P.I.L.O.T.E

2 min de lecture

3.1 Contexte organisationnel (GV.OC)

Objectif de la catégorie

Cette catégorie vise à garantir que l’organisation comprend parfaitement son environnement, ses parties prenantes, ses obligations légales et les dépendances critiques qui influencent sa posture de cybersécurité.

Info

Le contexte organisationnel fournit la base pour élaborer une stratégie de gestion des risques de cybersécurité cohérente et alignée sur les objectifs de l’organisation.

GV.OC-01 : Compréhension de la mission organisationnelle

  • L’organisation doit avoir une vision claire de sa mission principale, de ses objectifs métiers, de ses services critiques et de ses fonctions stratégiques.
  • Cela inclut les éléments de type :
    • Domaines d’activité principaux
    • Activités à forte dépendance numérique
    • Fonctions vitales à maintenir en cas de crise

Example

Une mutuelle santé doit inclure la gestion des dossiers clients, le remboursement des soins, et la disponibilité de l’espace client comme fonctions critiques.

GV.OC-02 : Compréhension des parties prenantes

  • Identification des parties prenantes internes et externes : employés, fournisseurs, clients, partenaires, sous-traitants, autorités de régulation.
  • Analyse de leurs besoins et attentes en matière de sécurité :
    • Confidentialité, disponibilité des services, traçabilité
    • Obligations contractuelles ou réglementaires (ex : RGPD, DORA)

GV.OC-03 : Exigences légales, réglementaires et contractuelles

  • Maintien d’un registre à jour des exigences légales :
    • Règlements sectoriels (Banque, Santé…)
    • Conformité RGPD, DORA, NIS2, ISO/IEC
    • Clauses contractuelles SSI avec les tiers
  • Intégration dans les politiques SSI, les audits, les contrôles

Quote

« Ce que vous ignorez en matière de conformité peut coûter très cher. »

GV.OC-04 : Dépendances critiques vis-à-vis des parties prenantes externes

  • Liste des services attendus par les parties externes :
    • SLA clients, portails d’accès, services externalisés
  • Définition de ce qui constitue une interruption inacceptable
  • Préparation de scénarios d’indisponibilité et plans associés

GV.OC-05 : Dépendances de l’organisation vers l’extérieur

  • Cartographie des dépendances internes/externes critiques :
    • Fournisseurs SaaS, Cloud, télécom, prestataires d’infogérance
    • Services supports (ex : paie, RH, finance)
  • Intégration de ces dépendances dans le plan de continuité et la gestion des risques

Warning

Beaucoup d’incidents majeurs proviennent de dépendances non identifiées à des tiers !

Synthèse opérationnelle

ÉlémentMéthode recommandée
Parties prenantesCartographie et matrices d’intérêt
Exigences réglementairesRegistre de conformité
Services critiquesBIA (Business Impact Analysis)
Dépendances externesListe des fournisseurs critiques + SLA
PilotageTableau de bord avec indicateurs de dépendance

Vue Graphique