Le rapport “Nouvelle Ère de Conformité : Hausser la barre pour les entreprises à travers le monde”, décrit l’impact immense que cette nouvelle vague de législations et obligations légales a sur les activités, l’attention renouvelée qu’elle suscite chez les dirigeants de plus haut niveau et l’exigence qu’elle demande en terme de stratégies intégrant les plus haut niveaux de l’entreprise. Les membres du Council mettent en avant la convergence de quatre nouvelles tendances significatives qui conduisent les entreprises à prêter plus d’attention à la conformité : 1) la mise en application renforcée, 2) la couverture mondiale des lois relatives à la notification sur les brèches de sécurité des données 3) des règlements de plus en plus normatifs et 4) la croissance des exigences des partenaires business.

“Les régulateurs s’éloignent de plus en plus des règlements à impact réduit au profit de règlementations plus interventionnistes,” indique Stewart Room, Partner Privacy and Information Law Group chez Field Fisher Waterhouse LLP, un expert de la protection de données et invité contributeur de l’étude. “Ceci est particulièrement vrai, et à tous les niveaux de la société et de l’économie. Il n’est donc pas étonnant que la règlementation se durcisse dans le domaine de la protection de données. Nous voyons la trajectoire évoluer dans un sens unique, celui d’interventions réglementaires plus fréquentes, de conflits plus nombreux, d’argumentations plus poussées et même de procédures judiciaires multipliées.”

Un changement de paysage conduisant les programme de conformité à passer à un niveau supérieur

Le rapport, “Nouvelle Ère de Conformité : Hausser la barre pour les entreprises à travers le monde” décrit un paysage dans lequel des législateurs très motivés intensifient les mandats de protection de l’information en raison non seulement du flot régulier d’infractions massives sur la sécurité des données mais aussi de l’outrage public en découlant. La mise en application des règlements existants se renforce grâce à des pouvoirs étendus, des pénalités plus élevées et des mesures coercitives plus dures. Les entreprises opérant en Europe doivent faire face à la révision prochaine de la Directive Européenne de Protection des Données, qui devrait inclure non seulement une mise en application renforcée mais également l’obligation de notification de toute brèche ou contravention à la protection des données.

“Avec l’introduction de nouvelles règlementations, les règles deviennent de plus en plus normatives,” indique Art Coviello, vice-président exécutif d’EMC Corporation et président de RSA, la division sécurité d’EMC. “Les régulateurs font clairement comprendre que vous êtes en première ligne en ce qui concerne la protection de vos données à tout moment, même lorsqu’elles sont traitées par un fournisseur de service tiers. Dorénavant, il sera impossible de cacher des échecs relatifs à la sécurité de l’information dans la mesure où les législateurs obligent à la transparence et que la révélation d’infractions de sécurité des données devient un principe mondial.”

Cette nouvelle ère de conformité augmente les défis que doivent relever les équipes de sécurité de l’information. Le rapport du Council offre des recommandations pour aider les entreprises à aligner leurs programmes sur les demandes intensifiées du nouveau paysage de la conformité. Parmi les conseils spécifiques et les stratégies “How To” :

1.) Adopter une approche de conformité basée sur le risque : Construire un programme d’entreprise capable de fournir à chacun dans la chaîne - du responsable d’une procédure individuelle jusqu’aux membres du conseil d’administration – toutes les facettes de l’information dont il a besoin pour prendre une décision vis-à-vis d’un risque.

2.) Établir une structure de contrôle d’entreprise : Créer un jeu cohérent de contrôles à travers votre entreprise qui vous permet de cartographier vos pré-requis réglementaires et vos besoins fonctionnels.

3.) Définir/ajuster vos seuils de contrôles : Déterminer le niveau "juste" de contrôles de sécurité et les mesurer vis–à-vis du standard courant afin de satisfaire à l’exigence légale de mesures de sécurité “raisonnables et appropriés”.

4.) Rationnaliser et automatiser les processus de conformité : Établir une stratégie de Gouvernance, Risque et Conformité (eGRC) qui consolide l’information nécessaire venant de l’ensemble de l’organisation pour pouvoir gérer le risque et la conformité et fournir une visibilité sur les contrôles.

5.) Fortifier la gestion du risque des Tiers : Abandonner les accords sécurité de type "contenu copier/coller" et aller vers des stratégies complètes avec les tiers qui devront se concentrer sur : la diversification, la "due diligence", des pré-requis contractuels rigoureux, une gestion des conséquences et une gouvernance.

6.) Unifier les agendas de la conformité et du business : "Opérationnaliser” la conformité et développer la structure organisationnelle requise pour intégrer entièrement la conformité dans l’activité et l’aligner sur les objectifs prioritaires de l’entreprise.

7.) Eduquer et influencer les régulateurs et les entités de normes & standards : Eduquer les législateurs et agir de manière constructive sur les règlementations afin d’éviter les règles trop normatives qui auraient un résultat néfaste sur l’activité.

A propos du Security for Business Innovation Council

Le Security for Business Innovation Council est un groupe de 1000 cadres séniors couronnés de succès dans le domaine de la sécurité dans le monde. Ces cadres se sont engagés à partager leurs propres idées et expériences pour aider à faire avancer la sécurité de l’information dans les entreprises du monde entier.

Les membres du Council incluent :

– Anish Bhimani, Chief Information Risk Officer, JP Morgan Chase;

– Bill Boni, Corporate Information Security Officer, Vice President Enterprise Information Security, T-Mobile USA;

– Roland Cloutier, Vice President, Chief Security Officer, Automatic Data Processing, Inc.;

– Dave Cullinane, Chief Information Security Officer and Vice President, eBay;

– Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer, ABN Amro; Professor Paul Dorey, Founder and Director, CSO Confidential and Former Chief Information Security Officer, BP;

– Renee Guttmann, Vice President, Information Security & Privacy Officer, Time Warner Inc.;

– David Kent, Vice President, Global Risk and Business Resources, Genzyme;

– Petri Kuivala, Chief Information Security Officer, Nokia;

– Dave Martin, Chief Security Officer, EMC Corporation;

– Felix Mohan, Senior Vice President, CISO & Chief Architect, Bharti Airtel Ltd; Dr. Claudia Natanson, Chief Information Security Officer, Diageo;

– Vishal Salvi, Chief Information Security Officer and Senior Vice President, HDFC Bank Limited; Craig Shumard, Chief Information Security Officer, Cigna Corporation;

– Denise Wood, Chief Information Security Officer and Corporate Vice President, FedEx Corporation.

Le rapport du Council comprend également des contributions de Stewart Room, Partner, Privacy and Information Law Group, Field Fisher Waterhouse LLP.

Le rapport publié aujourd’hui est le septième de la série et RSA prévoit de publier d’autres rapports originaux de ce Council au cours des mois à venir.