Comment organiser
la gouvernance des
risques cyber ?
26
èmes
Rencontres du Risk
Management | AMRAE 2018
1
POUR UNE GOUVERNANCE
D’ENTREPRISE DU RISQUE CYBER
16/11/2017 2
Des propositions de standard
européen
3
13 February 2018
Point clé: la creation d’un groupe de
gouvernance cyber risk
–Une équipe multifonctionnelle coordonnée par le risk
manager
–Pourquoi multifonctionelle?
Composée de fonctions opérationnelles de la 1ere ligne de defense
et fonctions clés de la 2eme ligne de defense afin de
determiner l’exposition au risque cyber en termes financiers
et designer les possibles plans de mitigation
La confrontation de la connaissance Business avec l’expertise en
sécurité permet de développer un consensus sur l’identification
des scenarios critiques pour l’entreprise et lister les options de
reponses demandant un arbitrage managerial.
LE RÔLE DU RSSI SE LIMITE-T’IL À LA
FOURNITURE DES MOYENS DE
SÉCURISATION DU SYSTÈME
D’INFORMATION ?
16/11/2017 5
-6-
8/2/2018
Baromètre 2018 du CESIN
-7-
8/2/2018
Baromètre 2018 du CESIN
-8-
8/2/2018
Baromètre 2018 du CESIN
Les RSSI s’informent auprès de tout un écosystème
d’acteurs, l’ANSSI leur semblant le plus légitime
-9-
8/2/2018
Baromètre 2018 du CESIN
Dans ce contexte, de plus en plus
d’entreprises souscrivent une cyber-
assurance
-10-
8/2/2018
Baromètre 2018 du CESIN
Pour l’avenir, une confiance dans la
capacité à faire face aux cyber-risques
réelle et en hausse
LA GOUVERNANCE DU RISQUE
CYBER EST IL UN CRITÈRE DE
SÉLECTION DES RISQUES ?
16/11/2017 11
-12-
8/2/2018
Une gouvernance
Indispensable
Un monde
connecté
Usine 3.0
Risque
Cyber
« Tout sera Numérique »
RM = CEO
-13-
8/2/2018
Une gouvernance
Indispensable
Effective
Adaptée
Pas suffisante
-14-
8/2/2018
Une gouvernance
Co construite
Entreprises
Assureurs
Etats
-15-
8/2/2018
Une gouvernance
dans un cadre
Législatif et règlementaire
Certifications / Normes
Connaissance du risque /
Données
-16-
8/2/2018
Une gouvernance
marquée par la
CONFIANCE
-17-
8/2/2018
Une gouvernance
co construite
DEMANDE OFFRE
-18-
8/2/2018
Au-delà de la gouvernance
19
LA COLONNE VERTÉBRALE DE LA
DOCTRINE DE MANAGEMENT DES
RISQUES CYBER DE L’ANSSI
La pyramide du management du risque cyber
20
Le corpus doctrinal de l’ANSSI est basé sur le concept de la pyramide : le
management du risque est la résultante d’une approche visant à définir,
-en premier lieu, un socle de sécurité basé sur la conformité à des bonnes
pratiques générales et des règlementations particulières, puis,
-en second lieu, à tester, renforcer et orienter ce socle de sécurité grâce à
une analyse de risque ciblée sur les risques intentionnels de haut
niveau qui menacent l’organisation.
-21-
Organisation pour une
sécurité en profondeur
Atelier C1 : Comment organiser la gouvernance des risques cyber ? - Février 2018
Atelier C1 : Comment organiser la gouvernance des risques cyber ? - Février 2018