Se conformer à…

Retour d’expérience !

(Cyber)sécurité –

 

Toutes les entreprises, quelle que soit leurs tailles ou leurs secteurs d’activités doivent se conformer à des lois, règlements, directives, superviseurs ou normes. Le monde est devenu normatif. Il encadre les activités, la production de biens et de services. Rien que pour la seule référence à l’ISO (Organisation Internationale de Normalisation), on dénombre plus de 22 135 normes qui adressent, la santé, la sécurité de l’information mais aussi des denrées alimentaires, l’environnement, la qualité, le management de la qualité et de l’énergie.

Pour nous, professionnels de la Cybersécurité, nous pouvons citer :

  • La série des normes ISO 2700x pour la sécurité de l’information ;
  • Les normes ISO 31000 et ISO 27005 pour le management des risques ;
  • La norme ISO 22301 pour le management de la Continuité d’Activité ;

Les superviseurs tels que :

  • L’EBA pour European Banking Authority qui régule les organisations bancaires internationales Européennes ;
  • L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) adossée à la Banque de France et la Banque Centrale Européenne (BCE) au niveau européen ;
  • L’EIOPA pour le secteur des assurances, autorité Européenne des Assurances et des Pensions.

Les décrets, directives, règlements, standards tels que :

  • La certification Hébergeur de Données de Santé (HDS) ;
  • Le Règlement Européen Général pour la protection des données (RGPD).
  • La LPM et la directive NIS.
  • Le NIST Framework.

J’arrête ici cet inventaire, l’objectif, pour vous, étant avant tout d’anticiper et de maitriser les référentiels, régulations, directives auxquelles vous êtes soumis. Afin d’y parvenir une veille doit être définie et mise en place.

| Comment se conformer ?

Conformité SynetisLa première question à prendre en compte, en amont de la démarche de conformité, est celle de la finalité : la conformité n’est pas une fin en soi, mais vise toujours à instaurer ou renforcer une relation de confiance avec une partie prenante. Cette notion de confiance est au cœur de la conformité.

Qu’il s’agisse de clients, pour démontrer un niveau de sécurité effectif, du top management, pour donner un niveau d’assurance raisonnable quant aux risques de l’organisation, ou encore d’un superviseur pour garantir le respect de normes ou règlements, la démarche de conformité ne s’abordera pas de la même façon et sera toujours fortement liée aux enjeux et objectifs recherchés.

Une fois ces éléments clairs et défini, les critères suivants doivent être posés :

  • Fixer le périmètre étudié
  • Les règles du référentiel
  • Fixer l’échelle de notation et noter
  • Le recueil

Et in fine, suis-je conforme ?

| Le périmètre

Selon la finalité ou le niveau de contrainte, le périmètre de conformité étudié peut être fixé « librement » ou pas. Librement mais en suivant certaines règles si l’objectif final de la conformité est d’obtenir une certification par exemple. Dans d’autres cas ; pour les superviseurs par exemple, la contrainte est plus forte et je dois me conformer à l’ensemble des exigences et des règles du référentiel. Si je suis un OIV ou un OSE, le périmètre concerne les Systèmes d’Informations d’Importance Vitale (SIIV). Dans tous les cas, la fixation du périmètre est primordiale afin de borner son activité et son analyse ultérieure.

| Les critères

Les critères et les règles sont fixés par les référentiels. Ils sont plus ou moins détaillés en fonction des référentiels étudiés. A titre d’exemple, le NIST a détaillé de façon assez approfondie les critères et les preuves « techniques » de conformité attendues au travers de « Technical Guidelines » tels que le « NIST Cryptographic standards and Guidelines development process » ou bien encore le « Digital Identity guidelines ».

Du côté de l’ISO, le nom ISO est dérivé du grec isos, signifiant « égal ». Quel que soit le pays, quelle que soit la langue, le référentiel doit pouvoir s’appliquer, être comparable (source ISO).

Dans les faits et si je prends l’exemple de la norme ISO 27002, les articles et bonnes pratiques sont largement soumis à interprétation et les preuves non clairement énoncées. Comme pour le NIST, une déclinaison technique serait bienvenue.

| La notation

Noter la conformité :

A partir de quel moment suis-je conforme ? et quelle échelle de notation retenir pour évaluer cette conformité ?

Je pourrais retenir une échelle de notation simple et rigide telle que Conforme / Non conforme. Dans la vraie vie, c’est cependant rarement tout noir ou tout blanc et même si in fine, c’est à l’auditeur accrédité d’évaluer votre conformité à son référentiel, vous voudrez lui montrer votre progression d’un mois sur l’autre ou d’une année sur l’autre.

Derrière la notation de la conformité se cache donc aussi très souvent un objectif de maturité et un plan d’actions associé à un budget correspondant.

Noter la maturité : Dans le cas d’un diagnostic de conformité et en vue de mettre en œuvre un SMSI certifié par exemple, j’ai besoin de disposer d’une vision précise de l’état actuel de ma maturité en vue d’établir un plan projet précis et d’être en capacité de fournir aux décideurs et membres du Comex un budget étayé pour son déploiement jusqu’à la certification. Pour obtenir ce résultat, je retiens généralement une notation en 4 critères de maturité :

Plan : Mon référentiel documentaire (processus, politiques, procédures, règles de sécurité) est-il conforme aux attendus de la norme ? L’absence de certains documents mène à des non conformités majeures, je dois donc m’en assurer. Dans les faits, en début de démarche, la documentation relative à l’ISO 27001 est souvent et logiquement absente puisque la démarche est tout juste initiée. Bien que certaines entreprises matures disposent déjà par exemple de processus de sécurité décrits et documentés. Dans la plupart des cas, on constate surtout l’existence plus ou moins récentes et plus ou moins complètes de documentations adressant les articles 5 à 18 de l’ISO 27002 comme une Politique de Sécurité des Systèmes d’Information ou bien encore une politique de gestion des incidents de sécurité. Les procédures quant à elles, sont souvent peu ou pas documentés et dans la tête des membres de l’IT que ce soient des administrateurs, réseaux ou systèmes par exemple. Au passage, on notera la possibilité d’un risque de SPOF, Single Point of Failure si la compétence/ressource est unique, voire dans le cas de systèmes ou langages de développements obsolètes, le recours onéreux à des compétences externes devenues rares.

Do : On cherche à noter si les exigences / bonnes pratiques définies car pertinentes pour couvrir mes risques sont mises en œuvre. La mise en œuvre pouvant être mesurée au travers d’une action (exemple : réalisations de sessions de sensibilisation avec relevé de présence aux sessions) ou de l’implémentation d’une solution de sécurité. A ce niveau, seule l’expérience et la connaissance des preuves logiques attendues permettent de noter.

Check : je note si ce qui a été mis en œuvre est réellement contrôlé, mesuré. Les preuves sont constituées par exemple, d’audits fonctionnels, d’audits techniques tels que pentest, revue de code, audit d’architecture ou bien encore d’exercices de phishing ou de tests de continuité et d’exercices de crises.

Act : je note enfin si en sortie de contrôle, un plan d’actions ou de remédiation vise à améliorer ce qui dysfonctionne.

Pris individuellement ces critères ne mesurent pas la maturité mais plutôt la conformité. Pris collectivement pour un même sujet, je peux constater un niveau de maturité allant de Plan à Act. Plus ma notation tend vers Act et plus je suis mature.

Autre retour d’expérience, dans le cadre d’un programme pluri annuel basé sur le NIST pour une grande banque à l’international.

La notation a été réalisée à partir de l’échelle de maturité CMMI.

A la base, Le CMMI (Capability Maturity Model Integration) est un modèle de maturité d’évaluation pour le développement de systèmes, de produits matériels ou de logiciels.

Il comporte 5 niveaux d’évaluation :

  • 1-Initial : le plus faible
  • 2-Processus géré : le processus ou l’activité SSI est géré mais de façon réactive sans anticipation.
  • 3-Processus défini :la gestion est anticipée et pro active
  • 4-Processus maitrisé : impliquant le contrôle du processus
  • 5-Optimisé : le plus fort, impliquant l’amélioration continue (identique à Act si l’on veut comparer)

Cette notation permet de restituer de façon simple les résultats au travers d’une notation unique. Par exemple si mon processus est noté comme « défini », ma notation correspondante est 3. Pour passer à la note de 4, je sais que mon plan d’actions doit faire porter ses efforts sur le contrôle du processus.

Alors, quel modèle de notation choisir me direz-vous ?

Je dirais que son choix est lié à la taille de votre entreprise et à son niveau de maturité justement. Pour une PME ou une start-up dont le niveau de maturité est estimé faible, l’échelle de notation doit être simple, à 3 niveaux par exemple : Conforme / Partiellement conforme / non conforme. L’inconvénient étant au travers de cette mesure de bien documenter pourquoi on a estimé telle mesure ou obligation à Partiellement conforme par exemple. Au final, l’important est de comprendre l’attribution des notes et ce qu’il y a derrière afin de rebondir sur la déclinaison d’un programme et d’actions déclinables et efficient vous permettant d’évoluer justement.

Dernier retour d’expérience, pour une assurance ou la mission a consisté à se conformer à l’ACPR. Cela implique de définir une cartographie des risques et de décliner les risques en plan et fiches de contrôles documentées.

L’ACPR a publié et défini en Mars 2018 un document de réflexion sur le risque Cyber organisé en trois macro-processus :

  • L’organisation du Système d’Information et de sa sécurité ;
  • Le fonctionnement du système d’information ;
  • La sécurité du Système d’information

Ce référentiel permet de faire le lien entre le risque opérationnel et le risque informatique IT et Cyber. Il définit le risque et le risque Cybersécurité.

Les trois macro-processus sont déclinés en facteurs de risques principaux et secondaires.

Son annexe « Catégorisation du risque informatique » permet d’apporter des pistes de preuve dénommés facteurs secondaires.

A titre d’exemple et pour illustrer mon propos, pour le macro processus Sécuriser le SI, l’un des facteurs principaux de risque est l’Insuffisance dans la détection des attaques et l’un des facteurs secondaires est la défaillance dans les dispositifs de recueil et d’analyses de traces. Dans ce contexte, pas facile de caractériser le risque informatique pour son client et encore moins d’attribuer une note de conformité pour le contrôle correspondant. Revenons à la notation. Pour ce projet, le choix a été fait pour chaque contrôle de retenir une échelle de maturité à 4 niveaux exprimée en pourcentage.

Il a fallu pour chaque pourcentage décrire le résultat attendu : la preuve attendue (preuves qualitatives ou quantitatives avec ou sans échantillon) afin de rendre l’exercice le plus opérationnel et concret possible pour la filière des Risk managers et correspondants à travers le monde chargés de renseigner ces contrôles et leurs pourcentages de conformité. Transition toute trouvée avec le paragraphe suivant sur la notion de recueil de preuves pour la conformité.

| Le recueil des preuves

Deux façons de recueillir, le mode déclaratif ou l’on se « contente » de ce que peut vous dire la personne auditée, et le mode vérification des preuves ou l’on va chercher l’existence réelle de la preuve.

La recherche de preuves est évidemment plus appropriée, plus précise et donc recommandée dans le cas d’une conformité à un régulateur.

Dans le cadre d’un projet de mise en conformité en vue d’une certification, on peut estimer, dans une logique de partenariat et de co-construction que les individus interviewés auront à cœur de répondre de façon pondérée et juste, celle-ci conditionnant la suite du projet et des travaux.

| Conclusion

Vous l’aurez compris, la conformité est un exercice subtil selon la finalité poursuivie. La notation ainsi que le recueil de preuves doivent être proportionnés aux objectifs recherchés. L’exercice tient pour beaucoup aussi au savoir-faire et background du consultant ou de l’auditeur fonctionnel Synetis qui de par ses expériences multi sectorielles ou sur un secteur précis en particulier saura vous informer du benchmark du marché.

La practice Conseil de Synetis adresse en particulier, la conformité aux référentiels ACPR, ISO 27001/27002, HDS, SecNumCloud, NIS, NIST.