Développer un programme GRC est un voyage, pas une tâche ponctuelle à cocher sur une liste. Cela prend du temps et nécessite une collecte de données importante en cours de route.

Pour les organisations cherchant à optimiser leur programme GRC, il est utile de déterminer où se situe votre organisation sur le spectre de maturité du GRC.

Modèle de maturité GRC

Créé par l'OCEG en 2016 et depuis étendu, ce modèle de maturité sert de référence pour la planification et l'exécution d'un programme GRC.

Il comprend cinq niveaux, le premier représentant le niveau de maturité le plus bas et le cinquième représentant le niveau de maturité le plus élevé. Votre organisation devrait démontrer les caractéristiques, pratiques ou capacités de l'un des niveaux ci-dessous. Si elle le fait pour les niveaux 1 à 4, elle peut adopter progressivement les caractéristiques, pratiques ou capacités du niveau suivant pour améliorer sa maturité au fil du temps.

Niveau 1 : Initial

Des activités minimales sont en place pour suivre la gouvernance, le risque et la conformité. La plupart sont improvisées et celles qui existent sont cloisonnées.

Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « ad hoc ».

Niveau 2 : Géré

Le GRC est plus stratégique avec des pratiques définies et gérées, mais cela se fait parfois de manière informelle. En conséquence, les informations ne sont pas systématiquement partagées entre les départements et le succès n'est pas bien mesuré.

Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « fragmenté ».

Niveau 3 : Cohérent

À ce niveau, l'entreprise fonctionne sur un cadre commun, avec des pratiques formellement documentées et gérées de manière cohérente. Les cloisonnements entre les départements commencent à se briser et les informations sont partagées.

Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « défini ».

Niveau 4 : Mesuré

Tous les départements sont alignés avec la stratégie GRC, et la communication et le partage des données sont continus. En conséquence, les pratiques de GRC sont mesurées et gérées avec des preuves et une prise de décision basée sur les données. En général, l'automatisation a également été introduite pour rationaliser les processus, et les avantages commerciaux sont mesurés.

Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « intégré ».

Niveau 5 : Optimisant

À ce niveau, un système de surveillance continue a été mis en place, de sorte que les pratiques de GRC sont constamment améliorées au fil du temps. La prise de décision axée sur les risques est observée dans toute l'entreprise, et les risques sont gérés en temps réel.

Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « agile ».

Lecture recommandée

Comment développer la maturité de la sécurité de l'information : Modèles + meilleures pratiques expliqués

Produit

Gestion des risques

Évaluations de sécurité des fournisseurs

Cadres Prise en Charge

Solutions

Principaux Cadres

Types de partenaires

Programme de partenariat

Ressources en sécurité et conformité

Ressources sur les cadres

Ressources clients

Entreprise

Comment mesurer la maturité du GRC

Modèle de maturité GRC

Niveau 1 : Initial

Niveau 2 : Géré

Niveau 3 : Cohérent

Niveau 4 : Mesuré

Niveau 5 : Optimisant

Lecture recommandée

Aperçu de la GRC

Qu'est-ce que la GRC et pourquoi est-ce important ?

Les 3 Composantes de GRC

GRC vs IRM

Gouvernance

Naviguer dans la Gouvernance de la Cybersécurité

14 types courants d'attaques de cybersécurité en 2023

Gouvernance des données : Définition, principes et cadres

Comment créer une stratégie de gouvernance des données intelligentes

Métriques et indicateurs clés de performance de la gouvernance des données

Risque

Qu'est-ce qu'une Stratégie de Gestion des Risques? + Exemples

Évaluation des risques : Objectif, processus et logiciel + Modèle

Qu'est-ce que l'atténuation des risques ? + Stratégies

Comment créer un registre des risques + Modèle

Comment rédiger un plan de continuité des activités + modèle

Comment créer un plan d'intervention en cas d'incident + modèle

Qu'est-ce qu'un processus de gestion du changement? + Modèle

Qu'est-ce que la gestion des risques des tiers + Politique

Conformité et Audits

Conformité de Sécurité : Comment Protéger Votre Entreprise et Respecter les Réglementations

15 cadres essentiels de conformité réglementaire et de sécurité

Qu'est-ce que la conformité continue + Comment l'atteindre

Comment mener un audit interne de conformité efficace

Comment mettre en œuvre un programme GRC

Comment mettre en œuvre un programme GRC + Liste de contrôle

Indicateurs de Réussite pour les Programmes GRC

Comment mesurer la maturité du GRC

Outils et Ressources GRC

Automatisation de la GRC

Qu'est-ce qu'un logiciel GRC et comment fonctionne-t-il ?

Les principaux avantages de l'adoption d'un logiciel GRC

Comment choisir une solution logicielle GRC