Développer un programme GRC est un voyage, pas une tâche ponctuelle à cocher sur une liste. Cela prend du temps et nécessite une collecte de données importante en cours de route.
Pour les organisations cherchant à optimiser leur programme GRC, il est utile de déterminer où se situe votre organisation sur le spectre de maturité du GRC.
Modèle de maturité GRC
Créé par l'OCEG en 2016 et depuis étendu, ce modèle de maturité sert de référence pour la planification et l'exécution d'un programme GRC.
Il comprend cinq niveaux, le premier représentant le niveau de maturité le plus bas et le cinquième représentant le niveau de maturité le plus élevé. Votre organisation devrait démontrer les caractéristiques, pratiques ou capacités de l'un des niveaux ci-dessous. Si elle le fait pour les niveaux 1 à 4, elle peut adopter progressivement les caractéristiques, pratiques ou capacités du niveau suivant pour améliorer sa maturité au fil du temps.
Niveau 1 : Initial
Des activités minimales sont en place pour suivre la gouvernance, le risque et la conformité. La plupart sont improvisées et celles qui existent sont cloisonnées.
Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « ad hoc ».
Niveau 2 : Géré
Le GRC est plus stratégique avec des pratiques définies et gérées, mais cela se fait parfois de manière informelle. En conséquence, les informations ne sont pas systématiquement partagées entre les départements et le succès n'est pas bien mesuré.
Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « fragmenté ».
Niveau 3 : Cohérent
À ce niveau, l'entreprise fonctionne sur un cadre commun, avec des pratiques formellement documentées et gérées de manière cohérente. Les cloisonnements entre les départements commencent à se briser et les informations sont partagées.
Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « défini ».
Niveau 4 : Mesuré
Tous les départements sont alignés avec la stratégie GRC, et la communication et le partage des données sont continus. En conséquence, les pratiques de GRC sont mesurées et gérées avec des preuves et une prise de décision basée sur les données. En général, l'automatisation a également été introduite pour rationaliser les processus, et les avantages commerciaux sont mesurés.
Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « intégré ».
Niveau 5 : Optimisant
À ce niveau, un système de surveillance continue a été mis en place, de sorte que les pratiques de GRC sont constamment améliorées au fil du temps. La prise de décision axée sur les risques est observée dans toute l'entreprise, et les risques sont gérés en temps réel.
Dans les versions précédentes du modèle de maturité GRC de l'OCEG, ce niveau était appelé « agile ».
Lecture recommandée
Comment développer la maturité de la sécurité de l'information : Modèles + meilleures pratiques expliqués
Read More