Accueil Cybersécurité Les entreprises peuvent-elle gérer seules tous les risques IT et leur mise...

Les entreprises peuvent-elle gérer seules tous les risques IT et leur mise en conformité ?

Webinaire : Solutions Numériques a organisé mi-janvier une « Table ronde de la rédaction » sous forme de webinaire, avec 3 experts, pour sensibiliser les entreprises sur la gestion optimisée des risques IT et de leur mise en conformité (GRC). Peut-on avoir un seul tableau de bord pour gérer tous ces risques sans créer une usine à gaz et sans désiloter les organisations ?

Les trois experts invités par le magazine Solutions Numériques pour parler, en termes clairs et avec de nombreux exemples concrets, de gestion optimisée des risques IT et de leur conformité (GRC) étaient Paul-Olivier Gibert, président de l’Association Française des Correspondants à la protection des Données à Caractère Personnel (AFCDP), qui représente les délégués à la protection des données (DPO).

Nous avons également parler de GRC sous le contrôle juridique de Me Garance Mathias, avocate au cabinet Mathias Avocats, qui est spécialisée sur les risques cyber et le RGPD. Enfin, Christian Mintchev nous a donné son éclairage de spécialiste en tant qu’ingénieur Solution chez OneTrust, un éditeur de solutions de conformité et de protection des données.

Les entreprises ne sont-elles pas un peu démunies face à l’inflation galopante des réglementations ?

Premier constat de notre « Table ronde de la rédaction » consacrée à la GRC, les entreprises sont parfois un peu démunies face à l’inflation galopante, au plan mondial, des réglementations encadrant l’utilisation des données des utilisateurs par les entreprises. Olivier Gibert, président de l’AFCDP, et Me Garance Mathias ont cité par exemple le cas du RGPD, le célèbre règlement européen de protection des données personnelles.

Olivier Gibert nous a expliqué aussi pourquoi les Autorités demandent depuis 25 ans aux entreprises de mettre en place des contrôles, surtout dans le domaine financier car le régulateur n’est plus en mesure de tout couvrir tous les risques, et pas seulement IT. Et notamment ceux en rapport avec les obligations de transparence, de non blanchiment des capitaux (Loi Sapin, Bale 2), de loyauté entre clients et leurs fournisseurs, de protection des sous-traitants, des risques environnementaux, etc. Et de conclure, « Certaines pratiques commerciales, fiscales ou juridiques qui étaient acceptables ou tolérées au 20e siècle ne le sont plus au 21e siècle ».

Les conséquences financières peuvent être très lourdes en cas d’infraction

Deuxième constat, les conséquences financières peuvent être très lourdes pour les entreprises en cas de non-conformité dans leur gestion des risques IT, comme nous l’a rappelé Me Garance Mathias. Ainsi, le GDPR Fines Report révèle qu’en 2020, les pays de l’UE ont collecté près 171.3 M€ d’amendes pour 299 violations du RGPD. En France, le pays européen qui sanctionne le plus dans ce domaine, a infligé 50 M€ d’amendes à Google et plus de 3 M€ à Carrefour pour une gestion non-conforme des données de leurs utilisateurs.

On ne badine pas non plus avec la loi dans ce domaine aux Etats-Unis. Fin 2020, le Bureau américain du contrôleur de la monnaie (OCC) a infligé à deux très grandes banques américaines, JPMorgan Chase et Citigroup, des amendes respectives de 250 et 400 M$ pour mauvaise gestion des risques et des données.

La pandémie Covid-19 a accéléré la prise de conscience des dirigeants et des Gouvernements sur certains risques

Troisième constat émanant de nos experts, la pandémie Covid-19 a accéléré la prise de conscience des dirigeants et des Gouvernements sur la nécessite de légiférer davantage pour encadrer les différents risques et se doter des bons outils de GRC.

« Les risques sont là et 2020 les a mis davantage en exergue. Ceux que l’on ne prenait plus au sérieux, sanitaires notamment, se sont rappelés au bon souvenir des entreprises et des gouvernements en 2020. Davantage de dirigeants ont éprouvé le besoin de se prémunir contre ces risques mal identifiés ou couverts, et notamment dans les entreprises qui veulent davantage les piloter quand l’environnement est incertain », analyse Me Garance Mathias. « J’ajoute que les cadres réglementaires se durcissent de jour en jour sur les besoins de sécuriser les données et nos actifs informationnels de manière générale. Et cette responsabilité repose avant tout sur les épaules du chef d’entreprise ».

Notre avocate constate également que les risques ont explosé à cause du télétravail, qui a beaucoup étendu le nombre et la nature des données partagées entre les métiers et les collaborateurs de l’entreprise, tant sur site qu’à l’extérieur : « Les entreprises ont dû réévaluer leurs dispositifs en matière de respect des obligations légales quant à la conservation, l’exploitation des données et, de fait, la gestion des risques encourus ».

Même constat pour Christian Mintchev, qui remarque que « Les entreprises n’ont jamais eu autant besoin d’une vision globale sur la gestion des risques de leurs compliances. Et même si OneTrust les accompagne depuis 5 ans sur la RGPD, nous avons compris l’importance d’élargir les fonctionnalités de notre plateforme à tous les risques, informatiques notamment ».

Peut-on avoir un seul tableau de bord pour gérer tous les risques sans créer une usine à gaz ?

Solutions Numériques a demandé à ses experts s’il n’est pas un peu ambitieux de vouloir gérer simultanément tous ces risques, et au même niveau, dans un seul tableau de bord, sans créer une usine à gaz ? Pas selon Christian Mintchev : « Oui, dans une certaine mesure, mais les grandes entreprises qui gèrent plusieurs métiers avec un SI complexe ont besoin d’une plateforme comme celle de OneTrust. Elle les aide à gérer les risques depuis points de vue différents et elle leur fournit une méthodologie de gestion applicable à plusieurs types de risques dans le même outil, qui les agrège de manière à la fois simple et globale ».

Il conseille d’utiliser les plugins développés par One trust, qui sont faciles à implémenter avec les outils de l’entreprise. Ils sont compatibles avec tous les logiciels utilisant des API et les outils facilitant l’automatisation du rapatriement des données à exploiter par la plateforme One trust.

Les entreprises disposent-elles toutes des compétences et des outils en interne pour créer ce tableau de bord GRC « from scratch » ?

Les questions qui se posent notre audience sont notamment : les entreprises disposent-elles toutes des compétences et des outils en interne pour créer ce type de tableau de bord « from scratch » ? Ou doivent-elles acheter une solution de GRC et se faire aider, par des consultants par exemple, pour opérer la conduite du changement en interne ?

« Tout dépend de la taille de l’entreprise et de son niveau de maturité dans la gestion des risques, mais aussi des outils déjà mis en œuvre. Quels cadres ou risques les entreprises souhaitent-elles le plus couvrir et évaluer ? » s’interroge Christian Mintchev de OneTrust. « Notre solution de gestion des risques est suffisamment flexible et abordable pour s’adapter aux outils existants, aux cadres définis et aux risques déjà monitorés par la DSI ».

« Un outil de Gestion des Risques et des Compliances ne doit pas en aucun cas accroitre la complexité de l’entreprise », estime Paul-Olivier Gibert. « Un logiciel de GRC est le bienvenu s’il la réduit, surtout dans des environnements IT devenus complexes ». Le président de l’Afcdp souligne également la nécessité pour la direction générale de bien centraliser la gestion du projet avec l’aval des métiers.

Quels sont les freins au déploiement d’un outil de GRC ?

Le déploiement d’un outil de GRC nécessite de fournir une vision globale à la direction générale, « ce qui est impossible à atteindre si chaque métier gère les risques dans son coin » indique Christian Mintchev.

« L’organisation en silos ne facilite pas la transmission de l’information à utiliser par la DSI pour protéger l’entreprise des risques à couvrir. Elle limite l’efficacité du projet de GRC », confirme Paul-Olivier Gibert. Il observe certains freins du côté des métiers notamment, qui ne sont pas toujours participatifs, même s’ils prennent davantage conscience des risques encourus.

Des constats que partage Me Mathias, selon qui, la direction générale doit s’impliquer en amont pour réussir le projet. Notre avocate alerte les porteurs de projet GRC sur un certain « manque de maturité et de formation sur ces sujets GRC qui empêcheraient un Comex de budgéter l’achat d’un tel outil et de prendre les bonnes décisions ».

A l’instar de Paul-Olivier Gibert, Me Mathias invite aussi les entreprises à introduire des éléments de transversalité dans les organisations, sous la houlette de la direction générale, afin que chaque métier soit un peu plus à l’écoute sur la manière dont il peut limiter les risques IT pour l’entreprise.

 

Au final, nos experts ont confirmé à l’audience que l’utilisation d’outils de GRC s’impose désormais comme une évidence face à la multiplication des risques IT à couvrir. Ceux-ci ont explosé depuis des années face à la complexité des obligations légales imposées aux entreprises, tant en matière de conservation, d’exploitation que de partage des données collectées.

 

Retrouvez et partagez ce webinaire en replay sur www.solutions-numeriques.com (https://www.solutions-numeriques.com/webinar/table-ronde-de-la-redaction-comment-creer-une-vue-unique-sur-les-risques-de-lentreprise-et-pouvoir-les-piloter/)