L'importance de la conformité et des évaluations des risques

9mars, 2018
Doug Barney
Conformité réglementaire, Risques liés aux tiers

La conformité est essentielle dans de nombreux secteurs. Finance, banque, santé… Pratiquement toutes les entreprises, du moins aux États-Unis, dès lors qu’elles dépassent une certaine taille ou qu’elles sont cotées en bourse, sont soumises à des règles de conformité. Et avec l’entrée en vigueur du RGPD le 25 mai et l’émergence de nouvelles réglementations à l’échelle mondiale, la conformité est un enjeu planétaire.

Les sanctions en cas d'infraction peuvent être très lourdes, et le non-respect des règles revient pratiquement à ouvrir la porte à la cybercriminalité, ce qui entraîne une perte de réputation et un désastre financier.

Que vous soyez un professionnel de l'informatique ou un prestataire de services, vous ne pouvez élaborer un plan de conformité sans connaître l'état actuel de votre entreprise. Cela nécessite une évaluation approfondie et rigoureuse.

RapidFire Tools ., qui fournit des outils d'évaluation de la conformité HIPAA,a mené une enquête auprèsdes MSP sur l'intérêt de ces évaluations. Il en ressort que les prestataires de services utilisent ces évaluations pour engager le dialogue avec de nouveaux prospects et, à terme, gagner de nouveaux clients. L'un des MSP interrogés a augmenté son chiffre d'affaires de plus de 12 000 dollars par mois.

Selonl'enquête comparative Kaseya 2018 sur les MSP, 52 % des MSP à l'échelle mondiale (et 55 % dans la région EMEA) proposent des évaluations de conformité. Ces évaluations profitent tant au MSP qu'à ses clients : elles offrent au MSP de nouvelles sources de revenus et lui permettent d'identifier les changements à mettre en œuvre pour protéger les deux parties.

Le cabinet d'expertise comptable, de conseil et de services technologiquesCrowe Horwath a mis en place une démarche par étapesqui commence par la définition des objectifs. « Les évaluations permettent de déterminer l'étendue des activités de conformité au sein de l'organisation, l'efficacité du programme de conformité, ainsi que la mesure dans laquelle la culture de l'organisation favorise ces activités. Une évaluation peut donner à l'organisation une idée des points forts, des points faibles et des domaines d'amélioration de son programme de conformité », explique le cabinet.

Les évaluateurs devraient partir de zéro, tout en s'appuyant sur les documents existants relatifs à la conformité. « Voici quelques exemples de documents pertinents qui sont généralement recueillis et examinés lors d'une évaluation :

  • Organigrammes de la direction générale et du service de conformité
  • Politiques et procédures relatives au service chargé de la conformité ou aux domaines à haut risque
  • Exemples d'exercices de formation à la conformité destinés aux employés et modèles de communications adressées aux employés concernant le code de conduite en matière de conformité
  • Exemples de plans de suivi de la conformité et de plans de travail en matière de conformité
  • Évaluations antérieures du programme de conformité
  • « Évaluations des risques de conformité et politiques en matière d'évaluation des risques de conformité »

Faire connaissance avec les acteurs

Les évaluateurs doivent non seulement comprendre la structure et les rôles au sein de l'organisation, mais aussi apprendre à connaître les personnes elles-mêmes. Cela peut se faire par le biais d'entretiens. L'examen des documents aide les évaluateurs à se préparer à ces entretiens. L'objectif est de déterminer dans quelle mesure les acteurs clés maîtrisent les questions de conformité et s'ils sont capables d'identifier leurs risques et de prendre des mesures pour les atténuer.

Parmi les personnes susceptibles d'être interrogées figurent celles qui sont directement chargées de la gestion de la conformité, les employés dont les fonctions exigent le respect des directives en matière de conformité, ainsi que les dirigeants de l'entreprise.

Réalisation d'une analyse des écarts

Une analyse des écarts permettra de déterminer les domaines dans lesquels l'organisation est déjà en conformité et les mesures à prendre pour garantir une conformité totale. Cette analyse « devrait mettre en évidence les tendances actuelles du programme de conformité au sein de l'organisation, notamment ses points forts et les possibilités d'amélioration. En outre, l'évaluateur devrait formuler des recommandations à l'intention de l'organisation en s'appuyant sur les meilleures pratiques observées dans des organisations de premier plan présentant une taille et une structure similaires à celles de l'organisation évaluée », explique le cabinet.

Tout cela devrait être consigné dans un rapport final qui définit ce qui est satisfaisant et recommande des améliorations précises.

Dans son livre blanc intitulé «Évaluations des risques de conformité : le troisième élément d'un programme d'éthique et de conformité de premier ordre », le cabinet de conseil financier Deloitte explique pourquoi une simple évaluation de la conformité ne suffit pas.

De nombreuses organisations pensent peut-être que leur conformité est assurée simplement parce qu’elles ont réalisé une évaluation des risques. Cependant, bien que liés, la conformité et les risques nécessitent des processus distincts. « En quoi une évaluation des risques de conformité diffère-t-elle des autres évaluations des risques ? Les organisations réalisent des évaluations pour identifier différents types de risques organisationnels. Par exemple, elles peuvent mener des évaluations des risques d'entreprise afin d'identifier les risques stratégiques, opérationnels, financiers et de conformité auxquels l'organisation est exposée. Dans la plupart des cas, le processus d'évaluation des risques d'entreprise se concentre sur l'identification des risques « qui mettent l'entreprise en jeu » – ceux qui pourraient avoir un impact sur la capacité de l'organisation à atteindre ses objectifs stratégiques », explique Deloitte.

« L'évaluation des risques de conformité aidera l'organisation à cerner l'ensemble de son exposition aux risques, notamment la probabilité qu'un événement à risque se produise, les causes possibles de cet événement et la gravité potentielle de ses conséquences. Une évaluation des risques de conformité bien conçue aide également les organisations à hiérarchiser les risques, à attribuer ces risques aux responsables concernés et à allouer efficacement les ressources nécessaires à leur atténuation. »

Qui fait quoi ?

Une fois que vous aurez déterminé qui est qui et qui fait quoi, vous pourrez définir des attributions claires. « Définissez clairement les responsabilités pour chaque risque spécifique et visez une plus grande transparence : une évaluation complète des risques de conformité permettra d’identifier les personnes chargées de gérer chaque type de risque et aidera les dirigeants à mieux maîtriser les activités d’atténuation des risques, les mesures correctives et les nouvelles expositions aux risques », conseille Deloitte.

Une partie de cette démarche consiste en une évaluation qui nécessite des mesures concrètes. « Rendez l'évaluation exploitable : celle-ci doit à la fois hiérarchiser les risques et indiquer comment les atténuer ou y remédier. Les mesures correctives doivent être compréhensibles par tous et applicables au-delà des frontières. Assurez-vous que les résultats de l'évaluation des risques puissent être utilisés dans la planification opérationnelle pour allouer les ressources et qu'ils puissent également servir de point de départ pour les programmes de test et de surveillance », conclut le cabinet.

Le travail de conformité n'est jamais achevé, prévient Deloitte. « Considérez l'évaluation comme un document évolutif : dès lors que vous affectez des ressources pour atténuer ou corriger les risques de conformité, la gravité potentielle de ces risques évolue. Il en va de même pour les événements survenant dans l'environnement commercial. Tout cela devrait entraîner des modifications de l'évaluation elle-même », écrit Deloitte. « Répétez périodiquement l'évaluation des risques : les évaluations efficaces des risques de conformité visent à garantir une approche cohérente qui continue d'être mise en œuvre au fil du temps, par exemple tous les un ou deux ans. Parallèlement, la veille sur les risques nécessite une analyse continue et une observation de l'environnement afin d'identifier les risques émergents ou les signes avant-coureurs. »

À propos de l'auteur
Doug Barney a été le rédacteur en chef fondateur de Redmond Magazine, Redmond Channel Partner, Redmond Developer News et Virtualization Review. Il a également occupé les fonctions de rédacteur en chef adjoint de Network World, de rédacteur en chef d'AmigaWorld et de rédacteur en chef de Network Computing.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que la conformité NIST ? Un guide pratique destiné aux équipes informatiques et aux MSP

Le terme « NIST » est utilisé pour désigner plusieurs choses différentes, souvent de manière interchangeable et pas toujours avec précision. L'agence. Le cadre de cybersécurité.

Lire l'article de blog

Conformité informatique pour les MSP : comment développer une activité évolutive

La conformité est discrètement devenue l'une des compétences les plus importantes sur le plan commercial qu'un MSP puisse développer. La combinaison de la montée en puissance des réglementations

Lire l'article de blog

ISO 27001 : qu'est-ce que c'est, quelles sont les exigences de la certification et votre organisation en a-t-elle besoin ?

La norme ISO 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information. Il s'agit de la certification de sécurité la plus largement reconnue à l'échelle mondiale,

Lire l'article de blog