5 bonnes pratiques de RSSI pour concilier conformité et innovation  

Florian Korhammer, CISO, Retarus partage son analyse du sujet et quelques conseils.

Le rôle du RSSI, originellement pivot de la sécurité informatique des entreprises, se complexifie, pour allier cette nécessité de gouvernance à une position déterminante en matière de conseil sur l’intégration d’innovations technologiques.

En tant que RSSI d’une entreprise européenne fournissant elle-même des solutions de cybersécurité, mes responsabilités se dédoublent pour assurer conformité et efficacité pour notre structure et nos clients : voici quelques bonnes pratiques pour bien anticiper les enjeux actuels. 

Assurer une proactivité dans l’approche des réglementations 

La conformité ne doit pas être perçue comme une réaction aux nouvelles réglementations, mais comme un principe opérationnel fondamental. Elle implique d’entretenir des relations étroites avec experts juridiques, régulateurs et leaders technologiques pour suivre, anticiper et se préparer aux nouvelles lois sur la confidentialité et aux cadres de gouvernance des données bien avant leur entrée en vigueur.  

Il est nécessaire de suivre de près les changements réglementaires dès les premières étapes du processus d’élaboration des lois ou des réglementations. En fonction des capacités de l’entreprise, il faut affecter ses propres ressources (mobilisation d’équipes de conformité régionales, implication de spécialistes externes) pour couvrir la législation nationale spécifique ou toute réglementation propre à chaque secteur. Les associations professionnelles peuvent également apporter un soutien bienvenu à cet égard. Une approche basée sur les risques est à favoriser : les marchés les plus importants et les risques les plus élevés doivent être traités en priorité.  

Adapter les stratégies de gouvernance des données pour suivre l’évolution des lois 

En fonction de l’activité et des secteurs dans lesquels les clients sont présents, un cadre de soutien très large, composé de diverses disciplines et d’experts internes et externes, est nécessaire.  

Nous devons nous conformer, par exemple, aux différentes réglementations locales en matière de télécommunications dans les pays où nous exerçons nos activités. Mais les clients ajoutent une couche supplémentaire d’exigences spécifiques à leur secteur, qui s’appliquent aux prestataires de services tiers, telles que la réglementation DORA pour le secteur bancaire et financier dans l’UE ou TX-RAMP pour certains clients américains.  

L’objectif est de parvenir à donner à ses propres équipes et aux organisations la confiance nécessaire pour fonctionner sans se soucier de la sécurité de leurs données. En garantissant le traitement des données dans des régions géographiques spécifiques, la souveraineté des données est préservée, les réglementations locales respectées, et le besoin de transferts transfrontaliers de données éliminé. Pour éviter tout risque lié à la portée de lois extraterritoriales, le choix d’un prestataire européen, ayant ses datacenters dans l’UE et conforme à la norme ISO/IEC 27001 constitue un avantage non-négligeable. 

Concilier les exigences de conformité avec l’innovation et la flexibilité opérationnelle 

Conformité et innovation ne sont pas incompatibles. Diverses méthodes techniques et organisationnelles modernes ont fait leurs preuves, telles que le développement agile de logiciels, la conteneurisation et l’automatisation CI/CD (intégration continue/livraison continue/déploiement continu). La décision d’acheter ou de fabriquer soi-même offre souvent la flexibilité nécessaire.  Les solutions cloud modernes sont conçues pour être flexibles, afin de s’adapter rapidement à l’évolution du paysage juridique, sans jamais sacrifier les performances ou la sécurité.  

Toutefois, toute solution doit toujours reposer sur des concepts clairs et durables en matière de sécurité et de protection des données.   

Assurer la collaboration interfonctionnelle 

La confidentialité n’est plus seulement une question juridique, mais un principe fondamental et une responsabilité partagée par l’ensemble de l’organisation. Au cours des dernières années, notre approche est passée d’une conformité axée sur le droit à une collaboration interfonctionnelle pleinement intégrée. Les équipes juridiques, de conformité, de produit et techniques doivent travailler main dans la main dès le premier jour.  

La collaboration inter-équipe doit donc s’élargir pour éliminer les silos, et impliquer certains départements à des étapes moins habituelles (par exemple, inclure les équipes juridiques et de conformité avant la signature des contrats).  

Etablir des cadres de sensibilisation réglementaire 

Il est absolument crucial de sensibiliser l’ensemble des équipes internes et externes à la responsabilité et à la sécurité du traitement des données. Cela doit être accompagné d’une structure cohérente : information sur l’économie des données, documentation complète des processus, cryptage, anonymisation et pseudonymisation lorsque cela est nécessaire et possible. Cette approche facilite considérablement le respect des différentes exigences légales locales. Pour accompagner cela, les DSI peuvent mettre en place un cadre de conformité centralisé, et automatiser au moins partiellement les processus grâce à des contrôles de conformité et des audits internes.  

Au lieu de s’attaquer aux lois sur la confidentialité région par région, les DSI devraient prendre les réglementations les plus strictes comme base et concevoir leurs cadres en tenant compte de celles-ci afin de garantir le plus haut niveau de conformité. Cela simplifie les opérations, facilite l’évolutivité et place les organisations en meilleure position pour faire face aux changements futurs.