Quel est le rôle d'un RSSI dans la conformité ?

Entretien avec Frédéric Jesupret, Group Information Security Officer chez Allianz Partners

Depuis que le Conseil de sécurité des normes PCI a publié la version 4.0 de PCI DSS le 31 mars, celle-ci est devenue le centre des débats dans le secteur mondial des paiements et de la conformité.

À mesure que de nouvelles réglementations sur la confidentialité sont créées et mises à jour, les discussions sur la gestion de la confidentialité se multiplient dans le monde entier.

J'ai récemment échangé avec Frédéric Jesupret, Group Information Security Officer chez Allianz Partners, la filiale mondiale de services d'assistance et d'assurance du groupe Allianz, sur les évolutions de la conformité PCI DSSv.4.0, éléments clés de la gestion des réglementations internationales, de la formation et des enjeux de conformité.

L'évolution de PCI DSS v4.0 – quoi de neuf ?

PCI DSS v4.0 est apparu cette année avec la proposition de porter la conformité à un nouveau niveau et d'augmenter la sécurité dans l'industrie des paiements. Cependant, les entreprises doivent se préparer à intégrer la nouvelle norme dans leur périmètre.

La nouvelle norme permet aux entreprises d'utiliser différentes manières de répondre aux exigences de sécurité.

Selon Frédéric, le défi est que les entreprises devront s'adapter à la nouvelle norme et aux exigences de leurs systèmes. Cependant, il ajoute que PCI DSS v.4.0 sera une étape importante pour les entreprises car "la nouvelle norme nous aidera à améliorer notre conformité et nous préparera également à la conformité avec d'autres normes possibles à l'avenir".

Gestion de multiples cadres et réglementations internationales

Les entreprises mondiales sont tenues de respecter les réglementations locales et internationales en matière de confidentialité et de protection des données. Cela conduit à un processus de gestion complexe, en particulier à une époque où les réglementations nationales en matière de protection des données deviennent de plus en plus strictes.

A ce sujet, Frédéric conseille :

• Conformez-vous aux normes de l'entreprise telles que ISO27001.
• Préparez des modèles pour aider les entités locales à se mettre en conformité.
• Adoptez une approche standardisée de la sécurité informatique et des risques informatiques pour générer des rapports standard.
• Adoptez la même approche pour gérer tous les éléments.

Conseils clés pour rester informé et conforme

Il peut être assez difficile pour les RSSI de négocier plusieurs cadres et réglementations.

Pour Frédéric, suivre le rythme de la conformité est « une histoire sans fin » qui nécessite de nombreuses lectures, des recherches sur Internet et l'utilisation de canaux d'information précieux comme le Conseil consultatif de Vigitrust.

Parallèlement à cela, il y a le défi de rester conforme. Comme le dit Frédéric, « ce sont les tâches quotidiennes sur lesquelles nous devons nous concentrer afin d'atteindre une autre étape de conformité peu de temps après ».