Ubble a pour mission de permettre aux citoyennes et citoyens d’utiliser leur identité civile en toute simplicité et en toute sécurité dans le monde numérique, de façon à bâtir la confiance nécessaire entre les services en ligne et leurs utilisatrices et utilisateurs.

Quels sont vos défis en termes de gestion des risques IT et fournisseurs ?

Notre principal défi est règlementaire. Dans le cadre de la certification PVID, nous devons répondre aux exigences du Référentiel Général de Sécurité de L’ANSSI.

Aussi, notre politique de sécurité définit précisément les règles et contrôles mis en place pour la gestion des risques et des fournisseurs. Ces politiques sont complétées par des lignes directrices d’implémentation pour cadrer la mise en place des process.

Comment en êtes-vous venu à déployer un outil GRC ?

Utiliser un simple fichier Excel pour traiter un volume considérable des risques et sous-traitants a ses limites. De plus, il est nécessaire de disposer d’un outil sur lequel on peut s’appuyer pour « exécuter » le process de manière aboutie. C’est finalement l’outil qui va donner corps au process en devenant sa partie la plus visible. Ceci est d’autant plus vrai lorsqu’il s’agit d’un process transverse au sein de l’entreprise.

Selon vous, quels sont les risques encourus par une entreprise qui conserve des méthodes de travail manuelles comme la gestion des risques sur Excel ?

Je pense qu’il est très compliqué de gérer plus de 70 risques sur Excel, qui n’est pas conçu pour cela.  En effet, cela peut se transformer en une usine à gaz, limiter les actions et faire naitre d’autres risques.

Quels étaient vos critères de recherche ?

Nos critères de sélection portaient sur un outil permettant :

• De mettre en œuvre le process de traitement des risques et la gestion et sélection des sous-traitant
• De gérer l’inventaire des actifs d’information
• De mettre en œuvre les audits internes et le contrôle interne
• De faire le lien avec le légal pour les contrats (partie gestion des sous-traitants)
• Et enfin, de faire le lien avec la DPO et le RGPD (partie sous-traitant, inventaire des actifs d’information)

Qui portait le projet en interne ?

J’ai orchestré le projet, avec les équipes juridiques et le DPO, pour mettre en place un process de Sécurité IT complet. Ubble étant mature, l’implémentation a pris moins de 3 mois.

Pourquoi avoir opté pour le Cloud GRC & Security Assurance de OneTrust ?

J’ai découvert la solution en 2018, d’abord en tant qu’utilisateur lors de mes précédentes fonctions. J’ai ainsi découvert que l’outil permettait de créer un lien et davantage de communication entre le DPO, la sécurité IT et les équipes juridiques.

Puis, j’ai réalisé 2 implémentations au sein d’entreprises différentes (pas d’outil existant au préalable). Il y a donc une question d’habitude, qui permet d’aller plus vite.

Mais, par rapport à d‘autres solutions du marché, j’apprécie le fait que je puisse configurer et paramétrer moi-même l’outil pour coller au plus près à mes besoins. Ce qui n’est pas forcément le cas pour des solutions concurrentes.

Concrètement, qu’est-ce qui a changé pour vous et vos parties prenantes depuis la mise en place des solutions ITRM et TPRM ?

La gestion des risques était réalisée avec un Excel. Mais, plus le volume des risques était important, plus la recherche était fastidieuse. C’était compliqué de lier actif, risque, plan de traitement des risques, sous-traitant, RGPD et contrat via des classeurs Excel.

Il fut difficile de suivre les étapes de traitement des risques, les échéances, de tenir l’inventaire des actifs, de normaliser les points de contrôles en fonctions de plusieurs référentiels ou encore de créer facilement les risques à partir d’un bibliothèque déjà établie.

Pour les sous-traitants, gérer les questionnaires de conformité sous format Excel ou suivre les multiples échanges par e-mail étaient un véritable cauchemar.

Aujourd’hui, grâce à la solution de OneTrust “GRC & Security Assurance Cloud”, les actifs sont assignés à un propriétaire (à un sous-traitant le cas échéant) et aux risques.

Les sous-traitants répondent directement aux questions de conformité sur la plateforme. Les échanges de documents ou les réponses complémentaires se font aussi sur la plateforme en mode collaboratif, avec une part d’automatisation pour la création des risques en cas de réponse non conforme.

Le gain de temps pour les équipes en charge du légal, du RGPD et de la sécurité est énorme, sans compter qu’avec cette amélioration de la collaboration, les zones d’ombres sont très fortement réduites et nous pouvons mettre en place des plans de traitement de manière très rapide.

Diriez-vous que cela a aidé votre DPO/RSSI et les équipes juridiques/conformité à mieux collaborer en ayant une vue globale et commune des risques ? Si oui, comment ?

A mon sens, OneTrust est l’aboutissement d’une bonne collaboration entre nos équipes. La solution est la dernière pièce du puzzle, mais qui est la plus visible auprès des parties prenantes.  Pour y parvenir, il doit y avoir une vision claire au sein de l’entreprise et un référent capable de dépasser les clivages.

Nous avons également mis l’accent sur la formation, ce qui a permis de simplifier et de faire adopter de manière naturelle l’application du processus.

Enfin, l’outil me permet de générer des reportings. J’organise ainsi des réunions mensuelles avec les membres du Comex pour partager avec eux les chiffres-clés et les incidents flagués. Cela permet de vérifier les points de contrôle non effectués, d’apporter des préconisations, des solutions de traitement et de réaliser des plans de mitigation. Nous visualisons ainsi les responsabilités de chacun mais la décision finale revient aux membres de la direction.

Selon vous, quels sont les bénéfices de la plateforme OneTrust et plus particulièrement du GRC & Security Assurance Cloud ?

Cela reste une moyenne et cela peut varier d’une entreprise à une autre mais je dirais :

Gain de temps ?

– Préparation des réunions récurrentes : gain de 30% du temps

– Suivi des risques : 30% de gain de temps

– Gestion des sous-traitants : 50% de gain de temps

Centralisation ? Gain entre 40% et 50% du temps

Comment décririez-vous le partenariat avec OneTrust en 3 mots ?

Simplicité, adaptabilité, efficacité

Que conseillez-vous aux entreprises qui souhaitent se lancer dans un projet GRC ?

Je conseille de :

• Parler le même langage que les différentes parties prenantes du projet, pour faciliter le changement d’habitude et avoir une meilleure adhésion
• Faire preuve de pédagogie
• Embarquer les bonnes personnes dans le projet
• Expliquer la notion de propriétaire du risque pour empêcher que certains se dédouanent sur les projets GRC
• Expliquer qu’être propriétaire d’un risque ce n’est pas la fin du monde
• Commencer avec des fichiers Excel pour roder le process mais passer rapidement par un outil de GRC