Ce n’est pas CMMI… mais CMMC!?!

Ce podcast de la série PME réunit Nicholas, Cyndie et Dominique pour aborder un enjeu crucial auquel font face les petites et moyennes entreprises : les certifications de sécurité. La discussion explore comment les PME doivent réagir lorsqu’un client majeur leur demande si elles possèdent une certification spécifique, une situation qui peut rapidement devenir problématique si l’entreprise n’y est pas préparée.

Les certifications de sécurité les plus courantes incluent l’ISO 27001, le SOC de type 2, et pour le secteur de la santé au Québec, la certification TGV. Historiquement, ces certifications étaient réservées aux grandes entreprises et représentaient un avantage concurrentiel permettant de se distinguer et de garantir un certain niveau de sécurité aux clients. Cependant, la réalité a considérablement changé. Aujourd’hui, ces certifications ne sont plus un simple atout commercial, mais bien une obligation pour maintenir des relations d’affaires avec les grandes compagnies. Les entreprises qui ne possèdent pas la certification requise risquent de perdre des clients existants, une situation nettement plus dommageable que de ne pas en acquérir de nouveaux.

Les certifications font appel à un tiers de confiance qui garantit que l’entreprise respecte certaines normes de sécurité. Comme l’explique Dominique, il s’agit de déléguer à un organisme externe la vérification de la sécurité, généralement des comptables, bien qu’il existe également un processus d’audit interne à l’entreprise. Le choix du cadre normatif doit être stratégique : l’ISO convient mieux au marché européen, tandis que le SOC 2 est privilégié pour les affaires aux États-Unis.

L’une des principales raisons pour lesquelles les entreprises recherchent ces certifications est d’éviter de répondre à d’innombrables questionnaires de sécurité. Bien que le Cloud Security Alliance ait développé le Consensus Assessment Initiative Questionary pour standardiser ces évaluations, cette initiative demeure peu connue. En l’absence de certification, les entreprises doivent répondre à des questionnaires exhaustifs de 100 à 150 questions, une expérience que les participants qualifient de « violente ». Face à ces questionnaires, les répondants se divisent en deux catégories : ceux qui embellissent la vérité et ceux qui mentent. Cette situation découle du fait qu’avouer ne pas avoir certaines mesures en place pourrait entraîner la rupture d’un contrat, transformant ainsi un enjeu de sécurité en enjeu purement commercial.

Le problème s’aggrave lorsque le même questionnaire est envoyé à toutes les entreprises, qu’elles comptent trois ou deux mille employés. De plus, les personnes qui envoient et évaluent ces questionnaires ne sont pas toujours des experts en sécurité, ce qui signifie qu’une réponse négative sera simplement enregistrée comme telle, même si l’entreprise a mis en place des mesures alternatives tout aussi efficaces.

Un aspect fondamental abordé dans le podcast concerne la définition du périmètre de certification. Contrairement à ce que l’on pourrait croire, même les grandes organisations ne certifient pas l’ensemble de leur structure. Elles fragmentent leurs environnements et ne certifient que les lignes d’affaires qui en ont réellement besoin. Pour les PME, la stratégie recommandée consiste à choisir le plus petit périmètre conforme qui répond aux exigences du client final. Il faut absolument éviter la mentalité du « tant qu’à y être » qui augmente inutilement le périmètre et les coûts associés.

Les certifications touchent l’ensemble de l’organisation : les personnes, les lieux physiques, la technologie, la sécurité physique, la sécurité humaine et la conformité légale. Il ne s’agit pas simplement d’une question informatique. L’ISO 27001, par exemple, repose sur le pilotage de la sécurité par la gestion des risques business, tandis que le SOC 2 garantit que l’entreprise respectera ce qui est marqué dans les contrats clients grâce aux contrôles mis en place.

Un point crucial soulevé par les experts est que conformité et sécurité ne sont pas synonymes. Une entreprise peut être conforme sans être véritablement sécurisée. Par exemple, avoir réalisé un test d’intrusion sans corriger aucune vulnérabilité identifiée ne rend pas l’entreprise conforme, mais ne l’a pas rendue plus sécuritaire non plus. Cette distinction frustre souvent les professionnels de la cybersécurité, car des mesures de sécurité efficaces peuvent ne pas être reconnues du point de vue de la conformité, tandis que certaines exigences de conformité peuvent être inefficaces d’un point de vue sécuritaire. L’exemple de PCI illustre bien cette problématique, avec des exigences qui sont restées longtemps inefficaces avant d’évoluer.

Les cadres de certification reposent sur le principe d’amélioration continue plutôt que sur la perfection immédiate. Ils n’exigent pas que l’entreprise soit parfaite le jour de la certification, mais qu’elle ait mis en place un système de contrôle permettant l’amélioration continue. Ces certifications engagent le management et la direction à maintenir cette démarche d’amélioration, ce qui constitue un principe philosophique bénéfique à long terme. Cependant, l’entreprise doit être réellement prête à s’engager dans cette démarche, car il ne s’agit pas simplement d’un argument commercial ou d’un logo attrayant à afficher.

Pour les PME qui démarrent ce processus, il est recommandé d’adopter ou de s’inspirer d’un cadre normatif pour faire les premiers essais à leur propre rythme, avant qu’un client ne les pousse à le faire dans l’urgence. Cela permet de mettre en place les revues et contrôles nécessaires sans dépenser des sommes faramineuses. Les participants encouragent les entrepreneurs à poser des questions à leur réseau professionnel, car ceux qui ont vécu l’expérience de la certification, bien que souvent « traumatisante », seront heureux de partager leurs apprentissages.

L’important n’est pas d’être parfait, mais de démontrer un engagement sincère envers la sécurité, d’être proactif, de poser les bonnes questions et d’établir des échéanciers réalistes. Être en mouvement et éviter la fossilisation constituent la clé du succès dans cette démarche.