Chapitre 11 — Gouvernance, Conformité & Sensibilisation
La gouvernance établit le cadre stratégique de la sécurité. Ce module couvre les politiques de sécurité, les réglementations clés (GDPR, HIPAA, PCI-DSS), et la sensibilisation à la sécurité.
Mémorisez ! Hiérarchie des documents de sécurité : Politique (QUOI) → Standard (spécifications, COMMENT mesurer) → Guideline (recommandation, non obligatoire) → Procédure (instructions étape par étape, COMMENT faire). Les politiques viennent de la direction — les procédures viennent des techniciens.
- AUP (Acceptable Use Policy) : définit l'utilisation acceptée des ressources IT de l'organisation (emails, internet, équipements). Signée par tous les employés.
- Password Policy : longueur minimale, complexité, historique, MFA. Alignée sur NIST SP 800-63.
- Clean Desk Policy : les documents sensibles doivent être rangés (pas visibles) quand le poste est non occupé. Protection contre le shoulder surfing.
- BYOD Policy : règles pour les appareils personnels utilisés dans un contexte professionnel.
- Incident Response Policy : qui fait quoi, comment, quand lors d'un incident. Lie le CSIRT (Computer Security Incident Response Team).
- Data Retention Policy : combien de temps conserver chaque type de données. Équilibre légal (doit conserver N ans) et sécurité (plus longtemps = plus de risques).
| Réglementation | Domaine | Géographie | Sanctions |
|---|---|---|---|
| GDPR | Protection des données personnelles (PII) | UE (tout organisme traitant des données de citoyens EU) | 4% du CA mondial ou 20M€ |
| HIPAA | Données de santé (PHI) | États-Unis | Jusqu'à 1,9M$/an/catégorie |
| PCI-DSS | Données de carte de paiement | Mondial (toute organisation qui traite des cartes) | Amendes des réseaux de cartes, perte de droits de traitement |
| SOX (Sarbanes-Oxley) | Contrôles financiers des sociétés cotées US | États-Unis (cotées en bourse) | Pénalités pénales pour dirigeants |
| GLBA | Données financières personnelles | États-Unis (institutions financières) | Amendes fédérales |
- 72 heures : délai maximum pour notifier une violation de données à l'autorité de contrôle (CNIL en France).
- Droit à l'effacement (Right to be forgotten) : les individus peuvent demander la suppression de leurs données.
- Privacy by Design : intégrer la protection des données dès la conception des systèmes (pas en option).
- Consentement explicite : le consentement doit être libre, spécifique, éclairé et univoque.
- DPO (Data Protection Officer) : obligatoire pour les organisations traitant des données sensibles à grande échelle.
- 12 exigences PCI-DSS principales, organisées en 6 objectifs : réseau sécurisé, protection des données porteur, programme de vulnérabilités, contrôle d'accès, surveillance, politique de sécurité.
- Niveaux de conformité : basés sur le volume de transactions annuelles (Niveau 1 = >6M transactions, audit annuel QSA + scan trimestriel ASV).
- Tokenisation : remplacer les numéros de carte par des tokens — réduit la portée PCI-DSS (les tokens ne sont pas des données de carte).
- Segmentation réseau : isoler les systèmes qui traitent des données de carte (CDE = Cardholder Data Environment) — réduit la portée de l'audit.
Astuce Examen
Le GDPR s'applique à TOUTE organisation qui traite des données de citoyens UE — même une entreprise américaine. Les 72 heures de notification sont une cible fréquente. PCI-DSS est un standard de l'industrie (non une loi), mais le non-respect peut mener à la perte du droit de traiter des paiements par carte.
- Security Awareness Training : formation des employés sur les menaces (phishing, ingénierie sociale, mots de passe, etc.). L'humain reste le maillon le plus faible.
- Simulations de phishing : envoyer de faux emails de phishing aux employés pour mesurer leur vigilance et identifier ceux qui nécessitent plus de formation. Mesure : taux de clic.
- Principe du moindre privilège : les employés ne doivent avoir accès qu'aux ressources strictement nécessaires à leur fonction.
- Séparation des tâches (SoD) : diviser les tâches critiques entre plusieurs personnes pour éviter qu'une seule puisse commettre une fraude seule.
- Rotation des fonctions (Job Rotation) : changer régulièrement les responsabilités des employés — détecte les fraudes, réduit la dépendance.
- Congé obligatoire (Mandatory Vacation) : obliger les employés critiques à prendre des congés — détecte les fraudes continues (quelqu'un d'autre doit reprendre le poste).