Opinion — Les plateformes de conformité

Aujourd’hui j’aimerais vous partager mon opinion sur les outils ou plate-forme de conformité.

J’ai joué avec ces outils. J’ai testés et déployés en production pour obtenir le maximum de retour possible pour mes clients.

TLDR : N’utilisez pas ces outils à moins de savoir ce que vous faites, c’est à dire, de bien comprendre les normes!

Exemples d’outils : Vanta, Drata, Secureframe, Sprinto, conformio, Scytale.

Tools — Photo by Hunter Haley on Unsplash

Le bon

Ces plateformes branchent les systèmes de l’organisation comme Azure, AWS ou Google Cloud, récoltent des preuves en continu, vérifient les configurations et font le lien vers différents contrôles des normes de ISO 27001, SOC 2, PCI‑DSS.

L’auditeur voit alors les preuves rapidement, les commentaires des analystes et peux faire des échantillons facilement et cela donne confiance dans la solidité du programme de sécurité.

Le mauvais

Il faut rappeler qu’un outil de conformité n’est pas un programme de sécurité (SGSI)

ISO 27001 est une norme de gestion, pas seulement une liste de mesures techniques.

L’outil aide à prouver, pas à réfléchir. Il ne définit ni le contexte, ni les risques, ni les priorités, ni les niveaux d’acceptation.

Si votre réalité est modelée pour « fitter » dans l’outil, c’est mauvais. La technologie doit servir la stratégie, jamais l’inverse.

Si la base n’est pas en place, l’outil crée un mirage de conformité, des indicateurs verts qui ne devrait pas l’être.

Je vois beaucoup de politiques génériques copiées‑collées. C’est pas rassurant pour la suite puisque les politiques ne sont pas compris, ou en place réellement.

Si la base de connaissance est dans la plateforme, l’organisation devient alors dépendante du fournisseur.

Le danger

Question que j’entends souvent : « Si l’auditeur est inclus dans le prix, est-ce que c’est un vrai certificat ISO 27001 ? »

Réponse courte : Non.

Réponse plus longue: un certificat crédible est délivré par un organisme de certification accrédité, traçable dans un registre reconnu.

Les plateformes peuvent faciliter l’audit et référer des firmes, mais elles ne doivent pas être juges et parties.

Si dans le paiement de la plateforme, un certificat est inclus. Ce n’est pas un vrai certificat, c’est de l’auto‑déclaration de conformité.

Analogie ici: personnellement j’ai lu beaucoup de livres sur le MBA et j’ai même fait les exercices, ai-je un MBA?

Blog : Pour comprendre le rôle des organismes de certification et d’accréditation de l’ISO.

Ça vaut la peine quand

La gouvernance existe pour vrai (rôles, responsabilités, comité, rythme).La gestion du risque est vivante (menaces, impacts, décisions assumées).Les contrôles critiques sont en place (accès, sauvegardes, journalisation, gestion des tiers).

On veut devenir conforme à plusieurs normes qu’on comprend bien.

Dans ce contexte, l’outil devient le plancher technique pour faire la surveillance, crée des alertes, conserver les évidences et accélère l’audit.

L’équipe économise du temps sur la paperasse pour le réinvestir dans l’ingénierie de sécurité et l’amélioration continue.

À retenir — Si vous ne connaissez pas bien les normes que vous souhaitez appliquer, vous ne ferez aucune économie d’argent d’aller vers ces plateformes.

Quelque conseils

Avant n’importe quel projet de mise en œuvre de la norme ISO27001 on commence par ces réflexions, que ce soit avec un outils ou non.

  1. Choisir l’outil pour ses intégrations qui sont utile pour vous(infonuagique, MDM, CI/CD, RH, ITSM). Utiliser seulement ce qui peut être maintenu.
  2. Attention aux intégrations, certains outils s’intègre plus facilement dans ce que l’organisation possède déjà.
  3. Conserver l’autonomie. Garder une place d’évidences interne (politiques, procédures, exportation planifiés). Les processus d’audit doivent survivre à un changement d’outil.
  4. Sélectionner tôt l’organisme de certification. Valider son accréditation et planifier le cycle de 3 ans (certification + surveillances), indépendamment de la plateforme. Si un « audit inclus » est proposé, exiger la traçabilité du certificat et le nom de l’organisme d’accréditation, sinon, s’abstenir.
  5. Utiliser la plateforme pour ce qu’elle fait de mieux : automatiser la preuve, détecter les changements, standardiser le suivi multi-norme. Garder la gouvernance, les priorités et l’acceptation des risques à l’extérieur.
  6. Attention à la mesure A.5.29 (Perturbations des activités) : si la plateforme tombe en panne, le SGSI est directement affecté; un plan de continuité et de rétablissement propre à la plateforme doit être prévu, documenté et testé périodiquement.

Bref, ces outils sont super bons… pour les organisations qui savent ce qu’elles font. Dans une organisation mature, c’est un multiplicateur d’efficacité et un antidote au chaos de l’audit.

Mais dans une organisation qui commence, ça peut vite devenir un feu.

L’automatisation amplifie ce qui existe, elle ne remplace pas le jugement ni la gestion des risques.

Je crois beaucoup dans la valeur de l’automatisation, de l’encadrement et de l’assistance que peux apporter ces outils mais il faut faire attention.

Concernant l’indépendance, je veux être claire un « certificat » sorti d’une plateforme et non délivré par un organisme accrédité, c’est une attestation privée. Ça peut dépanner, ça peut rassurer temporairement, mais ce n’est pas parfait. Si le marché cible exige ISO 27001, viser la vraie certification, avec un organisme reconnu, et traiter l’auditeur comme partie indépendante, la plateforme sera alors un excellent allié pour livrer les preuves sans effort inutile.

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée et à vérifier votre site web gratuitement sur loi25.certi360.com