HomeAboutSpeakingBlog
TELL ME
November 24, 2020

Comex et cyber résilience : quelles responsabilités assumer ? Comment ?

Trois piliers pour une gouvernance cyber efficace sous la responsabilité du board.

A/ S'assurer que l'indispensable est fait en cyber-sécurité

B/ Effectuer les revues et vérifications régulières et spot

C/ Mener des évaluations externes régulières et en fonction d'événements

A ce stade, cet article s'apparente à une check-list. Je compte l'affiner progressivement et en fonction de ce qui génère le plus d'intérêt et de débats.

A/ S'assurer que l'indispensable est fait en cyber-sécurité

  1. Respect de la réglementation et des règles internes (cyber conformité)
  2. Bonnes pratiques minimales ("ça fait tache" si des bonnes pratiques cybersécurité destinées aux PME ne sont pas appliquées dans un groupe qui peut, lui, bénéficier d'un important effet d'échelle) (cyber qualité)
  3. Capacité à faire face à des malware et attaques comparables à celles ayant déjà eu lieu dans le secteur et pouvant avoir lieu dans un futur proche (cyber-défense)
  4. Vue sur les zones "maillons faibles" au sein du groupe (cyber risk management)
  5. Vue sur les budgets, les "ROI" et l'assurance cyber (cyber finance)
  6. Anticipation / horizon scanning concurrentiel, sectoriel, territorial (cyber intelligence)


B/ Effectuer les revues et vérifications régulières et spot

  1. S'assurer que les initiatives sont sous contrôle : budget, niveau de performance, niveau de conformité, équipes : staff, managers, compétences.
  2. S'assurer que l'input du top management soit bien fourni, disponible et efficace. Par exemple lors de la réalisation de BIA stratégique, de classification / identification et protection des Crown Jewels, de communication de la stratégie et des PMT, l'information sur les risques ERM, la presence aux comités programme, aux exercices, aux kick off de programmes et projets importants.
  3. S'assurer de ses propres compétences (composition du Comex, sensibilisation, formation, succession planning) et de sa propre préparation (exercices, équipements, protection).
  4. Mesurer l'atteinte des objectifs au travers de tableaux de bord, spot checks, stress tests, exercices, audits internes.


C/ Mener des évaluations externes régulières et en fonction d'événements

  1. Impact sur la valorisation de l'entreprise pre et post M&A et les demandes de financement
  2. Suite à incident, PIR, lessons learned et plan de mise en conformité, plan de remediation, plan d'amélioration/anticipation
  3. Avis sur coûts et budgets lors de préparation budgétaires et monitoring en run
  4. Avis sur la posture de management des risques, risk profile, risk appetite/risk tolerance et méthodologie de management des risques en cyber-sécurité
  5. Revues des stocks d'incidents, des stocks de logs
  6. Avis externes sur investissements majeurs
  7. Revues de performances d'entités et de managers


Related Posts

NEWSLETTER

Weekly Cyber Inspiration

Stay ahead of what cyber trends are coming next before it knocks on your office door.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.