En quoi la mise en conformité en matière de cybersécurité et la création d'un État véritablement sûr sont-elles différentes ?
La mise en conformité n'équivaut pas à l'obtention d'un état de sécurité réel
La toile de fond du paysage actuel de la sécurité de l'information est constituée par la myriade d'exigences de conformité sectorielles et gouvernementales en matière de protection de l'information. De HIPAA à PCI en passant par d'innombrables autres mandats de conformité sectoriels et gouvernementaux, les réglementations sont complexes et apparemment sans fin, et la plupart des entreprises doivent consacrer une quantité considérable de ressources à la réalisation et au maintien de la conformité.
Mais voilà le problème : de nombreuses entreprises, dans tous les secteurs, sont victimes de la fausse croyance selon laquelle la conformité à une réglementation donnée équivaut à une sécurité réelle. Il est vrai que la conformité est absolument essentielle ; les conséquences d'un manquement à la conformité peuvent avoir des conséquences juridiques, y compris des amendes fédérales. En outre, il est logique que les entreprises assimilent souvent la conformité à la sécurité, compte tenu des dispositions en matière de cybersécurité imposées par les organismes de réglementation.
Toutefois, si l'on y regarde de plus près, la plupart des exigences de conformité fournissent des recommandations de base pour la sécurité de l'information, et non des conditions détaillées pour un état de fonctionnement sécurisé. Les contrôles de sécurité requis ne sont pas nécessairement spécifiques, et ce pour une bonne raison : les contrôles de sécurité que votre entreprise doit utiliser varient énormément en fonction de nombreux facteurs, notamment le secteur d'activité, la taille de l'entreprise, la sensibilité des informations, la quantité de données et d'innombrables autres facteurs.
Prenons l'exemple de l'HIPAA. Selon le ministère américain de la santé et des services sociaux, la "règle de sécurité" exige que les entités concernées maintiennent des garanties physiques, techniques et administratives raisonnables pour sécuriser les informations électroniques protégées sur la santé (ePHI). Les spécificités stipulent que les entités couvertes doivent faire ce qui suit en ce qui concerne la protection de l'ePHI :
- Assurer la confidentialité, l'intégrité et la disponibilité de l'e-PHI
- Identifier les menaces raisonnablement prévisibles pour la sécurité de l'information et s'en protéger
- Protéger contre les utilisations ou divulgations inadmissibles raisonnablement anticipées
- Garantir la conformité des effectifs
Ce n'est pas aussi exact que beaucoup d'organisations le croient, et de nombreuses exigences émanant d'autres organismes de réglementation sont présentées de la même manière. On demande à votre entreprise de montrer qu'elle protège les informations à un certain niveau, mais on ne vous dit pas nécessairement comment. C'est là qu'interviennent les contrôles de sécurité que vous choisissez d'employer.
Une approche risquée de la gestion des contrôles de sécurité
Il est fréquent que les entreprises associent la conformité à la sécurité, ce qui les conduit souvent à adopter une approche minimale dans le choix des outils de sécurité. Ce paradigme peut en fait conduire à l'opposé de ce que les exigences de conformité sont censées réaliser, laissant les entreprises vulnérables à des risques accrus.
Dans le domaine de la sécurité de l'information, la conformité signifie être en mesure de démontrer un certain niveau de protection des données conformément à une réglementation, mais cela ne signifie pas que votre entreprise est à l'abri d'une violation. Il est essentiel de faire cette distinction, car le choix des bons outils et de la bonne stratégie pour assurer la sécurité de votre entreprise dépend de vos besoins spécifiques.
Atteindre et maintenir la conformité et la sécurité
Selon la nature des exigences de conformité de votre secteur en matière de réglementation et de gouvernance, certaines politiques peuvent être plus complexes que d'autres. Une organisation peut également avoir besoin de politiques plus strictes, en fonction de sa tolérance au risque. La clé de l'énigme de la conformité et de la sécurité est de comprendre comment atteindre et maintenir la conformité, tout en équilibrant efficacement le développement et la gestion d'un programme de sécurité qui protégera votre entreprise des risques.
Le CSS est disponible pour discuter des questions de cybersécurité liées à la conformité que se pose votre organisation. Nos experts en cybersécurité peuvent travailler avec vous pour naviguer dans le paysage de la conformité et identifier la meilleure approche de cybersécurité pour votre entreprise.
