Gouvernance, risques et conformité cyber (GRC) : Transformer le risque cyber en levier stratégique

Pourquoi la gouvernance cyber est une préoccupation du conseil d'administration

À mesure que les organisations numérisent leurs activités essentielles, la gouvernance cyber s’impose comme un enjeu prioritaire.

Les conseils d’administration doivent reconnaître que la dépendance numérique introduit des risques systémiques susceptibles de perturber la continuité d’activité, d’éroder la confiance des parties prenantes et de provoquer des pertes financières majeures.
L’intégrité des données, des technologies et des opérations influence désormais directement la réputation de l’entreprise, la confiance des investisseurs et sa valeur à long terme.

La supervision du risque cyber relève de la responsabilité fiduciaire du conseil.
Les administrateurs doivent veiller à ce que la direction intègre la cybersécurité au sein des cadres de gestion des risques d’entreprise, et que la posture de risque de l’organisation reflète ses objectifs stratégiques.

Ne pas le faire peut entraîner des dommages financiers ou réputationnels, ainsi que des sanctions légales et réglementaires.

La supervision cyber : un nouvel impératif de gouvernance

Selon un rapport publié par PwC en 2023, Overseeing Cyber Risk: The Board’s Role, 49 % des administrateurs identifient la cybersécurité comme un défi majeur de supervision, soulignant la complexité croissante de la gestion des risques numériques.
Les conseils doivent combler le fossé entre les opérations techniques et la prise de décision stratégique, afin que la cybersécurité dépasse le simple cadre de la conformité et soit considérée comme un véritable levier de création de valeur.
En adoptant une approche fondée sur les données et les risques, les membres du conseil peuvent prendre des décisions éclairées qui concilient innovation, appétence au risque et résilience.

Comment l’incident CrowdStrike de 2024 a révélé les failles du GRC

En juillet 2024, une mise à jour logicielle défaillante du fournisseur de cybersécurité CrowdStrike a déclenché une panne informatique mondiale. Delta Air Lines fut parmi les entreprises les plus touchées : la compagnie a dû annuler plus de 7 000 vols et a subi plus de 500 millions de dollars de pertes.
Si la cause première était technique, les répercussions ont révélé des défaillances de gouvernance plus profondes : dépendance excessive à un seul fournisseur, infrastructure obsolète et plan de réponse à crise insuffisant.

L’incident a plongé plus de huit millions d’ordinateurs dans une “spirale de redémarrage”, perturbant des secteurs critiques tels que le transport aérien, la santé et les services financiers. Avec des dommages estimés à plus de 10 milliards de dollars, l’événement illustre comment des incidents cyber non malveillants peuvent dégénérer en crises systémiques.

Lorsque Delta a poursuivi CrowdStrike pour récupérer une partie de ses pertes, le différend a mis en lumière une vérité dérangeante : les échecs de résilience peuvent tout autant provenir de lacunes de gouvernance que de failles techniques.

Delta a poursuivi CrowdStrike en 2024, affirmant que le déploiement défectueux du logiciel avait causé des dommages “catastrophiques” à l’entreprise. CrowdStrike a toutefois répliqué en soulignant que l’incapacité de Delta à reprendre ses opérations normales tenait à ses propres défaillances de réponse et à son infrastructure informatique vieillissante.

‍Et maintenant ?

Cet incident met en lumière une réalité incontournable : le risque cyber est un risque d’entreprise, capable d’infliger des dommages opérationnels et financiers considérables.
Pour y faire face, les dirigeants doivent élever la gouvernance, la gestion des risques et la conformité en cybersécurité (GRC) au rang de priorité stratégique, ancrée dans la supervision du conseil d’administration — et non plus la considérer comme une fonction purement technique.

Qu'est-ce que la gouvernance de la cybersécurité ?

La gouvernance cyber structure la prise de décision, définit les responsabilités et pilote la gestion des risques cyber dans toute l'organisation.  

L'agence américaine de cyberdéfense CISA définit la gouvernance de la cybersécurité comme :

Une stratégie de cybersécurité complète qui s'intègre aux opérations organisationnelles et prévient l'interruption des activités due aux menaces ou attaques cyber.

Les caractéristiques de la gouvernance de la cybersécurité incluent :  

• Cadres de responsabilité

• Hiérarchies de prise de décision

• Risques définis en relation avec l'activité

• Plans et stratégies d'atténuation

• Processus et procédures de supervision

Pour que la gouvernance de la cybersécurité soit efficace, elle nécessite une responsabilité claire, une prise de décision basée sur les risques et une intégration avec les opérations métiers fondamentales.

La prise de décision basée sur les risques est un processus multimodal et piloté par les données comprenant l'analyse, la planification, le suivi et la révision, en considérant l'impact potentiel du risque sur les objectifs. Le processus piloté par les données est essentiel à une gouvernance défendable.

Supervision de la cybersécurité : responsabilités accrues du conseil et attentes des parties prenantes

Si les dirigeants et administrateurs ont toujours endossé la responsabilité finale des risques d'entreprise, cybersécurité comprise, le contexte actuel requiert désormais une implication réelle et non plus symbolique. Des incidents à fort impact comme la panne CrowdStrike ont cristallisé le besoin d'une gouvernance active, informée et documentée des risques cyber au niveau du conseil.

Expertise cyber des membres du conseil

En 2023, la SEC (Securities and Exchange Commission) américaine a étudié l'adoption d'une règle obligeant les sociétés cotées à révéler la présence ou non d'experts en cybersécurité au sein de leur conseil d'administration. Bien que la règle n'ait pas été adoptée, l'agence a souligné l'importance d'un reporting transparent sur la façon dont les entreprises supervisent et gèrent les risques de cybersécurité.

Bien que les règles finales de la SEC n'imposent toujours pas la divulgation de l'expertise en cybersécurité des membres individuels du conseil, elles exigent des entreprises de :

• Décrire la supervision du conseil : Les entreprises doivent détailler la supervision des risques cyber par le conseil d'administration, y compris tout comité responsable de cette supervision.

• Détailler le rôle de la direction : Les entreprises doivent décrire le rôle et l'expertise de la direction dans l'évaluation et la gestion des risques matériels liés aux menaces de cybersécurité.

Ces divulgations visent à fournir aux investisseurs une compréhension plus claire de la façon dont les entreprises gèrent les risques de cybersécurité sans dicter la composition obligatoire du conseil d'administration.

Responsabilité des membres du conseil pour le risque cyber

Dans l'Union européenne, les attentes réglementaires pour la supervision de la cybersécurité au niveau du conseil se sont considérablement intensifiées. Le Digital Operational Resilience Act (DORA) officialise cette évolution en attribuant une responsabilité directe à la direction exécutive. Notamment, sous DORA, les membres du conseil des entités financières peuvent être tenus personnellement responsables, y compris faire face à des sanctions pénales, pour des défaillances graves dans la gouvernance du risque numérique. Cela souligne une tendance réglementaire croissante : la cybersécurité est un enjeu central du conseil d'administration avec des conséquences légales, financières et réputationnelles.

Rémunération des dirigeants liée à la performance en cybersécurité

La performance en cybersécurité n'a longtemps eu aucun impact sur la rémunération des dirigeants. Cette époque est révolue. Suite à deux cyberattaques d'État hautement médiatisées – Storm-0558 attribuée à la Chine et l'intrusion russe Midnight Blizzard – Microsoft a pris la décision d'indexer la rémunération de ses cadres dirigeants sur leurs résultats en matière de cybersécurité.

Cette corrélation entre rémunération et cyber-résilience démontre aux parties prenantes que la gouvernance vient du sommet, alignant les priorités du leadership avec la sécurité et la confiance à long terme.

Fondements d'une gouvernance, gestion des risques et conformité cyber efficaces

La conformité ne suffit plus. Le paysage actuel des menaces exige une gouvernance de la cybersécurité proactive, stratégique et intégrée aux objectifs métiers. C'est un enjeu qui est adressé par les régulateurs, les organismes de normalisation, les leaders de l'industrie, les conseils d'administration et les experts en risque cyber.

Début 2024, le NIST a publié une mise à jour de son cadre de cybersécurité (CSF), le NIST CSF 2.0, qui place la nouvelle fonction "Gouverner" au centre des cinq autres fonctions : Identifier, Protéger, Détecter, Répondre et Récupérer. Le NIST a placé la fonction Gouverner au centre de la roue "parce qu'elle informe la façon dont une organisation mettra en œuvre les cinq autres fonctions."

Principes fondamentaux d'une gouvernance de cybersécurité intégrée

Une gouvernance cyber efficace est :

• Basée sur les risques – Priorise les contrôles et les investissements en fonction de l'impact métier potentiel

• Transversale – Implique la direction exécutive, le juridique, les risques, la finance et les leaders opérationnels

• Transparente – Établit des rôles, processus, politiques et mécanismes de reporting clairs

• Dynamique – Évolue avec le contexte métier, le contexte réglementaire et le paysage des menaces

• Orientée résultats – Lie les efforts cyber à des résultats mesurables : réduction des risques, résilience et confiance

Cadres de cybersécurité

Les cadres de cybersécurité évoluent pour refléter l'importance croissante de la prise de décision stratégique et de la gouvernance. Les principaux cadres et réglementations convergent autour d'un principe partagé : la cybersécurité doit être basée sur les risques, indépendante et alignée avec les objectifs de l'entreprise.

Ascension stratégique des cadres de gouvernance de cybersécurité

Le NIST Cybersecurity Framework (CSF) 2.0 a introduit une nouvelle fonction "Gouverner" qui se situe au centre des fonctions originales, appelant explicitement à ce que la gouvernance de la cybersécurité soit alignée avec la gestion des risques d'entreprise. La fonction Gouverner souligne l'importance de comprendre le contexte organisationnel dans la mise en place d'une stratégie de cybersécurité et de la gestion des risques de la chaîne d'approvisionnement cyber.

Le Control Objectives for Information Technology (COBIT) de l'ISACA est un cadre de gouvernance IT d'entreprise utilisé depuis longtemps. Il comprend 6 concepts clés pour un système de gouvernance IT :

1. Fournir de la valeur aux parties prenantes

2. Approche holistique

3. Système de gouvernance dynamique

4. Gouvernance distincte de la gestion

5. Adapté aux besoins de l'entreprise

6. Système de gouvernance de bout en bout

La famille ISO 27000 a publié une mise à jour de l'ISO 27014 en 2020 pour fournir des conseils sur les objectifs et processus de gouvernance de la sécurité de l'information. Les organes de gouvernance et la direction exécutive sont responsables de :

• Évaluer

• Diriger

• Surveiller

• Communiquer

Pour chacun de ces piliers, le rôle ou le processus que l'organe de gouvernance ou la direction exécutive devrait effectuer est détaillé. Par exemple, sous "Diriger", l'organe de gouvernance devrait "déterminer l'appétit pour le risque de l'organisation", tandis que la direction exécutive devrait "aligner les objectifs de sécurité de l'information avec les objectifs métiers."

Modèle des trois lignes de gouvernance de la cybersécurité

Le modèle des trois lignes, également connu sous le nom de modèle des trois lignes de défense,est un modèle de gouvernance qui divise les responsabilités de gestion des risques organisationnels en trois "lignes". Le cadre mis à jour souligne l'importance de l'organe de gouvernance pour gérer le risque de cybersécurité au sein d'une entreprise.

• Organe de gouvernance : responsable de la gouvernance et de la mise en place de structures et processus appropriés pour permettre l'atteinte des objectifs de l'organisation

• Première ligne – Gestion opérationnelle : responsable de l'exécution des contrôles et des mesures de sécurité dans les opérations quotidiennes

• Deuxième ligne – Gestion des risques et conformité : responsable de la supervision des risques émergents et s'assure que l'organisation se conforme aux lois, réglementations et normes pertinentes

• Troisième ligne – Audit interne : fournit une assurance objective et indépendante sur l'efficacité et l'intégrité des processus et contrôles de gestion des risques de l'organisation

Ces cadres soulignent tous l'importance de la gouvernance dans l'établissement de processus et d'objectifs. Les conseils d'administration sont responsables envers leurs employés, actionnaires et régulateurs. La capacité à répondre à une situation de crise est fondamentale.

Cadres juridiques pour la gouvernance de la cybersécurité

Le règlement européen DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, vise à renforcer la résilience numérique des entités financières. Il exige des organes de direction qu'ils alignent leurs stratégies métiers avec la gestion des risques TIC (technologies de l'information et de la communication), stipulant qu'ils doivent "maintenir un rôle central et actif dans le pilotage et l'adaptation du cadre de gestion des risques TIC et de la stratégie globale de résilience opérationnelle numérique."

En parallèle, la directive NIS2 établit un cadre juridique pour les entités critiques, imposant aux dirigeants de se former régulièrement ainsi que leurs équipes pour évaluer efficacement les risques et pratiques de cybersécurité.

L'UE impose ainsi aux conseils d'administration un rôle actif dans la gestion du risque cyber et la construction de la résilience numérique. Ces cadres juridiques exigent des organes de gouvernance qu'ils restent informés, formés et qu'ils allouent les ressources nécessaires à leurs équipes de gestion des risques.

Rôles et responsabilités dans la gouvernance de la cybersécurité

Un système de gouvernance mature nécessite des rôles clairement définis, alignés à la fois avec la stratégie d’entreprise et l'exposition au risque cyber. Les acteurs clés incluent :

• Conseil d'administration : Fournit la supervision, définit l'appétit pour le risque et assure la responsabilité au plus haut niveau

• Direction exécutive (PDG, DAF, DG, Directeur des risques) : Intègre la cybersécurité dans la stratégie métier et la gestion des risques d'entreprise

• RSSI : Dirige le développement de la stratégie et les efforts de réduction des risques, traduisant les risques cyber en langage pertinent pour l'entreprise, en utilisant des méthodologies cohérentes comme FAIR

• Juridique et conformité : Aligne les efforts cyber avec les obligations réglementaires et gère la responsabilité

• Responsables d'unités métiers : Possèdent et gèrent le risque au niveau opérationnel ; s'assurent que les risques cyber sont considérés dans les décisions métiers

• Opérations IT et sécurité : Mettent en œuvre les contrôles, surveillent les systèmes et répondent aux incidents

• Tiers : Étendent la surface d'attaque de l'organisation et doivent être évalués et gouvernés en conséquence

Ces rôles correspondent aux cadres largement reconnus incluant la fonction Gouverner du NIST CSF 2.0, le modèle "Évaluer-Diriger-Surveiller-Communiquer" de l'ISO 27014 et le modèle des trois lignes. Ils garantissent que la gouvernance cyber n'est pas seulement définie, mais actionnable, mesurable et auditable.

Collaboration transversale pour une meilleure gouvernance

Une coordination transversale efficace repose sur des mécanismes structurés et une culture collaborative. Le conseil doit établir des processus clairs, notamment des comités transversaux ou des équipes dédiées à la gestion des risques cyber, réunissant IT, juridique, conformité, gestion des risques et métiers. Ces instances examinent et priorisent régulièrement les enjeux clés, garantissant que les décisions cyber intègrent une vision équilibrée des risques, impacts opérationnels et obligations réglementaires.

Les organisations doivent également partager des indicateurs de performance communs – objectifs de réduction des risques, temps de réponse, niveaux de résilience – pour créer une visibilité mutuelle et renforcer la responsabilité de chacun. Un reporting cohérent et des échanges réguliers entre services restent indispensables pour décloisonner l'organisation et coordonner l'action à l'échelle de l'entreprise.

• Formaliser la coopération transversale en désignant des référents risques qui assurent la liaison entre IT, juridique, conformité et direction

• Adopter des méthodologies comme FAIR pour créer un langage commun du risque, compréhensible par tous les métiers et rendant la cybersécurité concrète pour chaque partie prenante

• Déployer un tableau de bord d'indicateurs clés pour garantir transparence et responsabilisation dans les actions menées

• Réviser régulièrement posture cyber et gouvernance pour optimiser les processus

De la supervision à la compréhension

L'incident CrowdStrike démontre que cyber-résilience et résilience d'entreprise sont indissociables. Les organisations dotées d'une gouvernance cyber mature transforment  la gestion des risques un centre de coût en avantage stratégique.

La voie à suivre nécessite :

• Un conseil d'administration conscient que le risque cyber est un risque métier

• Des dirigeants qui intègrent la cybersécurité à leur stratégie

• Une gouvernance basée sur les données et l'analyse des risques

• Une culture de responsabilité partagée en matière de cyber sécurité

Face à l'intensification réglementaire et l'évolution des menaces, votre organisation est-elle prête ?

L'avenir appartient à ceux qui appliquent au risque cyber la même rigueur qu'aux risques financiers et opérationnels, transformant la cybersécurité en levier de performance.

C-Risk accompagne les entreprises au-delà de la simple conformité, et d'une approche de sécurité réactive et ponctuelle, en donnant aux conseils d'administration et dirigeants les moyens de piloter le risque cyber à partir de données objectives, avec la discipline qu'ils maîtrisent déjà pour les autres risques d'entreprise.