5 Choses Que Tout le Monde Doit Savoir Sur le GRC

Publié le 4 juillet 2023

Au cours des prochaines années, les coûts associés à la cybercriminalité, estimés à 10,5 billions de dollars par an d’ici 2025, dépasseront les dépenses mondiales estimées en matière de cybersécurité – 267,3 milliards de dollars par an d’ici 2026. Les dirigeants doivent changer leur perspective sur la gestion des risques cybernétiques au lieu de simplement dépenser plus d’argent pour compenser les pertes subies.

La gestion des risques cybernétiques comme un facilitateur d’affaires

L’économie cybernétique est dominée par des acteurs malveillants qui profitent de l’augmentation des surfaces d’attaque des organisations et des vulnérabilités qui découlent de notre dépendance aux services connectés.

De nombreux cybercriminels opèrent selon un modèle d’affaires à faible coût et à faible risque et adoptent une approche patiente et systématique de leurs activités. Malheureusement, ils sont souvent confrontés à peu ou pas de conséquences pour leurs actions et peuvent récolter des récompenses substantielles avec une seule tentative réussie.

Pour aider les organisations à se protéger, il est essentiel de prioriser les investissements en sécurité et de quantifier le risque pour mesurer les avantages financiers d’éviter ou d’atténuer les risques potentiels. Comprendre la valeur en jeu est crucial pour soutenir les décisions tout au long des cycles de vie du risque cybernétique et de la cybersécurité. En gagnant en efficacité et en atténuant les impacts financiers, les organisations peuvent améliorer considérablement leur résultat net et devenir plus résilientes aux perturbations qui pourraient entraver la croissance et l’amélioration à long terme.

L’émergence de programmes de Gouvernance, de Risque et de Conformité (GRC) couvrant toutes les fonctions d’affaires est une preuve convaincante des avantages stratégiques de la gestion des risques cybernétiques. Cette approche met l’accent sur les activités de protection et de prévention pour compléter les opérations de sécurité traditionnelles, passant de la gestion réactive des menaces à l’atténuation et à l’évitement proactifs des risques.

Voici cinq choses que vous devez savoir sur le GRC.

Qu’est-ce que le GRC ?

La Gouvernance, le Risque et la Conformité (GRC) est une stratégie organisationnelle pour gérer les interdépendances et l’alignement entre trois ingrédients essentiels des organisations numériques :

  • Gouvernance : Les politiques, règles ou cadres d’une organisation conçus pour atteindre ses objectifs.
  • Gestion des risques : Les programmes qui aident les organisations à identifier les risques, à prévoir les problèmes potentiels et à trouver des moyens de les remédier pour minimiser les pertes.
  • Conformité : Les procédures pour garantir que les activités commerciales sont conformes aux réglementations.

Le GRC est apparu comme une discipline lorsque les organisations

ont reconnu que la coordination des personnes, des processus et des aspects technologiques de l’entreprise (et du cyber) risque pourrait produire des avantages à grande échelle. Ainsi, le GRC comprend des outils et des techniques pour unifier la gouvernance et la gestion des risques d’une organisation avec l’innovation technologique.

Comment le GRC protège les organisations

De nos jours, les organisations sont confrontées à une variété de risques. La source de ces risques est diverse et comprend l’incertitude financière, l’évolution technologique, les responsabilités légales, les erreurs de gestion stratégique, les accidents et les catastrophes naturelles. À mesure que les organisations deviennent de plus en plus numérisées et dépendantes des technologies cybernétiques, les menaces cybernétiques, les risques de protection des données et les stratégies pour gérer et remédier à ces risques sont devenues une priorité.

L’évaluation et la gestion des risques créent des résultats qui informent les décisions pour faire face aux risques et minimiser les effets adverses du risque sur une organisation. En considérant le risque dans le processus de prise de décision et en consacrant les ressources nécessaires pour contrôler et atténuer le risque identifié, les organisations peuvent se protéger de l’incertitude, prioriser les investissements, réduire les coûts et augmenter la continuité des affaires et la résilience.

Avec les risques cybernétiques menaçant à la fois la productivité et la continuité, de plus en plus de plans de gestion des risques d’entreprise incluent des processus pour identifier et contrôler les menaces pour les actifs numériques, y compris les données d’entreprise propriétaires, les informations personnellement identifiables et la propriété intellectuelle. Un rapport de l’Organisation de coopération et de développement économiques (OCDE) précise : “La gestion des risques peut aider à garantir que les mesures de sécurité numérique protègent et soutiennent les activités économiques et sociales.”

Quels sont les cadres GRC essentiels ?

Compte tenu de l’importance et des avantages du GRC pour les gouvernements, les organisations et les entreprises, il n’est pas étonnant qu’il existe une pléthore de cadres GRC disponibles. Cependant, chaque cadre partage de nombreuses similitudes avec les autres, et ils référencent et cartographient les contrôles et les procédures avec les autres. Tous les cadres sont utilisés pour :

  • Évaluer l’état du programme de sécurité global
  • Construire un programme de sécurité complet
  • Mesurer la maturité et effectuer des comparaisons industrielles
  • Simplifier les communications avec les dirigeants d’entreprise

Les cadres les plus courants sont les suivants :

  • ISO/IEC 27005:2022
  • Cadre de gestion des risques du NIST
  • Conseils sur la gestion des risques du NCSC
  • Méthodologie de gestion des risques de sécurité informatique de l’UE
  • Cadre de cybersécurité du NIST
  • Conseils sur le cadre d’évaluation cybernétique du NCSC
  • Norme BSI 200-2
  • NIS 2

Tous les cadres ci-dessus sont des directives nationales et s’appliquent horizontalement aux secteurs. Il existe également des cadres spécifiques à l’industrie, tels que DORA (Digital Operational Resilience Act), PCI DSS, PSD2, HIPAA et ANSI/ISA-62443-3-2.

Quel est le lien entre la confidentialité et le GRC ?

Le GRC est également étroitement lié aux réglementations sur la confidentialité comme le RGPD et le CCPA. Toutes ces réglementations suivent une approche basée sur le risque pour la protection des données personnelles. Par exemple, toutes les organisations dans le champ d’application du RGPD doivent effectuer des évaluations régulières des risques, appelées évaluations d’impact sur la protection des données (DPIA), pour garantir que les organisations identifient les risques potentiels pour les données personnelles et sélectionnent des mesures de défense adéquates. Les évaluations des risques sont un élément central du RGPD. L’article 32 stipule que les organisations doivent mettre en œuvre des “mesures techniques et organisationnelles pour garantir un niveau de sécurité approprié au risque”.

Le GRC est donc une stratégie qui peut aider les organisations à aller au-delà de la simple vérification de la conformité et à établir une protection des données basée sur le risque qui garantit que les mesures de sécurité sont appropriées pour l’environnement de risque commercial. Un cadre GRC aide les organisations à développer des politiques et des pratiques pour minimiser le risque de non-conformité. La confidentialité et le GRC travaillent main dans la main pour améliorer les processus commerciaux et établir des relations de confiance avec les clients.

Quel est le rôle de la culture dans le GRC ?

Une culture positive de sécurité et de risque peut renforcer la prise de décision et les opérations en suivant une approche de responsabilité partagée. Une culture positive et engageante permet de prendre des risques dans les limites de l’appétit pour le risque de l’organisation. Elle encourage le signalement constructif, le partage et l’engagement avec les problèmes et les faiblesses de sécurité, même si ce sont des réalités inconfortables.

Du point de vue de la direction, les dirigeants doivent toujours favoriser des discussions honnêtes sur les risques identifiés au sein de l’organisation pour aider à les rectifier et ne pas offenser les employés pour avoir signalé ces problèmes. Il est préférable de connaître vos faiblesses plutôt que de prétendre que tout va bien par peur des répercussions négatives.

https://www.tripwire.com/state-of-security/5-things-everyone-needs-know-about-grc

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie