· Hamid SAIDI · Conformité  · 8 min read

Conformité Cyber : Optimiser le coût de la conformité…sans réduire la sécurité

Dans beaucoup d’organisations, le premier “SOC” ressemble à… un classeur. 📁

Le problème ? Quand le ransomware frappe le vendredi soir, le classeur n’isole pas le poste infecté, ne bloque pas l’exfiltration et ne restaure pas les serveurs. Il reste juste posé sur l’étagère, très conforme et très inutile. La documentation est nécessaire… à condition qu’elle soit le mode d’emploi d’un dispositif réel (procédures opérationnelles, preuves automatisées, exercices).

Ne vous méprenez pas : je ne tape pas sur la conformité. Elle est indispensable (et c’est mon métier). Mais le sujet que j’aborde ici, c’est le coût de cette conformité. Et surtout : comment éviter que ce coût ne vampirise le budget de la vraie sécurité.

On entend souvent que “la compliance est le premier vecteur d’investissement cyber” (ENISA: la conformité reste le principal moteur des investissements cyber - 70%.). C’est vrai. C’est notre meilleur levier pour débloquer les fonds.

Mais une fois l’argent sur la table, comment éviter de le brûler dans de la “paperasse” ?

Commençons par la réalité de la matrice : Conformité ≠ Sécurité

Il faut arrêter de confondre une certification qualité et une chaîne de production capable d’encaisser une panne majeure.

Conforme +Pas sécure : Tout est documenté, les politiques sont à jour… mais le MFA est déployé sans accès conditionnel obligatoire, les sauvegardes ne sont pas testées.

👉 Vous dormez bien, jusqu’au réveil brutal.

Sécure +Pas conforme : Hygiène technique irréprochable, mais aucune traçabilité, pas de preuves, pas de gouvernance documentée.

👉 Vous êtes protégés des hackers, mais vulnérables face aux auditeurs et contractuellement exposés.

Pas conforme +Pas sécure : Ça existe, et ça se voit souvent… après l’incident.

👉 Vous financez l’attaquant.

Conforme +Sécure : Le Graal. Possible, mais ça se construit intelligemment.

Le piège, c’est de vouloir atteindre ce Graal partout, tout de suite.

Qu’est ce qui coûte dans la conformité ?

Parce qu’on ne paye pas “la conformité”. On paye surtout :

  • Le périmètre (souvent trop large)
  • La production de preuves (souvent manuelle)
  • La multiplication des référentiels (DORA + NIS2 + RGPD + ISO + exigences clients + …)
  • L’auditabilité (ce qui n’est pas écrit n’existe pas)
  • La comitologie (réunions, RACI, validations, re-validations, re-re-validations…)

La bonne nouvelle : 5 leviers pour maîtriser les coûts (sans dégrader la sécurité)

Levier 1 : La stratégie du “Régime Minceur” (Le scope de la conformité) 📉

Le coût de la conformité est directement proportionnel à la taille du périmètre…de conformité.

L’erreur classique : “On met tout ‘In Scope’, comme ça on est tranquille”.

🎬 Spoiler : Vous n’êtes pas tranquille. Vous êtes juste plus lent et plus cher.

La méthode (très opérationnelle) :

  1. Identifiez vos joyaux : Listez les services/activités réellement concernés, identifiez les fonctions critiques (au sens opérationnel), cartographiez les actifs ICT qui les supportent
  2. Segmentez impitoyablement : Tracez les flux de données, décidez In/Out avec une justification risque + métier + juridique
  3. Protégez le périmètre : Isolation, séparation d’environnements, gouvernance dédiée, accès minimum

Deux erreurs fréquentes :

  • ❌ “On met tout in scope, comme ça on est sûrs” → Vous êtes sûrs d’avoir un programme infini
  • ❌ “On sort du scope ce qui est difficile” → Le scope n’est pas un outil de déni

💡 L’objectif : Réduire le périmètre de conformité tout en gardant une sécurité cohérente : un socle de base partout, un renforcement sérieux sur le cœur critique.

Levier 2 : DORA et l’art de la Proportionnalité ⚖️

DORA contient un cadeau dans son Article 4 insuffisamment exploité : le principe de proportionnalité. Le régulateur ne vous demande pas de construire Fort Knox si vous êtes une PME.

La proportionnalité, ce n’est pas “faire le minimum”, c’est faire le “juste nécessaire”, au bon niveau, là où le risque est réel :

  • Tiering des actifs : Ne protégez pas votre site vitrine comme votre Core Banking System. Tout n’a pas la même criticité → tout ne mérite pas le même niveau de contrôle, de test, de preuve.
  • Testing intelligent : Un failover qui marche vaut mieux qu’un diagramme qui rassure.
  • Documentation ajustée : Suffisante, didactique et exploitable ; pas encyclopédique. N’oublie pas que la documentation est aussi un matériel de sensibilisation et que l’objectif c’est avant tout qu’elle soit lue.
  • Gestion des tiers calibrée : Criticité du fournisseur, dépendance, concentration, substituabilité.
  • Approche quantitative et financière : Si un contrôle est disproportionné, documentez-le, proposez un contrôle alternatif/compensatoire, et faites valider l’arbitrage par le risk owner. Et expliquez tout cela à l’auditeur.

Levier 3 : La Priorisation (Risk-Based Everything) 🎯

Nous n’aurons jamais assez de temps, de budget, de ressources, de fenêtres de maintenance, de “bonne volonté métier” pour traiter 100% des vulnérabilités, 100% des écarts, 100% des findings, 100% des recommandations.

Ce que ça change concrètement :

Vous ne “corrigez pas des CVE” : vous réduisez un risque sur des actifs qui comptent Vous ne “fermez pas des findings” : vous fermez ceux qui exposent réellement l’entreprise

Exemple concret : Une faille critique sur un serveur d’impression isolé est moins prioritaire qu’une faille moyenne sur un serveur web exposé qui contient des données clients. Le contexte c’est important.

Prioriser “vraiment” = combiner 5 facteurs :

  1. Criticité métier de l’actif (joyeaux vs périphérie)
  2. Exposition (Internet-facing ? accès tiers ? identité privilégiée ?)
  3. Exploitabilité réelle (exploit disponible, exploitation observée, facilité)
  4. Impact potentiel (arrêt de prod, données sensibles, fraude, réputation, safety)
  5. Contrôles compensatoires (EDR, WAF, isolation, durcissement, monitoring, MFA…)

L’acceptation est une stratégie : DORA et NIS2 ne demandent pas le “risque zéro”. Ils demandent un risque maîtrisé. Avoir le courage de dire “Nous acceptons ce risque résiduel pour traiter celui-ci en priorité” est une preuve de maturité, pas de faiblesse.

Levier 4 : Bien s’entourer (et éviter l’acteur qui met le pied dans la porte) 🚪

Celui-là est tellement fréquent.

Le piège : J’ai vu de petites organisations se tourner vers des cabinets généralistes ayant une approches catalogue pour gagner du temps et avoir “un tampon”. Le risque : des politiques et contrôles contenant des exigences dignes d’un grand groupe.

Grand ou petit, le bon partenaire, n’est ce pas celui qui s’adapte et qui sait encore vous faire prendre des risques ?

Et pour que ça marche : donnez-lui du temps et l’accès aux ressources clés (métier, IT, ops, juridique, risk, achats, sécurité). Sinon, par manque de matière et de contexte, il deviendra très vite… un partenaire “catalogue” : il livrera des templates et des contrôles “grand groupe” parce que c’est la seule chose faisable sans immersion.

Les exigence de mise en conformité en 1 mois, ça se traduit vite par :

  • des politiques “copier-coller” très belles… mais inapplicables,
  • une avalanche de contrôles non tenables (donc une non-conformité programmée),
  • une liste d’écarts qui explose dès le premier audit, et, au final, plus de coûts récurrents (preuves manuelles, comités, remédiations “dans l’urgence”) pour moins de sécurité réelle.

Questions simples pour filtrer (avant signature) :

  • “Comment adaptez-vous vos contrôles à une DSI de 6 personnes ? Donnez un exemple.”
  • “Quels contrôles jugez-vous excessifs dans notre contexte — et pourquoi ?”
  • “Comment traitez-vous la proportionnalité et la priorisation, concrètement, dans vos livrables ?”
  • “Qu’est-ce qui sera automatisé vs manuel ? Avec quels outils ?”
  • “Quels indicateurs de résultat vous proposez ? (pas juste des livrables)”

Clauses et garde-fous qui protègent :

  • Livrables = contrôles opérables, avec effort estimé, rôles, fréquence, preuves attendues
  • Obligation de fournir une option “minimum viable compliance” (MVC) + une trajectoire
  • Mapping “un contrôle → plusieurs exigences” (éviter les doublons)
  • Un plan de remédiation priorisé par risque,
  • Critères d’acceptation : “peut-on l’exécuter avec nos moyens ? oui/non”

👉 En bref : Entourez-vous d’un acteur qui vous aide à fermer la porte, pas à la garder entrouverte.

Levier 5 : Exploiter les ressources gratuites et communautaires 🎁

Avant de payer un consultant pour rédiger une politique de sécurité à 10k€, posez-vous la question : est-ce que ça n’existe pas déjà ?

🎬 Spoiler : oui, ça existe. Et c’est gratuit.

Quelques exemples disponibles gratuitement :

  • Templates de politiques de sécurité : ISO 27001, NIST, ANSSI (politique de mot de passe, gestion des accès, classification des données…). Regardez les outils de GRC open source. Ils vous livrent parfois des templates gratuitement.
  • Chartes informatiques : CNIL, modèles sectoriels
  • Standards de durcissement : CIS Benchmarks, guides ANSSI (Windows, Linux, Active Directory, bases de données…)
  • Procédures de réponse à incident : SANS, NIST SP 800-61, playbooks CISA, Github Advens / Société Générale
  • Framework de contrôle : Dora in Control de Norea, NIST CSF 2.0 Resources

Un grand merci à ceux qui produisent et mettent à disposition leurs livrables à toute la communauté. C’est grâce à cette culture du partage que des organisations aux moyens limités peuvent bâtir des dispositifs solides.

En résumé : Soyez pragmatiques

Si vous ne retenez qu’une chose : Tout livrable de conformité doit aussi servir la sécurité opérationnelle.

Et oui, on peut être conforme et sécure en optimisant ses coût de conformité, si on la traite comme un cadre, et qu’on traite la sécurité comme un investissement piloté par le risque.

Et surtout : la conformité n’est pas l’ennemie de la sécurité. C’est souvent la porte d’entrée , à ne pas laisser constamment ouvert ;-)

Share:
Revenir au Blog

Articles connexes

Voir tous les articles »