Règles et conformités sans fin pour les SI, un mythe de Sisyphe à dépasser ?

L’avalanche de réglementations qui s’abattent sur les DSI a de quoi les décourager. Qu’elles traitent de cyber, de protection de la vie privée, de résilience ou encore d’environnement voire de facturation, leur liste semble s’allonger sans rémission. La collaboration avec les métiers et le juridique, et une bonne capacité d’anticipation concernant les garde-fous qui finissent toujours par réguler le Far West des débuts d’une technologie, sont les meilleures armes des DSI pour limiter les dégâts.

Il n’y a pas que dans le monde agricole que l’excès de normes, directives et autres réglementations, très souvent venues de Bruxelles, nuit. Dans les DSI aussi, ces vagues incessantes ont de quoi fatiguer les responsables, qui vivent une sorte de course d’obstacles permanente. Si d’aucuns jugeront qu’après tout, cela donne du travail aux informaticiens, ce n’est pas le plus intéressant ni le plus visible à accomplir.

Il y a plusieurs typologies de « réglementations » à mettre en œuvre. À l’exemple de celles que l’on rencontre dans la cyber (NIS 2, Dora, CRA…), une première grande catégorie de textes propose des guides de mise en pratique assez didactiques, avec une check-list de points à vérifier en interne avant d’éventuels audits, et souvent un accompagnement par l’Anssi notamment pour les plus petites organisations. Autre famille bien identifiée, celle des règles s’appliquant à un secteur de l’économie : la bancassurance et le secteur financier en ont eu beaucoup à intégrer ces dernières années, dans le cadre de la transparence financière, de la maîtrise des risques bancaires, de la lutte contre les défaillances des établissements ou encore contre le blanchiment d’argent (Sarbanes-Oxley, Bâle I à IV, Solvency…).

La refonte de procédures historiques, avec en général de la dématérialisation à la clé comme dans le cas de SEPA pour la banque, ou actuellement du passage à la facturation électronique, représente encore un autre courant. La liste en serait ici trop longue à dresser : surtout, ce sont des évolutions qui apportent finalement assez rapidement du positif à l’entreprise avec des gains sur les coûts et délais de traitement. Elles sont donc plutôt bien acceptées, à l’exemple de la dématérialisation des bulletins de paie il y a dix ans ou de la mise en place des DUE avec l’Urssaf à la même période.

Enfin, les questions d’éthique, prises dans un sens étendu, ont pas mal préoccupé les régulateurs récemment. Le RGPD, qui n’a que cinq ans, ou plus récemment l’AI Act, sont bien sûr les têtes de proue de ce mouvement qui lorgne aussi du côté de la souveraineté (SecNumCloud et EUCS), avec des arrière-pensées économiques plus ou moins assumées par leurs auteurs. Mais les GAFAM ne s’y sont pas trompés, à la lecture des DMA et autres DSA…..

Face à ce déferlement, les DSI ont toujours fait face, souvent avec un certain fatalisme : « Au fond, mettre en place de nouvelles règles, c’est le destin des DSI », philosophe presque Jeanne Heuré, directrice associée en charge des activités « digital trust » au niveau mondial chez Capgemini Invent.

Prévenir, c’est guérir un peu

Certes, mais ne peut-on pas anticiper sur les nouvelles contraintes et s’organiser au mieux pour gérer leurs conséquences sur les systèmes d’information ? « Il y a dans les plus grandes organisations des directions de la conformité, qui effectuent une veille réglementaire et les traduisent pour les métiers et les DSI », continue l’experte. Dans les plus petites, sans ces moyens, ce travail d’anticipation incombe aux directions métiers, notamment dans le cas de textes sectoriels. Exception notable dans le domaine de la cyber, où ce sont les RSSI eux-mêmes, éventuellement avec l’aide de DPO, qui effectuent cette veille. Avec des résultats parfois insuffisants : « Une bonne partie des entreprises concernées par NIS 2 ou par Dora, au titre de fournisseurs d’entreprises ayant des obligations à respecter, ne le savent pas aujourd’hui », explique par exemple Luc Declerck, directeur général de Board of Cyber, une start-up qui propose des solutions en mode SaaS pour évaluer et piloter la performance cyber des entreprises.

Les moyens restent à la main de la DSI ou du RSSI

Quelle que soit sa provenance, une fois l’alerte lancée, les DSI se retrouvent vite dans la task force chargée d’intégrer la nouvelle réglementation. « Elles sont responsables des conditions, des moyens et de l’agenda », continue Jeanne Heuré. Et cette étape ne va pas toujours de soi. Certaines réglementations fixent en effet des objectifs, sans la boîte à outils qui va avec. Ainsi, toujours dans l’univers de la cyber, les audits de fournisseurs demandés pour certaines certifications, ne sont normalisés ni sur leur contenu, ni sur leur fréquence.

Parmi les pistes de travail pour des donneurs d’ordres qui peuvent avoir plusieurs centaines de fournisseurs, Luc Declerck évoque la mutualisation des questionnaires, pour éviter des solutions plus drastiques qui consisteraient par exemple à ne plus travailler qu’avec les plus gros… et les plus chers ? Mais surtout, insiste Alain Bouillé, délégué général du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), « il y a un vrai changement de gouvernance qui se profile, avec des achats remis au centre du village pour se conformer aux exigences réglementaires ».

Ne pas dramatiser la charge

Au risque de surprendre, la charge de travail qui suit cette phase de cadrage est rarement considérable. « Dans les organisations habituées à l’exercice, ou en se tournant vers des cabinets extérieurs, les entreprises vont disposer de matrices d’équivalence entre les réglementations et valider assez rapidement que si tel point a été audité dans la première, alors il est réputé acquis avec la seconde », explique Jeanne Heuré.

Les nouvelles contraintes sont ensuite intégrées dans le portefeuille des projets en cours ou futurs, avec une fluidité qui va dépendre de la somme de nouveautés à introduire et de leur ambition. La vraie difficulté se trouve dans la reprise de l’existant, le fameux patrimoine qui trouve ici une nouvelle occasion de désespérer les équipes de la DSI. Mieux vaut disposer d’une cartographie à jour des SI, et encore en espérant que les informations qui comptent pour la mise en application de la nouvelle réglementation ont bien été récupérées lors des précédentes revues de détails.

Comme après le dernier congrès du Cesin, sous la plume de l’analyste Eric Domage, la question de l’empilement des textes, et de leurs éventuelles contradictions entre eux, électrise souvent les débats. Alain Bouillé préfère temporiser : « Les réglementations sortent en réponse à des problèmes concrets. Par exemple, celui de la résilience pour Dora. Elles peuvent certes être incomplètes, et du coup appeler de nouvelles versions, mais un responsable qui a bien compris les problèmes de cybersécurité sera rarement surpris par ce qui est publié. »

Une approche par les risques… quitte à en prendre

Rappelant aussi au passage qu’on peut fort bien être en conformité et pas pour autant en sécurité, justement parce que la réglementation peine à suivre le rythme des dangers qui ne cessent d’apparaître, il défend une approche par les risques. « Il y a même dans certaines grandes banques une gouvernance qui consiste à faire porter chacun des risques majeurs par un membre différent du Comex », révèle-t-il.

Le risque, c’est aussi celui de ne pas atteindre l’objectif de conformité totale. Et là, Jeanne Heuré plaide, surtout concernant l’existant, pour une approche pragmatique qui dédouane les DSI : « Elles sont là pour programmer l’intégration de la réglementation, mais ne sont qu’un des piliers du projet. À la fin des fins, il faudra des arbitrages. Les auditeurs vont vérifier certes, mais pas tout, et il peut être judicieux de ne pas tout traiter. Mais ce n’est pas à la DSI de choisir ces risques résiduels. » Elle aurait sans doute tort pour autant de se contenter d’un rôle d’exécutante. Car si la contrainte réglementaire peut lui apparaître comme un pensum, elle est aussi objectivement son alliée, en lui permettant de mettre un peu d’ordre dans la maison sous couvert de conformité, et de reprendre la main après des périodes d’expérimentations sauvages de nouvelles technologies. Un bien pour un mal ? 

---

1. La cyber, un arsenal réglementaire qui demande de l’organisation

Nombre d’entreprises et d’organisations vont devoir se mettre en conformité avec les nouveaux textes réglementaires européens relatifs à la cyber. Le tissu économique du continent en sortira renforcé, mais pour beaucoup de PME et d’entreprises moyennes, cela va représenter un effort considérable dans un domaine qu’elles maîtrisent encore très peu.

2. La CSRD, un tsunami à venir pour les DSI

La corporate sustainability reporting directive (CSRD) ne se contente pas de s’ajouter à la si longue liste des règlementations à intégrer dans le SI : elle redéfinit aussi le rôle de la donnée et de la transparence dans la stratégie d’entreprise. Pour les DSI, cette directive européenne représente un défi sans précédent.

3. L’AI Act étape par étape

Entré en vigueur au cours de l’été dernier, le règlement européen sur l’intelligence artificielle repose sur la notion de risques éthiques associés à son usage. Un non-sens économique pour certains. C’est pourtant une évolution prévisible du droit à utiliser ces technologies, à intégrer dès maintenant dans les projets de la DSI.