent en œuvre des stratégies de solutions. Quel que soit le type de solution que vous choisissez (un cadre théorique ou une plateforme logicielle), assurez-vous qu’il fonctionnera dans le contexte commercial d’aujourd’hui. Une solution de conformité informatique doit être adaptable (afin que vous puissiez la mettre à jour au fur et à mesure que la réglementation change), permettre une enquête interne continue, un dialogue et la formation des personnes concernées, et gérer efficacement tout problème de non-conformité.
Le terme GRC combine les fonctions imbriquées de la conformité informatique aux responsabilités globales de la gouvernance d’entreprise afin d’améliorer les activités de gestion des risques. Gartner Research met davantage l’accent sur l’importance de soutenir la gestion des risques grâce à son « Hype Cycle » et identifie sept segments de marché axés sur la gestion intégrée des risques (IRM) globale :
- Gestion des risques opérationnels (ORM)
- Gestion des risques informatiques
- Gestion des risques des fournisseurs informatiques
- Planification de la gestion de la continuité de l’activité (BCM)
- Gestion de l’audit
- Conformité et supervision de l’entreprise
- Gestion juridique d’entreprise
Sur les sept domaines, deux d’entre eux sont directement liés à l’informatique et dans le rapport Market Guide for Integrated Risk Management Solutions établi par Gartner en 2016, l’analyste John A. Wheeler indique que « [...] Les risques informatiques ont été gérés en silos, mais sont de plus en plus reconnus comme des indicateurs avancés d’échec dans d’autres domaines de risque, comme la fraude et la résilience. » Gartner a également commencé à utiliser la gestion intégrée des risques comme expression pour mieux définir les fonctions d’un système solide de gouvernance, de gestion des risques et de conformité.
Lors de l’adoption d’une solution de gestion intégrée des risques (IRMS), de nombreux cadres (CobiT et ITIL) et organisations (COSO) sont disponibles pour aider à développer les meilleures pratiques et procédures.
De nombreuses organisations choisissent également d’adopter une solution logicielle pour gérer la conformité informatique. Les logiciels de conformité informatique peuvent prendre en charge des fonctions critiques et fournir des fonctionnalités micro et macro, des fonctionnalités et des contrôles intégrés, ainsi que des solutions mobiles pour faciliter à la fois la conformité et la gestion des risques. Les fonctionnalités que vous pouvez rechercher lors de l’évaluation des logiciels de gestion de la conformité comprennent :
- Identification des vulnérabilités
- Contrôles des systèmes et fonctions de sécurité des applications
- Fonctions de reprise rapide après une défaillance ou un incident
- Évaluation des risques et identification des menaces
- Gestion de documents et de projets
- Gestion continue des opérations et de la maintenance
- Authentification et journaux d’audit
- Analyse des causes profondes et criminalistique
- Pare-feu, sécurité du réseau et détection de logiciels malveillants
- Gestion des changements et suivi des tickets d’incident
- Reprise après sinistre
- Archivage des e-mails
Lorsque vous envisagez d’adopter une solution logicielle, vous avez d’abord besoin d’un plan, d’une évaluation et d’un examen clairs des objectifs, des processus et des procédures déjà en place. Par exemple, identifiez les problèmes de conformité qui doivent être ajoutés ou renforcés, et comment vous utiliserez le logiciel pour vous aider. Pour guider ce processus, de nombreux spécialistes et organisations du secteur peuvent aider à formuler les questions ou à recueillir des informations au fur et à mesure qu’une solution est trouvée. Par exemple, le rapport Gartner Magic Quadrant for IT Risk Management Solutions couvre le segment de la conformité des entreprises, répertorie les fournisseurs de logiciels et évalue les forces de leurs produits et les applications appropriées.
Avant de faire un choix logiciel final, assurez-vous d’accomplir les tâches suivantes :
- Évaluez l’histoire et la réputation des fournisseurs
- Posez au fournisseur les questions complexes de conformité afin de s’assurer qu’il comprend vos besoins et exigences
- Essayez le produit en version de démonstration et impliquez le personnel clé
- Travaillez avec des analystes et des experts du secteur
- Effectuez une évaluation en fonction des exigences spécifiques de gouvernance, de risque et de conformité de l’organisation
Au bout du compte, une exploration approfondie des solutions logicielles disponibles vous conduira au produit qui correspond le mieux à vos besoins. N’oubliez pas de ne pas vous faire influencer par des fonctionnalités complémentaires sophistiquées (dont vous n’avez peut-être même pas besoin) ; laissez les résultats de vos recherches être le facteur déterminant.
Avantages et meilleures pratiques d’une solution de conformité informatique
Comme nous l’avons dit, le non-respect des réglementations de conformité peut avoir un impact important sur les résultats de votre organisation. Par conséquent, l’établissement d’une stratégie de conformité informatique solide ainsi que de solutions de soutien est essentiel au succès futur de votre organisation. Une solution solide de conformité informatique peut vous permettre :
- de rester au courant des exigences de conformité actuelles grâce à des intégrations avec les sources de données GCR,
- de standardiser les processus dans toutes les réglementations GRC informatiques requises,
- d’améliorer l’efficacité grâce à des processus et des flux de travail automatisés,
- de fournir à la direction des rapports de conformité informatique en temps réel,
- de tenir à jour des registres précis pour les audits,
- d’optimiser les investissements dans les services de conformité informatique,
- d’intégrer les meilleures pratiques de conformité pertinentes dans les processus et les flux de travail,
- de gérer les ressources informatiques et d’assurer la responsabilisation.
Éviter les risques liés à la conformité et à l’informatique – Conseils à l’intention des responsables de la conformité
Comme nous l’avons déjà mentionné, la conformité informatique présente de nombreux défis. Voici plusieurs astuces qui vous aideront à éviter des amendes, des pénalités et d’autres conséquences juridiques coûteuses associées à la non-conformité :
- Informez les employés sur tous les aspects de la confidentialité des données et fournissez-leur les outils pour les protéger.
- Fournissez aux employés mobiles des ordinateurs portables et des appareils qui contiennent des politiques de sécurité et des mécanismes de prévention, tels que des capacités de nettoyage à distance, et un accès sécurisé aux données de l’entreprise.
- Mettez en place des mécanismes d’autorisation pour limiter l’accès aux applications téléchargeables. N’autorisez que les logiciels et applications approuvés à être téléchargés.
- Appliquez le chiffrement pour garantir la sécurité et empêchez l’accès par les appareils n’ayant pas d’accès sécurisé.
- Utilisez uniquement des solutions de stockage dans le cloud sécurisées et modernes.
Enfin, un bon système de conformité informatique implique les réalités et les complexités de l’environnement hautement connecté d’aujourd’hui. Tous les employés jouent un rôle dans la protection des données et l’utilisation éthique de l’équipement (par exemple, l’utilisation d’ordinateurs portables et leur protection même lorsqu’ils sont hors site). Plus que jamais, la conformité informatique exige des cadres de gouvernance solides, des politiques et protections appropriées, ainsi que des processus défendables pour protéger l’entreprise en cas d’incidents.
Découvrez une meilleure façon de gérer l’informatique et les opérations avec Smartsheet
Donnez à vos employés les moyens de se dépasser grâce à une plateforme flexible conçue pour répondre aux besoins de votre équipe, et capable de s'adapter quand ces besoins changent. La plateforme Smartsheet facilite la planification, la capture, la gestion et la création de rapports sur le travail depuis n'importe où, ce qui permet à votre équipe d'être plus efficace et d'accomplir plus. Créez des rapports sur les métriques clés et obtenez de la visibilité en temps réel quant au travail grâce aux rapports de synthèse, aux tableaux de bord et aux flux de travail automatisés conçus afin d'aider votre équipe à rester connectée et informée. Quand les équipes bénéficient de clarté quant au travail en cours, elles peuvent accomplir bien plus dans le même temps. Essayez Smartsheet gratuitement, dès aujourd'hui.
Tous les articles, modèles ou informations proposés par Smartsheet sur le site Web sont fournis à titre de référence uniquement. Bien que nous nous efforcions de maintenir l’information à jour et exacte, nous ne faisons aucune déclaration, ni n’offrons aucune garantie, de quelque nature que ce soit, expresse ou implicite, quant à l’exhaustivité, l’exactitude, la fiabilité, la pertinence ou la disponibilité du site Web, ou des informations, articles, modèles ou graphiques liés, contenus sur le site. Toute la confiance que vous accordez à ces informations relève de votre propre responsabilité, à vos propres risques.
Ces modèles sont fournis uniquement à titre d’exemples. Ces modèles ne sauraient en aucun cas être considérés comme des conseils juridiques ou de conformité. Les utilisateurs de ces modèles doivent déterminer les informations nécessaires dont ils ont besoin pour atteindre leurs objectifs.