La commission qui autorise l'ouverture
Aux Arcades, le centre commercial qui sert de fil rouge à cette série, on ne tourne pas la clé un beau matin pour ouvrir les portes au public. Avant la première vente, un établissement recevant du public doit passer devant une commission de sécurité. Des contrôleurs viennent vérifier les issues de secours, le désenfumage, la largeur des dégagements, la conformité électrique. S'ils donnent leur feu vert, le centre obtient une autorisation d'ouverture. Une attestation est affichée à l'entrée, consultable par tous.
Cette autorisation ne dit pas que rien ne brûlera jamais. Elle dit qu'à une date donnée, un tiers indépendant a vérifié que les règles étaient respectées. Et ces règles ne sont pas inventées par le directeur du centre. Elles viennent de l'extérieur : un référentiel réglementaire que tout ERP doit suivre, sous peine de fermeture administrative.
C'est exactement la différence entre gouvernance et conformité. Le billet précédent sur la gouvernance a montré comment une organisation se donne un cap, des rôles et des frameworks internes. La conformité répond à une autre question : prouve-t-on à un tiers qu'on respecte des règles imposées de l'extérieur ?
La gouvernance fixe le cap qu'on se donne. La conformité prouve à un tiers qu'on respecte des règles qu'on ne choisit pas.
Vue d'ensemble : volontaire ou obligatoire
Avant le détail, une carte du territoire. Tous les cadres de conformité ne pèsent pas du même poids, et la première chose à clarifier est leur nature.
Deux familles cohabitent.
- Les normes volontaires et certifiables. Personne ne t'oblige à les adopter. Tu choisis de t'y conformer, souvent parce qu'un client l'exige ou pour te démarquer. Un tiers accrédité vient ensuite vérifier et délivre une certification ou une attestation. ISO/IEC 27001 et SOC 2 entrent dans cette case.
- Les obligations légales et réglementaires. Elles s'imposent à toi dès que tu rentres dans leur périmètre, que tu le veuilles ou non. Ne pas s'y conformer expose à une sanction d'une autorité publique. Le RGPD et la directive NIS2 sont de cet ordre.
La nuance est lourde de conséquences. Une norme volontaire que tu ignores ne te vaudra qu'une perte de contrat. Une obligation légale que tu ignores peut te valoir une amende qui se compte en pourcentage de ton chiffre d'affaires.
Trois autres notions reviennent sans cesse et méritent d'être posées dès maintenant : la certification (un organisme atteste que ton système de management satisfait une norme), l'attestation (un rapport d'audit décrit tes contrôles et leur efficacité), et l'audit (l'examen indépendant qui produit la preuve). On y revient en détail plus bas.
Volontaire ou obligatoire, certifiable ou légal : c'est la première grille de lecture à appliquer à n'importe quel acronyme de conformité.
Les normes volontaires certifiables : ISO 27001 et SOC 2
Aux Arcades, le directeur peut viser au-delà du minimum légal. Il fait certifier sa gestion par un label reconnu, ce qui rassure les enseignes prestigieuses qui hésitent à louer un local. Ce label, personne ne l'y oblige. Il l'obtient parce qu'il y trouve un avantage commercial.
Côté système d'information, deux référentiels dominent ce terrain.
ISO/IEC 27001 : certifier un système de management
L'ISO/IEC 27001 est la norme internationale de référence pour la sécurité de l'information. Sa particularité est qu'elle ne certifie pas un produit ni une équipe, mais un SMSI, un système de management de la sécurité de l'information.
Autrement dit, elle ne vérifie pas seulement que tu as un pare-feu. Elle vérifie que tu as un processus vivant : tu identifies tes risques, tu choisis des mesures pour les traiter, tu les appliques, tu mesures leur efficacité, et tu corriges. La norme est bâtie sur une logique d'amélioration continue.
La version actuelle, ISO/IEC 27001:2022, s'accompagne d'une annexe A qui liste un catalogue de mesures de sécurité organisées en quatre thèmes (organisationnel, humain, physique, technologique). Tu ne déploies pas mécaniquement les 93 mesures. Tu justifies, dans un document appelé déclaration d'applicabilité, lesquelles tu retiens et pourquoi tu en écartes certaines.
ISO 27001 ne certifie pas un outil, mais un processus de gestion du risque qui se prouve dans le temps.
À l'issue d'un audit mené par un organisme certificateur accrédité, une organisation obtient un certificat ISO/IEC 27001, valable trois ans, avec des audits de surveillance réguliers. C'est le sens technique du mot certification : un tiers atteste la conformité du système de management à la norme.
SOC 2 : attester l'efficacité des contrôles
SOC 2 est un cadre nord-américain défini par l'AICPA, l'ordre des experts-comptables américains. Très demandé par les clients de prestataires cloud et SaaS, il repose sur les Trust Services Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée. La sécurité est le seul critère obligatoire, les autres sont retenus selon le contexte.
La différence majeure avec ISO 27001 tient au livrable. SOC 2 ne produit pas un certificat mais un rapport d'attestation rédigé par un cabinet d'audit, qui décrit les contrôles du prestataire et le jugement de l'auditeur sur leur conception et leur fonctionnement. On distingue deux types.
| Type SOC 2 | Ce que l'auditeur évalue | Horizon |
|---|---|---|
| Type I | La conception des contrôles à un instant précis | Une date donnée |
| Type II | La conception et le fonctionnement effectif des contrôles dans la durée | Une période, souvent 6 à 12 mois |
Un rapport de type II a beaucoup plus de valeur. Il ne dit pas seulement que les contrôles existaient sur le papier le jour de l'audit, mais qu'ils ont réellement fonctionné pendant plusieurs mois. C'est la preuve qu'un client exigeant réclame avant de confier ses données à un fournisseur.
ISO 27001 et SOC 2 ne s'excluent pas. Beaucoup d'éditeurs portent les deux : le certificat ISO pour le marché international, le rapport SOC 2 pour les clients américains.
Les obligations légales : RGPD et NIS2
Reviens aux Arcades. Au-delà du label qu'il a choisi, le directeur n'a pas le choix sur tout. La loi lui impose de protéger les données des clients de son programme de fidélité, et la réglementation de sécurité incendie ne se négocie pas. Ignorer ces règles ne lui coûte pas un contrat, mais une sanction administrative.
Deux textes européens structurent ce terrain pour la sécurité numérique.
RGPD : protéger les données personnelles
Le Règlement général sur la protection des données, entré en application en mai 2018, encadre le traitement des données à caractère personnel des personnes situées dans l'Union européenne. Il s'applique dès qu'une organisation traite ce type de données, où qu'elle soit dans le monde.
Le règlement repose sur des principes : licéité du traitement, limitation des finalités, minimisation des données collectées, exactitude, limitation de la conservation, intégrité et confidentialité. Il accorde aussi des droits aux personnes (accès, rectification, effacement, portabilité) et impose, en cas de violation de données présentant un risque, une notification à l'autorité de contrôle dans un délai serré.
Côté sanction, le RGPD prévoit des amendes administratives pouvant atteindre, pour les manquements les plus graves, 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En France, l'autorité de contrôle est la CNIL.
Le RGPD ne se certifie pas. C'est une obligation : on s'y conforme, et une autorité peut sanctionner les manquements.
NIS2 : élever le niveau de cybersécurité
La directive NIS2 prolonge et durcit la première directive NIS. Son objectif est de relever le niveau de cybersécurité d'un large éventail d'organisations jugées importantes pour le fonctionnement de la société et de l'économie.
NIS2 introduit une distinction entre entités essentielles et entités importantes, selon le secteur (énergie, transports, santé, infrastructures numériques, et beaucoup d'autres) et la taille de l'organisation. Les entités concernées doivent mettre en place des mesures de gestion des risques, et notifier les incidents significatifs aux autorités compétentes. La page officielle de la Commission européenne sur NIS2 détaille son périmètre et son calendrier. En France, la transposition relève notamment de l'ANSSI.
Là encore, il ne s'agit pas d'un label qu'on affiche par fierté. C'est une obligation assortie de pouvoirs de contrôle et de sanction pour les autorités nationales.
Le tableau de synthèse
Quatre cadres, quatre logiques. Le tableau suivant met côte à côte ce qui les distingue vraiment.
| Cadre | Nature | Portée | Preuve / sanction |
|---|---|---|---|
| ISO/IEC 27001 | Norme volontaire, certifiable | Système de management de la sécurité (SMSI) | Certificat d'un organisme accrédité |
| SOC 2 | Cadre volontaire, attestation | Contrôles d'un prestataire (Trust Services Criteria) | Rapport d'attestation d'un cabinet d'audit |
| RGPD | Obligation légale (règlement UE) | Traitement des données personnelles | Sanction administrative d'une autorité (CNIL) |
| NIS2 | Obligation légale (directive UE) | Cybersécurité d'entités essentielles et importantes | Contrôle et sanction des autorités nationales |
Mettre en œuvre : politiques, contrôles, preuves, audit
Que l'on vise un certificat volontaire ou que l'on subisse une obligation légale, la mécanique de mise en conformité se ressemble. Aux Arcades, la commission ne se contente pas de la parole du directeur. Elle veut des plans, des registres de maintenance, des rapports de tests d'alarme. La conformité ne vaut que si elle se prouve, document à l'appui.
Côté SI, cela se traduit par quatre niveaux qui s'enchaînent.
- La politique. Le texte qui énonce une intention. « Les accès aux données sensibles sont restreints au strict nécessaire. »
- Le contrôle. La mesure concrète qui applique la politique. Une revue trimestrielle des droits d'accès, par exemple.
- La preuve. La trace qui montre que le contrôle a réellement tourné. Le compte rendu daté et signé de cette revue.
- L'audit. L'examen indépendant qui confronte les preuves aux exigences et conclut.
ISO 27001 formalise ce cycle d'amélioration continue, souvent appelé PDCA (Plan, Do, Check, Act). On planifie, on déploie, on vérifie, on corrige, et on recommence. La conformité n'est jamais un état figé : c'est une boucle qui tourne.
identifier les risques,
définir politiques et contrôles"] do["Do
déployer les contrôles
et collecter les preuves"] check["Check
auditer, mesurer
l'efficacité"] act["Act
corriger les écarts,
améliorer"] plan --> do do --> check check --> act act --> plan classDef planCls fill:#8a4d16,stroke:#5f5e5a,color:#f5f2ec classDef doCls fill:#b5651d,stroke:#5f5e5a,color:#f5f2ec classDef checkCls fill:#d89253,stroke:#5f5e5a,color:#1a1a1a classDef actCls fill:#ede9e1,stroke:#b5651d,color:#1a1a1a class plan planCls class do doCls class check checkCls class act actCls
Le maillon le plus souvent négligé est la preuve. Une organisation peut avoir d'excellents contrôles et échouer à son audit parce qu'elle ne sait pas montrer qu'ils ont fonctionné. D'où l'intérêt de produire la preuve automatiquement, au fil de l'eau, plutôt que de la reconstituer en panique la veille de l'audit.
C'est précisément là que la démarche DevSecOps rejoint la conformité. Quand les contrôles de sécurité sont intégrés au pipeline, chaque déploiement laisse une trace exploitable. Un scan de vulnérabilités daté, un log d'accès, un rapport de tests : autant de preuves générées sans effort manuel.
Un contrôle sans preuve ne vaut rien face à un auditeur. La conformité se gagne dans la traçabilité, pas dans les intentions.
British Airways : quand le RGPD se chiffre
La théorie sur les sanctions reste abstraite tant qu'on ne la confronte pas à un cas réel. Le RGPD en a fourni un, particulièrement documenté.
En 2018, British Airways a subi une compromission de son site et de son application. Du code malveillant a détourné le trafic d'une partie des clients vers un domaine contrôlé par les attaquants, exfiltrant les données personnelles et bancaires de plusieurs centaines de milliers de clients.
L'autorité britannique de protection des données, l'ICO (Information Commissioner's Office), a ouvert une enquête au titre du RGPD. Elle a estimé que la compagnie n'avait pas mis en place des mesures de sécurité adéquates pour protéger ces données. À l'issue de la procédure, l'ICO a infligé en 2020 une amende de 20 millions de livres, montant déjà revu à la baisse par rapport à l'intention initiale, notamment au regard de l'impact économique de la pandémie sur le secteur aérien. Les faits et le raisonnement figurent dans le communiqué officiel de l'ICO (archive).
Ce cas illustre plusieurs points du billet. D'abord, le RGPD n'est pas un label décoratif : son non-respect se traduit par une décision contraignante et un montant chiffré. Ensuite, l'autorité ne sanctionne pas seulement la fuite, mais le défaut de mesures de protection en amont. La conformité jugée ici est celle des contrôles de sécurité, exactement les politiques, contrôles et preuves décrits plus haut.
Une obligation légale comme le RGPD a des conséquences mesurables. British Airways en a fait l'expérience à hauteur de 20 millions de livres.
La leçon rejoint celle des fondamentaux de la sécurité : un manquement à la confidentialité des données n'est pas qu'un incident technique. C'est un risque réglementaire et financier qui se gère comme tel.
Points clés
- La gouvernance fixe un cap interne ; la conformité prouve à un tiers qu'on respecte des règles externes.
- ISO/IEC 27001 (certificat d'un SMSI) et SOC 2 (rapport d'attestation) sont des cadres volontaires : on les adopte par choix ou exigence commerciale.
- Le RGPD et NIS2 sont des obligations légales européennes : on s'y conforme sous peine de sanction d'une autorité publique.
- Distinguer certification (un organisme atteste la conformité d'un système de management) et attestation (un rapport décrit l'efficacité de contrôles sur une période).
- La conformité se gagne dans la preuve : un contrôle qui ne laisse pas de trace auditable ne tient pas face à un auditeur, comme l'a rappelé le cas British Airways et son amende de 20 millions de livres.
Dans la série
Palier 3 : Tenir la galerie. Domaine : Gouvernance & conformité.
- Précédent : La gouvernance de la sécurité
- Suivant : Le facteur humain : phishing et ingénierie sociale
- Vue d'ensemble : Par où commencer dans Les Arcades
Pour aller plus loin
- ISO/IEC 27001, Information security management systems
- AICPA, SOC 2 et les Trust Services Criteria
- Le texte du RGPD sur EUR-Lex et le dossier RGPD de la CNIL
- La directive NIS2 sur EUR-Lex et la page NIS2 de la Commission européenne
- Gouvernance de la sécurité : rôles et frameworks, le billet qui précède celui-ci
- Les fondamentaux : triade DICP, risque et défense en profondeur