La conformité reste un enjeu majeur pour la cybersécurité. Les organisations sont en effet soumises à de strictes obligations réglementaires et doivent respecter les exigences de gouvernance. Les secteurs très réglementés, comme la finance et l’éducation, imposent d’ailleurs des règles extrêmement strictes pour protéger les usagers et leurs données contre les menaces. Le moindre manquement aux règles de gouvernance peut avoir de graves répercussions sur les organisations concernées, ainsi que sur la continuité de leurs activités.
Face à de tels enjeux, les organisations réglementées ont tout intérêt à mettre en œuvre des normes et des procédures alignées sur les bonnes pratiques du secteur. Elles minimiseront ainsi le risque de non-conformité et seront mieux armées pour faire face aux incidents à l’aide de workflows rapides et efficaces. La mise en conformité n’est pas une mince affaire et les écueils sont nombreux, d’où la nécessité de mettre en place des contrôles pour la cybersécurité.
Qu’est-ce que le contrôle de la conformité en cybersécurité ?
Le contrôle de la conformité en cybersécurité consiste à conserver en permanence une visibilité sur les terminaux, les utilisateurs et les ressources d’une entreprise. Il repose à la fois sur la vigilance des équipes informatiques et de sécurité, et sur des procédures et des processus conçus pour répondre à plusieurs questions :
- Quel est l’état de santé de tous les appareils utilisés pour accéder aux ressources protégées ?
- Quels utilisateurs accèdent aux données protégées, les manipulent, les stockent, les diffusent et les éliminent ?
- Comment les données protégées sont-elles traitées et à l’aide de quelles applications ?
- Les processus mis en œuvre permettent-ils d’aligner les activités métier sur les normes ?
- La conformité est-elle assurée manuellement ou garantie par des règles automatiques ?
L’objectif du contrôle de la conformité en cybersécurité est double :
- Donner le « pouls » de la posture de sécurité de l’organisation en permanence.
- En cas d’audit, les équipes informatiques et de sécurité disposent d’une preuve horodatée que les objectifs de conformité sont atteints.
Quelles sont les bonnes pratiques qui permette de contrôler la conformité en matière de cybersécurité ?
« Si ce n’est pas documenté, cela n’a pas eu lieu. » – Inconnu
La citation ci-dessus rappelle un principe fondamental des régulateurs et des auditeurs. Si vous ne consignez pas par écrit les actions ou les observations (qui prennent la forme des données télémétriques ou des fichiers journaux des appareils dans le cas du contrôle de la conformité en cybersécurité), comment pouvez-vous prouver que le terminal était conforme à un moment donné ?
La réponse courte : vous ne pouvez pas.
La réponse plus longue : il faut une forme ou une autre de documentation pour vérifier la conformité. Le permis de conduire prouve qu’une personne est légalement autorisée à conduire un véhicule à moteur. Mais si la gendarmerie vous arrête et que vous avez oublié votre permis, vous recevrez un procès-verbal. Vous devrez alors produire un permis de conduire valide, sans quoi vous vous exposez à des poursuites.
C’est la même chose dans le cas des réglementations, qui imposent la vérification de la conformité des terminaux, des processus et des données aux exigences de sécurité. La charge de la preuve incombe à l’organisation, qui sera considérée en infraction si elle n’apporte pas de preuves suffisantes de sa conformité au cours du processus d’enquête.
Mais les bonnes pratiques ne se limitent pas à la documentation. Nous avons compilé d’autres pratiques très utiles pour mettre en place et maintenir un programme complet de contrôle de la conformité en matière de cybersécurité.
Identifier les règlements applicables
Pour dire les choses simplement, rappelons que les organisations n’ont pas le luxe de choisir les lois et les réglementations auxquelles elles sont soumises. Elles doivent respecter toutes celles qui les concernent. Ces obligations relèvent parfois de différents niveaux d’administration et peuvent même être imposées par d’autres pays. Pour cette raison, certaines lois peuvent être plus strictes que d’autres. Ces variables ajoutent de la complexité au maintien de la conformité, et c’est pourquoi on recommande généralement de concevoir le programme de contrôle en fonction de la loi la plus stricte. Vous aurez ainsi la garantie de remplir vos obligations à tous les niveaux.
Évaluation des risques
L’évaluation des risques est l’une des pierres angulaires du succès de votre programme de contrôle de la conformité en cybersécurité. En effet, vous ne devez pas seulement savoir ce que vous devez protéger, mais aussi quelles mesures permettent de parvenir à ce niveau de protection. Est-ce que cet appareil est déjà conforme, ou faut-il que le service informatique déploie des configurations de durcissement ? L’évaluation des risques offre aux organisations l’occasion de réaliser un inventaire complet de leurs ressources et de déterminer leur position actuelle par rapport à la situation idéale. Elles pourront en déduire la voie à suivre pour atténuer les risques.
Examen de conformité
Les données d’évaluation des risques doivent être comparées aux exigences réglementaires. En plus de permettre à l’organisation de passer en revue ses obligations, ces données peuvent être très précieuses pour prendre d’autres décisions. Il s’agit donc de combiner les informations sur les vecteurs de risque, les exigences réglementaires et les niveaux de tolérance, puis de les rapprocher des réglementations en vigueur pour commencer à élaborer un programme de conformité adapté, avant de passer à l’étape suivante.
Normes et cadres
Les réglementations exigent un niveau minimum de protection et de sécurité pour les données manipulées par les entreprises des secteurs réglementés. Les normes et les cadres fournissent aux équipes informatiques et de sécurité un ensemble de configurations qui répondent au niveau de protection exigé par les réglementations. Pour les administrateurs, ils constituent un moyen structuré et logique d’intégrer les contrôles de cybersécurité et les bonnes pratiques de l’industrie au programme de conformité de l’organisation. Les outils de contrôle de la conformité, dont nous parlerons dans la section suivante, permettent ensuite de mesurer l’efficacité du programme.
Surveillance de la conformité
Le processus de contrôle de la conformité repose sur le logiciel de sécurité des terminaux qui transmet des données de télémétrie ou d’état sur les appareils à une console centrale dédiée au tri et à l’analyse des renseignements sur les menaces. Ces données sont présentées aux administrateurs par ordre de priorité pour qu’ils puissent traiter les problèmes critiques dans les meilleurs délais avant qu’ils ne s’aggravent. Une visibilité accrue permet aux administrateurs d’effectuer des tâches de conformité de manière proactive, tout comme, en médecine, la prévention permet d’anticiper les problèmes et d’intervenir pour les éviter.
Formation de cybersécurité
La formation, qu’elle soit destinée aux équipes informatiques et de sécurité ou aux utilisateurs finaux, est le héros de l’ombre de tout programme de cybersécurité. Quand les administrateurs renforcent leurs compétences ou que les utilisateurs approfondissent leurs connaissances, les bénéfices sont considérables pour toute l’organisation. Les organisations peuvent d’ailleurs intégrer des initiatives de formation dans leur programme de contrôle de la conformité en cybersécurité. Cette couche supplémentaire veille à ce que tous les acteurs fassent leur part pour préserver la conformité de l’organisation.
Automatisation
Bien que certains puissent débattre du bien-fondé de l’automatisation en tant que bonne pratique, nous l’avons incluse dans cette liste parce que ses avantages pour la surveillance de la conformité dépassent de loin ceux de l’approche manuelle. Après tout, nous sommes humains. Nous avons besoin de pauses pour manger et nous reposer, et nous sommes sujets à des facteurs de stress qui influent sur notre capacité à rester performants en permanence. Ce n’est pas le cas du code exécuté dans le cloud. Il est intéressant de réfléchir à l’impact positif que peut avoir l’automatisation des tâches de surveillance, associée à des workflows de remédiation, sur la réponse aux incidents et donc sur la surveillance de la sécurité et de la conformité.
Vous êtes novice en matière de gestion de la conformité ? Lisez notre guide détaillé pour savoir comment prendre un bon départ.
par catégorie :
Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.