Les organisations de toutes tailles et de tous secteurs sont confrontées à la nécessité de respecter de multiples lois, réglementations et normes industrielles. Cela peut conduire les organisations à gaspiller un temps et des ressources précieux en créant des ensembles de contrôles indépendants, en rassemblant les mêmes preuves, en effectuant des tests redondants et en répétant d'autres activités pour plusieurs audits.

Une méthode qui peut aider à réduire le temps et les efforts nécessaires pour se conformer à plusieurs cadres est la cartographie des contrôles. Dans cet article, nous verrons ce qu'est la cartographie des contrôles, quels avantages elle offre et comment l'automatisation peut simplifier le processus.

Avant de plonger dans la définition de la cartographie des contrôles, expliquons ce que nous entendons par contrôle.

Qu'est-ce qu'un contrôle ?

Un contrôle est une mesure de protection spécifique, telle qu'une politique, un processus, une configuration ou un outil, qu'une organisation met en place pour protéger ses actifs d'information et gérer les risques afin de se conformer à différents cadres.

Un cadre comme PCI DSS ou SOC 2® est décomposé en exigences clés. Pour se conformer à un cadre, les organisations doivent mettre en œuvre un ensemble de contrôles pour satisfaire à toutes les exigences pertinentes pour leur organisation. Un ensemble de contrôles comprend généralement une combinaison de mesures de gestion, physiques, légales, opérationnelles et techniques.

Dans le cas d'un audit interne ou externe, les organisations doivent également fournir des preuves qu'elles adhèrent à ces exigences et que les contrôles qu'elles ont mis en place fonctionnent comme prévu. Ces preuves sont souvent collectées sous forme de captures d'écran, de documents de politiques et procédures, de certificats de réussite de formation à la sécurité, et/ou d'autres types de preuves.

Lorsqu'on utilise une plateforme d'automatisation de la conformité, celle-ci recueille ces preuves par le biais d'intégrations et de tests. Une fois que vous avez configuré les intégrations avec les outils et les applications utilisés dans votre organisation, la plateforme collectera automatiquement les preuves et les associera aux exigences et contrôles des cadres via des tests. Ces tests seront réussis ou échoués pour indiquer l'état de santé de vos contrôles.

Lors d'une évaluation de conformité, les auditeurs évalueront ensuite l'ensemble des contrôles et les preuves de l'organisation pour s'assurer qu'ils sont appropriés, efficaces et répondent aux exigences du cadre.

Les contrôles et les preuves qu'une organisation met en place varient en fonction de la portée de l'audit, des risques, de l'interprétation de l'exigence du cadre ou de l'outil d'automatisation de la conformité. Prenons un exemple.

PCI DSS a plusieurs exigences de mots de passe et d'authentification, y compris une qui spécifie que les organisations ne doivent utiliser des comptes de groupe, partagés ou génériques que lorsque cela est nécessaire et sur une base exceptionnelle. Un contrôle (parmi d'autres) que les organisations peuvent mettre en place pour répondre à cette exigence est d'utiliser un outil de gestion de mots de passe pour gérer les comptes partagés et suivre la responsabilité individuelle. Pour prouver que ce contrôle est en place et fonctionne efficacement, elles doivent fournir des preuves de l'outil de gestion des mots de passe, y compris la configuration de la responsabilité individuelle et les restrictions d'accès telles qu'une capture d'écran.

Qu'est-ce qu'un contrôle commun ?

Les contrôles sont conçus pour être flexibles afin que les organisations puissent les adapter à leurs systèmes, services et types de données spécifiques. Cela garantit que les mesures de sécurité sont efficaces pour atténuer les risques et défis uniques auxquels l'organisation est confrontée, et pas seulement pour cocher une case de conformité.

En raison de cette flexibilité, certains contrôles peuvent répondre aux exigences de plusieurs cadres. Par exemple, le contrôle de l'utilisation d'un outil de gestion des mots de passe pour gérer les comptes partagés peut aider à répondre aux exigences de mot de passe pour HIPAA et ISO 27001 en plus de PCI DSS. C'est un exemple de contrôle commun.

De nombreux cadres de sécurité, de confidentialité et de conformité ont des contrôles communs parce qu'ils ont été créés pour des objectifs ou types d'organisations similaires. Par exemple, les cadres fédéraux comme NIST 800-53 et NIST 800-171 ont été conçus pour aider à protéger des informations gouvernementales sensibles et des infrastructures critiques. En fait, NIST 800-171 est un dérivé de NIST 800-53, de sorte que les ensembles de contrôles pour chacun se chevauchent considérablement.

Parce que SOC 2 et ISO 27001 sont conçus pour aider les organisations de services à protéger les données des clients et couvrent tous deux les principes de sécurité fondamentaux tels que la sécurité des données, l'intégrité, la disponibilité et la confidentialité, il existe de nombreux contrôles qui pourraient répondre aux exigences des deux cadres. De même, PCI DSS et HIPAA sont des cadres conçus pour aider les organisations à protéger des données clients hautement sensibles et peuvent avoir un chevauchement significatif dans leurs ensembles de contrôles.

Les contrôles communs, qui répondent à l'intention des exigences à travers les cadres, peuvent aider les organisations à atteindre plus rapidement la conformité avec plusieurs cadres et à éviter les travaux en double. Voyons comment ci-dessous.

Qu'est-ce que la cartographie des contrôles ?

La cartographie des contrôles est le processus de mise en place d'un ensemble de contrôles qui répond aux exigences d'un cadre, puis de cartographier cet ensemble de contrôles aux exigences d'un autre cadre. L'objectif est d'identifier les contrôles communs qui peuvent répondre aux exigences cartographiées de plusieurs cadres. Parce que les contrôles communs n'ont besoin d'être mis en place et testés qu'une seule fois pour valider leur efficacité, les organisations peuvent utiliser ces résultats comme preuve de respect des exigences de plusieurs cadres. Les organisations peuvent donc atteindre plus rapidement la conformité avec plusieurs cadres et éviter les travaux en double grâce à la cartographie des contrôles.

Examinons de plus près les avantages ci-dessous.

Avantages de la cartographie des contrôles

La cartographie des contrôles offre plusieurs avantages, notamment l'accélération du temps de conformité pour plusieurs cadres et la fourniture d'informations pour élaborer votre feuille de route de conformité. Elle offre également des avantages qui vont au-delà de la conformité.

1. Réduire les travaux en double et accélérer le temps de conformité pour plusieurs cadres

La cartographie des contrôles à travers les réglementations et normes pertinentes peut faciliter le processus d'évaluation et de conformité globale pour plusieurs cadres, ce qui permet finalement de gagner du temps pour les organisations qui ont déjà investi des ressources pour se conformer à un cadre réglementaire.

Par exemple, disons que vous commencez par la conformité NIST 800-53. Vous déterminez que le jeu de contrôles de base approprié pour votre organisation est modéré et vous les adaptez en conséquence. Ensuite, vous les mappez à des normes et réglementations supplémentaires requises pour votre organisation.

Par exemple, le contrôle AC-1 de NIST 800-53 est la politique et les procédures de contrôle d'accès. Cela peut être mappé à des contrôles dans d'autres cadres, comme l'Annexe A.5 : Politiques de sécurité de l'information dans ISO 27001. Les tests validant le contrôle NIST 800-53 AC-1 pourraient ensuite être appliqués aux contrôles mappés pour les exigences ISO 27001, vous évitant ainsi de mettre en œuvre un contrôle et un test redondants. C'est le concept « tester une fois, se conformer à plusieurs ».

En cartographiant et en testant des contrôles communs pour démontrer qu'ils répondent aux exigences de plusieurs cadres, les entreprises peuvent étendre efficacement leurs efforts de conformité à plusieurs cadres avec un travail supplémentaire minimal.

2. Comprendre quels cadres sont les plus pertinents pour votre entreprise

La cartographie des contrôles peut fournir des informations précieuses pour élaborer votre feuille de route de conformité. En aidant les organisations à identifier les chevauchements ainsi que les lacunes entre les cadres, la cartographie des contrôles peut les aider à décider quels cadres poursuivre pour se conformer et quand.

Par exemple, NIST 800-53 dispose d'un ensemble de contrôles complet qui est divisé en 26 familles de contrôles différentes. Beaucoup de ces familles de contrôles, comme les contrôles d'accès, la réponse aux incidents, la planification de la continuité et la gestion de la configuration, peuvent être trouvées dans d'autres cadres tels que :

• NIST 800-171 
• CMMC
• NIST CSF
• HIPAA
• PCI DSS

Cela signifie que NIST 800-53 peut être un excellent point de départ pour de nombreuses organisations qui doivent se conformer à plusieurs lois, réglementations et normes maintenant ou à l'avenir à mesure que leur entreprise et leurs clients grandissent. En poursuivant d'abord la conformité NIST 800-53, ils pourront simplifier le processus de conformité à d'autres cadres ultérieurement en utilisant la cartographie des contrôles. NIST 800-53 est tellement complet qu'ils pourraient même être conformes à d'autres cadres sans le savoir. 

Les organisations peuvent également utiliser la cartographie des contrôles pour identifier les lacunes entre les cadres afin de comprendre quand il est nécessaire de donner la priorité à plusieurs. Supposons qu'une organisation entre dans le cadre de PCI DSS et doit également répondre aux préoccupations des clients de l'UE concernant la confidentialité des données. Dans ce cas, ils peuvent utiliser la cartographie des contrôles pour identifier les lacunes et voir que de nombreux contrôles PCI DSS ne correspondent pas à un nombre suffisant d'exigences GDPR selon leurs équipes de sécurité ou leurs clients, puis décider de la manière dont ils souhaitent procéder en conséquence. 

3. Améliorer la gestion des risques

La cartographie des contrôles peut également aider à améliorer les efforts de gestion des risques d'une organisation en  identifiant les domaines prioritaires qui n'ont pas été traités par la conformité. C'est pourquoi la cartographie des contrôles peut être essentielle pour une stratégie efficace de gouvernance, de risque et de conformité (GRC). 

Par exemple, une organisation peut avoir une exposition aux risques importante qui n'est couverte par aucune exigence de conformité ou réglementaire. Cette exposition aux risques peut être traitée séparément par des exigences commerciales.

Avec la cartographie des contrôles, les organisations peuvent associer les contrôles aux exigences des cadres et des entreprises pour améliorer leur posture de risque ainsi que leur posture de conformité. 

Défis auxquels les organisations sont confrontées lors de la cartographie des contrôles

Maintenant que nous comprenons les avantages de la cartographie des contrôles, examinons de plus près les défis courants que les organisations doivent relever pour débloquer ces avantages.

Manque de visibilité et de standardisation

Si vous mappez manuellement les contrôles aux exigences du cadre, votre organisation s'appuiera probablement sur plusieurs feuilles de calcul, outils, techniques de mapping et parties prenantes. En conséquence, il peut être fastidieux et chronophage de créer, mettre à jour et comparer ces mappings entre différents outils et équipes. Cela peut également entraîner des incohérences et des erreurs.

Savoir si un contrôle répond aux exigences mappées

Pour les organisations ayant des connaissances et une expertise limitées en matière de conformité et de sécurité, l'un des principaux défis est de comprendre si un contrôle répond véritablement à l'intention d'une exigence mappée.

En général, les exigences du cadre sont soit très spécifiques et complexes, soit larges et trop générales pour savoir exactement ce qui doit être mis en œuvre. Par exemple, le SOC 2 est une directive créée par l'AICPA qui peut être interprétée différemment selon les entreprises ou même les cabinets d'audit qui ont leurs propres listes de demandes d'information et interprétations. En revanche, l'ISO 27001 est plus prescriptif et décrit 93 contrôles - connus sous le nom de "contrôles de l'annexe A" - que les organisations doivent mettre en œuvre. En raison de cette disparité de flexibilité, les organisations peuvent avoir du mal à mapper avec confiance les contrôles SOC 2 aux exigences ISO 27001, ou vice versa.

Pour éviter les risques de sous-mapping et de sur-mapping, les organisations doivent généralement embaucher une équipe GRC et/ou un conseiller juridique (selon le cadre) pour comprendre si les contrôles répondent à l'intention des exigences mappées. Cela peut ajouter aux coûts de l'entreprise et de la conformité.

Complexité des cadres

Le risque de sous-mapping et de sur-mapping ou de commettre d'autres erreurs au cours du processus de mapping peut augmenter en fonction du cadre.

Prenez NIST 800-53, par exemple. NIST 800-53 dispose de trois référentiels de contrôles de sécurité, ou ensembles de contrôles de sécurité minima pour les systèmes d'information fédéraux en fonction de leur niveau d'impact. Les trois référentiels sont Faible, Modéré et Élevé. Faible a le moins de contrôles et peut être considéré comme le moins strict. Élevé a le plus de contrôles et peut être considéré comme le plus strict. Ainsi, mapper l'ensemble de contrôles du même cadre vers différents référentiels NIST 800-53 changera le nombre de contrôles communs.

Il existe également plusieurs niveaux de conformité PCI DSS. Selon le niveau PCI auquel elles appartiennent, les organisations peuvent avoir besoin de prouver leur conformité PCI DSS avec un rapport de conformité ou un questionnaire d'auto-évaluation. Pour les commerçants et les prestataires de services qui n'ont pas besoin d'un rapport de conformité complet, il existe huit types de questionnaires d'auto-évaluation. Ainsi, mapper un ensemble de contrôles à PCI SAQ A et au cadre de référence PCI DSS, par exemple, changera le nombre de contrôles communs.

Ce ne sont que deux exemples qui mettent en évidence la complexité du mapping des contrôles et les pièges potentiels que les organisations doivent éviter si elles adoptent une approche manuelle.

Mappage des preuves ainsi que des contrôles

Voir combien de contrôles deux cadres ont en commun est utile, mais cela n'indique pas comment la conformité à un cadre aidera à accélérer la conformité à un autre. Pour ce faire, vous devez également mapper les preuves.

Mapper à la fois l'ensemble de contrôles et les preuves de conformité à un cadre vers un autre peut représenter une quantité importante de travail. Tout comme certaines exigences du cadre nécessitent qu'une organisation mette en œuvre plusieurs contrôles, certains contrôles nécessitent plusieurs preuves pour évaluer s'ils sont efficaces ou en bonne santé.

Prenez l'exigence HIPAA pour l'élimination des ePHI, par exemple. Cela indique qu'une entité couverte ou un associé commercial doit, conformément à § 164.306, mettre en œuvre des politiques et procédures pour traiter la disposition finale des informations de santé protégées électroniques, et/ou du matériel ou des supports électroniques sur lesquels elles sont stockées. Pour répondre à cette exigence, les organisations peuvent devoir mettre en œuvre et tester plusieurs contrôles tels que :

• Formaliser une politique de conservation et d'élimination des données
• Mettre en œuvre un processus de suppression des données
• Mettre en œuvre un processus de réponse aux demandes des clients de supprimer les données

Étant donné que ces contrôles s'appliquent également à d'autres cadres tels que le CCPA, le RGPD, l'ISO 27001, l'HIPAA et le SOC 2, les preuves et processus sous-jacents traiteront plusieurs tests et exigences de cadre et doivent également être mappés.

Examinons de plus près comment une plateforme d'automatisation de la conformité comme Secureframe peut résoudre ces défis et simplifier et rationaliser le processus de mapping des contrôles.

Comment une plateforme d'automatisation de la conformité simplifie le mapping des contrôles

Maintenant que vous comprenez les avantages et les défis du mapping des contrôles, examinons de plus près comment une plateforme d'automatisation de la conformité peut simplifier significativement le mapping des contrôles et maximiser le retour sur investissement de ce processus.

1. Centralise les exigences du cadre, les contrôles et les données de test

Avoir un référentiel central pour vos exigences de cadre, contrôles et tests peut significativement simplifier le processus de mapping des contrôles.

À partir de cette source unique de vérité, vous pouvez plus facilement mapper les contrôles et les tests aux nouvelles exigences du cadre pour déterminer s'ils peuvent être satisfaits par les contrôles existants ou si de nouveaux doivent être mis en œuvre et testés.

Cette visibilité à elle seule peut débloquer vos efforts de mapping des contrôles — mais l'automatisation peut les accélérer.

2. Automatise le mapping des contrôles pour réduire les erreurs et le temps

Une plateforme GRC robuste comme Secureframe peut automatiser le processus de mapping des contrôles, réduisant ainsi le temps nécessaire et le potentiel d'erreur humaine.

Les utilisateurs de Secureframe peuvent accéder à une liste complète de contrôles applicables à leur organisation et voir quelles exigences du cadre sont mappées à chacun de leurs contrôles directement dans la plateforme.

Par exemple, dans votre instance Secureframe, vous pouvez voir le contrôle RA-06, qui spécifie que les nouveaux fournisseurs doivent être évalués conformément à la politique de gestion des risques liés aux fournisseurs avant de s'engager avec eux et réévalués au moins une fois par an.

Ce contrôle est mappé à des dizaines d'exigences pour ISO 27001, GDPR, CJIS et d'autres cadres. Cela est fait automatiquement, vous n'avez donc pas à repartir de zéro lors du mapping des contrôles ou à deviner si un contrôle répond à une exigence du cadre mappée.

3. Mappe également les tests automatiquement

Comme mentionné ci-dessus, les organisations doivent mapper l'ensemble des contrôles et les tests sous-jacents d'un cadre à un autre pour comprendre le travail supplémentaire requis pour se conformer à ce cadre et éviter de perdre du temps sur tout travail redondant.

Les meilleures plateformes d'automatisation de la conformité vont automatiser le mapping des contrôles et des tests aux exigences du cadre. De cette façon, vous n'avez à mettre en œuvre et tester un contrôle commun qu'une seule fois pour satisfaire plusieurs exigences du cadre. Prenons encore une fois l'exemple du contrôle RA-06. Un test (parmi d'autres) pour prouver que le contrôle fonctionne comme prévu est d'évaluer les niveaux de risque pour tous les fournisseurs concernés. Ce test est mappé aux contrôles et exigences à travers une douzaine de cadres, y compris SOC 2, ISO 27001, HIPAA, CCPA, NY DFS, Cyber Essentials et plus encore.

Donc, disons que vous avez mis en œuvre et testé le contrôle RA-06 dans le cadre de vos efforts de conformité SOC 2. Si vous poursuivez ensuite la conformité ISO 27001, le contrôle et les tests seront automatiquement mappés à l'exigence ISO 27001 pertinente afin que vous puissiez prouver votre adhésion sans travail supplémentaire.

4. Utilise des contrôles communs lorsque c'est possible

Une plateforme d'automatisation de la conformité qui offre des cadres, des contrôles et des tests pré-construits peut simplifier significativement le processus de conformité en montrant exactement ce que vous devez faire pour devenir conforme. Si ces cadres pré-construits utilisent des contrôles communs, votre équipe peut gagner encore plus de temps et éviter de faire un travail en double.

Tous les cadres créés par Secureframe utilisent des contrôles communs. Cela signifie que lorsqu'un client existant de Secureframe ajoute un nouveau cadre à son instance, il voit automatiquement où il en est avec ce cadre et à quel point il chevauche d'autres cadres. En raison de tels chevauchements communs entre les cadres, les clients existants de Secureframe ajoutant de nouveaux cadres à leur instance ne commencent jamais à 0%.

5. Peut mapper les risques aux contrôles

Une plateforme d'automatisation de la conformité avec des capacités de cartographie avancées peut même vous permettre de mapper vos contrôles aux risques pour aligner vos programmes de gestion de la conformité et des risques. Ce faisant, vous pouvez afficher les mesures que vous avez prises pour atténuer les risques et identifier plus facilement les lacunes pour traiter et répondre de manière proactive aux risques.

Comment Secureframe peut vous aider à accélérer l'obtention de la conformité

Secureframe est conçu pour aider les organisations à réduire le travail en double et à accélérer l'obtention de la conformité, qu'elles recherchent la conformité pour un cadre ou plusieurs.

Tous les cadres élaborés par Secureframe utilisent des contrôles communs dans la mesure du possible pour garantir un programme de conformité efficace. Cela signifie que vous pouvez accéder à une liste complète de contrôles applicables à votre organisation et voir quelles exigences et tests du cadre sont mappés à chacun de vos contrôles directement sur la plateforme Secureframe.

Vous avez également la possibilité de créer vos propres cadres personnalisés et de mapper des contrôles et des tests personnalisés et préconfigurés à ces exigences de cadre. Vous pouvez même éditer les contrôles et les mappages de test pour affiner la plateforme afin de répondre efficacement à vos besoins au fil du temps.

Vous pouvez également mapper les contrôles aux risques ainsi qu'aux exigences de conformité. De cette façon, si votre organisation présente une exposition significative à un risque qui n'est couvert par aucune exigence de conformité ou réglementaire, vous pouvez l'identifier et y répondre.

Une enquête auprès des utilisateurs de Secureframe menée par UserEvidence a confirmé que l'utilisation d'une plateforme d'automatisation de la conformité aide à réduire la complexité et le coût de la gestion des risques et de la conformité. Lorsqu'on leur a demandé comment Secureframe les avait aidés à s'améliorer :

• 97 % ont déclaré avoir renforcé leur position en matière de sécurité et de conformité
• 92 % ont déclaré avoir réduit le temps passé sur les tâches manuelles
• 89 % ont déclaré avoir accéléré l'obtention de la conformité pour plusieurs cadres
• 85 % ont déclaré avoir réalisé des économies annuelles
• 75 % ont déclaré avoir réduit le risque de non-conformité

Pour en savoir plus sur les cadres, les contrôles et les tests de Secureframe, planifiez une démo avec l'un de nos experts en conformité. Vous pouvez également consulter notre glossaire des cadres pour obtenir un aperçu de certaines des centaines de normes et cadres qui peuvent s'appliquer à votre organisation.

À propos de l'enquête UserEvidence

Les données concernant les utilisateurs de Secureframe ont été obtenues grâce à une enquête en ligne menée par UserEvidence en février 2024. L'enquête comprenait les réponses de 44 utilisateurs de Secureframe (dont la majorité étaient des gestionnaires ou plus) dans les secteurs de la technologie de l'information, des biens de consommation discrétionnaires, de l'industrie, des services financiers et de la santé.