Cet article est le premier d’une série qui vise à vous aider dans votre montée en maturité vis-à-vis de la sécurité de l’information au sein de votre organisation. Centrée sur les aspects « Gouvernance, Risques et Conformité », cette série parlera des différents standards de sécurité, des pistes pour s’y conformer ou encore des retours d’expérience au niveau des audits que nous avons vécus ou contraintes que nous avons rencontrées lors de nos missions d’accompagnement.

Pourquoi une série d’articles sur la GRC ?

Les côtés GRC sont essentiels à une bonne hygiène de la sécurité de l’information au sein d’une organisation. En effet, vous aurez beau déployer toutes les mesures techniques que vous voulez sur votre SI, si rien n’est organisé, planifié ou encore contrôlé, elles ne vous seront pas d’une grande utilité. Pire, elles peuvent même être contreproductives et se révéler néfastes pour le bon fonctionnement de votre entité si elles ne sont pas adaptées.

Imaginez un chantier de construction d’une maison pour lequel vous disposez des meilleurs artisans de la planète dans tous les corps de métier (maçon, plaquiste, charpentier, couvreur, plombier, électricien, etc.). Si chacun travaille de son côté, sans gestion globale du chantier, sans plan cible et sans ordre de priorité défini, la maison risque d’avoir quelques soucis en fin de chantier, si ce dernier se termine un jour ! C’est exactement la même chose dans le monde de la cybersécurité. Les mesures techniques déployées doivent toujours être au service d’une stratégie cyber globale.

Mais qu’est-ce que la GRC exactement ? La Gouvernance, c’est la mise en place d’une organisation de la sécurité au sein d’une entité. Elle vise notamment à définir les rôles et responsabilités des équipes, déterminer la hiérarchie dans les prises de décision, développer une stratégie de sécurité ou encore allouer les ressources nécessaires au bon fonctionnement de la sécurité en interne.

Vient ensuite la gestion des Risques. Chaque entité fait face à des risques différents, selon plusieurs critères (son secteur d’activité, sa taille, sa renommée, son niveau de maturité interne, ses liens avec d’autres entités, etc.). Cet aspect vise à réaliser des analyses de risques (globales ou spécifiques à des sujets particuliers) afin de les mettre en lumière, et pouvoir déterminer des plans de traitement de ces risques.

Enfin, les aspects Conformité visent à respecter les réglementations et normes applicables à l’entité. Il peut s’agit de référentiels obligatoires, comme des lois ou des règlements liés au secteur d’activité par exemple, ou de référentiels volontairement déployés au sein de l’entité (normes, politiques internes, etc.).

Thèmes abordés

Au fil de cette série d’articles, nous aborderons différents sujets autour de ces trois aspects, l’objectif étant de vous donner des pistes pour appréhender les principaux textes et normes existants, et vous prodiguer des conseils afin de vous aider à gagner en maturité cyber, que ce soit dans le but de décrocher une certification/qualification ou simplement d’atteindre un niveau d’hygiène cyber satisfaisant.

En ce qui concerne les référentiels liés à la cyber, nous aborderons entre-autres :

  • Règlements et lois :
    • RGPD : Règlement européen (2018) qui impose un certain nombre d’obligations aux organisations dans le but de protéger les données à caractère personnel ;
    • LPM : Loi de Programmation Militaire ;
    • NIS 2 : Directive européenne pour assurer un niveau de sécurité élevé et commun sur des entités privées et publiques ;
    • DORA : Règlement européen qui concernent les entités financières.
  • Standards et normes :
    • Famille ISO (27001, 27002, 22301, etc.) ;
    • Guide d’hygiène de l’ANSSI ;
    • SecNumCloud (services Cloud) ;
    • HDS : (organisations hébergeant des données de santé) ;
    • PCI DSS (paiements bancaires).

Certains articles s’attarderont sur des thèmes particuliers, dont notamment :

  • La gestion des tiers ;
  • La gestion des incidents ;
  • La gestion du changement ;
  • L’analyse de risques (EBIOS RM, ISO 27005) ;
  • La sensibilisation.

Enfin, nous évoquerons également les référentiels PASSI et PACS pour vous donner notre vision sur la démarche de qualification et ses implications.

Cette liste de sujets n’est pas exhaustive. A ce propos, n’hésitez pas à nous demander si vous souhaitez un focus sur un point particulier. Et n’oubliez pas : si vous avez besoin d’un accompagnement personnalisé dans le cadre de l’obtention d’une certification ou qualification sécurité, ou pour tout besoin lié à la cyber (état des lieux, hygiène, etc.), n’hésitez pas à nous contacter à conseil@hackcyom.com.

Rendez-vous lors de la publication du prochain article pour entrer dans le vif des sujets !