Site Search

Menu

Services

Menu

Fortunes privées & Entrepreneurs

Featured

L’intelligence artificielle

Résultats de la charge

Gestion de la conformité de sécurité

Qu’est-ce que la conformité en matière de sécurité et pourquoi est-elle importante ?

Fabian Faistauer

Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Suisse

Katarina Nikolic

Katarina Nikolic
Cybersécurité et protection des données, PwC Suisse

Christoph Ulmer

Christoph Ulmer
Cybersécurité et protection des données, PwC Suisse

Dans cet article, nous examinons la conformité en matière de sécurité et ses avantages, non seulement en termes de conformité stricte aux réglementations, mais aussi en tant que moyen efficace de préserver et de stimuler les performances de l’entreprise en renforçant la sensibilisation ainsi que la gestion des menaces liées à la sécurité de l’organisation.

Les organisations sont soumises à une pression croissante pour protéger leurs données. Non seulement les réglementations protégeant les données personnelles et sensibles liées à l’entreprise ne cessent de se multiplier, mais leur champ d’application s’élargit également. L’obligation de « conformité » ne concerne plus les secteurs traditionnellement très réglementés tels que la santé et les banques

Voici les points abordés aujourd’hui :

Avec la mise en place du RGPD et l’entrée en vigueur de la loi suisse sur la protection des données à l’automne 2023, toute organisation manipulant des données personnelles réglementées doit garantir un certain niveau de sécurité de ces données. En outre, toute entité qui accepte, traite, stocke ou transmet des informations relatives aux cartes de crédit et de débit doit se conformer à la norme PCI DSS. Si un incident de sécurité se produit, de lourdes sanctions sont appliquées en cas de non-conformité.

Les amendes imposées par les organismes de réglementation en cas de non-respect des exigences de protection des informations telles que les données personnelles identifiables, les données des titulaires de cartes de paiement et les données sur la santé des patients ne sont pas négligeables et entraînent des coûts supplémentaires – même longtemps après l’incident.

The New Equation

Cybersécurité et protection des données

Les cyberattaques représentent une menace permanente pour les entreprises issues de tous secteurs d'activité. Nous vous aiderons à identifier les risques et à les combattre.

En savoir plus

Les pertes potentielles peuvent être bien supérieures aux amendes

Même en l’absence de sanctions, une violation de données peut à elle seule coûter des millions à une organisation en raison de la perte de données métiers sensibles, du ternissement de la réputation et des coûts de rétablissement post-incident. Selon l’étude Global Digital Trust Insights 2023 de PwC, au cours des trois dernières années, une compagnie sur quatre dans le monde a subi une violation de données qui lui a coûté entre 1 et 20 millions de dollars ou plus.

La transformation radicale du mode de fonctionnement des entreprises modernes a également entraîné une évolution du profil des risques et des menaces. Le terrain de jeu des cybercriminels est désormais beaucoup plus vaste. La capacité à assurer le suivi des informations et des actifs informatiques (et à s’assurer qu’ils sont configurés de manière sécurisée), des modifications importantes apportées aux systèmes et des changements dans les réglementations applicables est essentielle pour les entreprises. C’est là qu’entre en jeu une gestion bien coordonnée de la conformité en matière de sécurité :

Limiter les effets négatifs et augmenter les effets positifs

Il ne s’agit pas d’être conforme pour le simple fait d’être conforme. La gestion de la conformité en matière de sécurité vous permet de garantir un haut niveau de sécurité conformément aux normes de bonnes pratiques du secteur, telles que les normes ISO 27001, COBIT et NIST-800. Elle vous permet également de gérer correctement les données et les informations, de protéger votre réputation, de prévenir les incidents de sécurité et d’atténuer les dommages potentiels si des incidents se produisent. En somme, la conformité en matière de sécurité renforce et préserve les performances de votre entreprise en vous aidant à intégrer de bonnes pratiques de cybersécurité et de gestion des risques dans la culture de votre organisation.

Qu’est-ce que la conformité en matière de sécurité ?

La conformité en matière de sécurité consiste à se conformer à une série d’exigences de sécurité (généralement imposées par une autorité réglementaire ou une loi) pour protéger la confidentialité, l’intégrité et la disponibilité des données. Ces exigences, souvent appelées « contrôles de sécurité », s’appliquent à toute organisation qui stocke, traite ou transmet ces données et sont basées sur les meilleurs pratiques et les directives de sécurité. Elles fixent les règles de base pour l’utilisation et la configuration des mécanismes de sécurité destinés à protéger les données d’une entité.

La gestion de la conformité en matière de sécurité est le processus de surveillance et d’évaluation des systèmes, des dispositifs et des réseaux visant à garantir leur conformité aux exigences de sécurité et aux normes du secteur. Les contrôles de sécurité sont basés sur les bonnes pratiques (p. ex. CIS Benchmark) et les directives de sécurité.

Quels sont les domaines que la gestion de la conformité en matière de sécurité doit couvrir ?

Gouvernance

Il est important de mettre en place une gouvernance informatique efficace afin d’identifier les actifs informatiques concernés et de définir clairement les rôles et les responsabilités en matière de conformité des processus de données.

Il s’agit d’une étape essentielle pour les organisations qui ne disposent pas encore d’un système de gestion de la conformité en matière de sécurité pour assurer le suivi des contrôles de sécurité mis en place et surveiller les mises à jour et les modifications des réglementations applicables. C’est également important dans la mesure où le fait de ne pas disposer d’une base de gouvernance entraîne une perte de pouvoir exécutif. Ainsi, sans une bonne gouvernance, il ne peut y avoir de propriétaire et de coordination claires du processus d’évaluation de la conformité en matière de sécurité pour s’assurer que les bonnes parties prenantes et fonctions sont impliquées.

Intégration des processus

Les organisations ont besoin d’établir un cadre regroupant des processus attitrés pour la surveillance informatique, la gestion des événements et la gestion des incidents. Une gestion efficace de la conformité en matière de sécurité implique l’implémentation de stratégies et la surveillance continue des contrôles, des processus et des réglementations et normes applicables. Elle doit également inclure des évaluations internes et des audits périodiques pour examiner les contrôles et les processus de manière continue.

L’intégration des processus est une étape importante pour les organisations dont les processus de conformité en matière de sécurité ne sont pas alignés sur le contexte opérationnel. C’est également un élément nécessaire pour assurer une gestion adéquate des actifs et de l’inventaire des données, afin de fournir les informations nécessaires sur la portée de la gestion de la conformité. Enfin et surtout, elle permet de s’assurer que les bonnes parties prenantes sont tenues de rendre des comptes et d’agir en cas de non-conformité.

Automatisation et outils logiciels/intégration d’outils

L’implémentation d’outils logiciels pour automatiser les tâches répétitives représente un gain de temps considérable et permet à vos spécialistes de se concentrer sur d’autres sujets. Il existe des outils permettant de générer automatiquement des rapports de conformité réguliers afin de surveiller l’efficacité des contrôles visant à atténuer les risques ou de mettre à jour de manière centralisée les modifications apportées aux cadres réglementaires et à la législation. L’étape cruciale consiste à intégrer pleinement la solution dans votre environnement existant afin de disposer d’un tableau de bord unique et centralisé indiquant tous les actifs et contrôles considérés. Ces systèmes sont également utiles à des fins d’audit.

Un bon exemple est le logiciel de gestion des configurations de sécurité, qui permet de contrôler en permanence si la configuration des systèmes d’information est sûre et mise à jour. Certains fournisseurs proposent également une solution globale de gestion de la conformité. En outre, les solutions SOAR (Security Orchestration, Automation and Response) offrent une plate-forme unique pour coordonner, exécuter et automatiser les tâches entre différents outils.

L'acquisition et l'intégration d'outils d'automatisation et de logiciels sont particulièrement bénéfiques pour les organisations qui consacrent une grande partie de leurs efforts manuels à la gestion de la conformité ou qui manquent d'intégration entre le registre des actifs informationnels et les outils de surveillance. Cela implique souvent de remédier à des situations où des données insuffisantes se traduisent par un faible degré d’automatisation.

Vers une bonne gestion de la conformité en matière de sécurité

Pour réussir à mettre en place un système de gestion de la conformité en matière de sécurité, il est essentiel de coordonner étroitement vos ressources, vos activités et votre personnel. Chez PwC, nous avons développé une approche qui peut être appliquée aux organisations à tout moment de leur parcours de gestion de la conformité en matière de sécurité.

Nous évaluons vos capacités actuelles de contrôle de la conformité et de la configuration et vous montrons les avantages d’un cadre de travail efficace et intégré.

  • Nous identifions le périmètre en termes de parc informatique, de types de données et de réglementations et normes applicables. Nous prenons en considération les types de transactions de données, ainsi que la législation des pays et territoires où les données sont accessibles et les pays de résidence des personnes concernées.
  • Nous évaluons les lacunes entre la situation actuelle et les exigences de conformité. Nous vous aidons à classer par ordre de priorité les lacunes identifiées qui serviront de base pour garantir un processus de transformation axé sur les priorités. Pour ce faire, il est nécessaire d’effectuer des évaluations des risques et des vulnérabilités afin de fournir les informations nécessaires sur les failles de sécurité les plus critiques et de donner une image plus claire des contrôles déjà en place. Il est fondamental d’avoir une vue d’ensemble de tous les risques liés à l’entreprise, à l’informatique et à la sécurité de l’information pour mettre en place une gestion efficace de la conformité en matière de sécurité.

Nous vous aidons à concevoir l’architecture finale et un processus intégré. Cela inclut la définition des rôles et responsabilités pertinents. Nous pouvons également vous aider à évaluer les bons outils et à les intégrer dans votre environnement existant.

  • Nous définissons un état cible et un modèle opérationnel cible couvrant les processus, les outils et la gouvernance correspondants. Nous documentons toutes les décisions et les processus dans des politiques et des normes internes.
  • Nous convenons d’un plan pour combler les lacunes et des options d’approvisionnement (sur-mesure ou achat).
  • Nous implémentons les processus de gestion de la conformité définis et intégrons les outils choisis. Nous mettons également en place des contrôles techniques et non techniques en fonction de vos exigences et de votre tolérance au risque.

Pour en savoir plus sur la transformation de la sécurité et sur la manière dont notre approche basée sur la gestion de projet peut être la solution idéale pour votre entreprise, consultez notre blog.

Que vous décidiez de développer une solution sur-mesure ou d’acheter, nous vous proposons de gérer pour votre compte l’ensemble du cycle de vie du contrôle de la conformité et de la configuration. Cela vous permettra de garantir et de justifier la conformité auprès de vos parties prenantes internes et externes. Notre rôle peut inclure

  • la transmission du cadre de contrôle établi à vos équipes commerciales et informatiques
  • la vérification de la mise en place et de l’efficacité des contrôles définis
  • la mise en place d’un tableau de bord et d’un système de rapports pour le suivi continu de la conformité
  • l’exécution des processus implémentés, tels que les évaluations régulières des risques et des vulnérabilités, ainsi que les outils intégrés
  • vous aider à vous préparer à un audit externe ou à un service de certification tiers indépendant pour vérifier la conformité
  • vous aider à établir un processus de révision, de test et de modification réguliers des contrôles et processus implémentés.

Êtes-vous sûr d’être en conformité ? 

Alors que les technologies de l’information continuent de se développer, la société accroît la pression sur les organisations pour qu’elles protègent les données qu’elles détiennent. Pour les entreprises modernes dotées de structures très complexes dont les activités sont très diversifiées et qui opèrent souvent dans de nombreux pays, rester à jour par rapport aux réglementations et aux normes est un véritable défi. Mais c’est un défi que vous n’avez pas à relever seul. Il existe des spécialistes qui peuvent vous aider à implémenter un système efficace de gestion de la conformité en matière de sécurité pour protéger vos données et celles de vos clients. Vous éviterez ainsi les sanctions financières, limiterez les préjudices causés par une éventuelle violation des données et, surtout, renforcerez la confiance dans votre entreprise.

#social#

Nous contacter

Nous aidons nos clients à renforcer la sécurité de leurs systèmes et à se conformer aux normes et réglementations en matière de sécurité. Contactez-nous si vous avez des questions ou si vous souhaitez nous parler de vos projets et de vos besoins.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000DY4xQAG&embed=true&lang=fr

La confiance, facteur clé de réussite

Faites confiance à une équipe qui, lors de la transformation de votre entreprise, réfléchit avec vous à des solutions de cybersécurité appropriées, les implémente et les suit avec vigilance. Travaillons ensemble pour créer durablement de la valeur et inspirer la confiance.

Explorez notre offre

{{filterContent.facetedTitle}}

Nous contacter

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

+41 58 792 13 33

Email

Katarina Nikolic

Cybersecurity and Privacy, Zurich, PwC Switzerland

+41 58 792 12 85

Email

Christoph Ulmer

Cybersecurity and Privacy, Zurich, PwC Switzerland

+41 58 792 23 14

Email

Services Audit Conseil Fiscal Consulting Deals Fortune Privée & Entrepreneurs Legal Marchés Mondiaux People and Organisation PME and Entreprises Familiales Services Fiduciaire
Secteurs d activité Commerce de détail et biens de consommation Énergie Immobilier Industrie manufacturière Services Financiers Secteur Public Secteur de la Santé Sports Advisory Consulting Télécommunications et médias
Enjeux actuels L’intelligence artificielle Workforce of the Future Finance Transformation Customer Transformation Cybersecurity Données et analytique ESG : Les critères et leur mise en œuvre
À propos de PwC Contact Presse Nos bureaux Organisation et Direction Objectif, Valeurs et Code de Conduite Faits et Chiffres Notre Histoire Alumni
Carrière Postes Vacants Carriere Événements Professionnels Jeunes Diplômés Étudiants Apprentis PwC en tant qu'employeur
Research & Insights Nos dernières insights S'abonner aux insights de PwC Preference Centre

© 2018 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.