hello Retour

Gouvernance, risque et conformité

Longtemps considérée comme un domaine purement technique, on observe, depuis quelques années, un changement de paradigme dans la gestion de la cybersécurité. Dans un contexte d’explosion du risque en matière de cybersécurité, de numérisation accrue et face aux nouveaux défis imposés par la pandémie et l’explosion du télétravail, nous passons d’une gestion opérationnelle à une approche beaucoup plus stratégique. Le Forum économique mondial 2022 confirme d’ailleurs ce changement dans son rapport annuel sur les risques mondiaux en intégrant les failles de cybersécurité dans le «  Top 10 » des risques stratégiques pour les 5 ans à venir. 

Cette tendance est soutenue par le vote de nouvelles réglementations : RGPD (Europe), loi 25 (Québec), projet de loi canadienne C-26, accord sur l’application du RGPD par les sociétés américaines (US). Ces nouveaux textes mentionnent désormais expressément la responsabilité des chefs d’organisation en matière de protection des données et, par voie de conséquence, leur nécessaire engagement dans la protection des systèmes d’information en général. 

Enfin, l’interconnexion avec les systèmes d’information extérieurs (prestataires, clients) et les nouvelles lois évoquées bouleversent également les responsabilités entre les organisations et leurs tierces parties. Assurances, prestataires, infonuagique et récentes réglementations remettent largement en cause (pour la gestion des données personnelles notamment) la notion de transfert de responsabilité vers un tiers (prestataires, assureur, etc.).

Cet aspect doit être géré du point de vue stratégique de l’entreprise, car c’est la seule qui possède une vision sur l’ensemble de l’organisation et de son environnement.

La cybersécurité doit donc désormais être gérée au plus haut niveau de l’entreprise, avec une vision à 3 ou 5 ans, et un suivi permanent. 

C’est l’enjeu de la GRC (Gouvernance Risque Conformité). Ce domaine de la cybersécurité souvent négligé, voire inconnu, est parfois associé au service juridique. Sans que ce soit une erreur, il apparait aujourd’hui indispensable que ce domaine soit pris en compte, en tout ou partie, par les responsables informatiques qui en rendront compte directement à la haute direction de l’organisation. 

La GRC regroupe l’ensemble des politiques et dispositions nécessaires à encadrer et à orienter, de façon formalisée et documentée, la gestion de la cybersécurité. Politiques de sécurité de l’information, analyse des risques, évaluations régulières de la posture de sécurité, identification des besoins en solutions de sécurité, planification stratégique (continuité d’activité, gestion des incidents), mise en conformité, la GRC est une matière structurante permettant aux responsables d’établir un plan de route (notamment budgétaire) sur plusieurs années, de mettre en place un cadre de gestion de la sécurité de l’information incluant tous les services de l’organisation et de prouver son implication dans le domaine face aux investisseurs, assureurs et clients. 

Au regard du résultat des évaluations de cybersécurité (NIST, CIS SCS), si la GRC est bien intégrée par les grandes entreprises, elle est encore négligée dans beaucoup de petites et moyennes entreprises, car peu considérée du point de vue de la création de valeur. Pourtant, au regard du coût des attaques informatiques, la GRC permet aux entreprises de limiter les risques en travaillant, à moindres frais, sur leur organisation et leur préparation, compléments impératifs aux solutions techniques. 

La GRC représente un investissement essentiellement en temps et services-conseils, et offre un retour sur investissement extrêmement intéressant au regard de son efficacité face au coût réputationnel d’une attaque notamment. En effet, on ne blâme pas une organisation de subir une cyberattaque, mais en 2022, on ne lui pardonne plus de ne pas s’y être préparée. 

Arnaud Tésorière – Spécialiste en gouvernance