Académique Documents
Professionnel Documents
Culture Documents
net/publication/371901954
CITATIONS READS
0 318
1 author:
Marc-André Léger
Concordia University Montreal
17 PUBLICATIONS 0 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Marc-André Léger on 27 June 2023.
La gouvernance d'une organisation comprend les processus et les systèmes mis en place pour
prendre des décisions, allouer des ressources, diriger et gérer ses actions et ses affaires au sein de
son organisation. En d'autres termes, la gouvernance fait référence aux mécanismes, processus et
activités par lesquels l'autorité et le pouvoir sont exercés de manière appropriée. Les
caractéristiques d’une bonne gouvernance comprennent des valeurs éthiques normatives telles que
la transparence, la responsabilité, la participation et la réactivité. En plus d'être essentiel au bon
fonctionnement des organisations, la gouvernance a également un impact sociétal significatif. Plus
largement, la gouvernance peut également faire référence à la manière dont le pouvoir est exercé à
différents niveaux de la société, y compris la relation entre les différentes branches du
gouvernement, la relation entre l'État et la société civile, ainsi que la façon dont les organisations
internationales jouent un rôle dans la gouvernance mondiale. Il peut s'agir de la façon dont les
décideurs guident la société à travers une mer agitée, comme un capitaine qui utilise le gouvernail
pour diriger son navire sur une mer agitée.
Grâce à la gouvernance, les organisations peuvent utiliser les ressources efficacement, prendre des
décisions dans l’intérêt collectif et résoudre les conflits de manière équitable. Les organisations qui
s'engagent dans des activités de cybersécurité ont souvent plusieurs structures de gouvernance. La
gouvernance d'entreprise, à la base, fournit un cadre de gouvernance pour l'ensemble de
l'organisation. Ce chapitre traite de la gouvernance des technologies de l’information et de la
gouvernance de la cybersécurité, deux domaines plus ciblés de la gouvernance d'entreprise.
Éthique appliquée
La gouvernance peut être comprise sous de nombreux angles. Dans ce livre, la gouvernance de la
cybersécurité est définie comme l'éthique appliquée à la cybersécurité. L'éthique porte sur les codes
de conduite normatifs. Elle fournit des lignes directrices aux individus sur la façon de se comporter
dans la société, dans un groupe ou dans une organisation. Les acteurs individuels peuvent utiliser
l'éthique afin de leur donner des lignes directrices morales pour les aider à prendre les bonnes
décisions. C’est le groupe, les parties prenantes et le collectif, qui définissent ce qu’est un
comportement acceptable, souhaitable ou encouragé et qui détermine le comportement normatif.
L'acte de faire ce qui est considéré comme juste par le collectif est moral ou vertueux, qui pourra
être ainsi dénommé éthique. La vertu n’est pas innée, pour plusieurs acteurs, le comportement
éthique est appris de leurs parents. Pour plusieurs, ce sont eux qui enseignent à leurs enfants la
différence entre le bien et le mal. Pour d'autres, de fortes valeurs morales normatives s'apprennent
par la pratique religieuse. Par exemple, l'islam, le christianisme et le judaïsme encourages leurs
adeptes à faire ce qui est juste et bon dans leurs enseignements. Il y a des différences d'application,
de perspective ou de point de vue qui ont à voir avec l'histoire, la culture des fondateurs et des
prophètes. Ces différences influencent la construction de ces croyances partagées, mais le message
global de comportement vertueux, de promotion du bien, ou de lutte contre le mal, est présent dans
chacune d'elles. Ce livre ne traite pas des questions théologiques, et ce qui est présenté est une
simplification du rôle de la religion dans la promotion des valeurs collectives. Toutefois, il s'agit
d'illustrer que la gouvernance d'entreprise favorise le partage de valeurs morales dans un contexte
d'entreprise de la même manière que les religions peuvent contribuer à le faire dans une
communauté.
La philosophie est plus impliquée dans l'établissement de valeurs éthiques et morales partagées qui
peuvent être utilisées par les membres d'un groupe pour déterminer ce qui est acceptable que les
affaires. La façon dont cela s'applique dans le monde réel dépend de nombreux facteurs. Outre la
religion et les parents, il existe également d'autres mécanismes sociaux, tels que les lois.
L'éthique normative et les codes de conduite acceptable existent dans certaines sociétés depuis leur
fondation. Malgré cela, des acteurs individuels se comportaient toujours de manière déviante. Par
conséquent, la société a institué un cadre formel pour essayer de mettre fin aux comportements
déviants. Pour ce faire, des lois ont été adoptées qui ont rendu les comportements déviants illégaux
et ont imposé des sanctions à ceux qui les violaient. Dans un Jardin d’Eden, sans comportement
contraire à l'éthique ou immoral, les lois ne seraient pas utiles. Mais ce n'est pas la réalité dans
laquelle nous vivons. Le meurtre en est un exemple. Tout le monde, depuis la nuit des temps, a
considéré le meurtre comme une mauvaise chose. En conséquence, à un moment donné de
l'histoire, les gens au pouvoir, qu'il s'agisse de rois, de gouvernements ou d'une autorité formelle,
sont intervenus afin de créer une loi qui stipulait, sous une forme ou une autre, « Vous ne tuerez
point ». Même s'il est évident que vous ne pouvez pas tuer des gens, cela devait quand même être
écrit dans une loi, démontrant certaines des limites de l'éthique qui peut être mieux compris quand
on se rappelle le triangle de la fraude du chapitre 1.
Dans les associations professionnelles on retrouve une autre face de l'éthique appliquée. C'est ce
que l'on appelle communément la déontologie ou un code de conduite professionnel. Par exemple,
si vous êtes membre d'une association professionnelle officiellement reconnue par un État-nation,
comme ingénieur, avocat, médecin, infirmière ou l'un des nombreux autres ordres professionnels
officiellement reconnus dans votre pays, vous devez respecter un code de déontologie. Il s'agit d'un
document officiel et juridiquement contraignant qui identifie ce que vous devez et ne devez pas faire
en tant que membre de ce regroupement professionnel. Selon la gravité du comportement déviant,
les sanctions peuvent aller jusqu'à retirer un individu des rangs de l'association, lui retirer son droit
d'exercer, peut-être pour une 5période ou à vie. Un code de déontologie peut également être établi
par des associations, des clubs et d'autres groupes non officiellement reconnus par un État. Ces
règles de fonctionnement partagés par tous les membres sont généralement plus un accord
volontaire qu'un cadre juridique, de sorte qu'ils ne sont pas toujours réellement contraignants. Il
s'agit essentiellement de dire que vous devez suivre nos règles si vous voulez être membre de notre
groupe. C'est un peu comme les exemples précédents d'éthique appliquée, mais c'est plus informel.
Ce type de code d'éthique est davantage un contrat social entre les membres du groupe. Il sert à
rappeler à tous les membres d'agir de manière éthique et de respecter les droits de chacun. Ce code
d'éthique peut également être considéré comme une promesse de maintenir les normes et les
valeurs du groupe.
Gouvernance
La gouvernance est une forme d'éthique appliquée qui est devenue l'un des sujets les plus brûlants
en affaires au cours des 20 dernières années. La gouvernance comme une forme d'éthique
appliquée a gagné en popularité au cours des dernières décennies. Il y a eu des moments clés qui
ont contribué à rendre ce sujet plus populaire au fil des ans. L'appel en faveur de cadres éthiques
plus solides dans les entreprises a été motivé non seulement par les crimes financiers et autres
scandales, mais aussi par une augmentation de la cybercriminalité. Dans ce chapitre, différentes
définitions de la gouvernance seront présentées pour aider à expliquer davantage le concept dans le
contexte des mécanismes et des processus opérationnels de notre sujet. Différentes
réglementations et normes seront également discutées, ainsi que l'importance de la gouvernance
dans le contexte des organisations et des entreprises. Le chapitre explorera également les
implications de la gouvernance pour les entreprises et leurs parties prenantes. Nous définissons
également une structure de gouvernance, comme le montre la figure 7 ci-dessous.
personnalisés pour correspondre à la culture et aux circonstances d'une organisation particulière, les
normes éthiques varient d'une culture à l'autre. Il est important d'être conscient et respectueux des
différentes normes éthiques lorsque vous travaillez dans un environnement interculturel. Il est
également important de reconnaître que les normes éthiques peuvent évoluer au fil du temps et
que les organisations doivent être disposées à ajuster leurs propres normes éthiques pour refléter
les changements dans les valeurs sociales. Par exemple, au cours des dernières années, de
nombreuses organisations ont mis à jour leurs cadres éthiques pour mettre davantage l'accent sur la
durabilité environnementale, les droits de la personne, la diversité et l’inclusion.
Il est important pour les organisations de créer des mécanismes et des processus d'affaires qui
définissent un espace éthique qui favorise un comportement vertueux. Ces règles formelles et
informelles fournissent des orientations à toutes les parties prenantes. Les principes de gouvernance
devraient aider les acteurs individuels à savoir quoi faire lorsqu'ils prennent une décision
importante, même en l'absence d’une directive spécifique. En l'utilisant, les acteurs peuvent
déterminer ce qui est bon pour l'organisation et aussi pour ses parties prenantes dans le respect de
sa culture. La gouvernance contribue à créer un état d'esprit qui favorise les bonnes décisions, c’est-
à-dire les décisions qui sont le plus possible conforme aux attentes de l’ensemble des parties
prenantes de l’organisation. En fin de compte, il incombe au conseil d'administration de s'assurer
que l'organisation respecte ses principes de gouvernance. Avec le soutien des dirigeants et des
gestionnaires, ils doivent veiller à ce que tous les acteurs soient tenus responsables et à ce que les
règles soient respectées. Cela favorise l’atteinte de ses objectifs de manière responsable.
Cela permet également de s'assurer que l'organisation prend des décisions qui sont conformes à ses
valeurs, ce qui profitera à l'organisation à long terme. Par exemple, une organisation peut utiliser
cette approche pour décider d'investir ou non dans une nouvelle technologie susceptible d'améliorer
le service client, mais qui comporte également un risque de problèmes potentiels de sécurité des
données, des problèmes environnementaux ou des risques réputationels.
Bien qu'il puisse y avoir des différences subtiles entre gouvernance d'entreprise et gouvernance
corporative, dans ce livre, nous ne faisons pas de distinction entre elles. Lorsque nous discutons de
la gouvernance d'entreprise dans un contexte de corporation, de société à responsabilité limitée ou
d’entreprise à but lucratif, nous préférons limiter l'utilisation au terme gouvernance d'entreprise.
Dans le cadre de la gouvernance d'entreprise, les acteurs construisent une compréhension
commune et partagée de l'éthique, des valeurs stratégiques et de la responsabilité sociale. Cela peut
être un sujet très vaste car elle inclut des questions liées aux relations humaines, à l'environnement,
aux fournisseurs, aux sous-traitants et bien d'autres. En plus des domaines abordés dans cet
ouvrage, à savoir la gouvernance TI et la gouvernance de la cybersécurité, la gouvernance
d'entreprise contribue à la construction d'une réalité partagée pour l'entreprise sur tous ces autres
sujets. De ce fait, elle facilite la mise en œuvre de solutions consensuelles, même en l'absence de
précédent ou de règles claires.
La gouvernance est un processus. Par une succession d'actions, les acteurs construiront
progressivement une compréhension commune de cette réalité au fur et à mesure qu'ils traiteront
d’un même problème. De ce fait, la gouvernance d’entreprise contribue à définir un plan d'action
sans que rien ne soit déterminé à l'avance.
Dans ce livre, la gouvernance de la cybersécurité occupe une place centrale, mais comme il a été
mentionné plusieurs fois déjà, elle est positionnée au sein de la gouvernance d'entreprise,
étroitement liée à la gouvernance des technologies de l’information, nommée gouvernance TI. Après
avoir présenté un aperçu de la gouvernance d'entreprise, nous passons à la gouvernance TI avant de
discuter de celle de la cybersécurité plus tard. Le concept de gouvernance TI met l'accent sur
l'application des principes de gouvernance d'entreprise aux technologies de l'information et aux
technologies d'affaires. Nous définissons ici les technologies d’affaires comme les technologies de
l’information, utilisées par les entreprises, qui contribuent à créer et maintenir un avantage
concurrentiel ainsi qu’à innover.
maximum de valeur, la gouvernance TI aide les acteurs individuels à respecter les droits de décision
et les cadres de responsabilisation de chacun. Les organisations sont ainsi encouragées à adopter
des comportements normatifs souhaitables concernant la sélection, l'acquisition, l'utilisation, la
maintenance et la mise à la retraite de technologies de l’information. La gouvernance TI traite
également de l'alignement stratégique des TI, en forçant un questionnement sur comment les
systèmes d'information, les données et les TI peuvent être utilisés pour aider l'entreprise à réussir.
La gestion des TI pour optimiser leur valeur stratégique commence par se poser des questions
fondamentales sur la contribution des TI à l'organisation. En voici quelques exemples :
En répondant à ces questions, les organisations contribuent à un questionnement qui les aidera à
optimiser les investissements liés aux TI et maximiser leur retour sur investissement. Par rapport à
tous les autres centres de coûts de nombreuses organisations modernes, les investissements TI
peuvent devenir importants. Bien que le sujet complexe de l’optimisation des investissement TI n’est
pas discuté dans ce livre, il demeure fondamental à la réussite des entreprises. La contribution à la
création de valeur des TI, favorisé par la bonne gouvernance TI, est étroitement lié à la
cybersécurité. Encore une fois, nous rappelons au lecteur que nous nous concentrons sur la
gouvernance de la cybersécurité, nous avons donc couvert ce que les étudiants doivent savoir sur la
gouvernance TI pour comprendre ce qui sera discuté ensuite.
Sur le plan stratégique, la gouvernance d'entreprise nous aide à gouverner tous les aspects de
l'organisation. De son côté, la gouvernance TI aide les organisations à gérer leurs technologies de
l'information et leurs systèmes d'information. Nous retrouvons finalement la gouvernance de la
cybersécurité, pour la cybersécurité. Ces trois éléments de gouvernance, d’entreprise, TI et
cybersécurité, font partie d'un continuum de gouvernance qui comprend également d'autres
domaines de gouvernance tout aussi importants, mais qui ne sont pas abordés ici, tels que la
responsabilité sociale des entreprises. Ce continuum garantit que les organisations disposent des
outils et des capacités nécessaires pour rester compétitives, sécurisées et conformes à leurs
obligations à l'ère numérique. Ce sont des éléments essentiels de tout modèle d'affaire durable. Par
exemple, des stratégies appropriées de gestion de risque sont essentielles pour protéger les actifs
Gouvernance de la cybersécurité
La gouvernance de la cybersécurité porte sur les processus, politiques et structures qui sont mis en
place par les organisations pour les aider à gérer les risques associés à l'utilisation des technologies
de l'information. Comme le montre la figure 8, la gouvernance d'une entreprise se produit à un
niveau stratégique, tandis que la gouvernance d'une cybersécurité se produit à un niveau tactique. Il
s'agit des mécanismes par lesquels les organisations s'assurent que leurs risques liés à la
cybersécurité sont gérés de façon appropriée, que leurs actifs informationnels sont protégés
adéquatement et que leur conformité aux lois et aux règlements est maintenue. La gouvernance
d'entreprise détermine un grand nombre de des caractéristiques de la gouvernance de la
cybersécurité. Cependant, la gouvernance de la cybersécurité fournit également des conseils et des
processus plus spécifiques. La gouvernance de la cybersécurité est assurée dans le continuum assuré
par la gouvernance, la gestion de risque et la conformité (GRC), comme nous l'avons vu
précédemment.
L'établissement d'une stratégie de cybersécurité au sein d'une organisation et l'assurance que les
ressources appropriées sont allouées pour atteindre les objectifs de cybersécurité font partie de la
gouvernance de la cybersécurité. La gestion de risque liés à la cybersécurité nécessite de définir les
rôles et les responsabilités des personnes et des équipes au sein de l'organisation, ainsi que d'établir
des politiques, des procédures et des lignes directrices claires. À l'aide de ces informations, les
organisations seront en mesure d'évaluer les risques liés à la cybersécurité et de prendre les
décisions appropriées. En plus de surveiller l'efficacité des contrôles de cybersécurité et d'en rendre
compte, la gouvernance de la cybersécurité implique également la réalisation d'audits réguliers afin
de déterminer les améliorations à apporter à la posture et à la conformité de l'organisation en
matière de cybersécurité. Tous les niveaux de l'organisation doivent être engagés dans la
gouvernance de la cybersécurité. Il est important que les différents domaines fonctionnels et les
domaines de support collaborent régulièrement, tels que l'informatique, les services juridique, les
ressources humaines, la comptabilité, la conformité, etc. Une bonne gouvernance de la
cybersécurité repose généralement sur quatre éléments : la culture, le leadership, les processus et
les mécanismes. Ces quatre domaines devraient travailler ensemble pour s'assurer que
l'organisation se conforme à toutes les lois et réglementations applicables, dispose des contrôles
techniques nécessaires et surveille et améliore continuellement sa posture de sécurité. Des examens
réguliers devraient être effectués pour s'assurer que tous les secteurs de l'organisation adhèrent au
cadre de gouvernance de la cybersécurité.
Dans plusieurs organisations, la cybersécurité se concentre sur les mécanismes. Mais il reste
beaucoup à faire pour relever adéquatement ce défi organisationnel que de mettre en place et
opérer des outils. Nous parlerons beaucoup de culture et de leadership dans ce chapitre qui cible la
gouvernance. En même temps, les processus opérationnels de cybersécurité sont ce qui sera mis en
place, ou comment les choses seront menées pour supporter la gouvernance. Les différents
mécanismes de cybersécurité ne devraient être envisagés qu'une fois que la culture, le leadership et
les processus opérationnels sont en place. Les mécanismes doivent être justifiés par une évaluation
approfondie des risques basé sur les principes de gouvernance. Si les organisations n'ont pas le bon
leadership, si elles n'ont pas de culture de sécurité et si elles n'intègrent pas cela dans leur ADN,
quels que soient les mécanismes et les processus dont elles disposent, ils ne serviront à rien. Ces
éléments doivent coopérer pour être efficaces. Il est important de comprendre comment la culture,
le leadership, les processus et les mécanismes sont interreliés. Ce lien crée un environnement
dynamique, en constante évolution. La culture organisationnelle et le leadership, par exemple,
peuvent aider à déterminer si une entreprise réussit ou échoue en permettant ou en entravant sa
capacité à s'adapter aux besoins changeants. C'est également plus probable pour une entreprise
ayant une culture qui valorise la prise de risque et encourage l'expérimentation, d'innover et de
développer de nouveaux produits qui répondent mieux aux besoins des clients. S'il n'est pas soutenu
par des principes de gouvernance de la cybersécurité, cela peut entraîner une augmentation des
risques inacceptables. Comme une tapisserie, chaque fil et chaque section jouent un rôle essentiel
dans le maintien de son intégrité. Si une section est supprimée, l'ensemble du travail est affaibli.
Pour créer une tapisserie innovante et créative, le tisserand doit être capable de s'ajuster.
Les organisations doivent également comprendre que la gestion du changement est un élément
essentiel d’une donne gouvernance de la cybersécurité. Sans gestion du changement, les
organisations ne peuvent pas mener à bien la gouvernance de la cybersécurité et la gestion de
risque. En l'absence de pratiques efficaces de gestion du changement, ainsi que de solides capacités
de communication, de sensibilisation et de formation, tous leurs efforts seront vains et toutes les
ressources allouées au projet seront gaspillées. Il y aura toujours un échec en gouvernance de la
cybersécurité si les organisations n'ont pas de catalyseur de changement. Il va y avoir déni d'un
problème, souvent jusqu'à ce qu'il y ait une crise majeure de cybersécurité. La résistance au
changement est toujours un point critique d'échec. Les organisations doivent réaliser que le facteur
humain dans cette équation est difficile à contrôler. Elles ne peuvent pas forcer les individus à
changer. Il est impossible pour les organisations d'imposer une bonne gouvernance de la
cybersécurité en utilisant des menaces de mesures disciplinaires. Bien que cela puisse fonctionner à
très court terme, il est peu probable que cela entraîne une conformité durable et un changement
durable. La plupart des projets informatiques et aussi ceux de cybersécurité échouent en raison de la
résistance au changement. Étant donné qu'une grande partie de la gouvernance de la cybersécurité
repose sur des acteurs individuels agissant pour défendre le statu quo, la gestion efficace du
changement est un facteur clé de succès. Changer les croyances, comprendre les changements ou
forcer les changements peut être difficile. Il est inévitable que les acteurs résistent au changement,
c'est pourquoi nous devons en tenir compte et planifier pour faire face à la résistance inévitable
dans la gouvernance de la cybersécurité. Nous ne pouvons éviter de devoir impliquer les acteurs
dans le changement, car ils sont au cœur de chaque organisation. S'il n'y a pas de résistance au
changement, ça serait indicateur de problèmes plus importants, comme un manque d'engagement
envers la mission ou une fatigue organisationnelle.
Il est possible pour les organisations d'utiliser une grande variété de cadres de gouvernance et de
pratiques exemplaires. Par exemple, ITIL, COBIT, ISO 27001, 27002, NIST SP800-53 et d'autres
normes reconnues sont déjà utilisées par des entreprises. Dans cette section, nous proposons une
stratégie sur la base de la norme ISO 38500, élaborée par l'Organisation internationale de
normalisation (ISO). L'objectif de cette norme est de fournir des outils de base que les organisations
peuvent utiliser pour mettre en œuvre la gouvernance TI. Ce qui est proposé ici, c'est de débuter par
la gouvernance TI pour graduellement étendre cela à la gouvernance de la cybersécurité. En
collaborant entre ces deux domaines, un cadre cohérent peut être créé qui peut bénéficier de la
coopération.
Publiée à l'origine en 2008, la norme a été mise à jour et révisée à plusieurs reprises. ISO 38500
fournit des lignes directrices pour la gouvernance d'entreprise des technologies de l'information (TI).
En gérant leurs pratiques de gouvernance TI et en veillant à ce que leurs stratégies TI soient alignées
sur leurs objectifs commerciaux, les organisations peuvent s'assurer que leurs pratiques de
gouvernance TI sont alignées. Le document décrit les rôles et les responsabilités des parties
prenantes impliquées dans la gouvernance TI, telles que le conseil d'administration, la haute
direction et les professionnels de l'informatique. En outre, la norme souligne l'importance de gérer
les risques associés à l'informatique et de s'assurer que les investissements TI apportent de la valeur
à l'organisation. Une évaluation et une mesure des pratiques de gouvernance des TI, ainsi que de
l'amélioration continue, sont fournies dans le présent document.
Un large éventail d'organisations, y compris des agences gouvernementales, des organisations à but
non lucratif et des organisations du secteur public, peuvent appliquer cette approche proposée sur
la base de la norme ISO 38500. En plus de fournir un point de référence pour mesurer l'efficacité de
la gouvernance TI, il peut être utilisé pour évaluer les pratiques de gouvernance TI d'une
organisation, élaborer des politiques de gouvernance TI et développer des procédures de
gouvernance TI. Ce qui est proposé est un outil utilisé pour assurer l'utilisation efficace et efficiente
des ressources TI ainsi que pour assurer la conformité aux lois, règlements et normes applicables. La
norme peut aider les organisations à mieux gérer leurs systèmes informatiques et à identifier les
risques et vulnérabilités potentiels. Par exemple, cette approche peut être utilisée pour identifier et
gérer des domaines tels que la stratégie, l'architecture, la cybersécurité, la gestion de risque et la
gouvernance. ISO 38500 définit six domaines de gouvernance TI qui sont présentés plus en détails
dans les pages suivantes.
Bien qu'elles soient liées, la responsabilité et l'obligation de rendre compte sont deux concepts
distincts qui sont inclus dans la norme ISO 38500. La responsabilité fait référence aux tâches et aux
devoirs qu'une personne est censée accomplir. Par conséquent, vous êtes responsable de
l'accomplissement de certaines tâches, du respect de certaines normes ou de l'atteinte de certains
résultats. Bien que la responsabilité puisse être déléguée ou attribuée, elle incombe en fin de
compte à la personne responsable. Ce qui constitue la responsabilité, cependant, c'est l'obligation
de répondre de ses actes, de ses décisions et de son rendement. L'acte d'être responsable implique
d'être tenu responsable des conséquences de ses actes, qu'elles soient positives ou négatives. Si une
personne ne s'acquitte pas de ses responsabilités, elle sera tenue responsable ou devra en subir les
conséquences. La responsabilisation implique également de s'approprier le résultat de ses actions et
d'être prêt à accepter les conséquences de ces actions, bonnes ou mauvaises. Il s'agit d'avoir un
sentiment d'appartenance et un engagement à obtenir des résultats.
La responsabilité consiste essentiellement à faire ce que l'on attend d'une personne, tandis que la
responsabilité consiste à accepter les conséquences de ses actes. Essentiellement, la responsabilité
est l'obligation d'accomplir des tâches, tandis que la responsabilité fait référence à l'acceptation des
conséquences de ses actes. En matière de gouvernance, la responsabilité et l'obligation de rendre
compte sont importantes. La responsabilité signifie faire quelque chose, tandis que la responsabilité
signifie répondre de ce que l'on a fait ou omis de faire. Par conséquent, il est important que les
dirigeants s'assurent que chacun est responsable de ses actes. Cela signifie qu'il faut établir des
attentes claires et tenir les gens responsables de leurs résultats. Cela crée également un
environnement de confiance et de responsabilité, ce qui est essentiel pour une gouvernance réussie.
L'organe directeur d'une organisation est ultimement responsable de la gouvernance, car il s'agit
d'un outil stratégique. L'organe directeur peut comprendre un conseil d'administration ou un autre
organe directeur qui opère au plus haut niveau stratégique. Ils doivent veiller à ce que les devoirs et
les tâches de gouvernance soient exécutés. L'organe directeur doit s'assurer que la stratégie et les
opérations informatiques de l'organisation sont alignées sur ses objectifs opérationnels globaux. Il
est essentiel que les individus et les groupes impliqués dans les services informatiques comprennent
et acceptent leurs responsabilités. De plus, les gestionnaires doivent avoir l'autorité et les moyens
d'intervenir de manière appropriée. Bien que la responsabilité puisse être partagée et, dans une
certaine mesure, déléguée dans certains domaines spécifiques, tels que la TI ou la cybersécurité,
l'obligation de rendre compte et la responsabilité incombent toujours à l'organe directeur de
l'organisation. Par conséquent, la gouvernance de la cybersécurité implique toutes les parties
prenantes, mais la responsabilité et l'obligation de rendre compte reposent aux niveaux supérieurs,
avec ceux qui sont responsables devant les autres. Par conséquent, les gestionnaires doivent avoir la
capacité et l'autorité de prendre des mesures décisives pour assurer la sécurité de l'organisation.
Cela peut impliquer d'assigner des tâches à d'autres, mais la responsabilité ultime incombe à
l'équipe de direction. Cela signifie que la gouvernance de la cybersécurité doit impliquer toutes les
parties prenantes, mais la responsabilité ultime incombe à l'organe directeur de l'organisation.
Stratégie TI
Les stratégies TI sont un outil que les organisations utilisent pour maximiser l'impact de la
technologie sur leurs objectifs. Il s'agit d'un élément important de la stratégie de gouvernance TI.
L'organisation doit avoir une stratégie TI claire qui s'aligne sur sa stratégie d’affaires globale. Ce que
nous explique ISO 38500 est que pour s'assurer que la technologie est utilisée efficacement pour
soutenir les objectifs commerciaux, une organisation doit aligner ses initiatives technologiques sur sa
stratégie globale lors de l'élaboration d'une stratégie TI. Il est important de communiquer la
• Vision et buts : Une articulation claire de la vision de l'organisation sur la façon dont la
technologie peut soutenir ses objectifs opérationnels et un ensemble d'objectifs spécifiques
pour réaliser cette vision.
• Évaluation du paysage technologique actuel : Une analyse de l'état actuel de l'infrastructure
technologique, des applications, des systèmes et des processus de l'organisation.
• Analyse des écarts : Identification des écarts (gap) entre l'état actuel de l'organisation et son
état futur souhaité.
• Feuille de route : Un plan complet ou une feuille de route pour atteindre l'état futur
souhaité, qui peut inclure la mise à niveau ou le remplacement de l'infrastructure
technologique, l'amélioration des processus et le développement de nouvelles applications.
• Affectation des ressources : Une évaluation des ressources nécessaires à la mise en œuvre
de la stratégie de TI, y compris le budget, la dotation en personnel et l'infrastructure.
• Gouvernance et gestion de risque : Un plan de gouvernance de la cybersécurité et de
gestion de risque des TI, qui peut inclure des politiques et des procédures pour la
cybersécurité, la conformité et la reprise après sinistre.
• Métriques et mesures : Ensemble de mesures et de critères de mesure permettant
d'évaluer le succès de la stratégie TI et d'assurer un alignement continu avec les objectifs
commerciaux de l'organisation.
Une stratégie TI efficace peut aider une organisation à atteindre ses objectifs de manière plus
efficiente et efficace, à améliorer les processus métier et à créer un avantage concurrentiel grâce à la
technologie. Pour que la stratégie TI d'une organisation reste alignée sur l'évolution des besoins de
l'entreprise et des tendances technologiques, il est important de la revoir et de la mettre à jour
régulièrement. Cela peut aider à s'assurer que la stratégie TI est à jour et capable de répondre
efficacement aux besoins changeants de l'organisation. Des examens réguliers peuvent également
révéler des risques et des faiblesses potentiels qui peuvent être corrigés avant qu'ils ne deviennent
un problème. Par conséquent, des examens réguliers de la stratégie TI peuvent aider l'organisation à
garder une longueur d'avance et à mieux se préparer pour l'avenir. Par exemple, le processus
d'examen peut être utilisé pour identifier les technologies émergentes qui pourraient
Stratégie de gouvernance TI
La stratégie TI d'une organisation doit inclure la gouvernance et la gestion de risque en tant que
composantes intégrales. Pour mettre en œuvre cette stratégie avec succès, l'organisation doit
élaborer une stratégie de cybersécurité et de gestion de risque. Pour s'assurer que les actifs et les
activités de TI sont alignés sur les objectifs et les buts commerciaux globaux d'une entreprise, une
organisation doit élaborer un plan ou une approche complète qui garantit que ces actifs et activités
sont alignés sur les objectifs commerciaux globaux de l'entreprise. Pour s'assurer que les
investissements TI sont effectués de manière à maximiser la valeur et à minimiser les risques, les
organisations doivent établir les bonnes structures de prise de décision et de responsabilisation au
sein de l'organisation pour gérer efficacement leurs initiatives informatiques.
• Structure de gouvernance : Une structure de gouvernance claire est établie, qui définit les
rôles, les responsabilités et les processus décisionnels pour les activités de TI au sein de
l'organisation. Il peut s'agir d'un comité directeur informatique, d'un conseil de gouvernance
TI ou d'un autre organe de gouvernance similaire. Cette structure de gouvernance devrait
être conçue de manière à s'assurer que les activités de TI de l'organisation s'harmonisent
avec ses objectifs opérationnels et respectent les lois et règlements pertinents. Il devrait
également veiller à ce que les investissements TI soient effectués de manière rentable et en
temps opportun.
• Politiques et procédures : Des politiques et des procédures sont établies pour décrire les
normes et les lignes directrices relatives aux activités de TI au sein de l'organisation. Cela
comprend les politiques liées à la cybersécurité, à la gestion de risque, à la conformité et à
d'autres domaines clés. Ces politiques doivent être revues et mises à jour régulièrement
pour s'assurer qu'elles sont pertinentes et à jour avec les dernières technologies et normes
de l'industrie. Il est également important de s'assurer que tous les membres de
l'organisation connaissent et comprennent les politiques et les procédures.
• Gestion des investissements TI : Un processus est établi pour hiérarchiser, sélectionner et
gérer les investissements TI. Cela implique d'évaluer les coûts, les avantages et les risques
des investissements potentiels et de s'assurer qu'ils s'alignent sur la stratégie de
l'organisation. La gestion des investissements TI comprend également le suivi des
Grâce à la mise en œuvre d'une stratégie complète de gouvernance TI, une organisation peut
maximiser l'efficacité et l'efficience de ses actifs et activités TI tout en minimisant les risques
auxquels elle pourrait être confrontée. Pour que les entreprises puissent s'assurer que leur stratégie
de gouvernance TI reste alignée sur l'évolution des besoins commerciaux et des tendances
technologiques, elles doivent la revoir et la mettre à jour régulièrement. Les processus de
gouvernance TI devraient également faire l'objet d'une surveillance et d'une évaluation régulières
afin d'en assurer la conformité et l'efficacité. En outre, les organisations doivent s'assurer qu'elles
tirent parti de tout nouveau développement technologique susceptible d'améliorer leur stratégie de
gouvernance TI. Pour rester efficaces et conformes, les organisations doivent non seulement revoir
et mettre à jour régulièrement leur stratégie de gouvernance TI, mais également surveiller et
évaluer leurs processus de gouvernance TI. En outre, ils devraient tirer parti de toutes les occasions
qui s'offrent à eux pour tirer parti des nouvelles technologies. Par exemple, l’infonuagique (cloud
computing) a permis aux organisations non seulement de réduire les coûts, mais aussi d'améliorer la
flexibilité de leurs processus de gouvernance TI. Les organisations doivent également prêter
attention aux implications de sécurité de l'utilisation de l'informatique en nuage et s'assurer qu'elles
ont mis en place les mesures nécessaires pour protéger leurs données. En outre, ils doivent s'assurer
que leurs processus de gouvernance TI suivent l'évolution de la technologie et des réglementations.
L'acquisition et la gestion des ressources informationnelles, y compris le matériel, les logiciels et les
services TI, doivent être effectuées par une organisation de manière structurée et transparente. En
plus de veiller à ce que les ressources informationnelles et les TI soient acquises de à un juste prix,
tous les risques connexes devraient être cernés et gérés dans le cadre de ce processus. Par
conséquent, il est nécessaire de mettre en place des mécanismes pour s'assurer que les acquisitions
TI sont faites pour de bonnes raisons, fondées sur la diligence raisonnable, avec un processus
décisionnel transparent et clair. En outre, il est très important d'équilibrer les opportunités, les
avantages, les coûts et les risques associés aux acquisitions informatiques à court et à long terme. Il
est également nécessaire de s'assurer que les acquisitions TI sont alignées sur les buts et objectifs
stratégiques de l'organisation. Enfin, il est important de créer une structure qui permet un suivi
continu des acquisitions informatiques et de leur performance.
atteindre ces objectifs. Un examen régulier des paramètres de rendement devrait être effectué pour
s'assurer que l'organisation est sur la bonne voie pour atteindre ses objectifs. Enfin, une rétroaction
régulière devrait être fournie aux employés pour s'assurer qu'ils donnent le meilleur d'eux-mêmes.
Gestion de la conformité
Les organisations doivent se conformer à toutes les lois, réglementations et normes sectorielles
applicables en matière de gouvernance et de sécurité informatiques. L'organisation devrait établir
des politiques et des procédures pour assurer la conformité et évaluer régulièrement la conformité à
tous les règlements et obligations légales. Il doit y avoir des directives de gouvernance TI claires,
publiées et appliquées au sein de l'organisation. L'organisation doit également avoir un processus en
place pour assurer la conformité à ces lignes directrices. De plus, l'organisation devrait examiner
régulièrement les lignes directrices pour s'assurer qu'elles sont à jour et qu'elles demeurent
conformes. Il s’agit d’un des domaines où la gouvernance TI rejoint la gouvernance de la
cybersécurité. La conformité est présentée plus en détail dans le chapitre suivant.
Gouvernance de la cybersécurité
Alors que la gouvernance d'entreprise fournit un cadre global pour l'ensemble de l'organisation et
que la gouvernance TI aide à guider la gestion des TI, la gouvernance de la cybersécurité fait
référence aux processus, politiques et structures mis en place pour gérer les risques associés à
l'utilisation des technologies de l'information et assurer la sécurité des systèmes d'information dans
un monde connecté. Il englobe les mécanismes par lesquels les organisations s'assurent que leurs
risques de cybersécurité sont bien gérés, que leurs actifs informationnels sont protégés et que leur
conformité aux lois et règlements est maintenue. Il fait partie de la gouvernance d'entreprise qui
hérite de bon nombre de ses caractéristiques. Il hérite aussi de nombreuses caractéristiques de la
gouvernance TI. Cependant, la gouvernance de la cybersécurité fournit des conseils et des processus
plus spécifiques à la cybersécurité dans le cadre d'une approche à trois volets faisant appel à la
gouvernance, à la gestion de risque et à la conformité (GRC), comme il en est question dans
l’ensemble de ce livre.
Parce que c’est important pour contribuer au succès des organisations, la gouvernance efficace de la
cybersécurité nécessite un engagement actif de la part des cadres supérieurs et de tous les niveaux
de l'organisation, ainsi qu'une collaboration continue entre différents domaines fonctionnels, tels
que l'informatique, le juridique, les ressources humaines, la comptabilité, la conformité et bien
d'autres.
donc nécessaire pour garantir un bon équilibre en cybersécurité selon ces deux aspects que sont la
technique et le stratégique. La vision et la stratégie d'une organisation peuvent être traduites en
objectifs mesurables et en indicateurs clés de performance (KPI) grâce au tableau de bord prospectif,
un cadre stratégique de gestion de la performance. En prenant en compte plusieurs dimensions,
telles que les finances, les clients, les processus internes et les perspectives de croissance et
d'apprentissage, il fournit une vue équilibrée des performances d'une organisation. Au début des
années 1990, Robert Kaplan et David Norton ont introduit le tableau de bord prospectif pour
remédier aux limites de l'évaluation du rendement organisationnel à l'aide de mesures financières
seulement. Leur argument était que les mesures financières seules ne suffisent pas à brosser un
tableau complet de la santé et du rendement d'une organisation.
La cybersécurité peut être évaluée et gérée à l'aide du cadre du tableau de bord prospectif en
intégrant des mesures et des perspectives pertinentes. En matière de gestion des risques de
cybersécurité nous utiliserons les Key Risk Indicators (KRI) dans l’analyse de risque de cybersécurité
dans un autre chapitre. Les organisations peuvent adapter le modèle de Kaplan et Norton afin de
l’utiliser le cadre de tableau de bord prospectif pour créer une vue complète de leur performance en
matière de cybersécurité et prendre en compte plusieurs perspectives, telles que les opérations, les
risques et le service client. Cela permet de créer une vision holistique de la performance en matière
de cybersécurité et permet aux organisations d'identifier les domaines d'amélioration et de prendre
des décisions éclairées. Par exemple, les activités de cybersécurité peuvent être mesurées par le
nombre de tentatives de connexion réussies et infructueuses par mois, le risque peut être mesuré en
prenant en compte par le pourcentage de vulnérabilités fermées au cours de chaque période et la
gestion des incidents de cybersécurité peut être mesuré par le temps moyen de réponse à un
incident de sécurité.
Quatre perspectives interdépendantes composent le cadre du tableau de bord prospectif. Elles sont
les suivantes :
processus de cybersécurité, ainsi que les processus clés qui favorisent la satisfaction des
clients et la performance financière. Le nombre et la gravité des incidents de sécurité, le
temps nécessaire pour détecter les incidents et y réagir, ainsi que l'efficacité des contrôles
de sécurité devraient tous être surveillés. Assurez la conformité aux politiques et procédures
de cybersécurité, y compris la gestion des vulnérabilités, les contrôles d'accès et les
protocoles de réponse aux incidents. Mesurez le rendement du personnel des opérations de
sécurité, y compris l'efficacité de ses enquêtes et les temps de réponse. Examinez l'efficacité
des programmes de sensibilisation à la sécurité pour s'assurer que les employés
comprennent leur rôle dans la protection de l'organisation. Surveillez la posture de sécurité
de l'organisation et signalez tout changement ou faiblesse. Par exemple, le personnel des
opérations de sécurité devrait être évalué en fonction de sa capacité à détecter les incidents
de sécurité et à y réagir dans des délais définis.
4. La capacité d'une organisation à apprendre, à innover et à développer son personnel et son
infrastructure est soulignée dans la perspective de l'apprentissage et de la croissance. En ce
qui concerne la cybersécurité, évaluez la main-d'œuvre et les capacités de cybersécurité de
l'organisation et mesurez le niveau de sensibilisation et de formation en cybersécurité dans
l'ensemble de l'organisation. Cela comprend des mesures liées à la formation et au
perfectionnement des employés, à la gestion des compétences et à l'adoption de nouvelles
technologies. Évaluez les compétences et les certifications des professionnels de la
cybersécurité et surveiller l'adoption et la mise en œuvre de nouvelles technologies de
sécurité, de systèmes de renseignement sur les menaces et de programmes de
sensibilisation à la sécurité. Enquêtez sur les processus actuels de gestion de risque et
s'assurer que l'organisation dispose d'une stratégie de cybersécurité complète. Élaborez une
feuille de route pour améliorer la préparation et la résilience en matière de cybersécurité.
Établissez un processus d'examen pour assurer l'efficacité des mesures de sécurité. Par
exemple, le processus d'examen pourrait comprendre des évaluations périodiques de la
posture de sécurité de l'organisation, et les résultats de ces évaluations devraient être
utilisés pour éclairer les changements de stratégie et de feuille de route.
En plus de fournir une vue globale du rendement d'une organisation, le tableau de bord prospectif
harmonise les objectifs stratégiques avec les activités opérationnelles en utilisant ces quatre
perspectives. En encourageant une approche équilibrée de la prise de décision et de la gestion du
rendement, le tableau de bord prospectif aide à s’assurer que les actions dans un domaine ne
compromettent pas les autres. En outre, il est nécessaire de définir des objectifs spécifiques et des
indicateurs clés de performance (KPI) et des indicateurs de risque (KRI) pour chacune de ces
perspectives. Du point de vue des processus internes, les KRI peuvent inclure le nombre d'incidents
de sécurité par mois, le délai moyen de résolution des incidents et le pourcentage de systèmes dotés
de correctifs de sécurité actuels.
Nous venons de discuter des indicateurs KPI et KPI. Cependant, il est important d'utiliser des
mesures fiables en matière de cybersécurité pour s'assurer que les organisations sont sur la bonne
voie pour améliorer continuellement la gouvernance de la cybersécurité en utilisant l'approche du
tableau de bord prospectif, comme mentionné ci-dessus. Pour plusieurs raisons, les mesures de
cybersécurité sont cruciales :
Grâce aux mesures, les organisations peuvent évaluer, surveiller et améliorer les pratiques de
cybersécurité. En les utilisant, les organisations peuvent renforcer leur posture de sécurité,
atténuer les risques et s'adapter à l'évolution des cybermenaces en améliorant la prise de
L'acronyme Smart est utilisé lorsqu'on réfléchit aux métriques. Les mesures utilisées doivent être
spécifiques, mesurables, réalisables, pertinents et limités dans le temps. En suivant cet acronyme,
les étudiants seront en mesure de créer des mesures spécifiques, mesurables, réalisables,
pertinentes et limitées dans le temps. Décomposons chaque composante des métriques SMART
pour mieux comprendre comment définir des objectifs clairs et définir des métriques qui peuvent
être utilisées pour mesurer les progrès vers ces objectifs.
• Il est important de s'assurer que les métriques sont spécifiques et bien définies. Elles
devraient indiquer précisément ce qui est mesuré, pourquoi c’est mesuré et comment la
mesure est réalisée. Des mesures spécifiques apportent clarté et précision, garantissant que
tout le monde comprend ce qui est prévu.
• Des métriques réellement mesurables permettent une évaluation et une comparaison
objectives des variations, des progrès et des performances. Elles fournissent des données
concrètes pour évaluer les progrès et les performances. Elles doivent être quantifiables et
mesurables.
• Les métriques SMART doivent être atteignables, réalistes et réalisables. Elles doivent fixer
des objectifs difficiles mais réalisables dans le contexte des ressources, des capacités et des
contraintes. En fixant des objectifs réalisables, les individus ou les équipes sont motivés à
s'améliorer et à atteindre leurs objectifs.
• Les métriques SMART doivent être pertinentes par rapport à l'objectif ou au but poursuivi.
Elles doivent être axé sur les résultats, alignées sur les priorités stratégiques et aborder les
aspects critiques de la performance. Des informations sur le résultat souhaité peuvent être
obtenues avec des mesures pertinentes, qui guident les décisions et les actions.
• Une métrique SMART est temporellement définie, c’est-à-dire limitée dans le temps. La
mesure spécifie quand elle sera mesurée ou atteinte. Cela crée un sentiment d’urgence,
encourage une action efficace et permet de suivre les progrès dans un délai défini.
Une organisation peut s'assurer que les métriques sont significatives, exploitables et contribuent à
l'amélioration globale des performances en appliquant les critères SMART. En définissant des
attentes claires, en suivant les progrès et en utilisant des données objectives, les métriques SMART
aident à prendre des décisions éclairées. En plus d'appuyer les objectifs organisationnels, ils
favorisent une culture de responsabilisation et d'amélioration continue grâce à la conception de
mesures. Les métriques SMART permettent aux organisations de mesurer les performances avec
précision et d'une manière facilement compréhensible par toutes les parties prenantes. Ils
fournissent également la structure nécessaire pour s'assurer que tous les objectifs sont bien définis
et réalisables. Enfin, les métriques SMART fournissent aux organisations un moyen de suivre les
progrès et d'évaluer le succès de leurs initiatives.