« Quand on parle de conformité, il s’agit le plus souvent de conformité à un référentiel : une norme (ISO 2700x…), un référentiel métier (banque, santé…), etc. », explique Jean-Philippe Jouas, CLUSIF. La maîtrise des risques permet, quant à elle, d’identifier tous les risques et de s’assurer qu’aucun risque n’a été réduit ou ignoré.

Cependant, que l’on opte pour une démarche de conformité ou de maîtrise des risques dans l’entreprise, les choix techniques et les solutions pratiques seront identiques à 80%, explique-t-il. Les référentiels sont, en effet, basés sur les bonnes pratiques couvrant les risques les plus courants. Toutefois, les référentiels sont le résultat de compromis. Ces normes communes acceptables par tous ne prennent donc pas en compte les risques spécifiques.

La politique de conformité exige l’allocution de ressources et le support de la démarche, mais fait globalement reposer l’action sur la fonction sécurité (RSSI, DSI), dédouanant par là même la direction. Elle vise principalement à propager une certaine image de l’entreprise et à donner confiance. Elle offre, de plus, une ligne de défense à la direction en cas d’incident de sécurité. La gestion des risques s’attache, quant à elle, à anticiper et maîtriser les risques. C’est également un outil de pilotage pour la direction.

Pour Jean-Philippe Jouas, conformité et maîtrise des risques sont deux démarches bien différenciées, l’entreprise peut donc faire un choix. Mais elle peut également choisir les deux simultanément, puisqu’elles ne sont pas antinomiques.

L’Agence Centrale des Organismes de Sécurité Sociale (ACOSS) est soumise à une conformité réglementaire très stricte, explique Frédéric Malmartel, MOE Sécurité - ACOSS. « Nous avons opté pour une analyse des risques basée sur une approche normative (autour des normes ISO 27001 et ISO 27002). Notre approche s’articule, en outre, autour du respect des réglementations (RGS, CNIL…) ». Selon lui, la conformité ne doit pas être vue comme une contrainte, puisqu’elle s’intègre dans une démarche d’amélioration continue. « L’exigence de conformité nous a permis d’atteindre un haut niveau de sécurité et de qualité, d’établir un langage commun, mais aussi de devenir réactifs, voire proactifs. La réussite d’une telle démarche nécessite toutefois une implication forte de la direction ».

Olivier Corbier, RSSI de Docapost, distingue, quant à lui, 5 leviers pour le RSSI dans une démarche de conformité :
– L’implication de la direction ;
– Elle s’inscrit dans une gouvernance ;
– La conformité permet de matérialiser le travail accompli, et représente un vecteur de motivation pour les équipes ;
– Elle impose des échéances, ce qui remet les projets SSI dans la liste des actions prioritaires ;
– La plupart des référentiels abordent aujourd’hui la gestion de risques.

« La conformité donne souvent à une entreprise une orientation vers une analyse de risques. Elle oblige, en outre, l’entreprise à prendre en compte les risques qu’elle ne voudrait pas forcément », conclut Lazaro Pejsachowicz, Président du CLUSIF.