Introduction
La conformité doit être l'un des sujets les plus ennuyeux de la cybersécurité. Regardons les choses en face, il y a très peu de choses sur lesquelles s’enthousiasmer parce que, malgré toutes les retombées positives du marketing, la plupart le voient toujours comme un exercice de cases à cocher. Peu importe que l’on parle de la norme RGPD, HIPAA, FISMA, PCI, SOX, GLBA, les entreprises gémissent dès lors qu'elles en entendent parler.
L'exercice de case à cocher est une raison pour laquelle la conformité est ennuyeuse - l'autre raison est le langage même que les normes utilisent pour s'exprimer. Les exigences de conformité ont le don d'être mal écrites, vagues, verbeuses et déroutantes. En ce qui me concerne, la plus grande confusion autour de la conformité découle de l'écriture, ce n'est donc pas une surprise que les organisations aient du mal - surtout lorsqu'elles doivent se conformer à plusieurs exigences simultanément.
Étouffé par une mauvaise écriture
Regardons par exemple la norme ISO 27001, qui vise à améliorer la gestion de la sécurité de l'information d'une organisation. Elle comporte un processus en six étapes, qui comprend des ordres tels que «définir une politique de sécurité», «mener une évaluation des risques» et «gérer les risques identifiés». Les exigences pour chacun d'entre eux sont incroyablement sommaires et inutilement subjective.
La loi Sarbanes-Oxley, qui couvre toutes les entreprises aux États-Unis n'est pas mieux. L'article 404 stipule vaguement que toutes les organisations cotées en bourse doivent faire preuve de «diligence raisonnable» dans la divulgation de l'information financière, mais n'explique pas en détail ce que constitue une «diligence raisonnable».
La loi Gramm-Leach-Bliley (GLBA), qui oblige les institutions financières américaines à expliquer les pratiques de partage d'informations à leurs clients, stipule que les organisations financières doivent «élaborer un plan de sécurité de l'information écrit» mais ne donne pas de conseil sur la façon de faire.
HIPAA, qui s'applique aux organisations de la santé aux États-Unis, est un peu plus clair, mais affirme encore que des «politiques sont nécessaires pour aborder l'utilisation appropriée du poste de travail».
Même Lexcel au Royaume-Uni, qui est écrit par des avocats pour des avocats, n'est pas clair: «Les pratiques doivent avoir une politique de gestion de l'information avec des procédures pour la protection et la sécurité des actifs d'information.» Pour un métier qui se targue d'être capable de maintenir une clarté étanche, je suis surpris que Lexcel permette ce genre de subjectivité dans leurs exigences de conformité.
Mais écrire pour un large public n'est pas facile
Honnêtement, je comprends. Ceux qui écrivent des exigences de conformité ont un travail difficile. Ils doivent écrire quelque chose qui est applicable à toutes les entreprises dans un domaine particulier, alors que chaque organisation a ses différences subtiles dans la façon dont elles font des affaires et la façon dont elles ont mis en place leur infrastructure technologique. Non seulement ils doivent écrire pour un public si large, mais ils se rendent compte qu'ils se battent contre la montre en matière de réglementation simplement à cause du rythme des changements informatiques - et les exigences qu'ils écrivent aujourd'hui pourraient bien être périmées demain.
Cependant, je pense que ceux qui écrivent des exigences devraient s’inspirer de la norme PCI DSS. Celle-ci s'applique à toutes les organisations stockant des données de titulaires de cartes. Elle est claire, régulièrement mise à jour et vous pouvez trouver tout ce que vous devez savoir au même endroit (en anglais). La manière dont le PCI a structuré sa conformité (en termes d'exigences, de procédures de test et de conseils) est beaucoup plus claire que tout ce que j'ai pu voir, et contient très peu de place pour la subjectivité. Vous savez exactement où vous en êtes.
Le RGPD est également bien écrit et détaillé. Les nombreux articles relatifs à la protection des données sont spécifiques, pratiques, compréhensibles et applicables. Par exemple, l'accès aux données est parfaitement clair: «L'accès non autorisé inclut également la destruction accidentelle ou illicite, la perte, la modification ou la divulgation non autorisée de données à caractère personnel transmises, stockées ou autrement traitées» (articles 4, 5, 23 et 32). Les processus d'audit sont également expliqués clairement: «Vous devez conserver un registre des activités de traitement des données, y compris des informations sur les destinataires auxquels les données personnelles ont été ou seront divulguées, c'est-à-dire qui a accès aux données». 28, 30, 39, 47).
Ainsi, alors que vous êtes encerclé par de multiples exigences de conformité, vous devez obligatoirement avoir une stratégie en place, qui peut devenir complexe lorsque vous essayez d'adhérer à plusieurs mandats. L'astuce consiste à trouver les points communs entre tous, avant de trouver votre solution. De ma propre recherche approfondie de la conformité, il existe trois domaines principaux dans lesquels vous pouvez satisfaire une grande partie de l'élément de sécurité de la plupart des exigences.
1. Stockage des données
S'assurer que vos données importantes sont protégées contre les attaques externes et internes est la pièce maîtresse de toute stratégie de cyber sécurité - et faire ça bien dès le départ rend la conformité beaucoup plus facile. Cependant, le stockage de données est une notion de plus en plus complexe grâce aux stratégies cloud et «apportez votre équipement personnel de communication» (AVEC). La plupart des données que vous devez protéger se trouvent déjà en dehors de votre pare-feu, donc mettre en place une politique qui gère ce domaine entier devrait être une priorité pour les organisations.
2. Audit de fichier
L'audit de fichiers (texte en anglais) a un rôle important à jouer dans la conformité. Savoir exactement ce qui se passe en ce qui concerne votre réseau est aussi important que d'améliorer votre position en termes de cyber sécurité. Donc, assurez-vous que vous avez la technologie en place qui vous permet de garder une trace de qui accède à quels fichiers et dossiers et quand. De plus, assurez-vous que cette technologie peut vous avertir immédiatement de l'activité suspecte de fichiers, comme la copie et la suppression en masse, ce qui est souvent un signe infaillible de vol de données ou de ransomware. Si vous êtes au courant d’une attaque potentielle dès le début, vous pouvez souvent l'arrêter, ou, au moins, atténuer son effet.
3. Gestion de l'accès
La gestion de l'accès n'est pas un nouveau concept, mais la façon dont les organisations commencent à l'aborder en est un. La gestion de l'accès commence maintenant par l’ouverture de session car le point commun de pratiquement toutes les cyberattaques est une connexion, que ce soit un pirate externe cherchant à entrer ou un employé cherchant à voler ou divulguer des données. Si vous pouvez détecter une connexion suspecte, vous pouvez arrêter une attaque beaucoup plus rapidement.
Avant de faire quoi que ce soit d'autre, assurez-vous de bien faire les bases
En ce qui me concerne, la nature confuse de la conformité donne lieu à un bombardement incessant de matériel marketing par les vendeurs sur «comment vous pouvez être conforme à X» ou sur les «cinq premières choses que vous devez savoir sur Y». Et avec la date limite du RGPD à venir, le bruit autour de la conformité est assourdissant (malgré le fait qu'il est en fait l'un des mieux écrits).
Le mieux avec une stratégie de conformité, c’est tout simplement de commencer par les bases - le stockage des données, l'audit des fichiers et la gestion des accès. Faites-les bien, et vous êtes sur la bonne voie pour démontrer votre volonté de vous conformer.
Par François Amigorena, PDG et fondateur, IS Decisions