3.5 Surveillance de la gouvernance (GV.OV)
Objectif de la catégorie
Cette catégorie vise à s’assurer que les activités de gestion des risques de cybersécurité sont évaluées régulièrement pour ajuster la stratégie et améliorer la posture globale de sécurité.
Success
La surveillance garantit que la stratégie SSI ne reste pas théorique, mais évolue avec les résultats concrets et les événements réels.
GV.OV-01 : Revue des résultats pour orienter la stratégie
- Collecte d’indicateurs liés à la cybersécurité :
- Taux d’incidents, taux de conformité, tests réussis, avancement des plans POA&M
- Analyse des résultats et revue stratégique périodique :
- Réunion de comité des risques / COMEX SSI
- Recommandations d’ajustement transmises à la direction
- Exemple : baisse des résultats de phishing = ajustement du plan de sensibilisation.
GV.OV-02 : Révision et adaptation de la stratégie de risque
- En fonction des événements :
- Changement de SI, fusion/acquisition, audit critique, nouvelle réglementation
- Révision des éléments suivants :
- Déclaration d’appétence au risque
- Priorités stratégiques
- Affectation des ressources
- Implication obligatoire des décideurs métiers et SSI
Warning
Une stratégie non révisée depuis 3 ans est probablement obsolète.
GV.OV-03 : Évaluation des performances organisationnelles
- Mise en place d’un cadre de pilotage :
- Indicateurs clés de performance (KPI)
- Indicateurs de risque clés (KRI)
- Tableaux de bord consolidés
- Exemples :
- % de systèmes couverts par EDR
- Délai moyen de correction des vulnérabilités critiques
- Niveau de sensibilisation mesuré par des campagnes de test
Example
KPI = “100% des systèmes critiques patchés sous 30 jours” – à suivre mensuellement.
Synthèse opérationnelle
| Élément | Outils / Bonnes pratiques |
|---|---|
| Revue stratégique | Rapport d’analyse des résultats SSI |
| Révision de stratégie | Calendrier annuel + événement déclencheur |
| Évaluation de performance | KPI, KRI, tableaux de bord cyber |
| Comités | Réunions trimestrielles SSI / COMEX |