La gestion de ces preuves (« evidence » en anglais) est une activité qui est chronophage car il faut rafraîchir ces preuves de façon régulière, et ainsi démontrer qu’avec une preuve récente, on a là le parfait témoignage de notre diligence à être conforme.
Un des problèmes est qu’il existe deux types de vérification : la vérification du design d’un contrôle, et la vérification de l’efficacité d’un contrôle. Par exemple, le vérificateur désire vérifier qu’il existe un processus pour désactiver les accès des employés qui ont quittés l’organisation. Et idéalement que la désactivation se fait rapidement (ex : au plus 24 heures après le départ de l’employé).
La vérification du design implique que le vérificateur se contentera d’à peu près n’importe quelle preuve. Par exemple, fournir un échantillon de journaux prouvant la prompte désactivation de 10 employés. En soi, c’est une preuve valide. Mais si on a affaire à une organisation qui n’a réussi qu’à désactiver ces 10 employés via le processus, alors la preuve ne vaut rien et l’organisation n’est en fait pas conforme mais le vérificateur ne le sait pas.
Le deuxième type de vérification est plus exigeant et par exemple, dans le cas ci-haut, le vérificateur pourrait sélectionner lui-même un échantillon d’employés ayant quittés l’organisation et demander les preuves de désactivation rapide des 10 employés. Comme c’est un échantillon pris au hasard, l’idée est que s’ils sont tous conformes, c’est que le processus marche bien et que le contrôle est efficace.
Ces vérifications qui sont faites vis-à-vis une norme connue sont une activité dont la valeur est largement reconnue.
Alors que j’effectuais un mandat de consultation en cybersécurité, un vérificateur mandaté par un client mettait la touche finale à ses recommandations. L’une d’elles exigeait que l’organisation installe des caméras avec microphones dans toutes les salles de conférences et que les enregistrements vidéo soient passés en revue de façon quotidienne. Cela visait apparemment à empêcher les personnes externes telles que les consultants, d’aller s’enfermer dans une salle de conférence et exfiltrer des informations de l’organisation. On parle ici d’embaucher 6 personnes dont 3 a temps plein, pour chacune des salles de conférence de l’organisation, seulement dans le but de revoir des enregistrements vidéo.
Le problème (en plus du fait qu’elle entrainerait des frais énormes pour l’organisation et qu’elle est contraire aux lois sur la protection des données personnelles) est qu’une telle exigence ne se retrouve dans aucune norme et on se demande en effet quelles sont les normes utilisées par ces vérificateurs privés. Toujours est-il que la probabilité que l’organisation implante cette exigence était autour de 0%. Que faire alors, dans l’optique ou le défaut de mettre en œuvre l’exigence pourrait conduire une résiliation de contrat avec un client? C’est ici que la pensée créative intervient. L’intention de l’exigence est d’empêcher l’utilisation des salles de conférence dans l’exfiltration de données par des tierces parties. L’organisation a solutionné ce dilemme en respectant l’intention mais en déployant un contrôle compensatoire : elle a émis une directive interdisant l’accès aux salles de conférences à tous les consultants, avec désactivation immédiate de ces accès. Le coût de ce contrôle est à peu près nul, et le vérificateur n’a eu d’autre choix que de l’accepter étant donné que l’intention est respectée.
À la place, demandons-nous quelle est l’intention du contrôle : Il s’agit fort probablement d’empêcher une personne malveillante de copier des données d’entreprise et de les emporter à l’extérieur. Il se commet de telles choses de façon régulière encore de nos jours. En pensant de façon créative, on pourrait en déduire qu’en désactivant la fonction des ports USB permettant de connecter des unités de stockage, on règle le problème. Ça se déploie avec une GPO (Group Policy Object) dans un environnement Windows et ça a un coût faible. On peut réserver des exceptions pour les gens qui en ont besoin pour exercer leurs fonctions. Et ce contrôle compensatoire respecte l’intention du contrôle.
Les bonnes normes de vérification ne listent pas seulement les contrôles, mais elles listent aussi les objectifs de contrôle. Ces objectifs, sont en fait l’intention du contrôle. En cas de doute, n’hésitez pas à discuter de ces objectifs avec le vérificateur. Cela va vous permettre de penser de façon créative, et d’éviter les situations dans lesquelles un vérificateur tente de vous imposer une solution, sans même connaitre votre organisation. Personnellement, je reconnais aux vérificateurs le droit de me pointer mes faiblesses de cybersécurité, mais je ne leur reconnais pas le droit de me dicter la façon de les remédier. La remédiation sera faite en ligne avec la culture de l’entreprise, les cadres juridiques et normatifs dans lesquels elle évolue, ses assises technologiques et architecturales, ses collaborateurs, etc.
Ne sous-estimez pas le pouvoir de la pensée créative. Chez Sémafor Conseil, nous nous efforçons de toujours mettre ce mode de pensée à votre disposition, de sorte que les solutions qui vous sont offertes soient abordables, pragmatiques, et efficaces.
