Vous pouvez considérer la GRC comme un tabouret à trois pieds, où la gouvernance, le risque et la conformité sont tous nécessaires pour gérer et guider une organisation. Découvrez-en plus sur ces trois composants, ainsi que sur les disciplines supplémentaires qui relèvent de la GRC.
Que signifie GRC ?
GRC signifie gouvernance, risque et conformité. Examinons de plus près chaque composante ci-dessous.
Gouvernance
Gouvernance désigne les règles, processus métiers et politiques qui dirigent une organisation pour atteindre son objectif, sa mission, sa vision et ses valeurs tout en garantissant la responsabilité, la transparence et le comportement éthique. Cela commence par le leadership et aide à guider les opérations et l'administration, l'éthique, la gestion des risques d'entreprise, la conformité et plus encore.
La gouvernance garantit que les intérêts de toutes les parties prenantes sont équilibrés et donne aux dirigeants un cadre pour les aider à prendre des décisions qui correspondent aux objectifs de l'organisation et les aident à gérer les risques cybernétiques.
Les activités clés incluent :
- Définir la mission, la vision et les valeurs de l'organisation
- Identifier et définir les limites, y compris les lois, réglementations, contrats et éthique
- Répartir l'autorité décisionnelle
- Favoriser une culture de responsabilité et d'intégrité
- Établir une stratégie de gouvernance des données
Risque
Risque fait référence aux processus plus quotidiens et techniques qui sont en place pour atténuer et surveiller les risques.
Les activités clés incluent :
- Établir des indicateurs clés de risque (KRI)
- Effectuer des évaluations des risques et des audits internes
- Atténuer, remédier et/ou prendre d'autres décisions basées sur les risques
- Gérer les risques avec les fournisseurs et prestataires tiers
Conformité
Conformité est les mesures prises par une entreprise pour répondre aux normes et réglementations nécessaires pour fonctionner en toute sécurité et en toute légalité. Cela inclut la diligence requise pour les cadres de cybersécurité tels que SOC 2® et ISO 27001, la législation sur la protection des données comme le RGPD et HIPAA, et les exigences de l'industrie telles que PCI DSS.
Les activités clés incluent :
- Identifier toutes les lois, réglementations et normes applicables en fonction des risques de conformité
- Mettre en œuvre des contrôles et des procédures pour se conformer efficacement aux lois, réglementations et normes
- Se tenir au courant des changements des lois, réglementations et normes qui affectent leur industrie, pays et clients
- Mettre en place un processus de surveillance continue
Lectures recommandées
6 Avantages de la Surveillance Continue pour la Cybersécurité
Read MoreAutres Composants GRC
Le groupe Open Compliance and Ethics Group (OCEG), qui a été le premier à introduire le concept de GRC, a créé le modèle de capacité GRC. Communément appelé le Livre Rouge de l'OCEG, ce modèle documente les meilleures pratiques GRC basées sur une étude de plus de 250 organisations et des informations provenant d'un panel de plus de 100 experts.
La dernière version (Le modèle de capacité GRC 3.5) explique que bien que GRC dénote gouvernance, risque et conformité, il englobe plusieurs autres disciplines. Certaines de ces disciplines sont associées à chacun des trois composants.
Selon ce modèle, les disciplines ci-dessous relèvent toutes de GRC :
- Gouvernance + Surveillance: Cette discipline est responsable de guider l'organisation pour atteindre son but, sa mission, sa vision et ses valeurs. Elle est probablement dirigée par le conseil d'administration et/ou un comité de surveillance.
- Stratégie + Performance: Cette discipline est responsable de guider et de fournir des ressources pour atteindre les objectifs et surveiller la performance. Elle est probablement dirigée par la direction exécutive ou la direction générale.
- Risque + Support à la décision: Cette discipline est responsable d'identifier et de traiter les risques et leur impact sur la capacité de l'organisation à atteindre ses objectifs, et de fournir des moyens pour soutenir les décisions en cas d'incertitude. Elle est probablement dirigée par les gestionnaires de risques.
- Conformité + Éthique: Cette discipline est responsable d'identifier et de respecter les obligations obligatoires et volontaires, ainsi que leurs principes et valeurs éthiques sous-jacents. Cela inclut le respect des lois et des réglementations ainsi que des normes de sécurité et de confidentialité de premier plan. Elle est probablement dirigée par les responsables de la conformité et les déontologues.
- Sécurité + Continuité: Cette discipline est responsable d'identifier et de traiter les menaces pesant sur les actifs physiques et numériques essentiels et l'infrastructure. Elle est probablement dirigée par les responsables de la sécurité de l'information et de la confidentialité.
- Audit + Assurance: Cette discipline est responsable de certifier la capacité de l'organisation à atteindre ses objectifs de manière fiable, à traiter l'incertitude et à agir avec intégrité. Elle est probablement dirigée par les auditeurs internes et externes.