Stratégie

Sept erreurs à éviter sur la conformité

Gary Kern, CIO de Middlefield Banking : « tout le monde partage les mêmes buts, y compris les régulateurs : éviter les erreurs, améliorer les environnements et apporter davantage de transparence. »

Les réglementations concernant les systèmes IT et les données se multiplient. Les DSI doivent se saisir de ces enjeux réglementaires, afin d'éviter des erreurs courantes qui peuvent entraîner de lourdes amendes en cas de non-conformité. Cet article adapté de CIO États-Unis présente sept d'entre elles.

PublicitéLa conformité est un sujet pour à peu près toutes les entreprises, en particulier dans les secteurs hautement réglementés tels que la santé, les services financiers et les administrations. Et si la conformité est souvent la responsabilité des services juridiques, de conformité, de gestion des risques ou d'autres départements similaires, l'IT a assurément un rôle à jouer dans les efforts de conformité de toute organisation. Les DSI et autres cadres techniques de haut niveau doivent être conscients de toutes les réglementations qui concernent les données, la confidentialité, la sécurité et d'autres éléments technologiques. Ils peuvent jouer un rôle clef en veillant à ce que leurs organisations ne se voient pas infliger de lourdes amendes en cas de non-conformité.

Pendant des années, les décideurs IT de la santé et des secteurs connexes ont dû gérer l'impact de la loi HIPAA (Health Insurance Portability and Accountability Act), qui impose la sécurité et la confidentialité des données électroniques de santé. Mais l'environnement réglementaire devient de plus en plus complexe, en particulier avec l'émergence de très nombreuses règles sur la confidentialité des données, notamment le Règlement général sur la protection des données (RGPD) de l'UE et le California Consumer Privacy Act (CCPA). Des dizaines de pays et d'États américains empruntent le même chemin, avec des réglementations similaires pour protéger les données des individus. Le cabinet d'études Gartner a prédit que d'ici la fin de 2023, les données personnelles de 75 % de la population mondiale seront couvertes par ces lois modernes sur la protection de la vie privée. La conformité réglementaire liée aux systèmes d'information, aux réseaux, aux appareils et aux données est aujourd'hui une réalité pour les entreprises, ce qui en fait un sujet de préoccupation important pour les DSI. Leur rôle est d'aider les efforts de mise en conformité et de prévenir ce qui peut causer des difficultés. Voici quelques erreurs à éviter, selon les experts.

1. Traiter les auditeurs en adversaires

Il est parfois difficile de ne pas adopter une attitude défensive, confie Gary Kern, CIO de Middlefield Banking. Cela peut se produire lorsque les auditeurs et les examinateurs questionnent les initiatives IT et leur impact sur la conformité. « Vous avez des gens qui décortiquent la stratégie que vous avez soigneusement pensée, et vous savez qu'ils vont trouver quelque chose à dire », dit-il. Cependant, laisser cette situation créer des frictions n'arrangera pas les choses. « Il est toujours préférable d'avoir des discussions en face à face, de discuter de leur point de vue et de réfléchir à la manière dont celui-ci pourrait améliorer votre environnement », estime Gary Kern. « Une raison d'espérer est que tout le monde partage le même but, y compris ceux qui ont établi les règles de conformité : il s'agit d'éviter les erreurs, d'améliorer les environnements et d'apporter davantage de transparence dans les processus. »

PublicitéGary Kern a eu l'occasion de mettre cette tactique à l'épreuve lors d'un audit de la banque. « Je n'étais pas nécessairement d'accord avec certaines des conclusions préliminaires, j'ai donc eu une discussion approfondie avec l'auditeur IT principal afin de comprendre le « pourquoi » des commentaires et d'essayer d'expliquer de manière non défensive ce que nous aurions pu faire à la place », dit-il. « Nous sommes parvenus à nous mettre d'accord sur une vision qui nous semblait juste à tous les deux, puis nous sommes passés à autre chose. » Environ six mois plus tard, l'examinateur a demandé à Gary Kern de participer à un panel de banquiers lors d'une conférence nationale annuelle de formation des examinateurs. « Cela s'est avéré être une formidable expérience pour moi, qui m'a permis de mieux comprendre l'ensemble du processus », dit le CIO.

Souvent, les régulateurs puisent leurs observations dans les rapports d'audit interne, explique Samir Datt, directeur général de la pratique de conseil en technologie du cabinet de conseil Protiviti. « Si les DSI collaborent et participent à ce processus d'audit interne plutôt que de s'en cacher, cela leur permet de s'attaquer de façon proactive à la conformité réglementaire avant les audits des régulateurs », conseille Samir Datt.

2. Mal gérer les exceptions

Il existe des exceptions à la plupart des règles, et cela s'applique aux réglementations qui régissent différents aspects de l'informatique. « Il existe rarement une bonne réponse valable dans 100 % des cas, surtout quand le métier, la sécurité et l'impact sur le client demandent des compromis », observe Gary Kern. « Par conséquent, c'est une bonne idée de mettre en place un processus de gestion des exceptions. » Pour celui-ci, il faut documenter ce qui est fait en indiquant pourquoi cela pourrait entrer en conflit avec une règle de conformité existante ; indiquer les mesures supplémentaires qui sont prises pour atteindre les objectifs de conformité ; préciser si le contournement d'une règle intervient de façon permanente ou s'il sera réexaminé régulièrement et enfin mentionner les responsables seniors, hors IT, qui ont approuvé la pertinence de l'exception. « Bien entendu, certaines règles ne peuvent tout simplement pas être contournées », note Gary Kern. « Mais dans les cas où l'entreprise doit prendre la décision d'accepter le risque, assurez-vous que cela est entièrement expliqué. Les autres façons de traiter l'intention derrière la règle de conformité ou les raisons pour lesquelles celle-ci n'est pas pertinente dans toutes les situations doivent être mentionnées.

3. Échouer à préparer son équipe

Comme sur la plupart des aspects de l'IT, un manque de compétences, d'expérience et de connaissances nécessaires peut entraîner des problèmes de conformité. « Une stratégie de conformité solide commence avec son équipe », déclare Rashmi Kumar, CIO du fournisseur de technologie Hewlett Packard Enterprise (HPE). Il est important que les DSI créent une équipe de conformité avec une approche d'amélioration continue, afin de répondre aux changements réglementaires portant sur l'IT, estime Rashmi Kumar.

Chez HPE, l'équipe globale de conformité IT « s'appuie sur un plan d'amélioration continue, dans le cadre duquel nous identifions en permanence les changements qu'il faut apporter à notre programme de conformité dans les domaines du reporting, de l'engagement et de la gestion des contrôles », explique Rashmi Kumar. « Grâce à cette approche de la conformité, nous avons pu réduire de cinq jours notre délai de mise à disposition des preuves. » Les efforts de conformité doivent être transverses, dit Kumar. « Nous faisons de la conformité la responsabilité de tous, en l'incluant dans les objectifs individuels » à l'intérieur et à l'extérieur de l'IT, dit-il. « Cela garantit à l'entreprise de bénéficier du soutien et de l'engagement de l'ensemble de l'organisation, développant ainsi une culture de la conformité. »

4. Laisser la conformité dicter la politique de sécurité

Si les responsables IT et de cybersécurité doivent se tenir au courant des enjeux de conformité, en particulier des exigences réglementaires, « l'objectif doit toujours être un programme de sécurité solide qui soutient correctement votre entreprise, ses objectifs et le secteur vertical dans lequel vous opérez », affirme Russel Prouix, RSSI de la société de services de paiement pour la santé Zelis. « Si vous faites cela, la conformité devient un résultat et non simplement un objectif. »

Les mesures de sécurité de base sont souvent mal gérées, ce qui constitue une pierre d'achoppement en matière de conformité, explique Russel Prouix. Celles-ci comprennent une gestion appropriée des correctifs et des vulnérabilités, une bonne hygiène de la sécurité des comptes utilisateurs (ou la suppression des comptes au bon moment lorsqu'un employé quitte l'organisation), l'utilisation d'une authentification à deux facteurs pour l'accès à distance et des mesures de sécurité et de gestion des appareils mobiles appropriées, dit-il. « Une bonne sécurité nécessite une approche top-down », déclare Russel Prouix. Avant de tenter de mettre en oeuvre toute initiative du programme de cybersécurité, y compris celles qui contribuent à la conformité, « vous devez obtenir l'adhésion du conseil d'administration, du PDG et de la direction pour donner le ton », dit-il. L'IT et la sécurité doivent ensuite s'associer aux métiers pour assurer la protection des données tout en permettant aux données de circuler, afin que l'entreprise puisse prospérer et rester compétitive, poursuit Russel Prouix.

5. Négliger des outils technologiques clefs

Il existe tout un marché de solutions technologiques pour répondre aux besoins de conformité, et même si les équipes juridiques et de conformité peuvent être chargées de se les procurer, les responsables IT peuvent tout à fait participer à la sélection et au déploiement des solutions les plus appropriées.

Le cabinet Gartner a identifié en septembre 2021 trois domaines sur lesquels les responsables de la conformité devraient concentrer leurs investissements technologiques. L'un concerne les systèmes d'enregistrement sources. Investir dans de tels systèmes de conformité peut réduire la capture des données requises pour la création de rapports, autrement effectuée de façon ad hoc. Selon le cabinet, cela permet aussi de créer des ensembles de données en vue de libérer le potentiel de l'analyse et de l'intelligence artificielle (IA) pour la conformité. Les outils de workflows numériques forment le second domaine. Selon Gartner, les équipes juridiques et de conformité ont plus de travail que jamais à gérer. La technologie permet de numériser les flux de travail les plus volumineux, apportant ainsi des améliorations significatives sur ces tâches. Le troisième domaine est la gestion numérique du risque. Selon le cabinet, la volatilité de la réglementation, la transformation numérique de l'entreprise, l'augmentation des risques de cybersécurité et l'ampleur des informations associées à la surveillance des risques et aux activités de sécurité mettent à rude épreuve la capacité des organisations à gérer efficacement les risques avec les moyens traditionnels. Les responsables de la conformité doivent rechercher des façons de rationaliser la gestion des risques et les activités liées à la conformité. Ils doivent aussi améliorer leur compréhension des risques, grâce à l'intégration de leur système avec les sources de données opérationnelles.

En moyenne, les équipes de conformité sont en retard sur l'adoption de la technologie par rapport à beaucoup d'autres fonctions de l'entreprise, note Zack Hutto, directeur du conseil dans la pratique juridique et de conformité de Gartner. Les équipes doivent d'abord mettre en oeuvre des systèmes d'enregistrement, puis investir dans des outils pour faciliter les workflows clefs, avant d'explorer des pistes plus sophistiquées comme la gestion numérique des risques, poursuit-il.

6. Ne pas comprendre l'intention derrière la réglementation

Dans certains cas, la manière dont les organisations perçoivent un enjeu réglementaire n'est pas parfaitement alignée avec l'intention derrière la réglementation, ce qui peut entraîner des confusions. Ce constat est valable pour des enjeux IT comme la confidentialité des données. « Nous voyons souvent des entreprises retomber dans les mêmes travers avec leur réponse, sans vraiment comprendre la demande des régulateurs », explique Samir Datt. « Les régulateurs fournissent souvent des observations ou des listes de points nécessitant une attention, ce qui est un « indice » de ce qu'ils considèrent vraiment comme un problème. »

Ainsi, au lieu de se concentrer sur le verbiage des points d'attention et observations, les organisations devraient chercher à comprendre vraiment l'intention sous-jacente, conseille Samir Datt. « Un bon dialogue collaboratif avec les régulateurs permet de comprendre l'esprit dans lequel leurs remarques ont été faites », dit-il.

7. Manquer d'une gouvernance structurée

Même si les organisations peuvent avoir mis en place des processus et des contrôles substantiels, elles manquent souvent d'un cadre de gouvernance et de gestion des risques structuré, qui garantit la couverture des risques ainsi que l'alignement de leurs processus et contrôles sur les exigences réglementaires, explique Samir Datt. « Le manque de processus structurés et documentés peut conduire à une architecture et des contrôles d'entreprise non rationalisés, ralentir les réponses aux demandes de renseignements réglementaires ou autres, ou aboutir à de potentiels angles morts laissant l'entreprise exposée », indique le directeur du conseil technologique chez Protiviti.

Les DSI et les autres leaders technologiques devraient faciliter la mise en place d'une structure de gouvernance globale, qui rassemble les équipes de sécurité de l'information, d'architecture d'entreprise, d'applications et d'infrastructure, afin d'intégrer d'emblée la conformité réglementaire dans le processus de livraison technologique, déclare Samir Datt.

Article de Bob Violino / CIO États-Unis (Adaptation et traduction par Aurélie Chandèze)