Name: Road to CISO #4 | La Gestion du Risque pour les RSSI | Gouvernance Risk & Compliance
Uploaded: 2024-04-21 08:30:04
Duration: 7 min 21 s

Question 1

C’est quoi la gestion du risque pour un RSSI (GRC) ?

Accepted Answer

Pour moi, la gestion du risque c’est le cadre qui te permet d’identifier, analyser et traiter les risques qui pèsent sur l’organisation. En RSSI, tu ne peux pas “tout sécuriser”, donc tu dois piloter ce qui est acceptable, ce qui ne l’est pas, et ce qui reste en risque résiduel. Et ça devient encore plus critique dès que tu intègres des tiers et du cloud.

Question 2

Quelles sont les 3 étapes de la gestion du risque des tiers ?

Accepted Answer

Je la découpe en trois étapes principales : Identify, Assess & Monitor, et Remediate. D’abord tu identifies les risques et tu construis ton inventaire de tiers. Ensuite tu fais la due diligence et tu monitor en continu. Et enfin tu remédies via des actions, de la gouvernance, et un suivi structuré.

Question 3

Comment identifier les risques liés à un fournisseur (third party) ?

Accepted Answer

Je commence par une analyse de risque, typiquement avec une méthode comme EBIOS, pour poser les scénarios et les impacts. Ensuite je construis un inventaire des tiers “classés par risque” et qui nécessitent une maintenance. Et je n’oublie pas les catégories : fournisseurs directs, tiers de mes tiers, sous-parties connectées à mes clients, et tout ce qui est cloud.

Question 4

C’est quoi la due diligence cybersécurité sur un tiers ?

Accepted Answer

La due diligence, c’est avant de démarrer la relation : je veux m’assurer que le risque est maintenu côté fournisseur. Ça peut passer par un self-assessment, une revue sur site, et des contrôles de performance/risk control. Les cadres comme NIS2 ou DORA poussent clairement dans cette direction.

Question 5

Pourquoi le monitoring continu des tiers est important ?

Accepted Answer

Parce que le risque bouge : un fournisseur peut changer de posture sécurité, se faire compromettre, ou dégrader ses pratiques. Donc je ne me contente pas d’un questionnaire au début, je monitor en continu. Et j’ajoute de la threat intel pour comprendre les scénarios de menace pertinents.

Question 6

C’est quoi l’exit management en gestion du risque cloud ?

Accepted Answer

L’exit management, c’est anticiper ce qui se passe si tu dois couper le lien avec ton fournisseur. Typiquement, tu mets tout chez un cloud provider, il augmente les prix (fois 3), et tu te retrouves coincé parce que migrer coûte une fortune. Ça, c’est du risque, et il faut le prévoir dès le départ.

Question 7

À quoi sert un risk register en cybersécurité ?

Accepted Answer

Le risk register, c’est l’endroit où je liste tous les risques actuels de l’entreprise : quoi, pourquoi, comment, et quand on remédie. C’est aussi là que tu gères les exceptions : elles courent jusqu’à quand, qui a accepté, et sous quelles conditions. Sans ça, tu ne pilotes rien, tu subis.

Road to CISO #4 | La Gestion du Risque pour les RSSI | Gouvernance Risk & Compliance

🛍️ Products Mentioned (2)

Medium

Twitch

About This Video

Frequently Asked Questions

🎬 More from Hack & Dev avec Rémi