La cartographie des SI : Le pivot opérationnel de la conformité et de la maîtrise des risques

L’échéance pour la mise en conformité avec le RGPD approche à grand pas. Les offres de formation et d’assistance foisonnent car le besoin est réel : les organisations se sont emparées du sujet, mais certaines ne savent pas encore comment l’aborder ou n’appréhendent pas la totalité des enjeux du RGPD.

La date du 25 mai 2018 ne devrait pas être un couperet fatidique. Mais à cette date, les organisations devront pouvoir répondre à leurs clients, utilisateurs, usagers, patients, salariés, prestataires… qui en feront la demande, sur les mesures mises en place pour respecter les dispositions du RGPD.

La mise en conformité avec le RGPD, au-delà de la simple contrainte règlementaire, représente une opportunité à plusieurs niveaux : en contribuant au renforcement de la confiance des clients, utilisateurs, usagers patients, salariés, prestataires ; et en interne en réaffirmant la nécessité de la protection du patrimoine informationnel basée sur des objectifs communs.

La CNIL, dans son rôle d’autorité de contrôle, met à disposition des informations facilitant l’appropriation du sujet, avec en particulier sa démarche en 6 points, très bien présentée et documentée.

L’étape 5 de la démarche « Organiser les processus internes » vise à maîtriser le risque de non-conformité dans un cycle d’amélioration continue. Les réponses passent par la mise en œuvre de nouvelles mesures organisationnelles et techniques : elles s’intégreront naturellement dans les politiques de sécurité existantes (Habilitations, gestion des droits, sécurité dans les projets/privacy by design, …) et les instances de Gouvernance de la Sécurité du SI déjà opérationnelles !

Les instances sont garantes de cette conformité. Elles regroupent, selon leur périmètre de responsabilité, les directions et les fonctions impliquées : Direction Générale, Directions Métiers, RH, Juridique, RSSI, DPO, responsables de traitements, responsable cybersécurité, DSI, Gestionnaire de risques, …



Les décisions des instances, pour être incontestables et probantes, doivent s’appuyer sur la mise à disposition d’informations exhaustives, à jour et contenant les éléments indispensables à la maîtrise des risques de non-conformité.

Confronté à ce besoin, que vaut dans la durée, une cartographie des traitements DCP (CNIL- Etape 2) décorrélée des fonctions Métiers, des actifs des SI assurant les traitements, et éparpillés en autant de fichiers statiques que de directions ?

La maîtrise des risques et le respect de la conformité doivent s’appuyer sur un référentiel unique de cartographie regroupant l’ensemble des fonctions métiers et actifs des SI.

Le référentiel contribuera à la protection du patrimoine informationnel et garantira un partage dynamique de la connaissance entre tous les acteurs de la gouvernance, en soutenant de manière pertinente et opérationnelle les arbitrages et décisions des instances.

Pour les organisations multisites, il permettra de posséder une vision par sites, filiales, pays, établissements et une vision consolidée « Groupe ».

Ce référentiel unique regroupera et reliera l’ensemble des fonctions métiers, le registre des traitements DCP, les Master-data (RH, clients, patients…), les applications, les flux (transportant les Master-data entre applications), les fournisseurs et sous-traitants en lien avec les DCP externalisées, et tous les autres objets des SI traitant, stockant ou transportant des DCP, sans oublier les éléments de preuve documentaires rattachés à tous les composants.

L’exploitation de ces données, par l’analyse des impacts et des criticités DICT des fonctions Métiers, permettra à chaque acteur d’obtenir une vision précise et partagée répondant à ses attentes et ses enjeux.

Les mesures de sécurités ISO27002 associées aux composants, traduiront leur niveau de conformité en adéquation avec les exigences des politiques de sécurité, et seront la base des homologations pour les mises en production dans les SI.

Les webservices permettront l’échange de données pour une exploitation complémentaire dans des solutions de BI ou des logiciels ITSM : publication de catalogues de services…

Cette cartographie devra représenter un apport de valeur et de ROI immédiat :

  • La facilité d’usage et d’appropriation par toutes les familles d’acteur, contribuant directement à une très haute valeur d’usage pour les Organisations
  • Des résultats probants dans des délais courts
  • La suppression des différentes sources de données évitant les cartographies figées, coûteuses, inutiles voire dangereuses
  • L’intégration des mesures de sécurité ISO27002, menaces Ebios, vulnérabilités
  • Le pilotage de la transformation des SI, de la rationalisation des architectures et la gestion de l’obsolescence
  • Le gain de temps en maintenance et la clarification des responsabilités de gestion
  • La centralisation des éléments de preuve (accountability) pour les audits et certifications

Didier Pescarmona assiste des organisations privées et publiques sur l’ensemble de leur projet de mise en conformité avec le RGPD. Il opérationnalise cette démarche avec Ekialis Explore, lauréat 2017 de l’innovation IT. Cette approche combinant la prise en compte des enjeux stratégiques pour aboutir à des résultats opérationnels pragmatiques séduit les clients par la facilité de mise en œuvre, d’usage et l’apport de valeur constaté par chacun des acteurs partie prenante. Pour aller plus loin dans la découverte des atouts d’Ekialis Explore :
didier.pescarmona@pref-si.fr ou contact@ekialis.com


PREF-SI Conseil
Consultant & Fondateur
07 62 85 59 09
Partenaire du Cabinet Vincent TRELY

Partager ce document sur les réseaux