Longtemps cantonnée à des exercices périodiques, la conformité bascule dans une autre dimension. Empilement de réglementations, exigences accrues de preuve, pression de la supply chain : le sujet sort du cadre juridique pour devenir un enjeu opérationnel et stratégique. Pour les organisations, il ne s’agit plus seulement d’être conforme, mais de le démontrer, en permanence.
Cet échange s’appuie sur une interview réalisée en direct lors des Petits Déjeuners de la rédaction, un rendez-vous organisé par Solutions Numériques & Cybersécurité, en partenariat avec Euro Cyber Group, pour prolonger les analyses du magazine et confronter les retours terrain aux enjeux concrets des organisations.
À cette occasion, Chloé Molinari, directrice Digital Trust & Security chez Capgemini Invent France, décrypte les mutations du pilotage de la conformité.
Solutions Numériques & Cybersécurité : Si l’on parle aujourd’hui du pilotage de la conformité, c’est parce que ce n’est plus vraiment un exercice ponctuel. Cela s’inscrit dans la durée. Mais face à ce paysage réglementaire — je pense au RGPD, à NIS2, à DORA, au Cyber Resilience Act — cette conformité continue devient compliquée à mettre en place. Qu’est-ce que cela change concrètement aujourd’hui ?
Chloé Molinari :
Effectivement, les réglementations s’accumulent. Et on parle à la fois des réglementations, mais aussi des standards auxquels on se conforme volontairement ou auxquels on est soumis via la supply chain.
On se félicite souvent du fait que la sécurité de la supply chain soit devenue une priorité pour les exécutifs. Mais l’impact, c’est que les entreprises doivent elles-mêmes prouver leur niveau de conformité. Cela implique de mettre en place des certifications ISO 27001, des rapports SOC de type 2, etc.
Toutes ces couches s’accumulent avec une spécificité ces dernières années : on passe d’un mode de conformité ancien, où on avait des cycles d’homologation assez ponctuels et planifiés, à finalement une mise en conformité permanente intégré dans la gestion des risques.
Et dans ce modèle, il y a aussi un changement sur la démonstration. Avant, on démontrait surtout que les processus existaient. Aujourd’hui, il faut démontrer qu’ils sont effectivement appliqués et efficaces : ça transforme un exercice qui était traditionnellement des cases à cocher, comme un audit.
Solutions Numériques & Cybersécurité : On parle souvent d’une “lasagne réglementaire”. Comment éviter l’indigestion ? Comment ne pas subir cet empilement de règles et de normes ?
Chloé Molinari :
Effectivement, on a tendance à la subir. On a tendance à dire “lasagne”, mais en réalité, c’est encore plus complexe que ça. Dans une lasagne, les couches sont bien ordonnées, assez calmes, structurées.
Ici, les réglementations n’ont pas le même périmètre d’application. Certaines vont couvrir des systèmes critiques, d’autres l’ensemble de l’entreprise, d’autres encore des périmètres spécifiques comme les systèmes de paiement ou des périmètres choisis pour une certification.
Les règles ne sont pas non plus homogènes.
On peut avoir des contrôles sur des sujets similaires, mais formulés différemment, avec des niveaux d’exigence différents. C’est donc difficile à homogénéiser.
Elles ne sont pas non plus structurées de la même manière. Les contrôles ne correspondent quasiment jamais à l’organisation réelle de l’entreprise et à la façon dont les contrôles sont opérés.
Le rôle de la DSI n’est pas toujours le même selon les réglementations et selon le modèle opérationnel de l’entreprise. Certaines responsabilités peuvent être déportées vers des entités locales, notamment sur les sujets cyber. Donc on se retrouve avec une “lasagne déstructurée”, où les couches ne s’empilent pas, où la “sauce” change selon les couches, et où le rôle de la DSI varie.
Le rôle du DSI, c’est donc de bien comprendre son périmètre et de mettre en place un cadre de gestion unifié de la conformité.
Solutions Numériques & Cybersécurité : Dans ce modèle, il y a aussi un flux continu d’indicateurs. Comment éviter d’être noyé sous les tableaux de bord ?
Chloé Molinari :
Le premier besoin, c’est d’unifier les cadres de contrôle. Il faut identifier les cas où un même contrôle peut répondre à plusieurs exigences réglementaires, pour éviter de multiplier les contrôles sur un même sujet.
Cela permet de réduire le nombre d’indicateurs, mais surtout d’augmenter leur valeur.
Le deuxième sujet, c’est l’intégration. Le référentiel de contrôle ne doit pas être siloté. Il doit être intégré aux processus de l’entreprise, connecté à la gestion des risques, aux politiques, aux contrôles opérationnels du quotidien.
Cela permet de prioriser les alertes, puisque chaque indicateur est relié à un risque. On peut donc identifier ceux qui doivent être traités en priorité.
Cela permet aussi de connecter les workflows, d’éviter des traitements manuels successifs, et de fluidifier les processus entre contrôle, risque, conformité et politiques.
Ce qu’on constate chez nos clients, c’est qu’on a quand même une forme de fatigue qui s’accumule. Les équipes étaient dimensionnées pour gérer une réglementation, un cadre relativement stable.
Et elles se retrouvent à gérer un périmètre qui explose, avec des budgets qui n’augmentent pas toujours au même rythme.
Donc la question se pose, notamment avec l’IA, de savoir jusqu’où on peut automatiser.
On sait que les sujets de conformité reposent beaucoup sur de l’analyse documentaire, ce qui est adapté à l’automatisation par l’IA. Mais il y a un point d’attention important : la conformité nécessite de la traçabilité.
Or, l’IA n’est pas toujours déterministe. Elle ne garantit pas toujours des réponses stables et reproductibles. Et ce n’est pas forcément ce que cette technologie apporte aujourd’hui. Il est possible de mettre en place des accélérateurs et de l’automatisation, mais en gardant toujours un “human in the loop”. Il faut une supervision humaine pour assurer la qualité du contrôle, cette couche de maîtrise que l’IA n’apporte pas encore.
Pour approfondir ces enjeux, consultez l’édition du magazine, Trouver le cap réglementaire, disponible en cliquant ici.
