1.1 - La gestion des risques est défaillante. Reconstruisons-la.
Programme de webinaires 2026 : Rebâtir la gestion des risques cyber
Série 1 : La gestion des risques cyber, rebâtie : de l'ISO 27005 au conseil d'administration
Pour vous aider à relever vos défis en matière de gestion des risques cyber, C-Risk a développé une série de webinaires en trois parties sur la refonte de ce qui est défaillant dans la gestion des risques cyber. Cette approche reflète les recommandations de Gartner concernant le CRQ : commencer par les décisions, exprimer l'exposition sous forme de fourchettes et définir des seuils d'appétit. Il en résulte un programme de gestion des risques qui appuie les décisions à l'échelle de l'entreprise.
Cette série aborde la transition d'une gestion des risques centrée sur la conformité vers une gestion pilotée par les données, jette les bases d'une analyse justifiable et relie le risque cyber quantifié à la gouvernance d'entreprise.
1.1 - La gestion des risques est défaillante. Reconstruisons-la.
Les programmes de gestion des cyber-risques consacrent beaucoup d'efforts à la conformité et aux tests de contrôle, mais ce ne sont que des composantes du processus de gestion des risques.
Le processus complet d'identification, d'analyse, d'évaluation et de traitement des risques devrait fournir des recommandations défendables et une aide à la décision, avec des réponses claires sur où investir, quoi traiter et quoi accepter. Les normes ISO 31000 et 27005 définissent le cadre pour y parvenir. L'écart se situe entre ce que les cadres exigent et la manière dont les programmes les mettent réellement en œuvre, avec un poids trop important accordé à la conformité, aux contrôles et aux activités de résilience, et pas assez à l'analyse et à l'aide à la décision qui devraient être au centre.
Christophe Foret (Co-fondateur de C-Risk) et Neil MacGowan (Directeur du succès client, C-Risk) explorent :
- Où les normes ISO 31000 et 27005 placent l'analyse et l'aide à la décision dans le processus de gestion des risques
- Comment la conformité, les tests de contrôle et la résilience s'intègrent dans le processus sans le dominer
- À quoi ressemblent des recommandations défendables et ce qu'il faut pour les produire
- Par où commencer pour combler l'écart dans votre propre programme
Le replay est disponible ici.
1.2 - Des scénarios à l'analyse : définir le périmètre du cyber-risque pour l'aide à la décision
Le 2 juin, Christophe Foret et Neil MacGowan animeront le deuxième webinaire de la série.
L'analyse des risques cyber n'est crédible qu'en fonction des scénarios sur lesquels elle est basée. De nombreux programmes analysent ce que le cadre ou l'outil leur suggère, plutôt que les scénarios qui éclaireraient réellement une décision.
La définition du périmètre devrait commencer par les décisions que l'entreprise doit prendre et les menaces les plus susceptibles de l'affecter. La cyberveille et l'apport d'experts réduisent le champ aux principaux scénarios de menaces pour l'entreprise qui comptent. Un scénario bien défini vous montre quelles données sont nécessaires pour réduire l'incertitude et soutenir une analyse objective.
Ce que vous apprendrez :
- Comment passer d'un registre de risques générique à des scénarios liés à des décisions commerciales spécifiques
- Comment intégrer la cyberveille et l'apport d'experts en la matière pour prioriser les scénarios
- Quelles données chaque scénario requiert, et comment effectuer une analyse
- Comment reconnaître un scénario bien défini