5. Gestion des risques liés aux TIC
5.1. Démarche de gestion des risques
Les entités doivent adopter une approche continue, documentée et proportionnée de gestion des risques liés aux TIC.
Étapes typiques :
- Identification des actifs TIC critiques
- Évaluation des menaces (cyber, pannes, erreurs humaines…)
- Mesures de protection adaptées
- Suivi des vulnérabilités et incidents
- Réévaluation régulière
5.2. Intégration dans la gouvernance globale
Info
La gestion des risques TIC doit être intégrée dans la gouvernance d’entreprise au même titre que les risques financiers ou opérationnels.
5.3. Surveillance des risques émergents
- Veille réglementaire et technique
- Prise en compte des vulnérabilités zéro-day
- Intégration des leçons des incidents internes et sectoriels
Example
Après l’attaque SolarWinds, plusieurs institutions ont révisé leurs plans de gestion des prestataires.
5.4. Outils recommandés
- Cartographie des systèmes critiques
- Revue de sécurité périodique
- Indicateurs de résilience
- Audits techniques indépendants