| GRC

Gouvernance, Risques et Conformité… Cyril vous explique tout !

Synetisien depuis presque un an, Cyril Lecercle, consultant senior GRC, vous partage aujourd’hui son parcours professionnel, son expertise et ses conseils pour préserver au mieux votre entreprise des attaques cyber.
cyril_parole_expert

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

Issu initialement d’un parcours orienté Sciences Politiques, je travaille dans le domaine de la sécurité au sens large depuis maintenant 9 ans.
Je me suis spécialisé sur des sujets de cybersécurité depuis 7 ans avec des expériences dans le secteur de la défense et du conseil.

J’ai rejoint Synetis le 1er mars de cette année, en tant que consultant senior au sein de l’équipe Gouvernance, Risques et Conformité (GRC). Dans ce cadre, j’interviens et encadre des projets de toute nature. Je suis également Référent Opérationnel, mon rôle est d’assurer le suivi et l’accompagnement de trois consultants.

Comment décrirais-tu le contexte cyber actuel ?

Actuellement, nous pouvons constater des besoins croissants en gestion de crise, aussi bien sur les étapes de rédaction de process, de gestion de crise que de préparation et de réalisation des exercices en eux-mêmes. Il y a aussi évidemment la problématique des ransomwares qui est l’un des sujets de préoccupation majeure pour beaucoup de structures, notamment dans le domaine public comme on peut le constater avec les attaques nombreuses – et récentes – d’hôpitaux et mairies (exemple : Mairie de Chaville en octobre) et lors de la réalisation des missions publiques France Relance (diagnostics de maturité de la Sécurité des Systèmes d’Information (SSI) d’administrations publiques, hôpitaux, mairies, etc.).

Concrètement, que signifie Gouvernance, Risques et Conformité ?
Pourquoi parle-t-on de Gouvernance ?

La GRC – pour Gouvernance, Risques et Conformité – est un terme générique qui désigne la façon dont les organisations gèrent ces trois sujets et les aident à atteindre leurs objectifs de cybersécurité.

Nous pouvons également ajouter l’aspect de continuité à cette définition. Concrètement, voici des exemples de missions pour chacune des parties :

  • Missions de type RSSI, rédaction de documents de politique et de feuilles de route pour la partie Gouvernance ;
  • La réalisation d’analyse de risques pour la partie Risques ;
  • La réalisation d’audits organisationnels de la sécurité autour de normes (ex : ISO 27001, etc.), référentiels (ex : SecNumCloud, etc. afin d’évaluer le taux de couverture des exigences de ces normes, référentiels… ou encore d’accompagner des structures vers la certification pour la partie Conformité ;
  • Et enfin, la rédaction d’un Plan de Continuité d’Activité, de process de gestion de crise, et la réalisation d’exercices de crise pour la partie Continuité d’Activité.

On parle de gouvernance pour ce qui relève du caractère stratégique de la cybersécurité, du choix et de l’application des politiques de cybersécurité. Les fonctions telles que Responsable de la Sécurité des Systèmes d’Information (RSSI) et Direction des Systèmes d’Information (DSI) portent ce sujet auprès de la direction.

reponse-cert

Besoin de conseils pour sécuriser votre entreprise ?

Quelle loi ou réglementation nationale ou internationale t’as le plus surpris ces dernières années ? Pourquoi ?

Je ne parlerais pas de surprise, mais plutôt de nouveauté avec le référentiel PACS (Prestataires d’Accompagnement et de Conseil en Sécurité des systèmes d’information). Ce référentiel permet de fournir des garanties sur les compétences des prestataires qualifiés et sur la qualité de leurs prestations. Le prestataire peut alors demander la qualification pour tout ou une partie des activités suivantes :

  • Conseil en homologation de sécurité des Systèmes d’Information (HOMOL) ;
  • Conseil en gestion des risques de sécurité des Systèmes d’Information (RISQUE) ;
  • Conseil en sécurité des architectures des Systèmes d’Information (ARCHI) ;
  • Conseil en préparation à la gestion de crise d’origine cyber (CRISE).

Ce qui est intéressant de souligner, ici, est que la dernière version de ce référentiel publié par l’ANSSI – le 17 octobre 2022, intègre l’activité de gestion de crise d’origine cyber en complément des trois autres activités.

La mise en œuvre d’une gouvernance de la sécurité est-elle indispensable pour toutes les entreprises ?
Quels en sont les bénéfices ?

La gouvernance de la sécurité est indispensable pour tous types d’entreprises (petites, moyennes, grandes) dans le sens où elle permet d’anticiper, surveiller et suivre les problématiques de sécurité.

Elle permet aux entreprises d’avoir une maîtrise accrue de son environnement et de ses risques, et d’avoir conscience des intérêts de la prévention. In fine, la gouvernance permet de préparer l’entreprise pour minimiser les impacts (financiers et autres) en cas d’attaques ou d’incidents de sécurité.

Pour toi, quels seraient les 3 conseils primordiaux à donner à une organisation qui ne dispose pas de filière sécurité mais doit tout de même lutter contre les risques cyber actuels ?

Un de mes conseils principaux pourrait être de se faire aider sur ce sujet en faisant appel à des appuis extérieurs (sous-traitance, prestation, aides publiques, etc.) afin de réaliser des diagnostics de sécurité et d’identifier ses besoins. Selon les moyens de la structure, un accompagnement à la création d’un pôle cyber pourrait également être proposé dans un second temps, avec également la mise en place de sessions ou campagnes de sensibilisation aux risques cyber pour les employés et notamment les fonctions clés (acheteurs, rh, commerciaux, etc.).

Enfin un autre conseil serait de proposer aux équipes en charge du SI d’intégrer des notions de sécurité dans toutes leurs missions.