Ce matin encore, j'ai eu une discussion sur l'inflation règlementaire du moment et l'approche souhaitable pour obtenir et maintenir des conformité multiples. 

Parce que oui, l'époque de la règlementation unique est derrière nous : désormais il faut savoir prendre en compte une multitude d’exigences en même temps. 

On trouve ainsi de plus en plus d'entreprises qui, à la fois :

• sont soumises à NIS 2, directement ou indirectement.
• doivent satisfaire les exigences du Référentiel Maturité Cyber applicable aux sous-traitants de la base industrielle et technologique de défense (BITD). 
• ne doivent pas oublier le RGPD toujours présent.
• héritent de demandes spécifiques de certains clients...
• doivent satisfaire des prérequis pour une assurance cyber.

Et là, arrive rapidement le piège du fonctionnement en silo, cause principale de l'épuisement des acteurs de la GRC (Gouvernance, Risque, Conformité).

Cette approche en silo est naturelle, souvent causée par le poids de l'histoire de l'entreprise : elle consiste à gérer un projet de conformité de manière indépendante, en traitant chaque référentiel l'un après l'autre au fur et à mesure des publications. Avec un résultat inévitable : une charge de travail dupliquée, des incohérences et une obésité documentaire rapidement très pénible à gérer.

Il existe pourtant une approche plus pragmatique : l'harmonisation des contrôles. L'objectif est simple : travailler une exigence de sécurité une seule fois, de manière assez robuste pour qu'elle puisse satisfaire simultanément plusieurs référentiels. Et seulement ensuite traiter le spécifique.

Dit autrement : il faut rationaliser la conformité autant que possible, tout en visant la conformité à des référentiels multiples, ou se préparer aux évolutions à venir.

La philosophie du "socle commun"

Tout d'abord, au lieu de regarder ce qui différencie ISO 27001 de NIS2, concentrez-vous sur ce qui les rassemble. Environ 70 à 80 % des exigences de sécurité se recoupent d'un référentiel à l'autre. Elles sont souvent redondantes, juste formulées différemment.

L'idée n'est donc plus de viser la conformité à une norme spécifique dès le départ, mais de construire un cadre de contrôle interne robuste qui couvre le plus grand dénominateur commun.

Un exemple de recoupement (simplifié) d'exigence : le MFA

Si vous implémentez l'authentification multifacteur pour les accès, vous couvrez en une fois :

• Une exigence de l'ISO 27001.
• Une exigence NIS 2.
• Le guide d'hygiène de l'ANSSI.
• Un critère hyper récurrent des assurances cyber.
• L'un des critère du RMC.
• Le bon sens ET l'état de l'art.

Un autre exemple, avec la gestion des incidents cette fois :

Plutôt que de créer une procédure de réponse au incidents pour le RGPD et une autre pour NIS 2, il est parfaitement possible d'unifier l'approche avec une notion de ramification basée sur :

• Un tronc commun : Détection -> Qualification -> Endiguement -> Notification.
• Des branches qui partent de la notification en fonction des cas : données personnelles impliquées => notifier la CNIL et les personnes concernées (RGPD). Impact important sur une entité, notifier l'ANSSI (NIS 2).

On le voit (du moins je l'espère) : avec un minimum de prise de recul, on peut commencer à entrevoir la possibilité de réduire fortement la complexité du sujet. En évitant les mises à jour qui ne se propagent pas dans tous les sens en perdant leur cohérence. 

Alors oui, ça implique un minimum de travail de réflexion et un peu de gymnastique intellectuelle, mais l'approche "tronc commun" est un vrai gain si on s'en donne la peine.

Et quand les exigences sont proches ... mais pas égales ?

A nouveau, ça ne coute rien de vérifier si un dénominateur commun peut être trouvé. Cherchez si il est possible de viser le standard le plus haut pour couvrir automatiquement les standards inférieurs.

Un exemple (pas le meilleur, mais il est parlant) : si une exigence X demande des clés de 256 bits minimum, et une exigence Y demande des clés de 512 bits, utilisez 512 bits pour tout le monde. Et donc une seule politique de chiffrement pour une unification des mesures.

Évidemment ça ne fonctionne pas toujours. Mais à chaque fois que vous découvrez une possibilité de cet ordre vous diminuez la complexité d'un cran.

OK, mais mes documents alors ? 

Là encore, l'alignement des exigences permet de rationaliser la documentation et d'éviter le cauchemar des auditeurs et des audités : se retrouver avec deux politiques différentes qui disent la même chose avec des mots différents. Ou pire, qui finissent par ne plus dire la même chose avec le temps !

Évitez donc de construire une arborescence par norme ou directive en dupliquant des informations. Créez plus simplement des dossier par thème (ex : "Contrôles des accès") qui permettront le suivi de la documentation du socle.

Un autre sujet : plutôt que de viser la PSSI ultime qui intègre tout, construisez une PSSI "entreprise" qui coche toutes les cases communes, puis déclinez en compléments pour couvrir le spécifique (ex : "politique de développement").

L'anticipation des exigences et cadres futurs

Travailler la conformité de manière unifiée est le meilleur investissement pour l'avenir. Parce que malgré la multiplicité des règlements, les régulateurs convergent vers des exigences similaires :

• Gouvernance et processus
• Risque et gestion des tiers (la fameuse Supply Chain)
• La résilience (on ne protège pas seulement, on vise la survie)

Si votre programme de conformité est construit autour de grands piliers plutôt qu'autour des chapitres d'une norme ou des exigences d'un règlement, l'arrivée du prochain cadre ou les évolutions futures de l'ISO ne seront plus des bouleversements, mais de simples ajustements à la marge.

Ça n'évitera pas forcément un document unique qui fera le lien entre les référentiels et leurs exigences, mais vous y gagnerez sur tout le reste.

On pourrait trouver encore de nombreux exemples qui fonctionnent. Vous pourrez aussi m'opposer des exemples où ça ne fonctionne pas (j'en ai aussi !) mais ce n'est pas grave : le but n'est pas de faire du tout en un, mais de réduire significativement la complexité et de faciliter la gestion au quotidien.

Sans jamais réduire l'efficacité.

Notez que c'est exactement mon approche lorsque j'accompagne mes clients vers la conformité. Parce qu'ils sont désormais presque toujours concernés par des exigences multiples (NIS 2, RGPD, et RMC, par exemple).

Et quand bien même vous avez déjà une approche en silos, il n'est jamais trop tard pour se poser et faire le travail de rationalisation. C'est d'ailleurs un travail d'alignement (voir de nettoyage) que je réalise de plus en plus. 

Et si ISO 27001 était la solution ?

Si vous vous posiez la question, les nouvelles exigences ne viennent pas diminuer l’intérêt de la norme (volontaire) ISO 27001. Bien au contraire.

D'abord la valeur d'une certification ISO reste entière : c'est obtenir une reconnaissance très officielle pour l'ensemble des efforts réalisés. 

Dire (par exemple) "Je suis conforme à NIS 2", c'est une auto-déclaration. Dire "Je suis certifié ISO 27001", c'est une preuve reconnue internationalement.

En utilisant l'ISO comme véhicule pour votre conformité NIS 2, vous faites d'une pierre deux coups : vous respectez la loi ET vous gagnez un avantage commercial majeur à afficher. Et quand l'auditeur de n'importe quelle entité arrive et sait que vous êtes conforme à la norme de référence, tout devient plus simple.

Notez bien que ISO 27001 ne permet pas de bénéficier d'une présomption de conformité à NIS 2 ou à d'autres exigences. Pour autant, les synergies et points de convergence sont plus nombreux que les différences.

Ce qui ne gâche rien : ISO 27001 s'appuie sur une méthode qui parle à tout ceux qui gèrent des Systèmes de Management de la Qualité. Si vous êtes ISO 9001 ou 14001, vous disposez de fondamentaux qui faciliteront la mise en œuvre de la 27001.

Bref, la 27001, qui fête ses 20 ans, n'a jamais été aussi actuelle. Miser sur l'ISO 27001, c'est choisir de ne pas subir l'inflation réglementaire. C'est adopter un cadre de travail structurant qui vous servira pour NIS 2 aujourd'hui, pour le CRA demain, et pour n'importe quelle nouvelle exigence dans 5 ans.

Et ne pensez pas que c'est une approche réservée aux entreprises de grande taille : ISO 27001 est de plus en plus adoptée par des PME qui se rendent compte que c'est une norme plus accessible qu'on peut le penser. 

N'hésitez pas à me contacter pour échanger sur vos sujets de conformités et vos interrogations. Je vous promets que dès le premier échange, on peut donner énormément de sens à la démarche et clarifier énormément de sujets qui empêchent de bien dormir la nuit :)

Mon métier, c'est de simplifier la complexité.

Vous savez où me joindre !