Retour

Gouvernance risque et conformité

Longtemps considérée comme un domaine purement technique, on observe, depuis quelques années, un changement de paradigme dans la gestion de la cybersécurité. Dans un contexte d’explosion du risque cyber1, de digitalisation accrue et face aux nouveaux défis imposés par la crise du Covid19 (télétravail), nous passons d’une gestion opérationnelle à une approche beaucoup plus stratégique. Le Forum Économique Mondial 2022 confirme d’ailleurs ce changement dans son rapport annuel sur les risques mondiaux2 en intégrant les failles de cybersécurité dans le « Top 10 » des risques stratégiques pour les 5 ans à venir. 

Cette tendance est soutenue par le vote de nouvelles réglementations : RGPD (Europe), loi 25 (Québec), projet de loi fédérale C-26 (Canada), accord sur l’application du RGPD par les sociétés américaines (US). Ces nouveaux textes mentionnent désormais expressément la responsabilité des chefs d’organisation en matière de protection des données et, par voie de conséquence, leur nécessaire engagement dans la protection des systèmes d’information en général. 

Enfin, l’interconnexion avec les systèmes d’information extérieurs (prestataires, clients) et les nouvelles lois évoquées bouleversent également les responsabilités entre les organisations et leurs tierces parties. Assurances, prestataires, infonuagique, les récentes réglementations remettent largement en cause (pour la gestion des données personnelles notamment), la notion de transfert de responsabilité vers un tiers (prestataires, assureur, etc.). Cet aspect ne peut être géré qu’au niveau stratégique de l’entreprise, seul capable d’avoir une vision sur l’ensemble de l’organisation et son environnement. 

La cybersécurité doit donc désormais être gérée au plus haut niveau de l’entreprise, avec une vision à 3 ou 5 ans, et un suivi permanent. 

 C’est l’enjeu de la GRC (Gouvernance Risque Conformité). Domaine de la cybersécurité souvent négligé, voire inconnu, on l’associe parfois au service juridique. Sans être une erreur, il apparait aujourd’hui indispensable que ce domaine soit pris en compte, en tout ou partie, par les responsables informatiques qui en rendront compte directement un niveau exécutif de l’organisation. 

La GRC regroupe l’ensemble des politiques et dispositions nécessaires à encadrer et à orienter, de façon formalisée et documentée, la gestion de la cybersécurité. Politiques de sécurité de l’information, analyse des risques, évaluations régulières de la posture de sécurité, identification des besoins en solutions de sécurité, planification stratégique (continuité d’activité, gestion des incidents), mise en conformité, la GRC est une matière structurante permettant aux responsables d’établir un plan de route (notamment budgétaire) sur plusieurs années, de mettre en place un cadre de gestion de la sécurité de l’information incluant tous les services de l’organisation et de prouver son implication dans le domaine (face aux investisseurs, assureurs et clients). 

 Au regard du résultat des évaluations de cybersécurité (NIST, CIS SCS), si la GRC est bien intégrée par les grandes entreprises, elle est encore négligée dans beaucoup de petites et moyennes entreprises, car peu considérée du point de vue de la création de valeur. Pourtant, au regard du coût des attaques informatiques, la GRC permet aux entreprises de limiter les risques en travaillant, à moindres frais, sur leur organisation et leur préparation, compléments impératifs aux solutions techniques. 

Investissement essentiellement en temps et en services, la GRC présente un rapport « retour sur investissement » extrêmement intéressant au regard de son efficacité face au cout réputationnel d’une attaque notamment. En effet, on ne blâme pas une organisation de subir une cyberattaque, mais, en 2022, on ne lui pardonne plus de ne pas y être préparée. 

Arnaud Tésorière – Team lead gouvernance