Phylapp
Audit, conformité et responsabilité organisationnelle

Pourquoi la conformité ne peut pas être uniquement déclarative

Une conformité déclarative — non vérifiée, non démontrée, non opérationnelle — expose l'organisation aux mêmes risques qu'une absence de conformité, avec en plus une responsabilité aggravée.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 23 lectures

La conformité déclarative : un risque aggravé

La conformité déclarative consiste à affirmer respecter des règles sans en apporter la preuve opérationnelle. Elle peut prendre différentes formes : des politiques documentées que personne ne suit en pratique, des certifications maintenues par des audits préparés sans refléter l'état réel des systèmes, ou des déclarations réglementaires qui surestiment le niveau de protection réellement en place. Ce phénomène est plus répandu qu'il n'y paraît — et plus risqué qu'une absence de conformité déclarée.

L'absence de conformité est un problème connu et traitable. La conformité déclarative est un problème camouflé. Elle retarde les décisions d'investissement nécessaires, crée une fausse assurance dans les instances de gouvernance, et aggrave la responsabilité de l'organisation en cas d'incident : avoir affirmé être conforme et ne pas l'être réellement est considéré par les régulateurs comme une circonstance aggravante, pas simplement comme une insuffisance.

La direction doit comprendre que la conformité déclarative n'est pas une stratégie acceptable. C'est une exposition délibérée à un risque réglementaire et juridique majeur, en plus du risque opérationnel non maîtrisé qu'elle dissimule.

Points clés

  • Equifax (2017) : Lors des investigations post-violation, les régulateurs ont constaté que certaines mesures de sécurité déclarées dans les rapports de conformité d'Equifax n'étaient pas effectivement en place. Cette discordance entre déclaration et réalité a significativement alourdi les sanctions négociées.
  • Sony (2014) : Les enquêtes ont révélé que Sony Pictures avait déclaré des niveaux de protection de données qui ne correspondaient pas à l'état réel de ses systèmes — les mots de passe des employés étaient stockés en clair dans des fichiers non chiffrés, contrairement à ce que suggéraient les politiques de sécurité documentées.
  • Les régulateurs distinguent systématiquement l'organisation qui a échoué malgré ses efforts documentés de celle qui a déclaré sans mettre en œuvre.
  • La conformité déclarative crée une dette de réalité qui se matérialise lors des contrôles approfondis ou des incidents.
  • La responsabilité personnelle des dirigeants peut être engagée lorsque des déclarations de conformité inexactes sont faites à des régulateurs ou des investisseurs.

Les formes de conformité déclarative dans les organisations

La conformité déclarative ne résulte pas toujours d'une intention de tromper. Elle peut s'installer progressivement, par accumulation de compromis et de déconnexions entre les fonctions qui documentent et les équipes qui opèrent.

La première forme est la politique sans pratique : des documents de sécurité formellement approuvés qui décrivent des procédures que les équipes opérationnelles ne suivent pas — soit parce qu'elles ne les connaissent pas, soit parce qu'elles les jugent inapplicables à leur réalité quotidienne. La deuxième forme est la certification préparée : des audits pour lesquels les équipes sont briefées, les systèmes temporairement mis en conformité, et les anomalies habituellement présentes temporairement corrigées pour la durée du contrôle. Ce type de comportement est détecté par les auditeurs expérimentés — et ses conséquences réglementaires sont significativement plus sévères qu'une non-conformité franche.

La troisième forme est la déclaration déconnectée de la réalité technique : lorsque les équipes de conformité produisent des rapports sur la base d'informations que les équipes techniques n'ont pas vérifiées récemment, ou lorsque des configurations qui ont évolué n'ont pas été reconnectées aux politiques déclarées. Cette déconnexion peut être involontaire mais elle crée la même exposition.

Vérifier l'effectivité de la conformité

La vérification de l'effectivité de la conformité — s'assurer que les politiques déclarées sont réellement appliquées — est la responsabilité de l'audit interne et de la direction de la conformité. Mais elle est aussi une responsabilité de la direction générale, qui doit s'assurer que les mécanismes de vérification existent et fonctionnent.

Les techniques de vérification de l'effectivité vont au-delà de la revue documentaire. Elles incluent des tests de pénétration qui vérifient si les contrôles déclarés résistent effectivement aux tentatives d'exploitation, des revues de configuration qui comparent l'état réel des systèmes avec les politiques documentées, et des enquêtes de pratiques qui interrogent les équipes opérationnelles sur leur compréhension et leur application des procédures. Ces vérifications doivent être indépendantes des équipes dont elles évaluent les pratiques — l'auto-évaluation crée les conditions de la conformité déclarative.

La direction doit recevoir régulièrement des rapports qui distinguent la conformité documentaire (les politiques existent) de la conformité opérationnelle (les politiques sont appliquées). Cette distinction est la base d'une décision de gouvernance informée.

Cas documenté

Marriott International (2014-2018) : L'investigation qui a suivi la découverte de la violation chez Starwood Hotels (acquis par Marriott en 2016) a révélé que certains contrôles de sécurité déclarés dans les audits n'avaient pas été effectivement maintenus depuis des années. L'attaque initiale chez Starwood remontait à 2014 — quatre ans durant lesquels les systèmes compromis avaient été audités sans que la compromission soit détectée. Les auditeurs s'appuyaient sur les déclarations et les documents fournis plutôt que sur des vérifications techniques indépendantes.

Responsabilité de la direction dans la conformité opérationnelle

La conformité opérationnelle — par opposition à la conformité déclarative — est une responsabilité de direction qui ne peut pas être entièrement déléguée aux équipes techniques ou à la fonction conformité. La direction générale est la première responsable de s'assurer que les mécanismes de vérification de l'effectivité existent et sont indépendants.

Cette responsabilité a été renforcée par plusieurs évolutions réglementaires récentes. Le RGPD impose le principe d'accountability : les responsables du traitement doivent être en mesure de démontrer à tout moment que leurs mesures de protection sont effectivement en place. DORA impose aux entités financières de vérifier régulièrement l'effectivité de leurs contrôles de résilience opérationnelle. La directive NIS 2 impose aux dirigeants des opérateurs essentiels de suivre personnellement les formations en cybersécurité et d'approuver les plans de sécurité — les responsabilisant directement dans la gouvernance de la conformité opérationnelle.

La responsabilité personnelle des dirigeants en matière de conformité n'est plus théorique. Les enquêtes réglementaires examinent de plus en plus explicitement le rôle de la direction dans la création des conditions de la conformité déclarative — et les sanctions peuvent inclure des interdictions d'exercer des fonctions de direction.

Références sectorielles
T-Mobile (2021) : Les enquêtes post-violation ont révélé des écarts entre les mesures de sécurité déclarées dans les communications publiques et les pratiques opérationnelles réelles. La FCC et la FTC américaines ont imposé des obligations de vérification indépendante de l'effectivité des contrôles de sécurité — distinguant explicitement la conformité documentaire de la conformité opérationnelle dans leurs exigences.
Maersk (2017) : L'analyse post-NotPetya a montré que certaines procédures de sauvegarde déclarées dans les politiques de continuité d'activité de Maersk n'avaient pas été vérifiées en conditions réelles depuis plusieurs années. La restauration des systèmes a pris dix jours en partie parce que les sauvegardes disponibles étaient moins complètes et moins récentes que ce que les politiques documentées suggéraient.
Medibank (2022) : L'enquête de l'APRA australien a conclu que Medibank disposait de politiques de sécurité formellement conformes à ses obligations réglementaires, mais que l'effectivité de leur application n'était pas vérifiée de façon indépendante. L'authentification multifacteur était déclarée active sur les systèmes critiques mais n'était pas effectivement déployée sur tous les accès concernés — une discordance que seule une vérification opérationnelle aurait détectée.

Articles similaires

L’audit est le révélateur du niveau réel de sécurité d’une organisation

Points clés Un audit de sécurité est d'abord un outil de mesure de la réalité opérationnelle — il révèle l'écart entre les politiques formelles et les pratiques

24 mai 2026 7 min

Les limites des audits ponctuels face aux risques numériques

Points clés Un audit annuel offre une photographie de la sécurité à un instant T — il ne garantit pas la sécurité des 364 jours suivants, période pendant laquel

24 mai 2026 7 min

Les erreurs fréquentes dans la préparation aux audits de sécurité

Points clés La principale erreur de préparation à l'audit est de préparer l'audit plutôt que de préparer la sécurité : corriger ponctuellement les écarts visibl

24 mai 2026 7 min
WhatsApp