Chapitre 2 Gouvernance Cybersecurity Cours CF V1-2b

See discussions, stats, and author profiles for this publication at: https://www.researchgate.
net/publication/371901954
Introduction à la gouvernance de la cybersécurité pour la gestion des

technologies d'affaires Chapitre 2 : Gouvernance de la cybersécurité
Preprint · June 2023
CITATIONS READS
0 318
1 author:
Marc-André Léger
Concordia University Montreal
17 PUBLICATIONS 0 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
Maker culture, Makerspaces and FabLabs View project
Cybersecurity View project
All content following this page was uploaded by Marc-André Léger on 27 June 2023.
The user has requested enhancement of the downloaded file.

Introduction à la gouvernance de la cybersécurité pour la gestion des technologies d’affaires
Chapitre 2 : Gouvernance de la cybersécurité

Dans ce chapitre, nous examinons la gouvernance de la cybersécurité. Le chapitre 1 traite des
principes fondamentaux de la cybersécurité, qui sont développés plus en détails dans ce chapitre
pour examiner comment les organisations peuvent planifier la cybersécurité en fonction de leurs
besoins stratégiques. La perspective stratégique applique les principes de la gestion des technologies
d'affaires (GTA) à la gestion de risque de cybersécurité. Cela aide les gestionnaires et dirigeants à
choisir et de mettre en œuvre des solutions adaptées pour faire face aux risques inacceptables en
fonction de leurs priorités stratégiques.
La gouvernance d'une organisation comprend les processus et les systèmes mis en place pour
prendre des décisions, allouer des ressources, diriger et gérer ses actions et ses affaires au sein de
son organisation. En d'autres termes, la gouvernance fait référence aux mécanismes, processus et
activités par lesquels l'autorité et le pouvoir sont exercés de manière appropriée. Les
caractéristiques d’une bonne gouvernance comprennent des valeurs éthiques normatives telles que
la transparence, la responsabilité, la participation et la réactivité. En plus d'être essentiel au bon
fonctionnement des organisations, la gouvernance a également un impact sociétal significatif. Plus
largement, la gouvernance peut également faire référence à la manière dont le pouvoir est exercé à
différents niveaux de la société, y compris la relation entre les différentes branches du
gouvernement, la relation entre l'État et la société civile, ainsi que la façon dont les organisations
internationales jouent un rôle dans la gouvernance mondiale. Il peut s'agir de la façon dont les
décideurs guident la société à travers une mer agitée, comme un capitaine qui utilise le gouvernail
pour diriger son navire sur une mer agitée.
Grâce à la gouvernance, les organisations peuvent utiliser les ressources efficacement, prendre des
décisions dans l’intérêt collectif et résoudre les conflits de manière équitable. Les organisations qui
s'engagent dans des activités de cybersécurité ont souvent plusieurs structures de gouvernance. La
gouvernance d'entreprise, à la base, fournit un cadre de gouvernance pour l'ensemble de
l'organisation. Ce chapitre traite de la gouvernance des technologies de l’information et de la
gouvernance de la cybersécurité, deux domaines plus ciblés de la gouvernance d'entreprise.
Éthique appliquée
La gouvernance peut être comprise sous de nombreux angles. Dans ce livre, la gouvernance de la
cybersécurité est définie comme l'éthique appliquée à la cybersécurité. L'éthique porte sur les codes
de conduite normatifs. Elle fournit des lignes directrices aux individus sur la façon de se comporter
Marc-André Léger, PhD. 26 Mai 2023

dans la société, dans un groupe ou dans une organisation. Les acteurs individuels peuvent utiliser
l'éthique afin de leur donner des lignes directrices morales pour les aider à prendre les bonnes
décisions. C’est le groupe, les parties prenantes et le collectif, qui définissent ce qu’est un
comportement acceptable, souhaitable ou encouragé et qui détermine le comportement normatif.
L'acte de faire ce qui est considéré comme juste par le collectif est moral ou vertueux, qui pourra
être ainsi dénommé éthique. La vertu n’est pas innée, pour plusieurs acteurs, le comportement
éthique est appris de leurs parents. Pour plusieurs, ce sont eux qui enseignent à leurs enfants la
différence entre le bien et le mal. Pour d'autres, de fortes valeurs morales normatives s'apprennent
par la pratique religieuse. Par exemple, l'islam, le christianisme et le judaïsme encourages leurs
adeptes à faire ce qui est juste et bon dans leurs enseignements. Il y a des différences d'application,
de perspective ou de point de vue qui ont à voir avec l'histoire, la culture des fondateurs et des
prophètes. Ces différences influencent la construction de ces croyances partagées, mais le message
global de comportement vertueux, de promotion du bien, ou de lutte contre le mal, est présent dans
chacune d'elles. Ce livre ne traite pas des questions théologiques, et ce qui est présenté est une
simplification du rôle de la religion dans la promotion des valeurs collectives. Toutefois, il s'agit
d'illustrer que la gouvernance d'entreprise favorise le partage de valeurs morales dans un contexte
d'entreprise de la même manière que les religions peuvent contribuer à le faire dans une
communauté.
La philosophie est plus impliquée dans l'établissement de valeurs éthiques et morales partagées qui
peuvent être utilisées par les membres d'un groupe pour déterminer ce qui est acceptable que les
affaires. La façon dont cela s'applique dans le monde réel dépend de nombreux facteurs. Outre la
religion et les parents, il existe également d'autres mécanismes sociaux, tels que les lois.
L'éthique normative et les codes de conduite acceptable existent dans certaines sociétés depuis leur
fondation. Malgré cela, des acteurs individuels se comportaient toujours de manière déviante. Par
conséquent, la société a institué un cadre formel pour essayer de mettre fin aux comportements
déviants. Pour ce faire, des lois ont été adoptées qui ont rendu les comportements déviants illégaux
et ont imposé des sanctions à ceux qui les violaient. Dans un Jardin d’Eden, sans comportement
contraire à l'éthique ou immoral, les lois ne seraient pas utiles. Mais ce n'est pas la réalité dans
laquelle nous vivons. Le meurtre en est un exemple. Tout le monde, depuis la nuit des temps, a
considéré le meurtre comme une mauvaise chose. En conséquence, à un moment donné de
l'histoire, les gens au pouvoir, qu'il s'agisse de rois, de gouvernements ou d'une autorité formelle,
sont intervenus afin de créer une loi qui stipulait, sous une forme ou une autre, « Vous ne tuerez
point ». Même s'il est évident que vous ne pouvez pas tuer des gens, cela devait quand même être

écrit dans une loi, démontrant certaines des limites de l'éthique qui peut être mieux compris quand
on se rappelle le triangle de la fraude du chapitre 1.
Dans les associations professionnelles on retrouve une autre face de l'éthique appliquée. C'est ce
que l'on appelle communément la déontologie ou un code de conduite professionnel. Par exemple,
si vous êtes membre d'une association professionnelle officiellement reconnue par un État-nation,
comme ingénieur, avocat, médecin, infirmière ou l'un des nombreux autres ordres professionnels
officiellement reconnus dans votre pays, vous devez respecter un code de déontologie. Il s'agit d'un
document officiel et juridiquement contraignant qui identifie ce que vous devez et ne devez pas faire
en tant que membre de ce regroupement professionnel. Selon la gravité du comportement déviant,
les sanctions peuvent aller jusqu'à retirer un individu des rangs de l'association, lui retirer son droit
d'exercer, peut-être pour une 5période ou à vie. Un code de déontologie peut également être établi
par des associations, des clubs et d'autres groupes non officiellement reconnus par un État. Ces
règles de fonctionnement partagés par tous les membres sont généralement plus un accord
volontaire qu'un cadre juridique, de sorte qu'ils ne sont pas toujours réellement contraignants. Il
s'agit essentiellement de dire que vous devez suivre nos règles si vous voulez être membre de notre
groupe. C'est un peu comme les exemples précédents d'éthique appliquée, mais c'est plus informel.
Ce type de code d'éthique est davantage un contrat social entre les membres du groupe. Il sert à
rappeler à tous les membres d'agir de manière éthique et de respecter les droits de chacun. Ce code
d'éthique peut également être considéré comme une promesse de maintenir les normes et les
valeurs du groupe.
Gouvernance
La gouvernance est une forme d'éthique appliquée qui est devenue l'un des sujets les plus brûlants
en affaires au cours des 20 dernières années. La gouvernance comme une forme d'éthique
appliquée a gagné en popularité au cours des dernières décennies. Il y a eu des moments clés qui
ont contribué à rendre ce sujet plus populaire au fil des ans. L'appel en faveur de cadres éthiques
plus solides dans les entreprises a été motivé non seulement par les crimes financiers et autres
scandales, mais aussi par une augmentation de la cybercriminalité. Dans ce chapitre, différentes
définitions de la gouvernance seront présentées pour aider à expliquer davantage le concept dans le
contexte des mécanismes et des processus opérationnels de notre sujet. Différentes
réglementations et normes seront également discutées, ainsi que l'importance de la gouvernance
dans le contexte des organisations et des entreprises. Le chapitre explorera également les

implications de la gouvernance pour les entreprises et leurs parties prenantes. Nous définissons
également une structure de gouvernance, comme le montre la figure 7 ci-dessous.
Figure 7: Structure de gouvernance
Au centre de la figure on retrouve la gouvernance d'entreprise, qui consiste à gouverner au sein

d'une organisation à partir de multiples sources, y compris les normes éthiques, la mission de
l'organisation, sa culture, ses obligations contractuelles et les lois et réglementations applicables. Le
comportement des acteurs individuels au sein d'une organisation est régi par les principes de
gouvernance d’entreprise qui régissent leurs rôles au sein de l’organisation. Parce que tout ce qui
peut se passer pendant les activités quotidiennes ne peut pas être couvert par des règles formelles,
cela aide à définir l'espace discrétionnaire des acteurs. Ces acteurs individuels peuvent être aidés
lorsque quelque chose se produit pour lequel l'organisation n'a pas de règle claire en créant un
climat éthique et moral soutenu par des lignes directrices qui peuvent les aider. Ils déterminent
comment agir en conséquence. C'est comme les valeurs religieuses qui ont été mentionnées
précédemment, destinées à fournir des conseils sur la façon dont les adeptes devraient gérer leur
vie, comment ils devraient agir, comment se comporter dans la société. C'est aussi comme la façon
dont les communautés établissent un cadre normatif pour faire les choses. Cela procure un
sentiment de sécurité et de cohérence, permettant aux membres de cette communauté de savoir à
quoi s'attendre et comment agir dans différents scénarios. Cela contribue également à créer un
sentiment d'appartenance à cette communauté. En outre, la gouvernance permet aux gens
d'assumer la responsabilité de leurs actes. Tout comme les cadres de gouvernance d'entreprise sont

personnalisés pour correspondre à la culture et aux circonstances d'une organisation particulière, les
normes éthiques varient d'une culture à l'autre. Il est important d'être conscient et respectueux des
différentes normes éthiques lorsque vous travaillez dans un environnement interculturel. Il est
également important de reconnaître que les normes éthiques peuvent évoluer au fil du temps et
que les organisations doivent être disposées à ajuster leurs propres normes éthiques pour refléter
les changements dans les valeurs sociales. Par exemple, au cours des dernières années, de
nombreuses organisations ont mis à jour leurs cadres éthiques pour mettre davantage l'accent sur la
durabilité environnementale, les droits de la personne, la diversité et l’inclusion.
Il est important pour les organisations de créer des mécanismes et des processus d'affaires qui
définissent un espace éthique qui favorise un comportement vertueux. Ces règles formelles et
informelles fournissent des orientations à toutes les parties prenantes. Les principes de gouvernance
devraient aider les acteurs individuels à savoir quoi faire lorsqu'ils prennent une décision
importante, même en l'absence d’une directive spécifique. En l'utilisant, les acteurs peuvent
déterminer ce qui est bon pour l'organisation et aussi pour ses parties prenantes dans le respect de
sa culture. La gouvernance contribue à créer un état d'esprit qui favorise les bonnes décisions, c’est-
à-dire les décisions qui sont le plus possible conforme aux attentes de l’ensemble des parties
prenantes de l’organisation. En fin de compte, il incombe au conseil d'administration de s'assurer
que l'organisation respecte ses principes de gouvernance. Avec le soutien des dirigeants et des
gestionnaires, ils doivent veiller à ce que tous les acteurs soient tenus responsables et à ce que les
règles soient respectées. Cela favorise l’atteinte de ses objectifs de manière responsable.
Au sommet du cadre de gouvernance se trouve l’éthique, qui encadre la gouvernance d'entreprise

au niveau des principes. Ensuite, on retrouve la gouvernance d'entreprise. Elle est destinée à aider
les acteurs dans un cadre formel. Qu'une société commerciale, une entreprise ou une organisation à
but non lucratif ait du mal à déterminer quel est le meilleur plan d'action, la gouvernance
d'entreprise est là pour aider. Le cadre de gouvernance d'entreprise fournit des structures et des
processus pour guider et contrôler les entreprises et ses employés dans ses processus décisionnels.
La gouvernance d’entreprise est pour l'ensemble de l'organisation. L'approche de gouvernance
d'entreprise examine les activités d'un point de vue général, y compris la manière dont la direction,
le conseil d'administration, les actionnaires et les autres parties prenantes partagent le pouvoir,
comme illustré à la figure 8. Elle contribue à la performance à court terme ainsi qu'au
développement d'une performance durable en encadrant comment la valeur est créée dans
l'organisation de manière éthique. Cette approche encourage les décideurs et les parties prenantes
à travailler ensemble pour créer de la valeur pour l'organisation de manière responsable et éthique.

Cela permet également de s'assurer que l'organisation prend des décisions qui sont conformes à ses
valeurs, ce qui profitera à l'organisation à long terme. Par exemple, une organisation peut utiliser
cette approche pour décider d'investir ou non dans une nouvelle technologie susceptible d'améliorer
le service client, mais qui comporte également un risque de problèmes potentiels de sécurité des
données, des problèmes environnementaux ou des risques réputationels.
Figure 8: Structure de soutien à la gouvernance
Bien qu'il puisse y avoir des différences subtiles entre gouvernance d'entreprise et gouvernance
corporative, dans ce livre, nous ne faisons pas de distinction entre elles. Lorsque nous discutons de
la gouvernance d'entreprise dans un contexte de corporation, de société à responsabilité limitée ou
d’entreprise à but lucratif, nous préférons limiter l'utilisation au terme gouvernance d'entreprise.
Dans le cadre de la gouvernance d'entreprise, les acteurs construisent une compréhension
commune et partagée de l'éthique, des valeurs stratégiques et de la responsabilité sociale. Cela peut
être un sujet très vaste car elle inclut des questions liées aux relations humaines, à l'environnement,
aux fournisseurs, aux sous-traitants et bien d'autres. En plus des domaines abordés dans cet
ouvrage, à savoir la gouvernance TI et la gouvernance de la cybersécurité, la gouvernance
d'entreprise contribue à la construction d'une réalité partagée pour l'entreprise sur tous ces autres
sujets. De ce fait, elle facilite la mise en œuvre de solutions consensuelles, même en l'absence de
précédent ou de règles claires.

La gouvernance est un processus. Par une succession d'actions, les acteurs construiront
progressivement une compréhension commune de cette réalité au fur et à mesure qu'ils traiteront
d’un même problème. De ce fait, la gouvernance d’entreprise contribue à définir un plan d'action
sans que rien ne soit déterminé à l'avance.
La gouvernance TI et la gouvernance de la cybersécurité sont dérivées du cadre de gouvernance

d'entreprise. Ils trouvent une application à des problèmes spécifiques en matière de TI et de
cybersécurité, comme décrit dans la suite du chapitre, à partir de ce qui est défini dans le cadre de
gouvernance d’entreprise. Les cadres de gouvernance TI et de gouvernance de la cybersécurité sont
conçus pour améliorer la performance de l'organisation en termes de gestion de risque de
cybersécurité, de prestation de services informatiques, de conformité et d'autres domaines
connexes. Ces cadres fournissent une structure pour s'assurer que les initiatives TI et de
cybersécurité sont gérées tout en tenant compte des objectifs de l'organisation. En conséquence, ils
aident les organisations à assurer la cyber-résilience et à réagir rapidement à un écosystème de
cybersécurité en constante évolution.
Gouvernance des technologies de l’information
Dans ce livre, la gouvernance de la cybersécurité occupe une place centrale, mais comme il a été
mentionné plusieurs fois déjà, elle est positionnée au sein de la gouvernance d'entreprise,
étroitement liée à la gouvernance des technologies de l’information, nommée gouvernance TI. Après
avoir présenté un aperçu de la gouvernance d'entreprise, nous passons à la gouvernance TI avant de
discuter de celle de la cybersécurité plus tard. Le concept de gouvernance TI met l'accent sur
l'application des principes de gouvernance d'entreprise aux technologies de l'information et aux
technologies d'affaires. Nous définissons ici les technologies d’affaires comme les technologies de
l’information, utilisées par les entreprises, qui contribuent à créer et maintenir un avantage
concurrentiel ainsi qu’à innover.
En tant que préoccupation stratégique, la gouvernance TI relève de la responsabilité du conseil

d'administration et du comité d’une organisation, comme pour la gouvernance d’entreprise. Afin de
soutenir un état d'esprit éthique et un comportement vertueux, présenté précédemment à l'égard
de la contribution des TI à l'organisation, la gouvernance TI fournit un cadre stratégique. Elle
encadre la prise de décision stratégique afin de mettre une emphase sur la vertu comme ayant un
poids dans la balance des arguments. La gouvernance des technologies de l'information et des
systèmes d'information met l'accent sur la façon dont ils interagissent avec l’ensemble des parties
prenantes. Pour que les investissements en technologies de l’information contribuent à produire un

maximum de valeur, la gouvernance TI aide les acteurs individuels à respecter les droits de décision
et les cadres de responsabilisation de chacun. Les organisations sont ainsi encouragées à adopter
des comportements normatifs souhaitables concernant la sélection, l'acquisition, l'utilisation, la
maintenance et la mise à la retraite de technologies de l’information. La gouvernance TI traite
également de l'alignement stratégique des TI, en forçant un questionnement sur comment les
systèmes d'information, les données et les TI peuvent être utilisés pour aider l'entreprise à réussir.
La gestion des TI pour optimiser leur valeur stratégique commence par se poser des questions
fondamentales sur la contribution des TI à l'organisation. En voici quelques exemples :
• Quel est le rôle des TI dans la création de valeur ?

• Quel rôle les TI peuvent-elles jouer dans la création ou le maintien d'un avantage
concurrentiel ?
• Des technologies émergentes pourraient-elles nous donner une opportunité d’innover ?
En répondant à ces questions, les organisations contribuent à un questionnement qui les aidera à
optimiser les investissements liés aux TI et maximiser leur retour sur investissement. Par rapport à
tous les autres centres de coûts de nombreuses organisations modernes, les investissements TI
peuvent devenir importants. Bien que le sujet complexe de l’optimisation des investissement TI n’est
pas discuté dans ce livre, il demeure fondamental à la réussite des entreprises. La contribution à la
création de valeur des TI, favorisé par la bonne gouvernance TI, est étroitement lié à la
cybersécurité. Encore une fois, nous rappelons au lecteur que nous nous concentrons sur la
gouvernance de la cybersécurité, nous avons donc couvert ce que les étudiants doivent savoir sur la
gouvernance TI pour comprendre ce qui sera discuté ensuite.
Sur le plan stratégique, la gouvernance d'entreprise nous aide à gouverner tous les aspects de
l'organisation. De son côté, la gouvernance TI aide les organisations à gérer leurs technologies de
l'information et leurs systèmes d'information. Nous retrouvons finalement la gouvernance de la
cybersécurité, pour la cybersécurité. Ces trois éléments de gouvernance, d’entreprise, TI et
cybersécurité, font partie d'un continuum de gouvernance qui comprend également d'autres
domaines de gouvernance tout aussi importants, mais qui ne sont pas abordés ici, tels que la
responsabilité sociale des entreprises. Ce continuum garantit que les organisations disposent des
outils et des capacités nécessaires pour rester compétitives, sécurisées et conformes à leurs
obligations à l'ère numérique. Ce sont des éléments essentiels de tout modèle d'affaire durable. Par
exemple, des stratégies appropriées de gestion de risque sont essentielles pour protéger les actifs

numériques contre les cyberattaques, tout en préservant la confidentialité des données et la

confiance des parties prenantes.
Gouvernance de la cybersécurité
La gouvernance de la cybersécurité porte sur les processus, politiques et structures qui sont mis en
place par les organisations pour les aider à gérer les risques associés à l'utilisation des technologies
de l'information. Comme le montre la figure 8, la gouvernance d'une entreprise se produit à un
niveau stratégique, tandis que la gouvernance d'une cybersécurité se produit à un niveau tactique. Il
s'agit des mécanismes par lesquels les organisations s'assurent que leurs risques liés à la
cybersécurité sont gérés de façon appropriée, que leurs actifs informationnels sont protégés
adéquatement et que leur conformité aux lois et aux règlements est maintenue. La gouvernance
d'entreprise détermine un grand nombre de des caractéristiques de la gouvernance de la
cybersécurité. Cependant, la gouvernance de la cybersécurité fournit également des conseils et des
processus plus spécifiques. La gouvernance de la cybersécurité est assurée dans le continuum assuré
par la gouvernance, la gestion de risque et la conformité (GRC), comme nous l'avons vu
précédemment.
L'établissement d'une stratégie de cybersécurité au sein d'une organisation et l'assurance que les
ressources appropriées sont allouées pour atteindre les objectifs de cybersécurité font partie de la
gouvernance de la cybersécurité. La gestion de risque liés à la cybersécurité nécessite de définir les
rôles et les responsabilités des personnes et des équipes au sein de l'organisation, ainsi que d'établir
des politiques, des procédures et des lignes directrices claires. À l'aide de ces informations, les
organisations seront en mesure d'évaluer les risques liés à la cybersécurité et de prendre les
décisions appropriées. En plus de surveiller l'efficacité des contrôles de cybersécurité et d'en rendre
compte, la gouvernance de la cybersécurité implique également la réalisation d'audits réguliers afin
de déterminer les améliorations à apporter à la posture et à la conformité de l'organisation en
matière de cybersécurité. Tous les niveaux de l'organisation doivent être engagés dans la
gouvernance de la cybersécurité. Il est important que les différents domaines fonctionnels et les
domaines de support collaborent régulièrement, tels que l'informatique, les services juridique, les
ressources humaines, la comptabilité, la conformité, etc. Une bonne gouvernance de la
cybersécurité repose généralement sur quatre éléments : la culture, le leadership, les processus et
les mécanismes. Ces quatre domaines devraient travailler ensemble pour s'assurer que
l'organisation se conforme à toutes les lois et réglementations applicables, dispose des contrôles
techniques nécessaires et surveille et améliore continuellement sa posture de sécurité. Des examens

réguliers devraient être effectués pour s'assurer que tous les secteurs de l'organisation adhèrent au
cadre de gouvernance de la cybersécurité.
Dans plusieurs organisations, la cybersécurité se concentre sur les mécanismes. Mais il reste
beaucoup à faire pour relever adéquatement ce défi organisationnel que de mettre en place et
opérer des outils. Nous parlerons beaucoup de culture et de leadership dans ce chapitre qui cible la
gouvernance. En même temps, les processus opérationnels de cybersécurité sont ce qui sera mis en
place, ou comment les choses seront menées pour supporter la gouvernance. Les différents
mécanismes de cybersécurité ne devraient être envisagés qu'une fois que la culture, le leadership et
les processus opérationnels sont en place. Les mécanismes doivent être justifiés par une évaluation
approfondie des risques basé sur les principes de gouvernance. Si les organisations n'ont pas le bon
leadership, si elles n'ont pas de culture de sécurité et si elles n'intègrent pas cela dans leur ADN,
quels que soient les mécanismes et les processus dont elles disposent, ils ne serviront à rien. Ces
éléments doivent coopérer pour être efficaces. Il est important de comprendre comment la culture,
le leadership, les processus et les mécanismes sont interreliés. Ce lien crée un environnement
dynamique, en constante évolution. La culture organisationnelle et le leadership, par exemple,
peuvent aider à déterminer si une entreprise réussit ou échoue en permettant ou en entravant sa
capacité à s'adapter aux besoins changeants. C'est également plus probable pour une entreprise
ayant une culture qui valorise la prise de risque et encourage l'expérimentation, d'innover et de
développer de nouveaux produits qui répondent mieux aux besoins des clients. S'il n'est pas soutenu
par des principes de gouvernance de la cybersécurité, cela peut entraîner une augmentation des
risques inacceptables. Comme une tapisserie, chaque fil et chaque section jouent un rôle essentiel
dans le maintien de son intégrité. Si une section est supprimée, l'ensemble du travail est affaibli.
Pour créer une tapisserie innovante et créative, le tisserand doit être capable de s'ajuster.
Les réponses à ces questions aideront les organisations à démarrer :
• Quel est le besoin de gouvernance de la cybersécurité dans notre organisation?

• Quel problème l'organisation veut-elle résoudre?
• Qui sont les principales parties prenantes?
• Quel est l'état actuel de l'organisation en matière de gouvernance de la cybersécurité?
• Quelles sont nos ambitions ?
• Que peut faire l'organisation pour combler l'écart entre sa situation actuelle et ses
ambitions?

• Comment l'organisation peut-elle sélectionner, mettre en œuvre et utiliser des tactiques et

des mécanismes de cybersécurité ?
• L'organisation est-elle capable de faire les choses de façon équilibrée?
• Pour intégrer la gouvernance de la cybersécurité à tous les niveaux, comment l'organisation
doit-elle changer ?
• Que peut faire l’organisation pour assurer une bonne gouvernance de la cybersécurité et
évaluer sa conformité ?
Les organisations doivent également comprendre que la gestion du changement est un élément
essentiel d’une donne gouvernance de la cybersécurité. Sans gestion du changement, les
organisations ne peuvent pas mener à bien la gouvernance de la cybersécurité et la gestion de
risque. En l'absence de pratiques efficaces de gestion du changement, ainsi que de solides capacités
de communication, de sensibilisation et de formation, tous leurs efforts seront vains et toutes les
ressources allouées au projet seront gaspillées. Il y aura toujours un échec en gouvernance de la
cybersécurité si les organisations n'ont pas de catalyseur de changement. Il va y avoir déni d'un
problème, souvent jusqu'à ce qu'il y ait une crise majeure de cybersécurité. La résistance au
changement est toujours un point critique d'échec. Les organisations doivent réaliser que le facteur
humain dans cette équation est difficile à contrôler. Elles ne peuvent pas forcer les individus à
changer. Il est impossible pour les organisations d'imposer une bonne gouvernance de la
cybersécurité en utilisant des menaces de mesures disciplinaires. Bien que cela puisse fonctionner à
très court terme, il est peu probable que cela entraîne une conformité durable et un changement
durable. La plupart des projets informatiques et aussi ceux de cybersécurité échouent en raison de la
résistance au changement. Étant donné qu'une grande partie de la gouvernance de la cybersécurité
repose sur des acteurs individuels agissant pour défendre le statu quo, la gestion efficace du
changement est un facteur clé de succès. Changer les croyances, comprendre les changements ou
forcer les changements peut être difficile. Il est inévitable que les acteurs résistent au changement,
c'est pourquoi nous devons en tenir compte et planifier pour faire face à la résistance inévitable
dans la gouvernance de la cybersécurité. Nous ne pouvons éviter de devoir impliquer les acteurs
dans le changement, car ils sont au cœur de chaque organisation. S'il n'y a pas de résistance au
changement, ça serait indicateur de problèmes plus importants, comme un manque d'engagement
envers la mission ou une fatigue organisationnelle.
Il y a eu de nombreux développements dans la gouvernance de la cybersécurité au fil des ans, et elle

continue d’évoluer rapidement. Contrairement à ce que certains pourraient penser, la gouvernance
de la cybersécurité n'est pas seulement un domaine technique. On y retrouve une importante

composante technologique, c’est indéniable. Cependant, elle intègre aussi de nouvelles

connaissances qui sont développées dans un large éventail de domaines tels que la sociologie, la
psychologie, la criminologie, le droit, la gestion, la comptabilité et bien d'autres. Alors que les
praticiens ont une compréhension pratique de ce que signifie la gouvernance de la cybersécurité, les
universitaires présentent des propositions sur la façon dont ils devraient gouverner basées sur des
recherches scientifiques récentes. Néanmoins, il est en constante évolution et il y aura de nombreux
changements à venir, notamment la mondialisation, les questions de durabilité, l'informatique
quantique et l'IA. L'IA dans la cybersécurité offre des avancées prometteuses. Par exemple, l’IA
détecte les menaces et les anomalies autrement manquées. En utilisant l'IA pour détecter les
menaces et les anomalies, les équipes de sécurité peuvent identifier les problèmes potentiels de
sécurité avant qu'ils ne deviennent un problème réel. Elle peut également automatiser certains
processus, tels que l'application de correctifs et la réponse aux incidents. L'IA peut également être
utilisée pour automatiser des tâches banales qui nécessiteraient autrement beaucoup de temps et
de ressources, permettant aux équipes de se concentrer davantage sur des activités à plus forte
valeur ajoutée. L'IA peut également être appliquée à la gouvernance, par exemple pour améliorer les
évaluations des risques et mieux comprendre les menaces des acteurs malveillants. L'IA peut
également être utilisée pour analyser les risques avec plus de précision, ce qui permet aux équipes
de prendre des décisions plus éclairées concernant les investissements en matière de sécurité.
Mise en œuvre d'un cadre de gouvernance TI
Il est possible pour les organisations d'utiliser une grande variété de cadres de gouvernance et de
pratiques exemplaires. Par exemple, ITIL, COBIT, ISO 27001, 27002, NIST SP800-53 et d'autres
normes reconnues sont déjà utilisées par des entreprises. Dans cette section, nous proposons une
stratégie sur la base de la norme ISO 38500, élaborée par l'Organisation internationale de
normalisation (ISO). L'objectif de cette norme est de fournir des outils de base que les organisations
peuvent utiliser pour mettre en œuvre la gouvernance TI. Ce qui est proposé ici, c'est de débuter par
la gouvernance TI pour graduellement étendre cela à la gouvernance de la cybersécurité. En
collaborant entre ces deux domaines, un cadre cohérent peut être créé qui peut bénéficier de la
coopération.
Publiée à l'origine en 2008, la norme a été mise à jour et révisée à plusieurs reprises. ISO 38500
fournit des lignes directrices pour la gouvernance d'entreprise des technologies de l'information (TI).
En gérant leurs pratiques de gouvernance TI et en veillant à ce que leurs stratégies TI soient alignées
sur leurs objectifs commerciaux, les organisations peuvent s'assurer que leurs pratiques de

gouvernance TI sont alignées. Le document décrit les rôles et les responsabilités des parties
prenantes impliquées dans la gouvernance TI, telles que le conseil d'administration, la haute
direction et les professionnels de l'informatique. En outre, la norme souligne l'importance de gérer
les risques associés à l'informatique et de s'assurer que les investissements TI apportent de la valeur
à l'organisation. Une évaluation et une mesure des pratiques de gouvernance des TI, ainsi que de
l'amélioration continue, sont fournies dans le présent document.
Un large éventail d'organisations, y compris des agences gouvernementales, des organisations à but
non lucratif et des organisations du secteur public, peuvent appliquer cette approche proposée sur
la base de la norme ISO 38500. En plus de fournir un point de référence pour mesurer l'efficacité de
la gouvernance TI, il peut être utilisé pour évaluer les pratiques de gouvernance TI d'une
organisation, élaborer des politiques de gouvernance TI et développer des procédures de
gouvernance TI. Ce qui est proposé est un outil utilisé pour assurer l'utilisation efficace et efficiente
des ressources TI ainsi que pour assurer la conformité aux lois, règlements et normes applicables. La
norme peut aider les organisations à mieux gérer leurs systèmes informatiques et à identifier les
risques et vulnérabilités potentiels. Par exemple, cette approche peut être utilisée pour identifier et
gérer des domaines tels que la stratégie, l'architecture, la cybersécurité, la gestion de risque et la
gouvernance. ISO 38500 définit six domaines de gouvernance TI qui sont présentés plus en détails
dans les pages suivantes.
Responsabilité et obligation de rendre compte
Bien qu'elles soient liées, la responsabilité et l'obligation de rendre compte sont deux concepts
distincts qui sont inclus dans la norme ISO 38500. La responsabilité fait référence aux tâches et aux
devoirs qu'une personne est censée accomplir. Par conséquent, vous êtes responsable de
l'accomplissement de certaines tâches, du respect de certaines normes ou de l'atteinte de certains
résultats. Bien que la responsabilité puisse être déléguée ou attribuée, elle incombe en fin de
compte à la personne responsable. Ce qui constitue la responsabilité, cependant, c'est l'obligation
de répondre de ses actes, de ses décisions et de son rendement. L'acte d'être responsable implique
d'être tenu responsable des conséquences de ses actes, qu'elles soient positives ou négatives. Si une
personne ne s'acquitte pas de ses responsabilités, elle sera tenue responsable ou devra en subir les
conséquences. La responsabilisation implique également de s'approprier le résultat de ses actions et
d'être prêt à accepter les conséquences de ces actions, bonnes ou mauvaises. Il s'agit d'avoir un
sentiment d'appartenance et un engagement à obtenir des résultats.

La responsabilité consiste essentiellement à faire ce que l'on attend d'une personne, tandis que la
responsabilité consiste à accepter les conséquences de ses actes. Essentiellement, la responsabilité
est l'obligation d'accomplir des tâches, tandis que la responsabilité fait référence à l'acceptation des
conséquences de ses actes. En matière de gouvernance, la responsabilité et l'obligation de rendre
compte sont importantes. La responsabilité signifie faire quelque chose, tandis que la responsabilité
signifie répondre de ce que l'on a fait ou omis de faire. Par conséquent, il est important que les
dirigeants s'assurent que chacun est responsable de ses actes. Cela signifie qu'il faut établir des
attentes claires et tenir les gens responsables de leurs résultats. Cela crée également un
environnement de confiance et de responsabilité, ce qui est essentiel pour une gouvernance réussie.
L'organe directeur d'une organisation est ultimement responsable de la gouvernance, car il s'agit
d'un outil stratégique. L'organe directeur peut comprendre un conseil d'administration ou un autre
organe directeur qui opère au plus haut niveau stratégique. Ils doivent veiller à ce que les devoirs et
les tâches de gouvernance soient exécutés. L'organe directeur doit s'assurer que la stratégie et les
opérations informatiques de l'organisation sont alignées sur ses objectifs opérationnels globaux. Il
est essentiel que les individus et les groupes impliqués dans les services informatiques comprennent
et acceptent leurs responsabilités. De plus, les gestionnaires doivent avoir l'autorité et les moyens
d'intervenir de manière appropriée. Bien que la responsabilité puisse être partagée et, dans une
certaine mesure, déléguée dans certains domaines spécifiques, tels que la TI ou la cybersécurité,
l'obligation de rendre compte et la responsabilité incombent toujours à l'organe directeur de
l'organisation. Par conséquent, la gouvernance de la cybersécurité implique toutes les parties
prenantes, mais la responsabilité et l'obligation de rendre compte reposent aux niveaux supérieurs,
avec ceux qui sont responsables devant les autres. Par conséquent, les gestionnaires doivent avoir la
capacité et l'autorité de prendre des mesures décisives pour assurer la sécurité de l'organisation.
Cela peut impliquer d'assigner des tâches à d'autres, mais la responsabilité ultime incombe à
l'équipe de direction. Cela signifie que la gouvernance de la cybersécurité doit impliquer toutes les
parties prenantes, mais la responsabilité ultime incombe à l'organe directeur de l'organisation.
Stratégie TI
Les stratégies TI sont un outil que les organisations utilisent pour maximiser l'impact de la
technologie sur leurs objectifs. Il s'agit d'un élément important de la stratégie de gouvernance TI.
L'organisation doit avoir une stratégie TI claire qui s'aligne sur sa stratégie d’affaires globale. Ce que
nous explique ISO 38500 est que pour s'assurer que la technologie est utilisée efficacement pour
soutenir les objectifs commerciaux, une organisation doit aligner ses initiatives technologiques sur sa
stratégie globale lors de l'élaboration d'une stratégie TI. Il est important de communiquer la

stratégie TI de l'organisation et d'évaluer les investissements TI en fonction de leur alignement avec

celle-ci. Il est impératif que les plans stratégiques TI d'une organisation répondent aux besoins
actuels et futurs de l'organisation, en tenant compte de la capacité informatique existante et future.
Les éléments suivants devraient être inclus dans une stratégie TI :
• Vision et buts : Une articulation claire de la vision de l'organisation sur la façon dont la
technologie peut soutenir ses objectifs opérationnels et un ensemble d'objectifs spécifiques
pour réaliser cette vision.
• Évaluation du paysage technologique actuel : Une analyse de l'état actuel de l'infrastructure
technologique, des applications, des systèmes et des processus de l'organisation.
• Analyse des écarts : Identification des écarts (gap) entre l'état actuel de l'organisation et son
état futur souhaité.
• Feuille de route : Un plan complet ou une feuille de route pour atteindre l'état futur
souhaité, qui peut inclure la mise à niveau ou le remplacement de l'infrastructure
technologique, l'amélioration des processus et le développement de nouvelles applications.
• Affectation des ressources : Une évaluation des ressources nécessaires à la mise en œuvre
de la stratégie de TI, y compris le budget, la dotation en personnel et l'infrastructure.
• Gouvernance et gestion de risque : Un plan de gouvernance de la cybersécurité et de
gestion de risque des TI, qui peut inclure des politiques et des procédures pour la
cybersécurité, la conformité et la reprise après sinistre.
• Métriques et mesures : Ensemble de mesures et de critères de mesure permettant
d'évaluer le succès de la stratégie TI et d'assurer un alignement continu avec les objectifs
commerciaux de l'organisation.
Une stratégie TI efficace peut aider une organisation à atteindre ses objectifs de manière plus
efficiente et efficace, à améliorer les processus métier et à créer un avantage concurrentiel grâce à la
technologie. Pour que la stratégie TI d'une organisation reste alignée sur l'évolution des besoins de
l'entreprise et des tendances technologiques, il est important de la revoir et de la mettre à jour
régulièrement. Cela peut aider à s'assurer que la stratégie TI est à jour et capable de répondre
efficacement aux besoins changeants de l'organisation. Des examens réguliers peuvent également
révéler des risques et des faiblesses potentiels qui peuvent être corrigés avant qu'ils ne deviennent
un problème. Par conséquent, des examens réguliers de la stratégie TI peuvent aider l'organisation à
garder une longueur d'avance et à mieux se préparer pour l'avenir. Par exemple, le processus
d'examen peut être utilisé pour identifier les technologies émergentes qui pourraient

potentiellement améliorer les opérations de l'organisation et s'assurer que la stratégie TI est

adéquatement préparée pour en tirer parti.
Stratégie de gouvernance TI
La stratégie TI d'une organisation doit inclure la gouvernance et la gestion de risque en tant que
composantes intégrales. Pour mettre en œuvre cette stratégie avec succès, l'organisation doit
élaborer une stratégie de cybersécurité et de gestion de risque. Pour s'assurer que les actifs et les
activités de TI sont alignés sur les objectifs et les buts commerciaux globaux d'une entreprise, une
organisation doit élaborer un plan ou une approche complète qui garantit que ces actifs et activités
sont alignés sur les objectifs commerciaux globaux de l'entreprise. Pour s'assurer que les
investissements TI sont effectués de manière à maximiser la valeur et à minimiser les risques, les
organisations doivent établir les bonnes structures de prise de décision et de responsabilisation au
sein de l'organisation pour gérer efficacement leurs initiatives informatiques.
Une stratégie de gouvernance TI comprend généralement les éléments suivants :
• Structure de gouvernance : Une structure de gouvernance claire est établie, qui définit les
rôles, les responsabilités et les processus décisionnels pour les activités de TI au sein de
l'organisation. Il peut s'agir d'un comité directeur informatique, d'un conseil de gouvernance
TI ou d'un autre organe de gouvernance similaire. Cette structure de gouvernance devrait
être conçue de manière à s'assurer que les activités de TI de l'organisation s'harmonisent
avec ses objectifs opérationnels et respectent les lois et règlements pertinents. Il devrait
également veiller à ce que les investissements TI soient effectués de manière rentable et en
temps opportun.
• Politiques et procédures : Des politiques et des procédures sont établies pour décrire les
normes et les lignes directrices relatives aux activités de TI au sein de l'organisation. Cela
comprend les politiques liées à la cybersécurité, à la gestion de risque, à la conformité et à
d'autres domaines clés. Ces politiques doivent être revues et mises à jour régulièrement
pour s'assurer qu'elles sont pertinentes et à jour avec les dernières technologies et normes
de l'industrie. Il est également important de s'assurer que tous les membres de
l'organisation connaissent et comprennent les politiques et les procédures.
• Gestion des investissements TI : Un processus est établi pour hiérarchiser, sélectionner et
gérer les investissements TI. Cela implique d'évaluer les coûts, les avantages et les risques
des investissements potentiels et de s'assurer qu'ils s'alignent sur la stratégie de
l'organisation. La gestion des investissements TI comprend également le suivi des

investissements TI au fil du temps pour s'assurer qu'ils restent bénéfiques et rentables. De

plus, il s'agit d'ajuster si les investissements ne répondent pas aux attentes de l'organisation.
• Gestion du rendement : Un système est établi pour mesurer et surveiller le rendement en
matière de TI, y compris l'efficacité des investissements en TI et l'harmonisation des activités
de TI avec les objectifs opérationnels. Ce système est utilisé pour identifier les domaines à
améliorer, prioriser les investissements TI et élaborer des plans et des stratégies pour
améliorer le rendement informatique. Cela permet également de s'assurer que les
investissements TI sont alignés sur les buts et objectifs de l'entreprise. Par exemple, les
mesures de performance peuvent être utilisées pour comparer le coût des services
informatiques avec la valeur qu'ils apportent à l'organisation.
• Gestion de risque : Un processus est établi pour identifier, évaluer et gérer les risques liés
aux TI, y compris la cybersécurité et la conformité. Il devrait également inclure d'autres
composantes, telles que l'obsolescence technologique. Ce processus devrait être
régulièrement examiné et mis à jour pour s'assurer que les risques sont cernés et traités en
temps opportun. Le processus de gestion de risque devrait être documenté et sa mise en
œuvre devrait être examinée régulièrement pour s'assurer qu'il est efficace. Par exemple, le
processus devrait comprendre l'identification des vulnérabilités potentielles et la mise en
œuvre de mesures pour atténuer les risques connexes, ainsi que l'élaboration de plans
d'intervention en cas d'atteinte à la sécurité.
• Communication et mobilisation : Des stratégies de communication et d'engagement sont
élaborées pour s'assurer que les intervenants sont informés et participent aux processus
décisionnels en matière de TI. Ces stratégies peuvent inclure des bulletins, des sondages et
des réunions pour s'assurer que les parties prenantes ont voix au chapitre dans le processus
décisionnel. Ces stratégies peuvent également aider à faire en sorte que les intervenants
soient au courant de tout changement ou développement susceptible de les toucher. En
outre, ces stratégies peuvent aider à renforcer la confiance entre les parties prenantes et le
personnel informatique.
Grâce à la mise en œuvre d'une stratégie complète de gouvernance TI, une organisation peut
maximiser l'efficacité et l'efficience de ses actifs et activités TI tout en minimisant les risques
auxquels elle pourrait être confrontée. Pour que les entreprises puissent s'assurer que leur stratégie
de gouvernance TI reste alignée sur l'évolution des besoins commerciaux et des tendances
technologiques, elles doivent la revoir et la mettre à jour régulièrement. Les processus de
gouvernance TI devraient également faire l'objet d'une surveillance et d'une évaluation régulières

afin d'en assurer la conformité et l'efficacité. En outre, les organisations doivent s'assurer qu'elles
tirent parti de tout nouveau développement technologique susceptible d'améliorer leur stratégie de
gouvernance TI. Pour rester efficaces et conformes, les organisations doivent non seulement revoir
et mettre à jour régulièrement leur stratégie de gouvernance TI, mais également surveiller et
évaluer leurs processus de gouvernance TI. En outre, ils devraient tirer parti de toutes les occasions
qui s'offrent à eux pour tirer parti des nouvelles technologies. Par exemple, l’infonuagique (cloud
computing) a permis aux organisations non seulement de réduire les coûts, mais aussi d'améliorer la
flexibilité de leurs processus de gouvernance TI. Les organisations doivent également prêter
attention aux implications de sécurité de l'utilisation de l'informatique en nuage et s'assurer qu'elles
ont mis en place les mesures nécessaires pour protéger leurs données. En outre, ils doivent s'assurer
que leurs processus de gouvernance TI suivent l'évolution de la technologie et des réglementations.
Gestion des acquisitions TI
L'acquisition et la gestion des ressources informationnelles, y compris le matériel, les logiciels et les
services TI, doivent être effectuées par une organisation de manière structurée et transparente. En
plus de veiller à ce que les ressources informationnelles et les TI soient acquises de à un juste prix,
tous les risques connexes devraient être cernés et gérés dans le cadre de ce processus. Par
conséquent, il est nécessaire de mettre en place des mécanismes pour s'assurer que les acquisitions
TI sont faites pour de bonnes raisons, fondées sur la diligence raisonnable, avec un processus
décisionnel transparent et clair. En outre, il est très important d'équilibrer les opportunités, les
avantages, les coûts et les risques associés aux acquisitions informatiques à court et à long terme. Il
est également nécessaire de s'assurer que les acquisitions TI sont alignées sur les buts et objectifs
stratégiques de l'organisation. Enfin, il est important de créer une structure qui permet un suivi
continu des acquisitions informatiques et de leur performance.
Surveillance des performances TI
Les organisations doivent surveiller et mesurer les investissements TI et les performances

opérationnelles. L'organisation doit établir des mesures de rendement, évaluer régulièrement le
rendement et améliorer le rendement au besoin. Il doit être clair que les TI soutiennent
l'organisation en fournissant des services à un niveau de performance et de qualité qui répond aux
besoins actuels et futurs. Les TI doit également viser à réduire les coûts et à améliorer l'efficacité
dans l'ensemble de l'organisation. Les mesures de rendement doivent faire l'objet d'un suivi et de
rapports pour vérifier que l'organisation TI atteint ses objectifs. Les TI doivent établir une culture
d'amélioration continue et s'assurer que les employés disposent des ressources nécessaires pour

atteindre ces objectifs. Un examen régulier des paramètres de rendement devrait être effectué pour
s'assurer que l'organisation est sur la bonne voie pour atteindre ses objectifs. Enfin, une rétroaction
régulière devrait être fournie aux employés pour s'assurer qu'ils donnent le meilleur d'eux-mêmes.
Gestion de la conformité
Les organisations doivent se conformer à toutes les lois, réglementations et normes sectorielles
applicables en matière de gouvernance et de sécurité informatiques. L'organisation devrait établir
des politiques et des procédures pour assurer la conformité et évaluer régulièrement la conformité à
tous les règlements et obligations légales. Il doit y avoir des directives de gouvernance TI claires,
publiées et appliquées au sein de l'organisation. L'organisation doit également avoir un processus en
place pour assurer la conformité à ces lignes directrices. De plus, l'organisation devrait examiner
régulièrement les lignes directrices pour s'assurer qu'elles sont à jour et qu'elles demeurent
conformes. Il s’agit d’un des domaines où la gouvernance TI rejoint la gouvernance de la
cybersécurité. La conformité est présentée plus en détail dans le chapitre suivant.
Approche centrée sur l'humain
La gouvernance TI est fortement influencée par le comportement humain de tous, y compris le

comportement et la culture organisationnelle des professionnels TI. L'organisation doit établir des
politiques et des procédures qui favorisent un comportement éthique, la transparence et la
responsabilité. Les professionnels TI doivent être formés aux politiques et procédures de
gouvernance TI. Leur comportement doit être surveillé et évalué. Les professionnels de TI devraient
être encouragés à s'exprimer lorsqu'ils observent un comportement contraire à l'éthique et au cadre
de gouvernance de l’organisation. L'organisation devrait également avoir une politique de
dénonciation en place pour protéger ceux qui signalent des pratiques contraires à l'éthique. Des
vérifications régulières devraient être effectuées pour s'assurer que les politiques et les procédures
de gouvernance des TI sont respectées.
Gouvernance de la cybersécurité
Alors que la gouvernance d'entreprise fournit un cadre global pour l'ensemble de l'organisation et
que la gouvernance TI aide à guider la gestion des TI, la gouvernance de la cybersécurité fait
référence aux processus, politiques et structures mis en place pour gérer les risques associés à
l'utilisation des technologies de l'information et assurer la sécurité des systèmes d'information dans
un monde connecté. Il englobe les mécanismes par lesquels les organisations s'assurent que leurs
risques de cybersécurité sont bien gérés, que leurs actifs informationnels sont protégés et que leur

conformité aux lois et règlements est maintenue. Il fait partie de la gouvernance d'entreprise qui
hérite de bon nombre de ses caractéristiques. Il hérite aussi de nombreuses caractéristiques de la
gouvernance TI. Cependant, la gouvernance de la cybersécurité fournit des conseils et des processus
plus spécifiques à la cybersécurité dans le cadre d'une approche à trois volets faisant appel à la
gouvernance, à la gestion de risque et à la conformité (GRC), comme il en est question dans
l’ensemble de ce livre.
La gouvernance de la cybersécurité vise à établir l'orientation stratégique de la cybersécurité au sein

d'une organisation et à s'assurer que les ressources appropriées sont allouées pour atteindre les
objectifs de cybersécurité. Cela implique de définir les rôles et les responsabilités des individus et
des équipes au sein de l'organisation, sachant que la cybersécurité est l’affaire de tous. Ça implique
aussi d'établir des politiques, des procédures et des lignes directrices claires pour la gestion de
risque de cybersécurité. Sur ces bases, les organisations seront en mesure d'identifier et évaluer les
risques afin de prendre des décisions appropriées à leur sujet, comme nous le verrons en détail dans
un chapitre ultérieur sur la gestion de risque de cybersécurité. Il reste important de comprendre que
la gouvernance de la cybersécurité nous permettra de définir ce qui devra être intégré dans l’analyse
de risque.
La gouvernance de la cybersécurité comprend également la surveillance et la production de rapports

sur l'efficacité des contrôles de cybersécurité de l'organisation, ainsi que la réalisation d'évaluations
régulières de la posture de cybersécurité de l'organisation et des problèmes de conformité afin de
déterminer les domaines à améliorer. C’est donc à partir du cadre de gouvernance de la
cybersécurité et de l’analyse de risque qu’il sera possible d’évaluer la conformité de l’organisation en
matière de cybersécurité.
Parce que c’est important pour contribuer au succès des organisations, la gouvernance efficace de la
cybersécurité nécessite un engagement actif de la part des cadres supérieurs et de tous les niveaux
de l'organisation, ainsi qu'une collaboration continue entre différents domaines fonctionnels, tels
que l'informatique, le juridique, les ressources humaines, la comptabilité, la conformité et bien
d'autres.
Utilisation d’un tableau de bord équilibré de la cybersécurité
Le ton de la cybersécurité est donné par la gouvernance. Cependant, de nombreux professionnels de

la cybersécurité se concentrent davantage sur la sélection et la mise en œuvre de mesures
d'atténuation que sur les raisons et les besoins de ces mesures. Une approche équilibrée devient

donc nécessaire pour garantir un bon équilibre en cybersécurité selon ces deux aspects que sont la
technique et le stratégique. La vision et la stratégie d'une organisation peuvent être traduites en
objectifs mesurables et en indicateurs clés de performance (KPI) grâce au tableau de bord prospectif,
un cadre stratégique de gestion de la performance. En prenant en compte plusieurs dimensions,
telles que les finances, les clients, les processus internes et les perspectives de croissance et
d'apprentissage, il fournit une vue équilibrée des performances d'une organisation. Au début des
années 1990, Robert Kaplan et David Norton ont introduit le tableau de bord prospectif pour
remédier aux limites de l'évaluation du rendement organisationnel à l'aide de mesures financières
seulement. Leur argument était que les mesures financières seules ne suffisent pas à brosser un
tableau complet de la santé et du rendement d'une organisation.
Figure 9: Tableau de bord équilibré de la cybersécurité
La cybersécurité peut être évaluée et gérée à l'aide du cadre du tableau de bord prospectif en
intégrant des mesures et des perspectives pertinentes. En matière de gestion des risques de
cybersécurité nous utiliserons les Key Risk Indicators (KRI) dans l’analyse de risque de cybersécurité
dans un autre chapitre. Les organisations peuvent adapter le modèle de Kaplan et Norton afin de
l’utiliser le cadre de tableau de bord prospectif pour créer une vue complète de leur performance en
matière de cybersécurité et prendre en compte plusieurs perspectives, telles que les opérations, les
risques et le service client. Cela permet de créer une vision holistique de la performance en matière
de cybersécurité et permet aux organisations d'identifier les domaines d'amélioration et de prendre

des décisions éclairées. Par exemple, les activités de cybersécurité peuvent être mesurées par le
nombre de tentatives de connexion réussies et infructueuses par mois, le risque peut être mesuré en
prenant en compte par le pourcentage de vulnérabilités fermées au cours de chaque période et la
gestion des incidents de cybersécurité peut être mesuré par le temps moyen de réponse à un
incident de sécurité.
Quatre perspectives interdépendantes composent le cadre du tableau de bord prospectif. Elles sont
les suivantes :
1. Dans le cadre des perspectives financières, la croissance du chiffre d'affaires, la rentabilité

et le retour sur investissement sont pris en compte. En matière de cybersécurité, tenez
compte de l'impact financier des incidents de cybersécurité pour évaluer comment la
stratégie de cybersécurité de l'organisation contribue à ses objectifs financiers. Tenez
compte des frais de remédiation, des pertes de revenus, des frais juridiques et des amendes
réglementaires lors de l'évaluation des atteintes à la cybersécurité. Vous devez également
évaluer le retour sur investissement (ROI) des investissements en cybersécurité tels que les
technologies de cybersécurité, les programmes de formation et les capacités de réponse aux
incidents. Cela vous aidera à déterminer le coût financier de tout incident et les avantages
des mesures préventives. Cela peut également vous aider à décider combien investir dans
les mesures de cybersécurité et quels domaines sont les plus importants. En fin de compte,
cela vous aidera à maximiser le retour sur investissement de vos investissements en
cybersécurité.
2. Lae perspective client examine des indicateurs tels que la satisfaction client, la fidélité et la
part de marché. Il aide les organisations à déterminer si leurs produits ou services répondent
aux besoins des clients et créent de la valeur pour les clients. Pour la cybersécurité,
concentrez-vous sur les mesures liées à la confiance et à la satisfaction des clients. Surveillez
les commentaires et les plaintes des clients liés aux incidents de cybersécurité et leur
résolution sur les médias sociaux, par exemple en utilisant l’intelligence d’affaires et
l’analytique. Identifiez et évaluez les perceptions des clients à l'égard des mesures de
cybersécurité de l'organisation. Mesurez la volonté des clients de recommander les produits
et services de cybersécurité de l'organisation Par exemple, les organisations peuvent
interroger les clients pour comprendre leur niveau de confiance dans la capacité de
l'organisation à protéger leurs données.
3. La perspective des processus internes examine les processus internes et l'efficacité
opérationnelle d'une organisation. En cybersécurité, évaluez l'efficacité et l'efficience des

processus de cybersécurité, ainsi que les processus clés qui favorisent la satisfaction des
clients et la performance financière. Le nombre et la gravité des incidents de sécurité, le
temps nécessaire pour détecter les incidents et y réagir, ainsi que l'efficacité des contrôles
de sécurité devraient tous être surveillés. Assurez la conformité aux politiques et procédures
de cybersécurité, y compris la gestion des vulnérabilités, les contrôles d'accès et les
protocoles de réponse aux incidents. Mesurez le rendement du personnel des opérations de
sécurité, y compris l'efficacité de ses enquêtes et les temps de réponse. Examinez l'efficacité
des programmes de sensibilisation à la sécurité pour s'assurer que les employés
comprennent leur rôle dans la protection de l'organisation. Surveillez la posture de sécurité
de l'organisation et signalez tout changement ou faiblesse. Par exemple, le personnel des
opérations de sécurité devrait être évalué en fonction de sa capacité à détecter les incidents
de sécurité et à y réagir dans des délais définis.
4. La capacité d'une organisation à apprendre, à innover et à développer son personnel et son
infrastructure est soulignée dans la perspective de l'apprentissage et de la croissance. En ce
qui concerne la cybersécurité, évaluez la main-d'œuvre et les capacités de cybersécurité de
l'organisation et mesurez le niveau de sensibilisation et de formation en cybersécurité dans
l'ensemble de l'organisation. Cela comprend des mesures liées à la formation et au
perfectionnement des employés, à la gestion des compétences et à l'adoption de nouvelles
technologies. Évaluez les compétences et les certifications des professionnels de la
cybersécurité et surveiller l'adoption et la mise en œuvre de nouvelles technologies de
sécurité, de systèmes de renseignement sur les menaces et de programmes de
sensibilisation à la sécurité. Enquêtez sur les processus actuels de gestion de risque et
s'assurer que l'organisation dispose d'une stratégie de cybersécurité complète. Élaborez une
feuille de route pour améliorer la préparation et la résilience en matière de cybersécurité.
Établissez un processus d'examen pour assurer l'efficacité des mesures de sécurité. Par
exemple, le processus d'examen pourrait comprendre des évaluations périodiques de la
posture de sécurité de l'organisation, et les résultats de ces évaluations devraient être
utilisés pour éclairer les changements de stratégie et de feuille de route.
En plus de fournir une vue globale du rendement d'une organisation, le tableau de bord prospectif
harmonise les objectifs stratégiques avec les activités opérationnelles en utilisant ces quatre
perspectives. En encourageant une approche équilibrée de la prise de décision et de la gestion du
rendement, le tableau de bord prospectif aide à s’assurer que les actions dans un domaine ne
compromettent pas les autres. En outre, il est nécessaire de définir des objectifs spécifiques et des

indicateurs clés de performance (KPI) et des indicateurs de risque (KRI) pour chacune de ces
perspectives. Du point de vue des processus internes, les KRI peuvent inclure le nombre d'incidents
de sécurité par mois, le délai moyen de résolution des incidents et le pourcentage de systèmes dotés
de correctifs de sécurité actuels.
Pour améliorer la posture globale de cybersécurité de l'organisation, examinez et analysez

régulièrement les mesures du tableau de bord prospectif en matière de cybersécurité afin de cerner
les possibilités d'amélioration, d'allouer efficacement les ressources et de prendre des décisions
éclairées. En alignant la gestion de la cybersécurité sur les objectifs stratégiques de l'organisation et
en assurant une surveillance et une amélioration continues, il permet une approche proactive et
équilibrée de la gestion de la cybersécurité.
En tant qu'outil permettant de clarifier la stratégie, de mesurer le rendement et de favoriser

l'amélioration continue, le cadre du tableau de bord prospectif est largement utilisé par les
organisations de divers secteurs. Grâce à elle, les employés de tous les niveaux sont informés des
buts et objectifs de l'organisation, et leurs efforts sont alignés sur eux. Le cadre du tableau de bord
prospectif permet de s'assurer que l'organisation se concentre sur les bons objectifs et que chacun
joue son rôle dans leur réalisation. Cela permet également de s'assurer que l'organisation progresse
vers ses objectifs et que tout domaine de sous-performance peut être rapidement identifié et traité.
Le tableau de bord prospectif permet de s'assurer que l'organisation utilise efficacement les
ressources et que tous les domaines de gaspillage peuvent être identifiés et éliminés. De plus, cela
permet de s'assurer que tous les employés sont sur la même longueur d'onde et travaillent vers les
mêmes objectifs.
Mesures de gouvernance SMART
Nous venons de discuter des indicateurs KPI et KPI. Cependant, il est important d'utiliser des
mesures fiables en matière de cybersécurité pour s'assurer que les organisations sont sur la bonne
voie pour améliorer continuellement la gouvernance de la cybersécurité en utilisant l'approche du
tableau de bord prospectif, comme mentionné ci-dessus. Pour plusieurs raisons, les mesures de
cybersécurité sont cruciales :
• La performance des activités de cybersécurité peut être mesurée et évaluée

quantitativement à l'aide de mesures. En analysant leurs contrôles de sécurité, leurs
capacités de réponse aux incidents et leur posture de sécurité globale, les organisations

peuvent mieux comprendre l'état actuel de la cybersécurité. Ils permettent également

d'effectuer des analyses comparatives, d'établir des objectifs et de suivre les progrès.
• Les métriques peuvent aider les organisations à identifier et à gérer les risques de
cybersécurité. En mesurant les mesures liées aux vulnérabilités, aux menaces et aux
incidents, les organisations peuvent hiérarchiser leurs efforts et leurs ressources en
conséquence. Les organisations peuvent prendre des mesures proactives pour atténuer les
risques et améliorer leur posture de sécurité en identifiant les vulnérabilités ou les faiblesses
des contrôles de sécurité.
• Un processus décisionnel éclairé est appuyé par des paramètres. Les organisations peuvent
prendre des décisions basées sur les données concernant les investissements en matière de
sécurité, l'allocation des ressources et la hiérarchisation des initiatives de sécurité
lorsqu'elles disposent de mesures quantifiables. Grâce aux mesures, les organisations
peuvent évaluer le rapport coût-efficacité et l'impact de différentes mesures de
cybersécurité et prendre des décisions fondées sur des preuves plutôt que sur des
hypothèses.
• Un langage commun pour discuter des problèmes, des risques et des progrès en matière de
cybersécurité au sein de l'organisation est fourni par les métriques. En démontrant des
résultats tangibles et en quantifiant la valeur des investissements en cybersécurité, les
professionnels de la cybersécurité peuvent démontrer l'importance des initiatives de
sécurité aux dirigeants et aux autres parties prenantes. De plus, les métriques peuvent être
utilisées pour évaluer objectivement les performances d'une équipe et d'un individu, afin de
les tenir responsables de leurs responsabilités en matière de cybersécurité.
• En mesurant et en analysant régulièrement les métriques, les organisations peuvent
identifier les tendances, les modèles et les domaines à améliorer. Amélioration continue :
Les métriques jouent un rôle crucial dans l'amélioration continue de la cybersécurité. Les
organisations peuvent affiner leurs stratégies, améliorer leurs processus de réponse aux
incidents et mettre à jour les contrôles de sécurité à l'aide de mesures qui mettent en
évidence les domaines nécessitant une attention particulière. Il est également possible de
mesurer les progrès vers les objectifs de sécurité à l'aide de mesures et d'évaluer l'efficacité
des initiatives d'amélioration.
Grâce aux mesures, les organisations peuvent évaluer, surveiller et améliorer les pratiques de
cybersécurité. En les utilisant, les organisations peuvent renforcer leur posture de sécurité,
atténuer les risques et s'adapter à l'évolution des cybermenaces en améliorant la prise de

décision, la responsabilisation et la communication. Mesures qui permettront aux organisations

de mesurer l'innovation pour s'améliorer et apprendre.
Figure 10: Métriques SMART
L'acronyme Smart est utilisé lorsqu'on réfléchit aux métriques. Les mesures utilisées doivent être
spécifiques, mesurables, réalisables, pertinents et limités dans le temps. En suivant cet acronyme,
les étudiants seront en mesure de créer des mesures spécifiques, mesurables, réalisables,
pertinentes et limitées dans le temps. Décomposons chaque composante des métriques SMART
pour mieux comprendre comment définir des objectifs clairs et définir des métriques qui peuvent
être utilisées pour mesurer les progrès vers ces objectifs.
• Il est important de s'assurer que les métriques sont spécifiques et bien définies. Elles
devraient indiquer précisément ce qui est mesuré, pourquoi c’est mesuré et comment la
mesure est réalisée. Des mesures spécifiques apportent clarté et précision, garantissant que
tout le monde comprend ce qui est prévu.
• Des métriques réellement mesurables permettent une évaluation et une comparaison
objectives des variations, des progrès et des performances. Elles fournissent des données
concrètes pour évaluer les progrès et les performances. Elles doivent être quantifiables et
mesurables.
• Les métriques SMART doivent être atteignables, réalistes et réalisables. Elles doivent fixer
des objectifs difficiles mais réalisables dans le contexte des ressources, des capacités et des

contraintes. En fixant des objectifs réalisables, les individus ou les équipes sont motivés à
s'améliorer et à atteindre leurs objectifs.
• Les métriques SMART doivent être pertinentes par rapport à l'objectif ou au but poursuivi.
Elles doivent être axé sur les résultats, alignées sur les priorités stratégiques et aborder les
aspects critiques de la performance. Des informations sur le résultat souhaité peuvent être
obtenues avec des mesures pertinentes, qui guident les décisions et les actions.
• Une métrique SMART est temporellement définie, c’est-à-dire limitée dans le temps. La
mesure spécifie quand elle sera mesurée ou atteinte. Cela crée un sentiment d’urgence,
encourage une action efficace et permet de suivre les progrès dans un délai défini.
Une organisation peut s'assurer que les métriques sont significatives, exploitables et contribuent à
l'amélioration globale des performances en appliquant les critères SMART. En définissant des
attentes claires, en suivant les progrès et en utilisant des données objectives, les métriques SMART
aident à prendre des décisions éclairées. En plus d'appuyer les objectifs organisationnels, ils
favorisent une culture de responsabilisation et d'amélioration continue grâce à la conception de
mesures. Les métriques SMART permettent aux organisations de mesurer les performances avec
précision et d'une manière facilement compréhensible par toutes les parties prenantes. Ils
fournissent également la structure nécessaire pour s'assurer que tous les objectifs sont bien définis
et réalisables. Enfin, les métriques SMART fournissent aux organisations un moyen de suivre les
progrès et d'évaluer le succès de leurs initiatives.
View publication stats

Chapitre 2 Gouvernance Cybersecurity Cours CF V1-2b

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 2 Gouvernance Cybersecurity Cours CF V1-2b

Transféré par

Droits d'auteur :

Formats disponibles

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

Introduction à la gouvernance de la cybersécurité pour la gestion des

Preprint · June 2023

Maker culture, Makerspaces and FabLabs View project

Cybersecurity View project

The user has requested enhancement of the downloaded file.

Chapitre 2 : Gouvernance de la cybersécurité

Marc-André Léger, PhD. 26 Mai 2023

Marc-André Léger, PhD. 27 Mai 2023

Marc-André Léger, PhD. 28 Mai 2023

Figure 7: Structure de gouvernance

Au centre de la figure on retrouve la gouvernance d'entreprise, qui consiste à gouverner au sein

Marc-André Léger, PhD. 29 Mai 2023

Au sommet du cadre de gouvernance se trouve l’éthique, qui encadre la gouvernance d'entreprise

Marc-André Léger, PhD. 30 Mai 2023

Figure 8: Structure de soutien à la gouvernance

Marc-André Léger, PhD. 31 Mai 2023

La gouvernance TI et la gouvernance de la cybersécurité sont dérivées du cadre de gouvernance

Gouvernance des technologies de l’information

En tant que préoccupation stratégique, la gouvernance TI relève de la responsabilité du conseil

Marc-André Léger, PhD. 32 Mai 2023

• Quel est le rôle des TI dans la création de valeur ?

Marc-André Léger, PhD. 33 Mai 2023

numériques contre les cyberattaques, tout en préservant la confidentialité des données et la

Marc-André Léger, PhD. 34 Mai 2023

Les réponses à ces questions aideront les organisations à démarrer :

• Quel est le besoin de gouvernance de la cybersécurité dans notre organisation?

Marc-André Léger, PhD. 35 Mai 2023

• Comment l'organisation peut-elle sélectionner, mettre en œuvre et utiliser des tactiques et

Il y a eu de nombreux développements dans la gouvernance de la cybersécurité au fil des ans, et elle

Marc-André Léger, PhD. 36 Mai 2023

composante technologique, c’est indéniable. Cependant, elle intègre aussi de nouvelles

Mise en œuvre d'un cadre de gouvernance TI

Marc-André Léger, PhD. 37 Mai 2023

Responsabilité et obligation de rendre compte

Marc-André Léger, PhD. 38 Mai 2023

Marc-André Léger, PhD. 39 Mai 2023

stratégie TI de l'organisation et d'évaluer les investissements TI en fonction de leur alignement avec

Les éléments suivants devraient être inclus dans une stratégie TI :

Marc-André Léger, PhD. 40 Mai 2023

potentiellement améliorer les opérations de l'organisation et s'assurer que la stratégie TI est

Une stratégie de gouvernance TI comprend généralement les éléments suivants :

Marc-André Léger, PhD. 41 Mai 2023

investissements TI au fil du temps pour s'assurer qu'ils restent bénéfiques et rentables. De

Marc-André Léger, PhD. 42 Mai 2023

Gestion des acquisitions TI

Surveillance des performances TI

Les organisations doivent surveiller et mesurer les investissements TI et les performances

Marc-André Léger, PhD. 43 Mai 2023

Approche centrée sur l'humain

La gouvernance TI est fortement influencée par le comportement humain de tous, y compris le

Marc-André Léger, PhD. 44 Mai 2023

La gouvernance de la cybersécurité vise à établir l'orientation stratégique de la cybersécurité au sein

La gouvernance de la cybersécurité comprend également la surveillance et la production de rapports

Utilisation d’un tableau de bord équilibré de la cybersécurité

Le ton de la cybersécurité est donné par la gouvernance. Cependant, de nombreux professionnels de

Marc-André Léger, PhD. 45 Mai 2023

Figure 9: Tableau de bord équilibré de la cybersécurité

Marc-André Léger, PhD. 46 Mai 2023

1. Dans le cadre des perspectives financières, la croissance du chiffre d'affaires, la rentabilité

Marc-André Léger, PhD. 47 Mai 2023

Marc-André Léger, PhD. 48 Mai 2023

Pour améliorer la posture globale de cybersécurité de l'organisation, examinez et analysez