Comment assurer une conformité efficace et continue ?
Publié le 03/06/2025 dans Paroles d'experts
Les délais de SRI2 et des autres normes de sécurité ne sont pas une finalité. Pour R. Coucke, Security Strategy Lead chez Proximus NXT, la conformité est un processus continu dont le gros défi est le suivi permanent. "Un cadre GRC est indispensable."
Un quart des entreprises belges ont dû faire face à un incident de cybersécurité l’année dernière. Cela ressort du Rapport 2025 sur la cybersécurité de Proximus NXT. Pour la troisième année consécutive, plus de 40 % des personnes interrogées s’attendent à ce que le nombre d’incidents de cybersécurité ou l’impact de ceux-ci augmente encore cette année. La cybersécurité reste une priorité absolue pour les entreprises belges, en particulier à la lumière des nouvelles législations comme SRI2.
Atteindre et maintenir la conformité SRI2
"La législation SRI2 est un outil important pour rehausser le niveau de cyberrésilience", déclare Rolf Coucke, Security Strategy Lead chez Proximus NXT.
"Avec des règles plus strictes et un champ d’application plus large, SRI2, comme d’autres normes telles que DORA, pousse les entreprises à améliorer de manière proactive leur sécurité numérique et à assurer la continuité des services critiques. Cela a engendré et engendrera encore beaucoup de travail, mais le maintien des processus et des mesures de sécurité mis en œuvre sera un défi tout aussi grand."
Un cadre GRC bien intégré est essentiel pour rester conforme et atteindre les objectifs stratégiques.
Rolf Coucke, Security Strategy Lead chez Proximus NXT
Un cadre GRC (Governance, Risk & Compliance) permet d’assurer une conformité continue avec la directive SRI2 et les autres exigences en matière de sécurité. "Le GRC intègre trois dimensions de sécurité en une seule approche intégrale. Il regroupe tous les aspects de la gestion de la sécurité et évite les angles morts. Dans un monde où les risques et les réglementations sont en constante évolution, un cadre GRC bien intégré est donc essentiel pour rester conforme et atteindre les objectifs stratégiques."
Le suivi comme point sensible
Rolf Coucke constate une forte augmentation de l’importance de la conformité (compliance) au sein du triangle GRC. "La conformité fait référence au contrôle des mesures prises et était déjà présente dans des réglementations comme DORA et SRI1. La directive SRI2 repose sur le fait que, selon le type d’entité, vous pouvez prouver, proactivement ou après un incident, que toutes les mesures exigées ont été prises. De plus, la conformité va au-delà des obligations légales. De nombreuses entreprises et organisations la considèrent comme une condition essentielle à leurs relations commerciales. La conformité devient ainsi une exigence pour les clients et les fournisseurs.
C’est un facteur existentiel pour faire des affaires efficacement, non seulement en Europe, mais aussi au niveau mondial. La conformité en matière de sécurité est un facteur de différenciation important pour conclure des contrats."
La manière dont une organisation interprète la conformité varie considérablement et dépend, entre autres, de la nature et de l’ampleur de ses activités. Diverses normes vous permettent de montrer, en tant qu’organisation, que vous répondez aux exigences de SRI2. "La norme ISO 27001 jouit de la meilleure réputation internationale en matière de sécurité de l’information. Le Centre pour la Cybersécurité Belgique (CCB) a également développé un système de certification qui correspond aux différents niveaux de son propre cadre Cyberfundamentals."
De nombreuses organisations mettent tout en œuvre, pendant une période définie, pour obtenir cette certification et font appel à des consultants externes. Selon Rolf, le défi réside toutefois dans le suivi après la mise en œuvre et le départ des consultants. "L’organisation sous-jacente n’est souvent pas suffisamment armée pour garantir une conformité continue. Les connaissances et la disponibilité internes sont trop faibles, ce qui dégrade rapidement la maturité acquise et compromet la conformité.
Pour donner une idée : la durée de vie moyenne d’un profil de gouvernance de la sécurité au sein d’une entreprise est de 18 à 24 mois. L’évolution constante des réglementations et du paysage des menaces rend encore plus difficile la réduction de cet écart."
Le principal défi n’est pas d’atteindre une certaine maturité, mais de la conserver.
Rolf Coucke, Security Strategy Lead chez Proximus NXT
Governance, Risk and Compliance as a Service
Pour remédier à cette situation, Proximus NXT a développé Governance, Risk and Compliance as a Service, ou GRCaaS en abrégé, qui automatise largement le processus de conformité. "La conformité consiste à exposer les risques. Ces risques sont évalués au moyen d’un score basé sur l’impact, la probabilité et le type d’application (systèmes, applications, processus d’entreprise).
Ce score détermine l’urgence et les mesures nécessaires pour gérer ce risque. GRCaaS visualise ces flux, les suit automatiquement et permet de vérifier et de prouver la conformité dans la pratique."
GRCaaS automatise de 90 à 95 % du suivi des contrôles de sécurité, ce qui réduit la dépendance à l’expertise interne et externe. "Le responsable de la sécurité peut l’utiliser de manière autonome et, par exemple, consulter mensuellement un spécialiste de Proximus NXT pour se concentrer sur les non-conformités qui compromettent les mesures de sécurité, augmentent les risques et affaiblissent la conformité."
Focus sur les tâches principales
Rolf Coucke voit divers avantages pour les entreprises et les organisations. "Grâce à GRCaaS, les coûts traditionnels de suivi de la conformité sont considérablement réduits. Grâce à l’automatisation et à l’assistance prévue, les experts internes en informatique et sécurité peuvent mieux se concentrer sur leurs tâches principales. D’un seul coup, vous soulagez également l’activité sous-jacente, puisque l’ensemble de l’organisation partage la responsabilité du suivi de toutes les mesures de sécurité. La plus grande visibilité facilite également la préparation et la réalisation des audits.
GRCaaS rend la sécurité concrète, que ce soit au niveau du CEO, des collaborateurs IT et RH ou du conseil d’administration, grâce à des tableaux de bord pertinents. De plus, cela se fait sans modification majeure des processus ou des structures."
R. Coucke souligne que le plus grand défi en matière de conformité n’est pas d’atteindre une certaine maturité, mais de la maintenir. Il considère que GRCaaS est le meilleur moyen d’atteindre cet objectif.
Maintenir une conformité efficace
Découvrez comment GRC as a Service vous aide à atteindre une conformité à long terme et une cybersécurité solide grâce à l’automatisation.
Rolf Coucke
Rolf Coucke a dirigé la constitution d’une équipe dynamique de plus de 25 consultants en sécurité. Fort d’une solide expérience en matière de sécurité de l’information, Rolf Coucke apporte plus de 20 ans d’expérience professionnelle acquise au sein d’organisations telles que EY et Smals. Depuis son arrivée chez Proximus en 2015, Rolf se consacre à l’amélioration des pratiques de sécurité et à la promotion d’un environnement numérique sûr pour tous les clients.