Les bonnes pratiques de la gouvernance de la cybersécurité

La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.

Le dernier baromètre du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique, affirme qu’une majorité de comités exécutifs se disent dorénavant prêts à mettre la cybersécurité au cœur de leur gouvernance. Il faut dire que les enjeux de cybersécurité des entreprises ont été exacerbés en 2021. Les cyberattaques ont gagné en sophistication et en ampleur financière. Développer une gouvernance de la cybersécurité ne va cependant pas de soi. Il s’agit de s’accorder sur l’approche à adopter, mais aussi sur les acteurs impliqués et les freins à lever.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
April 22, 2022
mis à jour le
November 9, 2023
temps
min
gouvernancecybersecurity

La gouvernance de la cybersécurité, c’est quoi ?

La gouvernance de la cybersécurité, ou cybersecurity governance en anglais, relève de la responsabilisation des dirigeants de l’entreprise dans le choix des politiques de cybersécurité.

Définition de la gouvernance de la cybersécurité

Des standards comme le COBIT de l’ISACA proposent de nombreuses définitions. Dans la grande famille des standards ISO 27xxx, la norme ISO/IEC 27001 définit les principes de mise en œuvre d’un système de Gestion de la sécurité de l’information (ISMS – Information Security Management System), mais la gouvernance de la sécurité de l’information a sa propre norme :ISO/IEC 27014-2020. L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) définissent ainsi la gouvernance informatique comme « les concepts, objectifs et processus […] par lesquels les organisations peuvent évaluer, contrôler, surveiller et communiquer les processus relatifs à la sécurité de l’information ».

Si on parle de gouvernance de la cybersécurité, c’est donc aussi parce que sa responsabilité incombe dorénavant aux échelons les plus élevés de la direction de l’organisation. Alors que la sécurité informatique a historiquement été du ressort des fonctions opérationnelles et techniques, les fonctions les plus élevées du management et même les Directions Générales se saisissent de plus en plus souvent du sujet de la sécurité de l’information. Les fonctions telles que Responsable de la sécurité des systèmes d'information (RSSI), Direction des Systèmes d’information (DSI) et responsable des risques (CRO : Chief Risk Officer) portent ce sujet auprès de la direction.

De manière plus synthétique, la gouvernance de la cyber sécurité (cybersecurity governance) consiste en l'ensemble des décisions qu’une organisation doit prendre pour sécuriser son système informatique et ses informations.

Quelle utilité pour la gouvernance de la sécurité de l’information?

La gouvernance de la cyber sécurité doit, en premier lieu, s’appuyer sur la gestion des risques cyber. Il faut réussir à anticiper les failles de cybersécurité pour chiffrer et limiter les futures pertes financières. Ces pertes dépendent elles-mêmes du niveau de d’appétence au risque de la société, c'est-à-dire des pertes financières qu’elle est prête à accepter ou non.

Chez C-Risk, nous préconisons que l’analyse du risque repose sur des critères quantifiables et mathématiques, tels que définis par le standard Factor Analysis of Information Risk (FAIR™). L’action de gestion des risques cyber qui en découle peut recouper différents types de réactions : traitement du risque, suppression, tolérance ou transfert.

Qui est concerné par la gouvernance informatique ?

Comme expliqué ci-dessus, parce qu’il s’agit d’une gouvernance, la cybersecurity governance dépend en premier lieu des instances de direction de l'entreprise. Le comité exécutif (COMEX) et le conseil d'administration incarnent donc les acteurs centraux des décisions prises en la matière. La DSI n’est ainsi plus l’acteur central de la démarche, même si elle épaule et sensibilise, bien sûr, l’équipe dirigeante.

Côté entreprise, nulle n’échappe vraiment à la nécessité de définir une gouvernance de la sécurité informatique. Parce que cette gouvernance doit permettre de prévenir et de réguler le risque cyber, elle concerne aujourd’hui toutes les tailles de sociétés.

Rappelons que les cyberattaques ont nettement augmenté depuis 2020. En 2018, le baromètre de la cybersécurité des entreprises du CESIN montrait que 92% des entreprises avaient déjà subi au moins une cyberattaque. C’est d’autant plus vrai que les petites et moyennes entreprises incarnent des cibles de choix pour les hackers. Ils les savent moins protégés des cyberattaques que les grandes structures.

La cybersécurité entre dans les responsabilités des directions générales

Transform how you model, measure, and manage cyber risk.

Discover how our CRQ Solutions can help you quantify and mitigate your cyber risks.

Contactez nous

Pourquoi mettre en place une gouvernance de la cybersécurité ?

Le baromètre du CESIN paru en février 2021 affirme que le premier enjeu identifié par les entreprises en 2020 relève de l'intégration de la cybersécurité à la gouvernance. Cet enjeu était le plus important pour 60% des répondants. 72% des répondants se disaient d'ailleurs plus confiants sur le fait que le COMEX prenne en charge cette thématique.

Effectivement, mettre en oeuvre une gouvernance de la cybersécurité place le sujet informatique au cœur de la stratégie d’entreprise. Il devient dès lors plus logique d’investir dans d’autres domaines de préoccupation liés :

  • sensibilisation des collaborateurs aux cyber risques et aux vulnérabilités humaines qui les provoquent (cyber-attaques);
  • allocation d’un budget suffisant à la cybersécurité ;
  • augmentation des effectifs dédiés ;
  • acquisition de logiciels permettant de mieux protéger l'entreprise des cyberattaques. Celle-ci est d’ailleurs souhaitée par 85% des répondants du CESIN.

Reste que le développement d’une cybersecurity governance fait naître de nouvelles problématiques, telles que :

  • la peur qu’une politique de cybersécurité freine la digitalisation de l'entreprise ;
  • la multiplication et le renouvellement constants des réglementations, qui obligent de procéder à des mises à jour régulières de la gouvernance de la sécurité informatique;
  • un manque d’experts dans les métiers de la cybersécurité ;
  • un retard pris en la matière pendant les confinements dus au COVID-19 ;
  • des RSSI en mal d’influence, doublé de DSI sous-staffées ;
  • le sous-financement des directions dédiées à la sécurité informatique ;
  • des méthodes d’analyse des risques biaisées, car trop subjectives.
La gouvernance de la cybersécurité réclame une collaboration entre de nombreux acteurs

Comment mettre en place une cybersecurity governance ?

La méthode de gestion du risque cyber suivi par C-Risk s’appuie sur la volonté de sortir des approches subjectives et donc approximatives de gestion du risque. Appliquée à la gouvernance cyber, elle permet donc de prendre des décisions de politique informatique éclairées par des probabilités chiffrées de pertes financières liées aux cyberrisques.

La démarche s’appuie sur un modèle de responsabilité de la cybersecurity governance réparti en 3 “lignes de défense” :

1 / La première ligne de défense consiste à délimiter la responsabilité opérationnelle de la gestion des risques. Il s’agit, en général, des responsables des processus métiers et des contrôles techniques du système informatique. Cette ligne de défense s’occupe des opérations quotidiennes de détection et d’évitement des incidents.

Elle comprend parfois une fonction de gestion des risques informatique qui, au sein de la fonction sécurité informatique, est chargée de l’analyse des risques et vulnérabilités de l’entreprise et de la surveillance des contrôles mise en place par la 1ere ligne de defense. Elle sert ainsi de point de contact entre la première et la deuxième ligne de défense.

2 / La seconde ligne de défense regroupe les fonctions manageriales de la gestion des risques cyber en interne, ainsi que les questions de conformité juridique. Elle est chargée de la définition des politiques, processus et des standards utilisés. Elle est également l’organe de vérification et de surveillance des actions de la première ligne. Il s’agit le plus souvent des missions qui relèvent du RSSI et du délégué à la protection des données (DPO).

3 / L’audit interne et externe représente la troisième ligne de défense contre le cyber risque. Il s’agit en fait d'une validation indépendante des première et deuxième lignes. Cette fonction relève généralement directement de la présidence-direction générale qui conduit cette revue annuellement, ou tous les six mois.

Ces trois catégories d’acteurs interagissent donc pour définir une gouvernance de la sécurité informatique solide. Il s’agit de définir les politiques et procédures capables de détecter, de prévenir et de répondre aux incidents cyber afin d’en limiter les conséquences négatives.

Les lignes de défense de la gouvernance de la cybersécurité façon C-Risk

FAQ : gouvernance cybersécurité

Qu'est-ce que la gouvernance de la cybersécurité ?

La gouvernance de la cybersécurité est la gouvernance dédiée à la sécurité informatique et à la protection vis-à-vis des cyberattaques. On parle de gouvernance car c’est un risque majeur qui concerne aujourd’hui toute l’entreprise et nécessite donc une politique globale.

Pourquoi est-il important de développer une gouvernance de la cybersécurité ?

Les risques cyber sont devenus très stratégiques pour les entreprises. Ils ne peuvent plus dépendre uniquement de l’opérationnel. Il s’agit désormais d’adopter des politiques de sécurité informatique capables d’englober les enjeux juridiques et financiers qu’ils recoupent.

Peut-on parler de GRC au sujet de la gouvernance cybersécurité ?

La Gouvernance, Risque, Conformité (GRC) est une approche globale du risque, qui le croise avec ses implications en termes de stratégies d’entreprise et de conformité réglementaire. Il s’agit donc d’une démarche tout à fait adaptée à la gestion du risque cyber.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
gestion des risques liés aux tiers

Quelle gestion des risques liés aux tiers en cybersécurité ?

Plus une entreprise étendue a de partenaires commerciaux, plus la nécessité de penser sa gestion des risques liés aux tiers en cybersécurité s'impose.

Lydie Aubert

30/3/2023
guide gestion du risque cyber

Cybersécurité : Quels enjeux pour les entreprises ?

Découvrez comment la cybersécurité et la gestion des risques liés à la sécurité de l’information permettent aux organisations de prendre des décisions éclairées et de renforcer leur résilience cyber.

Melissa Parsons

30/11/2023
conformité RGPD et cybersécurité

Pas de conformité RGPD sans stratégie de cybersécurité

Être conforme au RGPD et avoir une protection des données efficace est un défi pour toute entreprise. Relevons-le grâce à la quantification des risques.

Christophe Forêt

7/4/2023

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la formation en CRQ.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Cas d'usage
Communiquez avec le conseil d’administration et la directionComprenez l'exposition aux risques tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireChoisissez une stratégie efficace de réduction des risques
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Formation
Formation CRQ
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités