Edito
Un effort de conformité ou une certification sécurité ?
Ces dernières semaines ont été riches en production de référentiels de sécurité. En particulier, un référentiel pour la gouvernance des informations à caractère personnel, publié par la CNIL, une nouvelle instruction interministérielle pour la protection des systèmes d’information sensibles par le SGDSN et un nouveau référentiel de l’ANSSI pour les services Cloud. Chacun de ces référentiels est associé à un label ou une qualification. Lorsque la règlementation ne l’impose pas, faut-il engager une démarche de certification ou rester dans une simple recherche de conformité ?
Certains diront : « La certification est chère ! ». Il faut se rendre à l’évidence : ce qui revient cher, ce sont surtout les efforts à faire pour respecter le référentiel et donc être conforme. D’autres diront : « La certification sécurité ne veut pas dire être sécurisé ». C’est vrai ! Mais c’est un premier pas vers plus de maturité. Les derniers avanceront que la certification peut également présenter des risques, notamment celui de perte du label. En théorie, cela peut paraitre gênant pour l’image de marque de l’entreprise mais l’histoire montre qu’aucune n’en a souffert, sauf une exception.
À l’inverse, force est de constater que les entreprises tirent, toutes, un réel avantage à « l’épreuve » de certification. Elles trouvent, tout d’abord, une obligation d’arriver à la cible à échéance. Elles remettent en question certaines mauvaises habitudes et profitent des efforts de formalisation jugés souvent non prioritaires et pourtant indispensables en SSI. Enfin, les équipes qui contribuent à ces travaux ont une réelle légitimité et sont motivées par la satisfaction d’obtenir un label et le RSSI obtient une visibilité plus importante auprès du comité exécutif de l’entreprise. Cerise sur le gâteau, l’organisme peut en faire la promotion pour améliorer la confiance de ses clients ou partenaires. Notre constat est clair parmi nos clients ayant engagé des démarches depuis trois ans. La maturité en matière de sécurité des entreprises engagées dans une démarche de certification est bien supérieure à celles qui se sont limitées à une simple conformité.
Jean Olive
Manager CGI Business Consulting