Un système réussit la check-list de conformité, mais vous voyez une véritable faille de sécurité. Quelle est la bonne posture ?
Réponse courte
Les référentiels fixent une barre minimale et peuvent être pleinement satisfaits alors qu'un risque réel subsiste ; une check-list réussie ne signifie donc pas sécurisé : signalez la faille, évaluez son risque et pilotez son traitement, quel que soit le statut de conformité. Conclure que c'est sécurisé parce que la conformité est validée est un amalgame dangereux entre deux choses différentes. Retirer la faille du rapport est une falsification, voire une fraude. Attendre le prochain cycle d'audit laisse sciemment une exposition réelle ouverte. La posture mature traite la conformité comme la preuve d'un plancher, pas d'un plafond, et agit sur le risque que l'on peut réellement voir.
Les référentiels de conformité définissent une barre minimale acceptable pour une catégorie d'organisations. Atteindre cette barre est nécessaire et utile — mais c'est la preuve que vous avez franchi un plancher, pas que vous êtes réellement sécurisé. Une check-list peut être pleinement satisfaite alors qu'une faiblesse réelle et exploitable reste sous les yeux.
Pourquoi une check-list réussie n'est pas la sécurité
Les contrôles sont rédigés de manière générique et évalués à un instant donné. Un contrôle peut être présent mais inefficace — une règle de pare-feu qui existe mais est trop permissive, une MFA activée mais contournable, une journalisation activée mais jamais relue. La check-list demande « le contrôle est-il là ? » ; la sécurité demande « réduit-il réellement le risque ? » Lorsque vous voyez une faille que la check-list n'a pas détectée, le bon geste est de la signaler, d'évaluer son risque (probabilité et impact) et de piloter son traitement — exactement comme pour tout autre risque — quel que soit le voyant vert.
Pourquoi les mauvaises réponses échouent
« La conformité est validée, donc c'est sécurisé » est l'amalgame le plus dangereux du métier : il confond un socle avec une garantie et justifie d'ignorer un problème connu. Retirer la faille du rapport est une falsification — fausser une attestation sur laquelle d'autres s'appuient — et, selon le régime, peut constituer une fraude aux conséquences juridiques. Attendre le prochain cycle d'audit laisse sciemment une exposition réelle ouverte pendant des mois, en pariant que rien ne l'exploitera entre-temps ; ce n'est pas de la gestion du risque, c'est de l'espérance.
Le jugement évalué
L'intervieweur cherche quelqu'un qui ne se cachera pas derrière une case cochée. Un analyste GRC senior ou un CISO traite la conformité comme une entrée d'un programme fondé sur le risque, et non comme l'objectif lui-même, et a l'intégrité de signaler des failles inconfortables même quand l'audit dit « réussi ». Les bonnes réponses relient cela à la communication au conseil — savoir expliquer pourquoi « nous sommes conformes » et « nous sommes sécurisés » sont deux affirmations différentes — et à la discipline pratique consistant à consigner la faille, à désigner un propriétaire et à suivre le traitement, afin que l'organisation agisse sur le risque qu'elle peut réellement voir.
Questions de suivi probables
- Donnez un exemple où un contrôle peut être « conforme » tout en restant inefficace en pratique.
- Comment escaladez-vous une faille hors du périmètre d'audit sans crier au loup ?
- Comment expliqueriez-vous la distinction conformité/sécurité à un conseil d'administration non technique ?