Programme de conformité – Les enjeux?
L’obligation de mettre en place un programme de conformité TI fait partie, maintenant, de la réalité de nombreuses petites organisations au Canada. La plupart du temps, ces petites organisations n’ont pas d’équipe de conformité, d’audit interne ou d’expert en sécurité. Quel que soit le programme de conformité TI (SOC 2, ISO 27001, RGPD, NIST, PCI DSS, HITRUST, etc.), les enjeux restent les mêmes.
Souvent, ces petites entreprises ont un contrôle interne fonctionnel, mais peu documenté et peu structuré. La direction de ces petites entreprises est confrontée à cette nouvelle obligation de conformité et se voit contrainte d’investir du temps et de l’argent sur un projet qui n’a pas un retour direct sur l’investissement. Comment la direction doit-elle agir et quelles sont ses priorités?
Quelquefois, dans ma pratique je vois des entreprises commencer un programme de conformité avec beaucoup d’enthousiasme, mais être incapable de se rendre au bout du projet de conformité. Pourquoi?
Pour les petites entreprises, il y a neuf grands enjeux qui permettent d’une part de compléter un projet de conformité et d’autre part que ce projet demeure viable dans le temps. Quels sont ces enjeux ?
-
L’engagement de la direction : C’est l’enjeu principal; la haute direction doit s’approprier le projet de conformité, exiger sa réussite et définir un échéancier réaliste mais agressif. Lorsque la haute direction n’est pas suffisamment impliquée et engagée, les responsables mandatés sont un peu laissés à eux-mêmes et devront gérer les priorités organisationnelles en même temps que le projet de conformité, et trop souvent le projet de conformité n’est pas priorisé.
-
Un projet de conformité : Plusieurs petites organisations sont très familières avec la gestion de projets, mais lorsqu’un projet de conformité arrive, elles ne le gèrent pas comme un projet. Pourtant, sans être obligatoire, c’est une approche gagnante qui assure que le projet sera constamment suivi et priorisé par les intervenants impliqués et par la direction.
-
La communication et l’acceptation : La haute direction doit communiquer aux intervenants impliqués dans le projet de conformité les raisons, les objectifs, les échéanciers, les impacts et les attentes liés au projet de conformité. L’idéal est de faire une rencontre de groupe et d’expliquer en profondeur les défis liés au programme de conformité qui sera mis en place. Les intervenants impliqués doivent obtenir toutes les réponses à leurs questions, et un climat de confiance et de coopération doit être perçu par la direction.
-
La documentation : Quel que soit le programme de conformité mis en place, il y aura une documentation sous-jacente. Cette dernière doit demeurer simple et réaliste et être en lien avec les pratiques de l’organisation. Trop souvent, nous voyons que la société a une documentation complète et bien structurée, mais cette documentation n’est pas le reflet des pratiques opérationnelles. Ce genre de situation créé, régulièrement, des problèmes avec les auditeurs.
-
Les contrôles : Dès que nous parlons de projet de conformité, nous parlons d’un environnement de contrôle TI. La notion d’environnement de contrôle TI n’est pas nécessairement quelque chose dont la direction d’une petite entreprise est familière. Il est impératif que, dès le départ du programme de conformité, une matrice de contrôles soit décrite et acceptée par la direction. Les contrôles devront rester simples et faciles à comprendre. Cette matrice définit, en fait, l’étendue du programme de conformité.
-
Les processus : Une documentation structurée, simple et accessible permet de bien supporter les processus sous-jacents. Ces processus doivent demeurer simples et faciles à mettre en place. Par exemple, une politique bien structurée touchant les accès permettra de mettre en place les processus pour appliquer cette documentation (les demandes d’accès, les départs, la révision des accès, les mots de passe, etc.).
-
L’appropriation : Régulièrement, nous voyons une petite société qui engage un consultant externe et lui demande de mettre en place un programme de conformité clé en main. Le consultant élabore une documentation très structurée et complète l’ensemble des étapes nécessaires pour obtenir la certification. Une fois que le consultant n’est plus dans la société, le programme de conformité s’écrase. Pourquoi? Parce que le consultant a livré son mandat sans impliquer fortement l’équipe interne. Si la haute direction embauche un consultant externe pour les accompagner, il doit être clair que ce consultant travaille de façon collégiale avec l’équipe en place. En fait, l’idéal est que le consultant travaille avec un pilote interne, ce dernier s’assurera d’impliquer les intervenants à l’interne afin de mettre en place toute la documentation et les processus TI définis.
-
La constance : La documentation, les contrôles et les processus sont mis en place et l’auditeur est passé et a conclu positivement son audit. C’est une réussite totale pour l’organisation. Le piège est de croire que tout est terminé et que la partie difficile est derrière soi. En fait, la partie facile est terminée et la partie exigeante commence. Il faut maintenant s’assurer que les processus et les contrôles fonctionnent constamment de la même façon, c’est un enjeu gigantesque pour les petites sociétés. Par exemple, comment s’assurer que les demandes de changements soient toutes documentées de la même façon et qu’elles sont traitées telles que l’exigent la documentation et le processus décrit? C’est maintenant le défi auquel les intervenants et la direction doivent s’attaquer. Le risque d’un manque de constance est que durant le deuxième audit, des écarts soient soulevés par l’auditeur. S’ensuivra une négociation corsée avec les auditeurs et probablement de la déception par l’équipe de direction. Cela est sans compter l’interprétation que pourrait en faire les clients de la petite société qui s’attendent de recevoir un rapport d’audit impeccable.
-
L’auto-évaluation : Une des façons de s’assurer que les contrôles et les processus sont appliqués en tout temps de la même façon est, au moins une fois par année, de faire une auto-évaluation de l’ensemble des contrôles définis. Cette auto-évaluation permettra de valider que les intervenants impliqués comprennent parfaitement leurs responsabilités à l’égard des différents contrôles et de mettre en place des plans d’action afin de corriger les écarts détectés.
Implanter un programme de conformité TI dans une petite société est exigeant et coûteux. Bien connaître les enjeux entourant ces programmes de conformité TI permettra à la haute direction de minimiser son risque de dérapage ou d’échec. La haute direction devra constamment se rappeler qu’elle est fortement responsable de la réussite d’un programme de conformité TI.