www.c-risk.com
Open in
urlscan Pro
34.249.200.254
Public Scan
URL:
https://www.c-risk.com/fr/blog/gouvernance-de-la-cybersecurite
Submission: On February 01 via api from LU — Scanned from DE
Submission: On February 01 via api from LU — Scanned from DE
Form analysis 0 forms found in the DOM
Text Content
Cas d'usage
Communiquez avec le conseil d’administration et la direction
Des métriques commerciales orientées données pour améliorer la communication
avec les dirigeants d'entreprises.
Comprenez l’exposition aux risques liés aux tiers
Mettez en place un processus sécurisé et évolutif pour identifier, mesurer et
gérer les risques liés aux tiers.
Fusion et Acquisition
Diligence raisonnable fondée sur le risque dans le cadre des fusions et
acquisitions.
Optimisez votre assurance cyber risques
Étudiez les scénarios de risque pour prendre des décisions éclairées sur votre
police d'assurance contre les cyber risques.
Dimensionner, allouer et justifier un budget Infosec
Articulez vos besoins budgétaires en matière d'infosécurité avec le conseil
d'administration à l'aide d'indicateurs fondés sur des données.
Facilitez la conformité réglementaire
Démontrez qu’une gouvernance est basée sur le risque et fournissez des
informations en temps voulu avec CRQ.
Choisir une stratégie efficace de réduction des risques
Les données quantitatives permettent d'étayer les décisions stratégiques en
matière d'infosécurité.
Services
CRQ as a Service
Laissez C-Risk s'occuper de tout
CRQ Enablement Services
Démarrez votre programme CRQ avec C-Risk
CRQ Consulting & Advisory Services
C-Risk soutient vos projets CRQ
Formation CRQ
Votre rôle
Comex
Directeurs exécutifs
Cadres dirigeants
Équipe de direction
Professionnels du risque
Parties prenantes de l'informatique et de l'InfoSec
Ressources
Blog
Notre collection d’articles et d’analyses
Actualités
Quoi de nouveau chez C-Risk ?
Vidéos
Apprenez de nos experts en cyber risques
A propos
A propos de C-Risk
Apprenez-en plus sur qui nous sommes
Carrière
Les opportunités de rejoindre notre équipe
Partenaires
Les partenaires de la CRQ
C-Risk dans la presse
Presse et media
Contactez-nous
C-Risk
>
Blog
>
Gouvernance de la cybersécurité : petit guide pratique
LES BONNES PRATIQUES DE LA GOUVERNANCE DE LA CYBERSÉCURITÉ
La gouvernance de la cybersécurité, ou cybersecurity governance en anglais,
relève de la responsabilisation des dirigeants de l’entreprise dans le choix des
politiques de cybersécurité.
Le dernier baromètre du CESIN, le Club des Experts de la Sécurité de
l’Information et du Numérique, affirme qu’une majorité de comités exécutifs se
disent dorénavant prêts à mettre la cybersécurité au cœur de leur gouvernance.
Il faut dire que les enjeux de cybersécurité des entreprises ont été exacerbés
en 2021. Les cyberattaques ont gagné en sophistication et en ampleur financière.
Développer une gouvernance de la cybersécurité ne va cependant pas de soi. Il
s’agit de s’accorder sur l’approche à adopter, mais aussi sur les acteurs
impliqués et les freins à lever.
Un article de
Christophe Forêt
Président and co-fondateur de C-Risk
Publié le
April 22, 2022
mis à jour le
October 17, 2023
•
temps
6
min
LA GOUVERNANCE DE LA CYBERSÉCURITÉ, C’EST QUOI ?
La gouvernance de la cybersécurité, ou cybersecurity governance en anglais,
relève de la responsabilisation des dirigeants de l’entreprise dans le choix des
politiques de cybersécurité.
DÉFINITION DE LA GOUVERNANCE DE LA CYBERSÉCURITÉ
Des standards comme le COBIT de l’ISACA proposent de nombreuses définitions.
Dans la grande famille des standards ISO 27xxx, la norme ISO/IEC 27001 définit
les principes de mise en œuvre d’un système de Gestion de la sécurité de
l’information (ISMS – Information Security Management System), mais la
gouvernance de la sécurité de l’information a sa propre norme :ISO/IEC
27014-2020. L’Organisation internationale de normalisation (ISO) et la
Commission électrotechnique internationale (IEC) définissent ainsi la
gouvernance informatique comme « les concepts, objectifs et processus […] par
lesquels les organisations peuvent évaluer, contrôler, surveiller et communiquer
les processus relatifs à la sécurité de l’information ».
Si on parle de gouvernance de la cybersécurité, c’est donc aussi parce que sa
responsabilité incombe dorénavant aux échelons les plus élevés de la direction
de l’organisation. Alors que la sécurité informatique a historiquement été du
ressort des fonctions opérationnelles et techniques, les fonctions les plus
élevées du management et même les Directions Générales se saisissent de plus en
plus souvent du sujet de la sécurité de l’information. Les fonctions telles que
Responsable de la sécurité des systèmes d'information (RSSI), Direction des
Systèmes d’information (DSI) et responsable des risques (CRO : Chief Risk
Officer) portent ce sujet auprès de la direction.
De manière plus synthétique, la gouvernance de la cyber sécurité (cybersecurity
governance) consiste en l'ensemble des décisions qu’une organisation doit
prendre pour sécuriser son système informatique et ses informations.
QUELLE UTILITÉ POUR LA GOUVERNANCE DE LA SÉCURITÉ DE L’INFORMATION?
La gouvernance de la cyber sécurité doit, en premier lieu, s’appuyer sur la
gestion des risques cyber. Il faut réussir à anticiper les failles de
cybersécurité pour chiffrer et limiter les futures pertes financières. Ces
pertes dépendent elles-mêmes du niveau de d’appétence au risque de la société,
c'est-à-dire des pertes financières qu’elle est prête à accepter ou non.
Chez C-Risk, nous préconisons que l’analyse du risque repose sur des critères
quantifiables et mathématiques, tels que définis par le standard Factor Analysis
of Information Risk (FAIR™). L’action de gestion des risques cyber qui en
découle peut recouper différents types de réactions : traitement du risque,
suppression, tolérance ou transfert.
QUI EST CONCERNÉ PAR LA GOUVERNANCE INFORMATIQUE ?
Comme expliqué ci-dessus, parce qu’il s’agit d’une gouvernance, la cybersecurity
governance dépend en premier lieu des instances de direction de l'entreprise. Le
comité exécutif (COMEX) et le conseil d'administration incarnent donc les
acteurs centraux des décisions prises en la matière. La DSI n’est ainsi plus
l’acteur central de la démarche, même si elle épaule et sensibilise, bien sûr,
l’équipe dirigeante.
Côté entreprise, nulle n’échappe vraiment à la nécessité de définir une
gouvernance de la sécurité informatique. Parce que cette gouvernance doit
permettre de prévenir et de réguler le risque cyber, elle concerne aujourd’hui
toutes les tailles de sociétés.
Rappelons que les cyberattaques ont nettement augmenté depuis 2020. En 2018, le
baromètre de la cybersécurité des entreprises du CESIN montrait que 92% des
entreprises avaient déjà subi au moins une cyberattaque. C’est d’autant plus
vrai que les petites et moyennes entreprises incarnent des cibles de choix pour
les hackers. Ils les savent moins protégés des cyberattaques que les grandes
structures.
Le guide complet des méthodes d'analyse du risque cyber
Passez en revue les meilleures méthodes d'analyse du risque cyber. Un seul
objectif : vous aider à mettre en place une stratégie de gestion des risques
efficace.
Je télécharge le guide
TRANSFORM HOW YOU MODEL, MEASURE, AND MANAGE CYBER RISK.
Discover how our CRQ Solutions can help you quantify and mitigate your cyber
risks.
Contactez nous
POURQUOI METTRE EN PLACE UNE GOUVERNANCE DE LA CYBERSÉCURITÉ ?
Le baromètre du CESIN paru en février 2021 affirme que le premier enjeu
identifié par les entreprises en 2020 relève de l'intégration de la
cybersécurité à la gouvernance. Cet enjeu était le plus important pour 60% des
répondants. 72% des répondants se disaient d'ailleurs plus confiants sur le fait
que le COMEX prenne en charge cette thématique.
Effectivement, mettre en oeuvre une gouvernance de la cybersécurité place le
sujet informatique au cœur de la stratégie d’entreprise. Il devient dès lors
plus logique d’investir dans d’autres domaines de préoccupation liés :
* sensibilisation des collaborateurs aux cyber risques et aux vulnérabilités
humaines qui les provoquent (cyber-attaques);
* allocation d’un budget suffisant à la cybersécurité ;
* augmentation des effectifs dédiés ;
* acquisition de logiciels permettant de mieux protéger l'entreprise des
cyberattaques. Celle-ci est d’ailleurs souhaitée par 85% des répondants du
CESIN.
Reste que le développement d’une cybersecurity governance fait naître de
nouvelles problématiques, telles que :
* la peur qu’une politique de cybersécurité freine la digitalisation de
l'entreprise ;
* la multiplication et le renouvellement constants des réglementations, qui
obligent de procéder à des mises à jour régulières de la gouvernance de la
sécurité informatique;
* un manque d’experts dans les métiers de la cybersécurité ;
* un retard pris en la matière pendant les confinements dus au COVID-19 ;
* des RSSI en mal d’influence, doublé de DSI sous-staffées ;
* le sous-financement des directions dédiées à la sécurité informatique ;
* des méthodes d’analyse des risques biaisées, car trop subjectives.
COMMENT METTRE EN PLACE UNE CYBERSECURITY GOVERNANCE ?
La méthode de gestion du risque cyber suivi par C-Risk s’appuie sur la volonté
de sortir des approches subjectives et donc approximatives de gestion du risque.
Appliquée à la gouvernance cyber, elle permet donc de prendre des décisions de
politique informatique éclairées par des probabilités chiffrées de pertes
financières liées aux cyberrisques.
La démarche s’appuie sur un modèle de responsabilité de la cybersecurity
governance réparti en 3 “lignes de défense” :
1 / La première ligne de défense consiste à délimiter la responsabilité
opérationnelle de la gestion des risques. Il s’agit, en général, des
responsables des processus métiers et des contrôles techniques du système
informatique. Cette ligne de défense s’occupe des opérations quotidiennes de
détection et d’évitement des incidents.
Elle comprend parfois une fonction de gestion des risques informatique qui, au
sein de la fonction sécurité informatique, est chargée de l’analyse des risques
et vulnérabilités de l’entreprise et de la surveillance des contrôles mise en
place par la 1ere ligne de defense. Elle sert ainsi de point de contact entre la
première et la deuxième ligne de défense.
2 / La seconde ligne de défense regroupe les fonctions manageriales de la
gestion des risques cyber en interne, ainsi que les questions de conformité
juridique. Elle est chargée de la définition des politiques, processus et des
standards utilisés. Elle est également l’organe de vérification et de
surveillance des actions de la première ligne. Il s’agit le plus souvent des
missions qui relèvent du RSSI et du délégué à la protection des données (DPO).
3 / L’audit interne et externe représente la troisième ligne de défense contre
le cyber risque. Il s’agit en fait d'une validation indépendante des première et
deuxième lignes. Cette fonction relève généralement directement de la
présidence-direction générale qui conduit cette revue annuellement, ou tous les
six mois.
Ces trois catégories d’acteurs interagissent donc pour définir une gouvernance
de la sécurité informatique solide. Il s’agit de définir les politiques et
procédures capables de détecter, de prévenir et de répondre aux incidents cyber
afin d’en limiter les conséquences négatives.
FAQ : GOUVERNANCE CYBERSÉCURITÉ
QU'EST-CE QUE LA GOUVERNANCE DE LA CYBERSÉCURITÉ ?
La gouvernance de la cybersécurité est la gouvernance dédiée à la sécurité
informatique et à la protection vis-à-vis des cyberattaques. On parle de
gouvernance car c’est un risque majeur qui concerne aujourd’hui toute
l’entreprise et nécessite donc une politique globale.
POURQUOI EST-IL IMPORTANT DE DÉVELOPPER UNE GOUVERNANCE DE LA CYBERSÉCURITÉ ?
Les risques cyber sont devenus très stratégiques pour les entreprises. Ils ne
peuvent plus dépendre uniquement de l’opérationnel. Il s’agit désormais
d’adopter des politiques de sécurité informatique capables d’englober les enjeux
juridiques et financiers qu’ils recoupent.
PEUT-ON PARLER DE GRC AU SUJET DE LA GOUVERNANCE CYBERSÉCURITÉ ?
La Gouvernance, Risque, Conformité (GRC) est une approche globale du risque, qui
le croise avec ses implications en termes de stratégies d’entreprise et de
conformité réglementaire. Il s’agit donc d’une démarche tout à fait adaptée à la
gestion du risque cyber.
Share this article
Dans cet article
La gouvernance de la cybersécurité, c’est quoi ?Pourquoi mettre en place une
gouvernance de la cybersécurité ?Comment mettre en place une cybersecurity
governance ?
Utilisez la CRQ pour une meilleure prise de décision
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en
termes financiers afin que les organisations améliorent leur gouvernance et leur
résilience grâce à des décisions éclairées.
En savoir plus
ARTICLES ASSOCIÉS
En savoir plus sur les cyber-risques, les attaques par ransomeware, la
conformité réglementaire et la cybersécurité.
Voir tous les articles
Quelle gestion des risques liés aux tiers en cybersécurité ?
Plus une entreprise étendue a de partenaires commerciaux, plus la nécessité de
penser sa gestion des risques liés aux tiers en cybersécurité s'impose.
Lydie Aubert
17/10/2023
C-Risk | Cybersécurité : Quels enjeux pour les entreprises ?
Découvrez comment la cybersécurité et la gestion des risques liés à la sécurité
de l’information permettent aux organisations de prendre des décisions éclairées
et de renforcer leur résilience cyber.
Melissa Parsons
30/11/2023
Pas de conformité RGPD sans stratégie de cybersécurité
Être conforme au RGPD et avoir une protection des données efficace est un défi
pour toute entreprise. Relevons-le grâce à la quantification des risques.
Christophe Forêt
7/4/2023
C-Risk est un expert reconnu dans la quantification des risques cyber selon la
méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la
formation en CRQ.
Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Cas d'usage
Communiquez avec le conseil d’administration et la directionComprenez
l'exposition aux risques tiersFusion & AcquitionOptimisez votre assurance cyber
risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la
conformité réglementaireChoisissez une stratégie efficace de réduction des
risques
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Formation
Formation CRQ
Contact
Contactez-nous
Langue
English
French (France)
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités
Cookie-Einstellungen
Schließen
Cookie-Einstellungen
Wenn Sie diese Dienste nutzen, erlauben Sie deren 'Cookies' und
Tracking-Funktionen, die zu ihrer ordnungsgemäßen Funktion notwendig sind.
Datenschutzbestimmungen
Einstellungen für alle Dienste
Erlaube alle Cookies Verbiete alle Cookies
* Notwendige Cookies
* Diese Seite nutzt Cookies, um die Bedienung der Website zu ermöglichen,
diese können nicht deaktiviert werden
Erlauben Ablehnen
* APIs
APIs werden benutzt um Skripte zu laden, wie: Geolokalisierung,
Suchmaschinen, Übersetzungen, ...
* Andere
Dienste zum Anzeigen von Web-Inhalten.
* Besucher Zähldienste
Die verwendeten Besucher Zähldienste generieren Statistiken die dabei helfen,
die Seite zu verbessern.
* Google Analytics (universal)
nicht erlaubt - Dieser Dienst kann 'Cookies' verwenden 11 cookies.
Weiter lesen - Zur offiziellen Webseite
Erlauben Ablehnen
* Kommentare
Kommentar Manager erleichtern die Organisation von Kommentaren und helfen
dabei Spam zu verhindern.
* Soziale Netzwerke
Soziale Netzwerke können die Benutzbarkeit der Seite verbessern und ihren
Bekanntheitsgrad erhöhen.
* Support
Support Dienste erlauben es die Urheber der Seite zu kontaktieren und sie zu
verbessern.
* Videos
Videoplattformen erlauben Videoinhalte einzublenden und die Sichtbarkeit der
Seite zu erhöhen.
* Werbenetzwerke
Werbenetzwerke können mit dem Verkauf von Werbeplatzierungen auf der Seite
Einnahmen erhalten.
* Diese Website verwendet keine Cookies, die Ihrer Zustimmung bedürfen.
X Diese Webseite verwendet 'Cookies' um Inhalte und Anzeigen zu personalisieren
und zu analysieren. Bestimmen Sie, welche Dienste benutzt werden dürfen Alle
akzeptieren Verbiete alle Cookies Personalisieren Datenschutzbestimmungen