
Votre service d’audit interne est performant et efficient, mais ses interventions sont seulement périodiques.
Votre direction du contrôle interne, ou le dispositif mis en place par votre gouvernance (contrôle permanent), est opérant en termes de réduction des risques.
Votre risk-manager et ses collaborateurs ont prévu des stratégies de gestion des risques efficaces et ils ont réfléchi à tous les scénarios possibles, même les moins envisageables, en termes de protection contre les cyber-risques.
Vos assureurs vous ont fait souscrire des contrats d’assurance adéquats et en rapport avec votre activité et votre organisation.
Votre gestion des risques, en termes opérationnels, inclue la participation effective et active de la direction des services informatiques et, si vous disposez des fonctions RSSI, CIL, futur DPO…, leur participation est réelle dans ce contexte.
Vos collaborateurs sont sensibilisés à ces types de risque, que ce soit par les soins du risk-management ou/et par la fonction Conformité.
Vous avez adopté la culture anglo-saxonne (management par la concertation, rapidité des décisions) ou la culture française (management basé sur la confrontation, de longues discussions au sens de débats animés, voire passionnés, entre des personnes qui peuvent rester campées sur leurs positions personnelles...). Merci de ne pas prendre ce denier point au sens strict et comme une vérité absolue.
Vous avez choisi une culture du secret, ou une culture de la discrétion, et si vous ne l’avez pas retenue, vos différents niveaux de management peuvent la pratiquer. Bien que nous soyons entrés dans une ère de transparence (de manière réglementaire ou/et de la volonté d’afficher une image de marque la plus représentative et la plus claire de votre organisation, afin de présenter la meilleure réputation possible), la réalité n’est pas forcément en total corrélation avec les intentions.
Un des facteurs énoncés, mais plutôt une combinaison de chacun d’eux, risquent de contrecarrer votre programme de gestion des cyber-risques. Comment y remédier ou plutôt comment avoir l’assurance d’une protection adéquate à votre activité?
La réponse est : faisons appel à un tiers indépendant et neutre, par exemple l’ANSSI, qui réalisera d’une part, un audit complet et détaillé de votre programme de protection et, d’autre part, elle a la possibilité de réaliser un benchmarking, en toute confidentialité, par rapport à des organisations identiques à la votre.
Comme nous avons créé le principe du tiers de confiance en termes de validation de signatures électroniques, l’appel à l’ANSSI, en tant que tiers indépendant et neutre, permettra de répondre à ces nouveaux risques sous trois angles complémentaires :
- Mener des actions collectives contre les cyber-risques.
- Créer, en toute confidentialité, une base de connaissances mutualisée auprès des organisations adhérentes.
- Etablir des sensibilisations et des formations, de différents niveaux, basées sur des faits évidents et objectifs.
As global cyberattacks become more common, organizations are fine tuning, or even implementing, a cybersecurity risk management program — and there is no better way to validate your cybersecurity risk management program than with an independent validation.
The American Institute of CPAs (AICPA) recently released the new Cybersecurity Risk Program examination, responding to a changing marketplace where cybersecurity is top of mind for many accountants, and helping organizations looking for an independent evaluation of their cybersecurity risk program.
This new examination is part of the AICPA’s redefined SOC reports. SOC reports previously stood for Service Organization Controls; now the term stands for System and Organization Controls. SOC for Cybersecurity has been added to the SOC 1, SOC 2, and SOC 3 suite of SOC reports.
Lire la suite →
WordPress:
J'aime chargement…