5883 CONTENT gop 1000x90 2024 Microsoft Work Magic W24

Gestion des risques SSI et lutte contre la corruption : une approche mutualisée

Évaluer cet élément
(0 Votes)

Les entreprises sont de plus en plus interdépendantes. Elles interagissent avec des tiers (fournisseurs, sous-traitants, partenaires...) de plus en plus nombreux. Chacune de ces relations induit des risques et le respect de référentiels variés, qu'il s'agisse de corruption, de fraude ou de fuite, de perte ou d'altération d'informations sensibles.

Dès lors, la gestion des risques tiers est de plus en plus réglementée dans différents domaines. Le présent article invite à une réflexion sur les convergences des méthodologies employées pour la mise en conformité aux référentiels en Sécurité des Systèmes d'information et de lutte contre la corruption. L'opportunité serait alors d'améliorer la productivité et l'efficacité des entreprises en mutualisant les moyens de preuves, les outils et compétences.
Florence EXMELIN

L'émergence des nouvelles règlementations internationales, européennes et nationales incite les acteurs privés et publics à se responsabiliser, et ce dans de nombreux domaines socio-économiques. Ce changement de paradigme oblige les entreprises à adopter une approche par le risque permettant dans un premier temps de détecter leurs faiblesses pour, dans un second temps, se mettre en conformité. Le prisme couramment utilisé est alors celui de l'analyse des risques. Les méthodes d'analyse des risques diffèrent selon le contexte de l'étude, la nature des aléas, les objectifs de conformité mais à bien des égards, elles peuvent se compléter.

L'un des sujets permettant d'illustrer cette opportunité est celui de l'évaluation du risque lié aux tiers. Les tiers désignant en l'espèce les organismes externes avec lesquels une entreprise est en relation pour maintenir son activité (fournisseurs, sous-traitants, clients, partenaires...). Ces tiers peuvent parfois bénéficier d'un accès privilégié aux informations et systèmes de l'organisation, un accès certes proportionné au périmètre de leur mission mais qui fait peser des risques sur la société avec laquelle ils collaborent.

Ces risques transverses font l'objet d'un examen minutieux notamment dans deux domaines : la sécurité des systèmes d'information et la lutte anticorruption. Etant donné que ces univers sont a priori très éloignés, cela peut brouiller les pistes d'actions communes. C'est pourquoi l'analyse de l'imbrication des différents travaux relatifs à la gestion des risques liés aux tiers semble ici judicieuse.

Vers une convergence des approches méthodologiques en matière de risque tiers

L'analyse du risque lié aux tiers : un sujet éminemment d'actualité

Que ce soit pour apprécier le niveau de sécurité informatique d'un tiers ou son niveau d'intégrité, il existe des textes de référence, méthodes normes et règlementations spécifiques à chaque situation. Parmi ceux-ci, on peut citer pour la sécurité de l'information et des systèmes associés la norme ISO 27 001, la Loi de Programmation Militaire (LPM) et les standards du NIST, ainsi que la réglementation relative à la protection des données à caractère personnel (RGPD). Côté lutte anti-corruption, la loi Sapin II est un exemple emblématique.

La norme ISO 27001 est une norme internationale portant sur la gestion de la sécurité de l'information. Publié en octobre 2005 et révisé en 2013 et 2017, ce standard définit les exigences de sécurité en matière de management des systèmes d'information pour tous types d'organisations. L'objectif est de protéger les ressources qui permettent de collecter, stocker, traiter et diffuser de l'information contre la perte, le vol ou l'altération.

La loi Sapin II quant à elle est entrée en vigueur le 1er juin 2017. Elle a pour but de renforcer la transparence relative aux activités économiques des entreprises et de lutter contre la corruption. Elle s'applique aux entreprises de plus de 500 salariés, dont le chiffre d'affaires est supérieur à 100 millions d'euros.

Le Règlement général sur la protection des données (RGPD), quant à lui, est entré en vigueur le 25 mai 2018. L'objectif principal est de renforcer la protection des données personnelles, de responsabiliser les acteurs qui traitent ces données, et d'harmoniser la réglementation au niveau européen. Le RGPD s'applique à toutes les entreprises, organismes publics et associations qui traitent les données personnelles de personnes physiques qui se trouvent sur le territoire de l'Union Européenne ou de citoyens européens.

Un point commun semble rapprocher ces normes et réglementations : les risques que font encourir les tiers doivent être examinés dès le déclenchement de la mise en conformité. En effet, les échanges inter-entreprises sont de nos jours largement portés par les systèmes d'information. La sécurité des informations qui y sont contenues et l'intégrité des acteurs ayant accès à ces données sont donc primordiales. L'écosystème d'une société ne se réduit plus désormais à ses seuls collaborateurs et à sa clientèle.

Tout un réseau d'acteurs intervient sur le cycle du produit, du service ou à l'appui d'une fonction support, offrant par la même occasion de nouveaux points d'entrées pour nuire à une organisation. Le risque lié aux tiers doit dès lors être analysé avec la plus grande attention pour permettre ensuite de l'atténuer au maximum. C'est pourquoi les autorités publiques et les organismes de normalisation incitent les entreprises à être plus prudentes et à surveiller de près leurs tiers.

Une approche mutualisée de ces sujets au travers d'une méthode et d'outils peut dès lors permettre un gain d'efficacité et une meilleure visibilité de l'ensemble de ces relations.

Cartographie du système d'information : un socle commun et un prérequis à l'analyse du risque tiers

De nombreuses entreprises proposent aux organismes publics et privés un large choix de services pour accompagner la mise en conformité. Les entreprises sont ainsi poussées à multiplier les outils relatifs à chaque réglementation, bien que certaines approches de gestion du risque puissent être mutualisées.

La cartographie du système d'information (SI) est un outil indispensable dans le domaine de la sécurité informatique. Elle permet de connaître l'ensemble des éléments constitutifs du SI, d'identifier les tiers avec lesquels l'entreprise échange des informations et les flux qui sous-tendent ces échanges. Grâce à sa vision globale (métier, applicative et infrastructure), elle s'intègre dans une démarche générale de gestion des risques.

Les organisations concernées par la loi Sapin II peuvent donc se baser sur les cartographies réalisées en sécurité informatique pour alimenter celles qui doivent être élaborées dans le cadre de la lutte contre la corruption. Il en va de même pour les organisations concernées par le RGPD, qui peuvent se baser sur ces cartographies pour alimenter celles qui doivent être élaborées dans le cadre de la mise conformité au RGPD. Les relations avec les tiers seront préalablement explicitées, il suffira donc de procéder à l'identification des risques de corruption susceptibles d'émerger et des risques de non-conformité au RGPD. Les risques diffèrent mais les relations avec les tiers demeurent identiques.

Une expertise nécessaire à la mise en place d'une approche mutualisée

Optimiser la démarche d'investigation

Le parallèle entre la loi Sapin II et la sécurité de l'information est présent lors de l'élaboration de la cartographie mais aussi dans l'ensemble de la démarche de gestion de la conformité. Pour suivre le niveau de conformité d'un tiers, il faut le tester, l'évaluer, lui adresser des recommandations et suivre son évolution sur les points de vigilance.

La phase d'évaluation nécessite de collecter des informations et des preuves auprès du tiers pour attester de son intégrité ou du degré de sécurité déclaré. Il est alors primordial de croiser l'information interne et externe.

Dans le domaine légal, on vérifie que le tiers dispose d'une recommandation, d'une expérience reconnue pour le service à effectuer, de schémas de rémunération licites. À cette information interne s'ajoute un questionnaire externe permettant de vérifier l'identité du bénéficiaire effectif pour éviter les détournements. Enfin, il est possible d'utiliser des outils tels que des bases de données externes permettant de recueillir des informations sur les listes de sanctions, de condamnations, les bénéficiaires effectifs, les personnes politiquement exposées.

En sécurité des systèmes d'information, le tiers, quand il n'est pas supervisé à l'aide de solution dynamique (i.e. le Security Rating d'Almond, qui permet de combiner analyse externe indépendante, remplissage de questionnaires, fourniture de preuves et monitoring continu) répond à des questionnaires de sécurité et fournit une documentation qui permet d'évaluer son niveau de maturité. Les résultats de ces évaluations servent alors à s'assurer de la liste des exigences de sécurité qui couvriront tous les risques identifiés. Elles devront être converties en clauses de sécurité jointes en annexe d'un contrat entre l'entreprise et le tiers, ce contrat devant prévoir la surveillance du risque tout au long de la relation par différents mécanismes tels que, le cas échéant, la fourniture de tableaux de bord incluant des indicateurs orientés sécurité, des comités de pilotage abordant spécifiquement la sécurité, la gestion des incidents de sécurité, des audits de sécurité, des exercices de continuité informatiques...

La démarche est sensiblement la même, si ce n'est identique, sur le sujet de la conformité à la réglementation relative à la protection des données à caractère personnel.

À ce stade, les acteurs contribuant à la mise en conformité (services conformité, juridique, cabinets de conseil etc.) ne tirent sans doute pas encore suffisamment parti des liens existants entre les disciplines, ces approches de collecte / recherche d'information sur les tiers ne se nourrissant que rarement mutuellement.

Au lieu de traiter les sujets les sujets RGPD, SSI et corruption en parallèle, il serait intéressant d'exploiter les résultats d'une investigation pour enrichir la suivante ou de mener en combinaison la recherche d'informations sur l'intégrité et la sécurité des tiers. Une approche mutualisée consisterait à s'appuyer sur les outils et process d'investigation de la SSI pour collecter les preuves, exploiter les bases de données publiques et consolider les informations sur les niveaux de risques. On pourrait ainsi constituer et partager des répertoires de preuves qui allègeraient la collecte et favoriseraient le suivi simultané de la conformité à plusieurs référentiels.

Développer des outils multifonctionnels

De nombreuses sociétés de conseil proposent des outils adaptés aux référentiels de conformité qui s'appliquent à leurs clients : pré-évaluation, procédures d'évaluation, cartographies et analyses des risques, tests automatisés, dispositifs de contrôle, audits de suivi.

Les outils pré-packagés couvrent le plus souvent les référentiels phares du domaine d'expertise de la société de services. Une telle entreprise développe par exemple une offre de services autour des normes ISO, du RGPD, des réglementations sectorielles en SSI. Un prestataire de services juridiques s'assure du respect des lois anti-corruption à l'aide de ses procédures et dispositifs de contrôle de la légalité.

La responsabilisation croissante des organisations rend nécessaire le développement d'une solution « tout en un » pour évaluer des tiers au regard de leur conformité à l'ensemble des standards. Cela permettrait d'adopter une approche pluridisciplinaire améliorant l'efficacité et la qualité de la gestion des risques liés aux tiers.

En définitive, une approche commune de gestion de la conformité pourrait être un réel gain de temps et de productivité pour les entreprises, par le biais de process, d'outils et de compétences transverses applicables à de multiples référentiels.

Par Florence EXMELIN, consultante sécurité chez Almond

Lu 4433 fois Dernière modification le lundi, 20 septembre 2021 11:05
La rédaction

Le service Rédaction a pour mission de sélectionner et de publier chaque jour des contenus pertinents pour nos lecteurs internautes à partir d’une veille approfondie des communiqués de presse pour alimenter les rubriques actualité économiques, actualités d’entreprises, études ou encore actualités sectorielles. Pour échanger avec notre service Rédaction web et nous faire part de vos actualités, contactez-nous sur redaction@gpomag.fr

Annonces

cta livre blanc facture

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Comment les données et l’IA peuvent révolutionner les prises de décision ?

L'impact que les données peuvent avoir sur l’entreprise et comment des outils technologiques permettent d’exploiter ces données de manière efficace et sécurisée.

Visualiser la vidéo sur notre chaîne en cliquant ici


è
 Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts