Moins, c'est mieux : comment Anove vous aide à réduire vos coûts de personnel liés à la conformité
By Anove
L'article « The Compensation Trap » de l'ISACA soutient que de nombreuses équipes chargées de la sécurité et de la conformité s'enlisent dans un cycle consistant à augmenter les effectifs pour « compenser » l'absence de prise en charge en première ligne, sans que les résultats ne s'améliorent proportionnellement. L'article présente la cybersécurité comme un « problème complexe » qui ne peut être « résolu » en y consacrant simplement davantage de ressources.
L'un des principaux écueils est le piège de la compensation : les professionnels de la sécurité finissent par effectuer (et courir après) des tâches opérationnelles qui incombent aux responsables informatiques et aux chefs d'entreprise — la mise à jour des correctifs en est l'exemple donné —, ce qui engendre une inefficacité et une dépendance vis-à-vis de certaines personnes. L'alternative proposée est la suivante : transférer la responsabilité aux personnes qui sont en charge du processus, la rendre mesurable via des indicateurs clés de performance (KPI) et leur donner les moyens, grâce à la formation et aux outils, d'automatiser elles-mêmes les tâches répétitives. Le document insiste également sur le principe « déléguer, déléguer, déléguer » : une grande partie des activités de sécurité/risques peut être intégrée dans les cycles de vie informatiques et métier normaux (livraison, architecture, gestion des fournisseurs), sous la direction, la formation et la supervision des responsables de la sécurité — et non sous une microgestion.
Comment cela s'inscrit dans le cadre d'ANOVE (réduction des effectifs dédiés à la conformité)
ANOVE met ces idées en pratique en remplaçant le travail de conformité manuel et exigeant en personnel par une assurance continue et automatisée :
- Collecte automatisée de preuves à partir des systèmes déjà présents dans l’environnement (par exemple, outils de sécurité, surveillance, gestion des tickets), réduisant ainsi la « course aux preuves » et le travail sur tableur — de sorte que la conformité s’adapte sans augmentation des effectifs.
- Responsabilités claires + indicateurs clés de performance (KPI) : ANOVE transforme les exigences légales en actions basées sur les rôles et en résultats mesurables, renforçant ainsi la responsabilité de première ligne plutôt que celle de la deuxième ligne qui « fait le travail ».
- Surveillance continue vs audits ponctuels : permet de maintenir l'efficacité des contrôles visible et communicable, en accord avec l'appel lancé par l'article à diriger par le biais d'objectifs, de responsabilités et d'une surveillance continue plutôt que par l'embauche de personnel supplémentaire.
Résultat net : moins de contrôles manuels, moins d'escalades, et une équipe plus réduite peut maintenir un niveau d'assurance plus élevé.
Source originale : Section néerlandaise de l'ISACA