Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de labellisation des systèmes d'information. L'idée est assez simple : Le système d'information de l'entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification...
C'est un peu une transposition de la loi Sarbanes-Oxley qui impose aux entreprises cotées au NYSE de faire certifier les processus qui manipulent les données financières. C'est aussi équivalent à une certification ISO 20000 ou ISO 27001, qui est une démarche volontaire ou imposée par un donneur d'ordre à son sous-traitant. Et puisque toutes ces certifications impliquent le défraiement des auditeurs et de l'organisme de certification, alors rendons logiquement la labellisation CNIL payante. Comme la CNIL est sans cesse à la recherche de nouveaux budgets afin d'accomplir au mieux sa mission... Reste à voir si les entreprises vont adhérer à ce modèle. Si l'audit est efficace et d'un coût raisonnable, ce peut être un moyen économique de satisfaire aux règlements en vigueur.
Aujourd'hui, une entreprise s'expose à 2 risques : 1/ Ne pas être conforme et subir des pénalités financières; 2/ Faire de la sur-qualité faute de bien maîtriser le domaine ou d'être piloté par un consultant qui aurait tendance à en rajouter. Il semble que les modalités pratiques de cette labellisation vont être discutées avec les entreprises, ce qui ne peut qu'aider à en établir le succès. A suivre donc...
Assises de la Sécurité : http://www.lesassisesdelasecurite.com/
CNIL : http://www.cnil.fr/
Vidéo Alex Türk :
Article LeMagIT : http://www.lemagit.fr/imprimer/dcssi-cybercriminalite-ANSSI-assises-securite/4481/1/assises-securite-cooperation-public-prive-cle-voute-cyberdefense/
NYSE : http://www.nyse.com/
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.