- Gouvernance : les décisions qui définissent l'orientation
- Risque : identifier, mesurer, accepter ou traiter
- Conformité : répondre aux exigences réglementaires et contractuelles
Gouvernance : les décisions qui définissent l'orientation
La gouvernance en cybersécurité désigne l'ensemble des politiques, rôles, responsabilités et processus de prise de décision. Elle répond aux questions : qui décide des investissements sécurité ? Qui est responsable en cas d'incident ? Quels sont les seuils d'approbation des risques ? Sans gouvernance claire, la sécurité reste un effort téchnique sans ancrage stratégique.
Risque : identifier, mesurer, accepter ou traiter
La gestion des risques en GRC suit un cycle : identification des actifs et menaces, analyse d'impact (probabilité x gravité), décision (accepter, réduire, transférer par assurance, éviter), surveillance continue. L'appétit pour le risque doit être défini par la direction, pas seulement par l'IT.
Conformité : répondre aux exigences réglementaires et contractuelles
La conformité couvre les obligations légales (Loi 25 au Québec, RGPD en Europe), sectorielles (PCI-DSS pour les paiements, HIPAA pour la santé) et contractuelles (clauses sécurité des clients). Elle ne suffit pas à elle seule : une organisation peut être conforme PCI-DSS et se faire pirater si elle n'applique pas la sécurité avec intelligence.
Checklist pratique
Votre progression est sauvegardée localement dans votre navigateur.
Points clés à retenir
- Gouvernance = qui décide et est responsable. Risque = probabilité x impact. Conformité = exigences externes
- L'appétit pour le risque doit être défini par la direction, formalisé et signé
- La conformité est un plancher, pas un plafond de sécurité
- Sans GRC, la sécurité reste réactive et sans ancrage stratégique