Renforcer la gouvernance stratégique des TI, la gestion des risques et la conformité à l'échelle de l'entreprise

Aujourd’hui plus que jamais, avec le renforcement de la transformation numérique des organisations et le déploiement de l’IA à l’échelle mondiale, le risque cyber devient un risque d’entreprise. Selon le baromètre des risques d’Allianz, « en 2024, les incidents cyber sont les risques les plus préoccupants pour les entreprises dans le monde. »   Comme le montre l’étude La voix de nos clients CGI, protéger les entreprises grâce à la cybersécurité est une priorité. 

Alors que les responsables de la sécurité informatique (CISO) subissent des pressions constantes pour mieux gérer les cyber-risques, les conseils d’administration sont de plus en plus nombreux à ressentir une « cyber-fatigue ». Il devient donc essentiel que les organisations comprennent pleinement l’étendue et le coût des cyber-risques dans l’ensemble de l’entreprise et de ses écosystèmes. 

De nombreuses organisations ont mis en place des processus de gestion des risques conformes à la norme ISO 27001 relative aux systèmes de gestion de la sécurité de l’information. Cela nécessite un plan d’ensemble qui définit des paramètres essentiels tels que les fonctions clés (p. ex. chef de la sécurité informatique, audit interne, contrôles internes, planification de la continuité des affaires, etc.), les champs d’application (p. ex. les risques informatiques, les risques opérationnels ou des champs plus larges) et les objectifs.

CGI recommande de relever ces défis avec un impact minimal sur les ressources, grâce à l’automatisation et à l’optimisation, notamment de la gouvernance, la gestion du risque et la conformité (GRC) des technologies de l’information. Les outils de GRC des TI fournissent des logiciels et des processus qui permettent une approche intégrée pour identifier et réduire les cyber-risques, tout en renforçant la conformité et l’efficacité opérationnelle. 

J’ai participé à de nombreuses mises en œuvre de GRC de TI pour des organisations de différents secteurs, et j’ai pu constater par moi-même la valeur de ces outils. Par exemple, un grand client du secteur bancaire européen avait besoin de générer des rapports sur de nombreux indicateurs clés de performance pour répondre aux exigences des autorités bancaires. Nous avons travaillé avec le client pour mettre en place, étape par étape, son environnement de GRC des TI, dans l’ensemble de l’entreprise. Cela lui a permis d’avoir la vue centralisée dont il avait besoin pour fournir les indicateurs clés de performance requis

Une GRC des TI plus efficace et plus résiliente 

Les responsables de la gestion des risques cyber passent beaucoup de temps à exploiter les données et informations et à essayer d’en tirer de la valeur, mais cela ne suffit pas à réduire les risques.

Les outils de GRC des TI permettent aux organisations d’améliorer la qualité et de garantir la conformité à moindre coût. Ils offrent aux experts la possibilité de consacrer plus de temps à l’analyse des données à valeur ajoutée, et moins de temps à la collecte et à la connexion des données. La mise en place de cette infrastructure permet également de mieux préparer les entreprises aux changements organisationnels, notamment en cas d’intégrations ou de désinvestissements avec séparation d’activités.

Les principaux moteurs de ces initiatives sont :

• Renforcer la conformité réglementaire et réduire les coûts des audits ainsi que le traitement et suivi des anomalies relevées lors de ces audits. L’évolution des lois et des réglementations, telles que le Règlement Général sur la Protection des Données (RGPD), est l’une des principales préoccupations. En 2023, par exemple, près de 2,1 milliards d’euros d’amendes ont été infligées dans l’Union européenne en raison de violations au RGPD, soit plus qu’en 2019, 2020 et 2021 réunies.
• Accroître la visibilité des risques de l’entreprise en améliorant la corrélation et la modélisation des données. 
• Améliorer la communication sur les risques afin de réduire la fréquence et la gravité des incidents. 
• Générer rapidement des rapports précis pour valider les progrès et appuyer les analyses de rentabilité visant à prévenir de plus grandes vulnérabilités.

Exploiter l’IA pour la GRC

La GRC des TI évolue pour renforcer l’efficacité opérationnelle en exploitant la puissance de l’IA et de l’analyse avancée des risques. L’utilisation de l’IA pour automatiser la production des résultats permet aux entreprises d’effectuer des analyses plus fines et détaillées de vastes ensembles de données. L’IA génère des informations complètes sur les menaces, les risques et les opportunités, quel que soit le niveau de maturité de la GRC de l’entreprise.

Les outils de GRC alimentés par l’IA ont le potentiel d’améliorer les processus décisionnels des entreprises, en particulier dans des domaines tels que l’espace, les infrastructures nationales essentielles et la défense, où la gestion des risques et la prise de décision basées sur l’analyse des données massives en temps réel sont cruciales.

Une bonne intégration est essentielle pour maximiser les résultats de l’IA. Exploiter l’IA et son immense potentiel, tout en évitant et en atténuant les risques, exige des organisations qu’elles mettent en place des principes centrés sur l’humain et sur l’utilisation responsable de l’IA ainsi qu’une gouvernance en matière d’IA.

Bien que le cadre réglementaire de l’IA continue d’évoluer, la loi européenne sur l’IA (EU AI Act) fait encore figure de pionnière. Par exemple, elle interdit les applications d’IA que l’on estime susceptibles de présenter des risques inacceptables. Au fur et à mesure que les outils d’IA (y compris les plateformes de GRC) se développent, le paysage législatif est appelé à s’adapter rapidement pour rester pertinent sans freiner l’innovation.

GRC d’entreprise et GRC des TI

Le vaste marché de la GRC comprend à la fois des solutions de GRC d’entreprise (eGRC) et de GRC des TI. La distinction entre les deux est complexe, car le champ d’application et l’approche de chaque solution ne sont pas mutuellement exclusifs.

Certaines solutions d’eGRC traitent des risques informatiques, tandis que certaines solutions de GRC des TI traitent des risques opérationnels dans l’ensemble du spectre des TI. La frontière entre les deux peut donc être ténue. Néanmoins, voici quelques distinctions importantes à retenir.

• L’eGRC adopte une approche globale de la gestion des risques, en se concentrant sur les processus et les politiques dans l’ensemble de l’organisation. Les solutions couvrent une large gamme de fonctions et de risques d’entreprise, notamment la gestion financière, la conformité, le contrôle interne, etc.
• La GRC des TI se concentre sur les actifs de l’organisation tels que les informations sensibles, les applications, le personnel, les installations et les infrastructures. Tout ce qui représente une valeur au sein de l’organisation est intégré dans les référentiels de la GRC des TI et utilisé pour identifier les risques informatiques. Les outils de GRC des TI couvrent principalement les contrôles, des éléments clés de l’analyse des risques qui s’intègrent souvent à des bibliothèques de contrôles informatiques, ou à des cadres normatifs (p. ex., les normes ISO 27001, 27002, NIST, PCI-DSS) ou des référentiels tel COBIT. Leur champ d’application est plus limité que celui des outils d’eGRC et ils fonctionnent de façon plus spécialisée.

Le rôle fondamental de la gestion des risques dans le domaine de la cybersécurité est clair. Si votre objectif est de gérer les risques informatiques, ce qui nécessite de recourir aux aspects les plus spécialisés des plateformes de GRC des TI, quelles sont les principales considérations à prendre en compte lors de l’évaluation de ces plateformes?

Recommandations pour évaluer les plateformes de GRC des TI

Une fois le plan global défini, les éléments clés à prendre en compte pour sélectionner la technologie appropriée sont les suivants.

• Coûts de mise en œuvre. Assurez-vous que la mise en œuvre répond à vos exigences opérationnelles et évaluez avec précision sa portée et les ressources nécessaires. Si vous ne disposez pas des capacités internes nécessaires, que peut vous apporter votre fournisseur?
• Expérience du fournisseur de services et de produits et sa capacité à fournir des prestations. Vos partenaires TI doivent disposer d’équipes très expérimentées et de plans détaillés de mise en œuvre. S’ils font appel à un intégrateur, celui-ci doit également avoir l’expérience requise.
• Exigences en matière d’adaptation. Déterminez si l’outil de GRC des TI que vous sélectionnez nécessite une configuration ou une personnalisation importante. Avez-vous besoin d’une plateforme qui peut s’adapter à votre fonction de sécurité, ou votre fonction de sécurité peut-elle s’adapter à la plateforme et à sa méthodologie?
• Déploiement transversal ou modulaire. Déterminez si vous devez déployer l’ensemble de la plateforme sur un périmètre restreint, puis l’étendre, ou déployer les modules de manière séquentielle, sans périmètre. Votre partenaire de solution devrait être en mesure de vous aider à répondre à cette question. Cette dernière considération nécessite de comprendre les capacités des modules disponibles et de hiérarchiser leur importance.

Prendre en compte ces recommandations vous aidera à mieux préparer et exécuter une implémentation IT GRC pour améliorer la gestion des risques cyber. Si vous souhaitez en savoir plus, n’hésitez pas à me contacter. De nombreux collègues chez CGI, dans nos opérations mondiales, ont une expérience avérée dans le conseil aux clients dans ce domaine, notamment Kunle Anjorin et Colin Selfridge de notre équipe au Royaume-Uni, qui ont contribué à enrichir ce blog.

¹Allianz Risk Barometer