28 novembre 2014

Conformité vs Sécurité

conformite securite

Lors de la première conférence plénière « La cybersécurité est-elle un échec ? » du FIC 2014, de nombreuses critiques ont été émises concernant les normes et standards de sécurité informatique ainsi que sur la conformité en général. Selon certains propos des intervenants, la conformité, les normes ISO 2700x ou encore PCI DSS ne seraient pas un facteur déterminant d’amélioration du niveau de sécurité des organisations et des entreprises. Elles contribueraient même à le diminuer en donnant un faux sentiment de sécurité.

 

Il est sûr que des entreprises certifiées PCI-DSS ou ISO 27001 ont été et seront encore victimes de cyber-attaques. Un bon niveau de conformité n’implique pas nécessairement un bon niveau de sécurité. Les entreprises certifiées ou les organismes de certification en font leurs arguments marketing mais une bonne organisation ne se substituera jamais à des mesures opérationnelles essentielles.

La conformité peut en effet donner l’impression à l’entreprise, dont les indicateurs sont bons, d’être protégée et de maîtriser les risques de son SI. Cependant, il est un peu facile d’opposer les mesures de sécurité techniques à la gouvernance symbolisée par les normes ISO 2700x, qui seraient inutiles et contre-productives. Les deux approches sont complémentaires. La norme n’est qu’un cadre de référence donnant les moyens de ne pas réinventer la roue, de structurer une démarche de sécurité, d’avoir un vocabulaire commun et de pouvoir se prêter à des comparaisons objectives. La mise en place d’innombrables dispositifs techniques sans procédures documentées, non mesurables et non pilotés par les risques, c’est combler les brèches… en vain.

On peut se poser la question de la pertinence de telles critiques. Les entreprises françaises certifiées ont-elles subi plus d’attaques majeures dû à un manque de sécurité ? On pourrait en douter.

C’est à l’organisation qui se lance dans une démarche d’amélioration de la sécurité de jouer le jeu et de mettre en oeuvre toutes les mesures techniques, organisationnelles, humaines et juridiques pour sécuriser son systèmes d’information en fonction des risques critiques identifiés. Si elle choisit de produire des politiques de sécurité non applicables, non diffusées ou non comprises au sein de l’entreprise, elle accepte le risque de voir les “cyberpompiers” de l’ANSSI frapper à sa porte en pleine période de crise SSI. On ne peut pas encore imputer la responsabilité du niveau de sécurité à une norme mais c’est bien l’organisation qui aura à assumer les impacts faute d’avoir confondu conformité et sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *