Évaluations de conformité cybersécurité fondées sur le risque

Défis d’un paysage réglementaire fragmenté en cybersécurité

Le Global Cybersecurity Outlook 2025 (GCO) du World Economic Forum souligne à quel point le paysage cyber devient de plus en plus complexe pour les organisations du monde entier. L’évolution technologique rapide, les tensions géopolitiques et l’interconnexion des chaînes d’approvisionnement aggravent les défis. Toutefois, c’est la prolifération de réglementations cyber fragmentées qui constitue un facteur majeur de cette complexité, obligeant les entreprises à gérer des exigences de conformité régionales et mondiales diverses, en plus de menaces de risques cyber en constante évolution.

Selon le GCO, 66 % des répondants indiquent que la prolifération croissante des réglementations cyber dans le monde ajoute une complexité significative, les organisations étant contraintes d’évoluer dans un paysage de plus en plus fragmenté d’exigences de conformité régionales et mondiales.

L’évaluation de conformité traditionnelle

Un audit de conformité est un examen indépendant des mesures de sécurité, des activités et des éléments de preuve associés d’une organisation, visant à déterminer si elle respecte les politiques internes applicables, les normes sectorielles et les exigences réglementaires. Dans le contexte de la cybersécurité, l’audit répond à une question étroite mais essentielle : respectons-nous les exigences formelles des réglementations applicables à nos activités et à nos zones géographiques ?

Les audits évaluent si les mesures de sécurité requises existent, si elles fonctionnent comme prévu et si des preuves suffisantes sont disponibles pour démontrer la conformité. Lorsque des mesures de sécurité sont absentes, faibles ou insuffisamment documentées, les régulateurs et les autorités de supervision peuvent émettre des constats, des injonctions de remédiation ou des sanctions financières.

Historiquement, la conformité en cybersécurité a été mesurée principalement à travers la présence de mesures de sécurité et de processus documentés. La réussite d’un audit est devenue le seuil pratique pour démontrer la conformité : elle confirme que les protections requises sont formellement en place. Toutefois, cela apporte peu d’enseignements sur l’efficacité réelle des mesures de sécurité ou sur l’éventuelle redondance de certaines d’entre elles.

Les limites des audits de conformité traditionnels

Une analyse d’écart de conformité traditionnelle identifie l’écart entre les exigences réglementaires et les mesures de sécurité en place. Elle permet de déterminer :

• quelles mesures de sécurité requises sont entièrement, partiellement ou non mises en œuvre,
• les situations où la documentation ou les éléments de preuve ne répondent pas aux exigences de conformité,
• les politiques et procédures devant être mises à jour pour répondre au référentiel.

En revanche, une analyse d’écart de conformité traditionnelle n’évalue pas l’écart entre la conformité et le risque. Elle ne permet pas de déterminer :

• quel niveau de risque financier ou opérationnel est réduit par la correction d’un écart spécifique,
• quels écarts doivent être priorisés en fonction du risque réel pour l’organisation,
• l’ordre de remédiation qui permettra de réduire le plus efficacement l’exposition globale au risque.

Les réglementations actuelles en cybersécurité exigent de plus en plus une approche fondée sur les risques cyber, et non une conformité fondée sur des cases à cocher. Des cadres tels que le RGPD, NIS2 et DORA attendent explicitement des organisations qu’elles évaluent dans quelle mesure les dispositifs de sécurité en place réduisent le risque au regard des menaces, des actifs et du contexte opérationnel. Cela déplace l’attention d’un inventaire de mesures de sécurité vers la compréhension de l’efficacité réelle de ces mesures pour réduire l’exposition au risque, limiter la probabilité d’incidents et atténuer l’impact business lorsqu’un incident survient.

L’évolution réglementaire : des attentes fondées sur le risque

Aujourd’hui, les réglementations en cybersécurité à travers le monde intègrent de plus en plus un langage fondé sur le risque dans leurs exigences. Par exemple, NIS2 attend des organisations qu’elles comprennent leurs risques cyber et qu’elles appliquent des mesures de sécurité proportionnées à leur niveau d’exposition. L’Institute of Internal Auditors (IIA) met également l’accent sur des audits de cybersécurité fondés sur le risque, afin d’aller au-delà des listes de contrôle et de garantir des défenses robustes alignées sur les risques opérationnels.

Les bonnes pratiques encouragent désormais les organisations à envisager la conformité dans le cadre plus large du cycle de gestion des risques de cybersécurité.

Les audits de conformité deviennent des évaluations fondées sur le risque

Considérer la conformité dans le cadre d’un cycle plus large de gestion des risques de cybersécurité modifie la manière de l’aborder. Un modèle fondé sur le risque continue de vérifier si les mesures de sécurité requises existent et fonctionnent comme prévu. Toutefois, l’objectif est d’éclairer des questions plus approfondies : comment ces mesures de sécurité influencent-elles l’exposition globale de l’organisation aux risques cyber ? Et où se situent les écarts ? Cela permet aux organisations de passer de « Sommes-nous conformes ? » à « Gérons-nous les risques qui comptent le plus ? ».

Ce changement est particulièrement important à mesure que les réglementations en cybersécurité mettent de plus en plus l’accent sur une approche fondée sur le risque en matière de résilience, de gouvernance et de responsabilité à tous les niveaux de l’organisation, y compris au niveau du conseil d’administration. Les régulateurs eux-mêmes ne recherchent plus une conformité fondée sur des cases à cocher.

Prendre en compte la matérialité dans les évaluations de conformité

Une évolution majeure du paysage réglementaire concerne la prise en compte de la matérialité des incidents cyber dans les obligations de reporting. La SEC a publié de nouvelles règles en juillet 2023 imposant aux sociétés cotées de déclarer les incidents matériels, y compris les incidents cyber, dans un délai de quatre jours ouvrés. Le président de la SEC, Gary Gensler, a déclaré à propos de ces nouvelles règles : « Qu’une entreprise perde une usine dans un incendie — ou des millions de fichiers lors d’un incident de cybersécurité — cela peut être matériel pour les investisseurs. »

Les audits traditionnels ne fournissent pas nécessairement une évaluation quantifiable de la matérialité d’un risque. À l’inverse, les évaluations de conformité fondées sur le risque, utilisant la méthodologie FAIR, analysent les constats à travers un prisme financier. Cela permet de répondre à la question suivante : combien ce risque coûte-t-il ?

• L’écart affecte-t-il des actifs, des services ou des processus métiers critiques ?
• Peut-il raisonnablement conduire à une perturbation opérationnelle significative, à un manquement réglementaire ou à une perte financière ?
• L’impact résultant nécessiterait-il une escalade au niveau exécutif ou une déclaration réglementaire ?

Cette approche permet aux organisations de soumettre rapidement un rapport courant ou un formulaire 8-K à la SEC lorsqu’un incident est matériel. Elle fournit également des éléments factuels pour déterminer quelles actions de remédiation ou quelles mesures de sécurité permettront de réduire l’exposition matérielle de l’entreprise.

Des analyses d’écart aux enseignements sur le risque

Une analyse d’écart de conformité traditionnelle identifie les situations dans lesquelles les exigences réglementaires ne sont pas pleinement respectées. Elle confirme si des mesures de sécurité sont absentes, partiellement mises en œuvre ou insuffisamment documentées. En revanche, elle n’explique pas si ces écarts augmentent de manière significative les risques cyber, ni comment ils doivent être priorisés les uns par rapport aux autres.

Une analyse d’écart fondée sur le risque reformule l’exercice. Au lieu de traiter tous les écarts comme des constats équivalents, elle les évalue dans leur contexte, en fonction des menaces qu’ils rendent possibles, des actifs qu’ils affectent et de l’impact business potentiel en cas d’exploitation. C’est à ce stade que les évaluations de conformité dépassent le simple suivi de la remédiation pour soutenir la prise de décision.

Évaluer les écarts de conformité à l’aide des principes FAIR

En s’appuyant sur les principes FAIR, les écarts de conformité sont évalués au regard de scénarios de risque quantifiés plutôt que de notations subjectives ou de scores de maturité. Cette approche distingue les faits des hypothèses et rend l’incertitude explicite, réduisant ainsi les biais individuels dans l’interprétation et la hiérarchisation des constats.

Chaque écart est évalué en fonction de :

• la probabilité de survenue d’un scénario de menace pertinent,
• l’efficacité des mesures de sécurité existantes malgré l’écart identifié,
• l’impact financier et opérationnel potentiel si le scénario se matérialise.

En appliquant la même structure analytique à l’ensemble des réglementations, des entités métiers et des cycles d’évaluation, les organisations obtiennent une vision cohérente de la manière dont les écarts de conformité se traduisent en exposition au risque. Cela permet des comparaisons pertinentes entre les constats et soutient une priorisation défendable.

Exemple illustratif : soutenir un reporting réglementaire defendable

Une organisation réglementée identifie plusieurs écarts de conformité lors d’un audit de cybersécurité.

Plutôt que d’attribuer des notations qualitatives de type élevé, moyen ou faible, l’organisation évalue chaque écart à l’aide de scénarios de risque fondés sur FAIR. Les hypothèses relatives à la fréquence des menaces, à l’ampleur des pertes et à l’efficacité des mesures de sécurité sont documentées et appliquées de manière cohérente.

Lors du reporting à destination des régulateurs, l’organisation peut démontrer clairement comment chaque écart a été évalué, la plage estimée de pertes potentielles associée, et pourquoi certaines actions de remédiation ont été priorisées sur la base d’une réduction comparative du risque. La discussion ne porte plus sur la justification de constats individuels, mais sur l’explication de décisions fondées sur les données, ancrées dans une analyse du risque transparente, reproductible et fondée sur le risque.

Le reporting de conformité fondé sur les principes FAIR s’aligne ainsi avec les attentes réglementaires fondées sur le risque du RGPD, de NIS2, de DORA et de la SEC.

Transformer la conformité en avantage stratégique

À mesure que les réglementations en cybersécurité élargissent leur périmètre et leurs exigences en matière de responsabilité, les organisations qui s’appuient uniquement sur des audits fondés sur des listes de contrôle auront du mal à suivre le rythme. À l’inverse, celles qui intègrent les évaluations de conformité dans un programme de gestion des risques fondé sur les données peuvent monter en charge plus efficacement, défendre leurs décisions plus clairement et concentrer leurs investissements là où l’impact est le plus élevé.

En reliant les exigences réglementaires au risque, à la matérialité et aux résultats business, les audits de conformité deviennent un levier puissant d’amélioration de la résilience — et non plus seulement un moyen de réussir des inspections.