Conformit et analyses de risques

Synthse de la confrence thmatique du CLUSIF du 13 dcembre 2012 Paris

Lazaro Pejsachowicz, Prsident du CLUSIF, annonce quen cette anne du 20e anniversaire du
CLUSIF, Jean-Philippe Jouas, qui a beaucoup uvr pour le CLUSIF, fera lintroduction de la
confrence.
pratiques qui couvrent tous les risques
courants.

Jean-Philippe Jouas, CLUSIF

En revanche certains risques spcifiques

peuvent ne pas tre abords par ce rfrentiel.
Ces risques sont spcifiques parce que
rattachs un mtier particulier, une
technologie particulire ou un contexte de
travail particulier. Or, une norme est par nature
un compromis qui tablit des rgles
acceptables par tous. Les risques trs
spcifiques pourraient bien se trouver en
dehors des solutions implantes partir de
cette norme.

Jean-Philippe Jouas emploie le mot

matrise des risques parce que analyse
est plutt technique et quil souhaite aborder
plutt le ct politique de conformit ou de
matrise des risques.
Le sujet de la confrence revient demander
sil faut choisir entre lun ou lautre.
La politique de conformit cest la conformit
un rfrentiel : ISO 27001 par exemple, mais
le cadre peut aussi tre plus restreint,
informations prives, rfrentiel mtier,
bancaire, sant etc. Celui qui choisit cette
politique attend que sa conformit soit
opposable des tiers en cas dincident et
quelle donne confiance (aux partenaires, aux
clients etc.).

Par ailleurs, la norme est essentiellement une

bonne pratique technique et elle risque donc
dexclure les traitements purement mtier .
Ils seront plus facilement identifis par une
politique de maitrise des risques.
Concernant les acteurs et le mode de pilotage :

Choisir une politique de matrise des risques

cest sassurer quaucun risque nest ignor,
sous valu ou insuffisamment trait. Enfin,
tous les risques doivent tre identifis : cest
lenjeu dune vritable matrise de risques.

La politique de conformit exige du

commanditaire lallocation de ressources et le
plein support de la dmarche. Par exemple,
lmergence de la norme 27001 a permis aux
RSSI de se voir attribuer des moyens et en ce
sens, la norme a eu un effet bnfique. En
revanche, cette politique risque de faire reposer
les actions sur la seule fonction scurit (RSSI
et DSI) et permet parfois la direction de se
dfausser de sa responsabilit de scurit.

Quon choisisse une politique ou lautre, les

consquences sont les mmes dans prs de
80 % des cas. La raison est simple : le
rfrentiel est par nature bas sur des bonnes

Confrence Conformit
et analyses de risques

1/8

CLUSIF 2012

Alors que pour grer les risques, la direction

doit tre fortement implique. Cest elle qui
dclare quels risques sont inadmissibles et
quels sont les risques thoriquement
inadmissibles avec lesquels il faut composer
quand mme. La gestion des risques implique
galement un planning, qui implique parfois de
vivre avec des risques inadmissibles pendant
plusieurs annes : ceci implique forcment la
direction.

les demandes en cas dappels doffres. Cest

loccasion de faire rflchir les experts sur des
questions auxquelles ils nauraient pas
forcment rflchi. Il y a quelques annes, la
conformit tait une contrainte. Aujourdhui
les experts intgrent mieux le fait quils
agissent dans un cadre juridique : ils sont
responsables de lutilisation des fonds publics
et pour eux cette approche de la conformit a
t une occasion damliorer leurs actions.

Concernant les objectifs :

Lanalyse de risques est base sur une

approche normative, principalement ISO
27001 mais aussi 27002. Cest partir de cette
norme ISO 27002 qua t construite la
politique nationale de scurit des systmes
dinformation. Ce sont les comptables qui sont
lorigine de cette politique car cest lagent
comptable qui est responsable des scurits. Il
a inform les RSSI de la ncessit de btir une
politique de scurit. Ces derniers ont repris
certains chapitres de la norme ISO 27002, les
ont retravaill et ont bti une politique
nationale de scurit. Elle est amliore chaque
anne, complte notamment par des audits
dcids en interne ou des audits de la Cour des
comptes par exemple.

La politique de conformit vise trs clairement

propager une image et donner confiance.
Autre objectif possible : avoir une ligne de
dfense en cas dincident de scurit.
Lobjectif de la gestion des risques est
beaucoup plus interne. Cest un outil de
pilotage de la direction qui permet danticiper
une gestion de situation de crise, de matriser
les risques et de prparer lavance son
discours.
Ces deux politiques sont diffrentes et
permettent de faire un choix. Elles sont
compatibles galement, mais dans ce cas, une
mthode de gestion des risques simpose
(Mhari par exemple).

Aujourdhui, un contrle supplmentaire

consiste reprendre la norme ISO 27002 afin
de vrifier sur quels points elle est respecte ou
non. La norme ISO 27002, dans son dernier
chapitre, traite de la conformit aux lois et aux
rglements. Cest aussi une occasion de
rflchir nouveau sur la scurit.

***
Frdric Malmartel, Agence Centrale des
Organismes de Scurit Sociale (ACOSS)

Mais cette approche ne supprime pas les

impondrables. Lors du lancement de la
politique nationale de scurit, les contraintes
taient nombreuses : un rseau de 14 000
personnes, 105 Urssaf, 7 centres informatiques.
Lapproche normative a t une aide et elle
lest toujours face aux exigences de
conformit. Il faut savoir aussi que cette
politique nationale de scurit a t mise en
place pour rpondre une contrainte : la
validation des comptes. Cest donc une
contrainte de conformit qui a t lorigine
de llaboration de la politique de scurit.

Frdric Malmartel propose un retour

dexprience sur les actions menes par
lACOSS.
La dmarche de scurit de lACOSS est base
sur le management du risque IT. Elle sinspire
de la roue PDCA (Plan-Do-Check-Act) pour
samliorer en permanence et parvient ainsi
la conformit sur de nombreux domaines.
Cette roue de Deming se trouve partout, dans
la gestion du risque, dans lanalyse du risque et
dans la mise en uvre des scurits. En tant
que grande administration qui gre des fonds
publics, la conformit est incontournable pour
lACCOS, aussi bien au niveau de la loi quau
niveau rglementaire.

Les audits ne sont plus considrs comme une

contrainte et ils sont loccasion de btir des
lments qui aident la mise en conformit.
Dans ce sens, afin de mieux rpondre aux
exigences de la CNIL, les responsables CIL
ont cr une cellule nationale, porte par la
Direction.

A lACOSS, conformit et scurit sont

considres comme complmentaires. Par
exemple, se mettre en conformit avec le code
des marchs est loccasion de bien structurer
Confrence Conformit
et analyses de risques

2/8

CLUSIF 2012

Lexigence de conformit :

apporte la possibilit dvaluer les

exigences en fonction de critres de
qualit,

permet de prendre du recul par rapport aux

demandes en matire de conformit, (la
conformit ntant pas un objectif en soi,
qui doit faire oublier le mtier de
lACOSS),

offre la possibilit davoir un langage

commun, avec le RGS par exemple,

permet de structurer la dmarche en

matire danalyse de risques, grce des
niveaux dexigence levs : ceux du RGS
ou de la CNIL par exemple.

Une piste de rflexion possible serait dinscrire

lanalyse de risque, puis la gestion des risques,
dans une dmarche ITIL : la mise en
conformit deviendrait alors perptuelle.

***
Baptiste
Parent,
Caisse
Nationale
dAssurance Maladie (CNAMTS)
Baptiste Parent souhaite aborder le sujet sous
un nouvel angle : il considre que lanalyse de
risque peut intervenir au secours de la
conformit et inversement.
La question est de savoir comment proposer
une gouvernance des risques IT cohrente en
prenant en compte les contraintes qui psent
sur les projets SSI, les directives ou politiques
de SSI :

Pour envisager de faire coexister la conformit

et lanalyse de risques, limplication de la
Direction savre ncessaire. Cette condition
est respecte au sein de lACOSS, tout
particulirement depuis lobligation de faire
certifier les comptes.

contraintes externes : rglementaires (du

point de vue lgislatif ou de la
conformit), ou lis aux contrles et
audits ;

contraintes internes : politiques internes,

audits internes, analyse de risque.

Les questions suivantes se posent :

La non-conformit
risque particulier ?

Faut-il la prendre en compte

lanalyse de risques ?

prsente-t-elle

un
dans

La position de la CNAMTS est illustre par les

travaux quelle a raliss cette anne dans le
cadre de la mise en uvre de sa nouvelle
politique de systmes dinformation. Elle a
dabord tent la mise en place de la roue
Deming PDCA mais la supprime devant les
difficults qui se sont prsentes. Elle a essay
ensuite de progresser dans une dmarche
SMSI, non sans mal.

Pour lACOSS, la non-conformit nest pas un

risque particulier, cest un risque comme les
autres, (incendie, dgt des eaux etc.). La mise
en uvre dune application ou dun projet
nouveau gnre un certain nombre de risques
(erreur, piratage etc.) dont celui dtre non
conforme. A lACOSS ce risque est
inadmissible et ce titre il est trait pour quil
disparaisse.

Le constat sest impos que le choix de la

mthode ntait pas le bon, que lanalyse de
risques choisie ntait pas adapte
lAssurance maladie.

LACOSS a men ses analyses de risque avec

diffrents outils (Marion, EBIOS) ainsi
quavec des outils maison . Si la norme
27005 est claire, des rserves peuvent tre
mises sur ces mthodes danalyse de risque,
bien conues par les experts mais souvent
complexes.

En effet, lobjectif de cette PSSI tait de btir

une politique de scurit SI globale pour toute
lentreprise. Or, lAssurance maladie est un
rseau dorganismes trs htrognes qui
connaissent chacun leurs risques propres.

Pour bnficier dune gestion dynamique de la

conformit, il faut tre ractif et savoir partager
la connaissance. LACOSS tente galement
davoir un systme dinformation qui permette
danticiper la conformit afin dtre prte en
cas de nouvelle rglementation europenne par
exemple.
Confrence Conformit
et analyses de risques

Lanalyse de risques devait donc tre base

sur :

3/8

Une analyse de risque spcifique couvrant

un large spectre de risques : mtiers,
organisationnels,
techniques
et
rglementaires.
CLUSIF 2012

Ce risque gnral a t cre pour satisfaire

le besoin de lauditeur : sassurer que
lensemble des mesures de la norme sont
couvertes. Mais la CNAMTS souhaite
continuer mener des analyses de risque pour
leur apport de la connaissance des risques et du
traitement associ. Cette connaissance des
risques et de leur traitement se matrialise dans
la rdaction des prconisations dtailles.

Le besoin de conformit impos par les

autorits de tutelles, notamment la Cour
des comptes.

La PSSI sest faite en trois phases :

1. Analyse des risques.
2. Rdaction de la PSSI.
3. Constitution du plan de traitement des
risques.

Cette rdaction stablit partir de deux

inputs :

Lanalyse de risques, oriente processus

mtier, est base sur EBIOS. Elle aboutit une
cartographie des risques par type dorganisme.
Une fois cette cartographie tablie, le travail
sest fait en trois phases galement :

La prise en compte des dispositifs de

scurit dj prsents et oprationnels.

Les rsultats de lanalyse de risques qui

nous permettent dtre assurs que les
prconisations couvriront les risques
identifis.

1. Identification des moyens de couverture des

risques dj en place.
2. Identification des mesures
concernes par les risques.

ISO27002

Les mesures que lon aura raccroches pour les

besoins de conformit bnficient de
prconisations plus lgres, en raison de leur
faible exposition aux risques. Il peut arriver
aussi que la CNAMTS considre que le sujet
est dj trait et dans ce cas, aucun dispositif
oprationnel ne sera mis en uvre.

3. Rdaction des prconisations de la PSSI.

Ces trois phases ralises, le problme reste la
prise en compte des besoins de conformit. La
Cour des comptes par exemple, dit que la
politique de scurit dun organisme public,
doit tre conforme lensemble des mesures
prsentes dans lISO 27002.

***

Or, la CNAMTS constate que sa Dclaration

dApplicabilit retient 75 % des mesures
dtailles dans la norme ISO 27002. Afin
datteindre lobjectif de 100 %, elle cre un
risque gnral dont le traitement ncessite
la mise uvre des 25 % restantes.

Olivier Corbier, Docapost

Les principaux
Docapost sont :

rfrentiels

Malgr un primtre de couverture qui ntait

pas exhaustif, la dclaration dApplicabilit
couvrait lensemble des chapitres de
lISO27002. La non-couverture des 25 %
restants pouvait avoir pour cause :

Des Rfrentiels mtiers :

la non-exposition au risque concern par

la mesure,
la non-identification dun risque au cours
de lanalyse,

utiliss

par

Le label FNTC-TA, ddi au service de

tiers archivage,

GS1 (changes lectroniques, EDI),

RGS,

les recommandations CNIL concernant le

vote lectronique.

Des normes ou obligations rglementaires

sectorielles :

une erreur dans la mise en correspondance

ralise entre les risques et les mesures
ISO27002.

Le Code gnral des impts pour la

dmatrialisation fiscale,

La question qui se pose naturellement est :

Pourquoi continuer raliser une analyse

de risques si finalement la totalit des 133
mesures de la norme ISO 27002 doivent tre
retenues ?

le CCRLF 97/02 pour tout ce qui concerne

les banques,

PCI-DSS.

Confrence Conformit
et analyses de risques

Des activits certifies :

4/8

CLUSIF 2012

Certification ISO 9001 sur lensemble des

activits industrielles.

Certification ISO 27001 sur la partie

archivage lectronique.

Des dmarches transverses au

Docapost ou au groupe La Poste :

Certification
ISO
lenvironnement.

Certification ISO 26000

responsabilit socitale.

tant aussi un groupe qui propose des activits

transverses, il est ncessaire que ces activits
soient interconnectes.
Par ailleurs, les rfrentiels tant par dfinition
figs, mme trs complets, ils ne peuvent
prtendre lexhaustivit. Or, la composante
IT est trs forte chez Docapost (peu
dexternalisation, importante offre de services
sur internet etc.). La conformit est concentre
sur loffre mais ne rgle pas toutes les
proccupations en scurit des SI.

groupe

14001
pour

pour
la

Le rle du RSSI :

Toutes ces fonctionnalits sont essentielles aux

offres Docapost.

Dans un contexte o :

Sajoutent des conformits techniques plus ou

moins obligatoires, le rfrencement de
lAutorit de certification par les navigateurs
par exemple.

lorganisation interne fait lobjet de

changements
frquents
(fusions,
regroupements ou crations dactivit),

les obligations
multiples,

Docapost rpond galement la ncessit, plus

marketing
dassurer
une
veille
technologique et rglementaire. Lentreprise a
un devoir de conseil auprs de ses clients sur la
lgislation qui volue rgulirement.

sont

Il gre les projets doptimisation :

Docapost est un groupe jeune, cre en
2008, qui a besoin dhomogniser ses
pratiques, ses comptences et ses
rfrentiels.

Les engagements de conformit sont

inscrits dans les contrats et en cas de nonconformit, Docapost sexpose une
interdiction
dexercer
les
mtiers
concerns.

Une dmarche en scurit de linformation du

groupe implique par consquent :

LObsolescence
technologique
ou
juridique sur les activits darchivage
lectronique par exemple peut entraner la
ncessit dun volume trs important et
soudain de migrations.

La conformit chez Docapost bnficie dune

implication trs forte de la Direction qui
sappuie sur un dpartement QSE (Qualit,
Scurit, Environnement) constitu dexperts
qualits et dauditeurs internes. Ils grent les
audits, managent les certifications 9001 et les
traduisent en processus oprationnels. Les
risques de non-conformit sont remonts au
niveau stratgique.

Une cohrence et une cohsion entre les

diffrentes activits.

Une dmarche damlioration continue,

notamment dans la gestion des
changements.

Des processus SSI transverses (outillage

technique, cartographie et classification,
expertise technique).

Le groupe doit donc se doter :

Mais les activits de Docapost sont trs

cloisonnes et la conformit contribue souvent
renforcer ce cloisonnement. En effet, lorsque
des processus ont t mis en conformit, ils ont
tendance se figer : la conformit est une
excuse pour ne plus bouger . Or, Docapost
Confrence Conformit
et analyses de risques

conformit

Il veille ce que la conformit soit

prserve, lors des changes et des
oprations communes entre services qui ne
rpondent pas forcment aux mmes
normes.

La multitude de rfrentiels applicables

entrane de vrais risques de non conformits.
Par exemple :

de

5/8

dun SMSI dclin selon les primtres et

consolid au niveau groupe. Lide tant
de consolider au niveau groupe les
indicateurs, les tableaux de bord etc. et
que tout le monde parle le mme langage ;

dun outillage complet en management des

risques : analyse de risques complte,
risques individualiss et risques projet.

CLUSIF 2012

La conformit donne
importants au RSSI :

des

leviers

Limplication de la Direction.

Linscription dans une gouvernance :

trs

trop prcis : les prcisions seront

apportes l o elles sont ncessaires et il
doit russir englober les modles et
concepts proches,

trop rigide : il doit pouvoir voluer au gr

des nouvelles versions de rfrentiels, ou
au gr des volutions du contexte. Il faut
garder lesprit que cest un outil.

des
ressources
disponibles
(dpartement QSE, service juridique),
de la dfinition et formalisation des
responsabilits,

Ce modle permet :

La matrialisation du travail accompli

(labels, certificats), fort vecteur de
motivation des quipes.

dintgrer les rsultats daudit directement

dans une gestion cohrente. Il est en effet
dommage denterrer les audits une fois
quils ont rempli leur mission,

Des chances qui remettent les projets

SSI dans la liste des actions prioritaires.

de produire des tableaux de bord cohrents

et consolids,

Des rfrentiels de conformit qui

commencent parler danalyse de risques
(PCIDSS, 27001 etc.).

de communiquer sur les risques plus

facilement, avec des collaborateurs forms
sur le modle,

de faire de lanalyse de risque et donc de

scuriser le SI !

des
formalismes
existants
(enregistrement au sens 9001).

Pour grer les risques et la conformit il faut :

Pour conclure, grer la conformit et grer la

scurit de linformation sont deux choses
diffrentes. Mais ces deux dmarches sont
complmentaires et doivent coexister.

Se doter dun modle de risque

rfrent (pouvant tre rutilis,
quelque soit le rapport daudit ralis),
qui
soit
consistant,
rigoureux, intelligible,

rationnel,

Le RSSI doit rester pragmatique et ne doit

pas se priver des leviers offerts par la
conformit. Mais le management des risques
est le seul moyen de grer correctement la
SSI. Cest aussi un outil pour soutenir le
management de la conformit. Il doit dans ce
cas sappuyer sur un modle robuste,
parfaitement compris et expliqu.

dont les concepts et la terminologie

sont bien dcrits,
qui dtermine les automatismes, les
grilles de dcision,
dot de tables de rfrences minimales
qui voluent.

Documenter les correspondances, les

quivalences
et
les
diffrences
terminologiques
avec
les
autres
rfrentiels.

Dcliner ce modle dans les processus

(dans le sens des activits ITIL), par
exemple :

***
Matthieu Grall, CNIL
Aprs les interventions prcdentes, Matthieu
Grall souhaite apporter un autre point de vue.
La CNIL, cest avant tout 17 commissaires qui
se runissent chaque semaine pour prendre des
dcisions : ils font de la gestion de risques en
permanence. Quand un organisme demande
lautorisation de mettre en uvre un traitement
de donnes caractre personnel, ce sont eux
qui en dcident.

constitution et suivi des plans daction,

gestion des incidents et des problmes,
classification des informations,
cadrage des projets,
monitoring et indicateur.

Les principales missions de la CNIL se partage

en deux grandes activits :

Ce modle ne doit pas pour autant tre :

Confrence Conformit
et analyses de risques

6/8

CLUSIF 2012

en amont, conseiller
conformit ;

en aval, contrler et le cas chant

sanctionner.

et

valuer

Si la CNIL veille la protection de la vie

prive, elle estime aussi que cest de la
responsabilit de chacun. Elle a donc formalis
des processus, de faon les rendre le plus
accessibles
possible
(la
CNIL
est
essentiellement compose, non pas de
spcialistes en scurit, mais de juristes). Elle a
publi deux guides :

la

Pourquoi grer les risques sur les liberts et la

vie prive ? Pour viter les sanctions bien sr.
Mais surtout, lexistence dune loi sur la
protection de la vie prive est souvent un bon
argument pour faire avancer les choses dans le
domaine de la scurit en gnral. La loi
informatique et liberts peut en effet servir
de levier pour justifier certaines actions de
scurit.
Larticle 34 de loi dit, en rsum, quil faut
dterminer des mesures proportionnes aux
risques. Comment dmontre-t-on quon est
conforme cet article ?

une mthode, qui explique comment grer

les risques sur la vie prive ;

un catalogue de mesures, dans lequel il est

possible de choisir et dadapter des
solutions pour traiter les risques encourus.
Ce catalogue ne doit surtout pas servir
faire des audits de conformit !

Ces deux guides sont disponibles sur le site de

la
CNIL
(http://www.cnil.fr/en-savoirplus/guides/).

De manire gnrale, il sagit de mettre en

uvre, pour tous les traitements de donnes
caractre personnel, des processus qui
protgent les personnes concernes et leur
permettent dexercer leurs droits.

Selon la CNIL, un risque est un scnario

dcrivant un vnement redout et toutes les
menaces qui le rendent possible.

Sur la partie menaces , les approches de

la protection de la vie prive et SSI sont
trs communes. La partie menace
comprend toutes les sources de risques
quelles soient humaines ou non, internes
ou externes, volontaires ou accidentelles.
Mme si ce sont des donnes caractre
personnel,
il
sagit
bien,
aussi,
dinformations , ce qui permet aux
deux approches dtre similaires.

La scurit des systmes dinformation est-elle

comprise dans la protection de la vie prive ou
la vie prive est-elle comprise dans la scurit
des systmes dinformation ? Cest une simple
question de point de vue.

Sur la partie vnements redouts , on

ne trouve que les donnes caractre
personnel et on considre uniquement les
impacts sur les personnes.

En synthse,

Le principe de la mthode ressemble toute

analyse de risque. En synthse :

Certains risques portent dailleurs sur le fait

que ces processus peuvent ne pas tre mis en
uvre ou tre dtourns.
La loi pourrait devenir encore plus explicite en
termes de gestion des risques, notamment si le
prochain rglement europen sur la protection
des donnes impose de raliser une
apprciation des impacts sur la vie prive.

la scurit des systmes dinformation

consiste protger lorganisme. Le RSSI
regarde toutes les informations manipules
au sein de lorganisme et tudie les
impacts financiers, dimage et juridiques.
Cest dans ce cadre quil va considrer les
risques de non-conformit la loi
informatique et liberts .

1. tude du contexte.
2. tude des vnements redouts : quels sont
notamment les impacts sur les personnes
concernes ?
3. tude des menaces.
4. tude des risques.
5. tude des mesures. Elle consiste piocher
dans un catalogue de mesures comme celui
propos par la CNIL ou un autre. Et les
adapter ses risques propres.

La protection de la vie prive protge les

personnes concernes des traitements mis
en place par lorganisme. Le point de vue
nest pas le mme que pour la SSI, et
pourtant cette dmarche peut tre intgre
dans lapproche risque.

Confrence Conformit
et analyses de risques

7/8

CLUSIF 2012

Dans ltude du contexte, une notion

importante concerne les enjeux du systme :
par exemple, il faut parfois mettre en quilibre
la sauvegarde des donnes caractre
personnel et la survie de la personne
concerne. Les commissaires de la CNIL sont
parfois amens trancher en prenant compte
de ces enjeux. Et en gnral tout le monde y
veille, intuitivement.

Pour conclure, le principe le plus important

est dapprcier les risques et de les traiter
leur juste valeur. tre souple est aussi une
notion de bon sens. La mthodologie publie
par la CNIL respecte simplement une logique :
cest une dmarche pour penser protection
des personnes concernes.

Questions et Rponses avec lassistance.

Cette confrence comportait galement un dbat avec la salle, non retranscrit dans ce document mais
disponible en vido, sur le site web du CLUSIF, ladresse suivante :
http://www.clusif.fr/fr/production/videos/#video121213.

Retrouvez les vidos de cette confrence et les supports des interventions sur
le web CLUSIF http://www.clusif.fr/fr/infos/event/#conf121213.

Confrence Conformit
et analyses de risques

8/8

CLUSIF 2012