« Concrètement, la grande majorité des mesures pratiques que l'on doit mettre en oeuvre sont les mêmes dans une démarche de maîtrise des risques ou dans la mise en place d'une conformité à une norme » a estimé Jean-Philippe Jouas, membre du Clusif (Club de la Sécurité des Systèmes d'Information Français) (en photo). Il s'exprimait au cours d'un colloque organisé par ce club le jeudi 13 décembre 2012 au Cercle National des Armées à Paris.

La démarche de conformité vise à garantir le respect de règles définies dans une norme, un standard de donnes pratiques ou un texte réglementaire. Il s'agit donc de respecter des prescriptions définies de façon générale et a priori. A l'inverse, la maîtrise des risques repose sur une analyse d'une situation donnée pour définir les risques encourus et ensuite arbitrer entre prévoir une réponse à la réalisation du risque, prévenir le risque ou ne rien faire. Les deux démarches vont donc dans un sens contraire : la première de la règle générale au cas particulier, la deuxième du cas particulier à la règle.

Des démarches opposées mais complémentaires

Jean-Philippe Jouas rappelle malgré tout : « il n'est pas nécessaire de faire une analyse de risques pour savoir qu'il faut un PCA/PRA. Le référentiel est issu d'un consensus du marché, un compromis. Par définition, il n'intègre pas les particularités d'un contexte donné. » Et c'est là que l'analyse de risques devient nécessaire. Pour les intervenants du Clusif, le pire ennemi pourrait être appelé le PDG Ponce Pilate : puisque les pratiques de l'entreprise sont conformes à tel référentiel, tout va bien, lavons nous les mains du reste. Or l'assurance de la conformité a certes des rôles, notamment donner confiance aux interlocuteurs (partenaires, clients, actionnaires...) et être opposable à des tiers, mais est insuffisante. « La conformité vise à se défendre en cas d'incident grâce à des règles, la maîtrise des risques à piloter les risques avec un but interne grâce à une méthodologie comme Mehari » a résumé Jean-Philippe Jouas.

Frédéric Malmartel, RSSI de l'Acoss (Agence Centrale des Organismes de Sécurité Sociale), a jugé, quant à lui, qu'il ne faut en effet pas opposer la sécurité et la conformité. Il a mis en place une démarche inspirée du référentiel ITIL dans un contexte fortement contraint par des dispositions légales et réglementaires obligatoires. Il estime que « la conformité est essentielle pour ne rien oublier. C'est une opportunité, pas une contrainte. »
« La maîtrise des risques peut aller au secours de la conformité et inversement » a confirmé Baptiste Parent, expert sécurité SI de la CNAM-TS (Caisse Nationale d'Assurances Maladies des Travailleurs Salariés). Cet organisme a choisi pour sa part de suivre la méthode EBIOS pour sa maîtrise des risques. Il en a résulté une cartographie des risques impliquant une politique de sécurité.

La non-conformité devient alors en elle-même un risque

Cette politique a ensuite été confrontée aux obligations s'imposant à l'organisme, notamment les exigences de la Cour des Comptes en matière de conformité ISO 2700x. « Les mesures issues des deux démarches étaient communes à 75% » a témoigné Baptiste Parent. Pour les 25% restant, un « risque général » a été ajouté aux chapitres concernés de la politique de sécurité. Certaines mesures imposées par les normes mais n'étant pas jugées comme cruciales après l'analyse de risques, à l'inverse, ont été implémentées en mode « light ».
Dans certaines entreprise, comme Docapost, la conformité est une obligation conditionnant l'offre commerciale. La non-conformité devient alors en elle-même un risque. « Nous nous engageons vis-à-vis de nos clients sur les normes qui s'imposent à nous, notamment en matière de prestation de dématérialisation avec valeur fiscale : plus de conformité, c'est plus rien à vendre » a expliqué Olivier Corbier RSSI de Docapost. Dans ce type de contexte, les évolutions même de la norme doivent être anticipées. La réponse à ces évolutions est en elle-même une réponse à un risque.