🎯 Score: 0
📊 Progression: 0%

Gouvernance de la cybersécurité

Diriger, contrôler et améliorer la sécurité numérique en alignement avec les objectifs métiers.

🏛️ Cadres • 📋 Conformité • 📊 Indicateurs • 🚨 Gestion d'incidents • 🎯 Maturité

🧭 Sommaire de la formation

Introduction Principes Cadres Risques Organisation Conformité Indicateurs Incidents Ateliers Auto‑évaluation Cas d'école Plan 30/60/90 Certification FAQ Ressources

Introduction à la gouvernance de la sécurité

🛡️ Définition

La gouvernance de la cybersécurité est l'ensemble des structures, processus et mécanismes permettant de diriger et contrôler la sécurité de l'information et des systèmes, afin d'aligner les efforts de sécurité avec les objectifs métier et la gestion des risques.

🎯 Objectifs

  • Alignement stratégique sécurité ↔️ business
  • Gestion des risques et des priorités
  • Conformité et obligations réglementaires
  • Allocation des ressources et pilotage
  • Amélioration continue de la posture

🌟 Ce que vous allez apprendre

  • Cadres (NIST, ISO 27001, COBIT)
  • Processus de gestion des risques
  • Rôles, responsabilités et comités
  • Conformité (RGPD, NIS 2, LPM)
  • KPI, maturité et amélioration continue

🏗️ Les piliers de la gouvernance

🎯
Stratégie
Vision, politique, appétence au risque
⚖️
Conformité
Exigences, audits, preuves
🧭
Risques
Identification, traitement, suivi
⚙️
Opérations
Processus, contrôles, SOC

🧩 Gouvernance ≠ Management

La gouvernance fixe la direction, la redevabilité et l'appétence au risque; le management met en œuvre les moyens et opère les contrôles.

  • Gouvernance: décide (orientations), arbitre (risques), exige (indicateurs), contrôle (audits).
  • Management: planifie (projets), exécute (procédures), mesure (KPI/KRI), améliore (PDCA).
🤔 Quiz : Quel est l'objectif premier de la gouvernance cyber ?
Installer des pare-feu
Aligner la sécurité avec les objectifs métier
Externaliser la sécurité
Éviter toute dépense
✅ Réponse : L'alignement avec les objectifs métier permet d'investir au bon endroit et de gérer les risques qui comptent pour l'organisation.

1. Principes fondamentaux

🎯 Alignement stratégique

La sécurité au service du business

🧭 Gestion des risques

Décider avec l'appétence au risque

🔄 Amélioration continue

Boucle PDCA et maturité

🏛️ Rôles et responsabilités

  • Comité de direction, Comité de sécurité
  • RSSI/CISO, DPO, CRO
  • Propriétaires de risques, métiers

🚫 Anti-patterns fréquents

  • Sécurité uniquement technique
  • Empilement de contrôles sans gestion des risques
  • Absence d'indicateurs et de redevabilité
📄 Structure documentaire de sécurité (du stratégique à l'opérationnel)
ArtefactFinalitéExemples
PolitiqueCap fixe, exigences globalesPolitique SSI, Politique mots de passe
Norme/StandardContraintes mesurablesChiffrement AES-256, durcissement CIS
ProcédureÉtapes opératoiresGestion des habilitations, revue de logs
Ligne directriceBonnes pratiquesGuide secure coding, revue de design
EnregistrementPreuve de réalisationCompte-rendu de comité, PV d'audit

🧭 RACI (exemple simplifié)

ActivitéRACI
Définir la politique SSIRSSICOMEXDPO, DSIMétiers
Valider l'appétence au risqueCOMEXCOMEXRSSI, CRODSI
Traiter une faille critiqueDSIDSIRSSIMétiers
Communiquer un incidentPR/CRISEDGRSSI, JuridiqueTous

🎯 KPI stratégiques

  • Niveau de maturité (1–5)
  • Taux de conformité (%)
  • Budget sécurité / IT (%)
  • Risque résiduel top N

⚡ KPI opérationnels

  • MTTD / MTTR
  • Vulnérabilités critiques ouvertes
  • Taux de correctifs appliqués
  • Taux de phishing cliqué
📊 QCM : Quels sont des principes clés de la gouvernance ?
Alignement stratégique
Gestion des risques
Configuration des routeurs
Amélioration continue
Patch des serveurs uniquement
✅ Réponses : Alignement, gestion des risques, amélioration continue.

2. Cadres de référence

📚 NIST Cybersecurity Framework (CSF)

Fonctions
  • Identifier • Protéger • Détecter • Répondre • Récupérer
Usage
  • Cartographie des capacités et plan de progression

🏷️ ISO/IEC 27001 + 27002

PDCA • SMSI
  • Plan • Do • Check • Act
  • Mesures organisées en thèmes/domains
Certification
  • Audits, preuves, amélioration continue

🏛️ COBIT

Principes
  • Besoin des parties prenantes
  • Couverture de bout en bout
  • Cadre intégré
Gouvernance vs Management
  • Séparation des responsabilités

🔎 Comparatif rapide des cadres

CadreFinalitéPortéeLivrables typiques
NIST CSFCartographier et prioriserFonctions/PRProfil cible, plan de progression
ISO/IEC 27001Certifier un SMSIOrganisationISMS, SoA, risques, preuves
COBITGouvernance SI globaleEntrepriseObjectifs de gouvernance/management
📖 Quiz : Quelle est la séquence du NIST CSF ?
Identifier → Protéger → Détecter → Répondre → Récupérer
Protéger → Identifier → Répondre → Détecter → Récupérer
Identifier → Répondre → Protéger → Détecter → Récupérer
Détecter → Répondre → Récupérer → Protéger → Identifier
✅ Réponse : Identifier → Protéger → Détecter → Répondre → Récupérer.

3. Gestion des risques

🧭 Processus

  • Contexte et périmètre
  • Identification des actifs, menaces, vulnérabilités
  • Évaluation (probabilité × impact)
  • Traitement (réduire, transférer, accepter, éviter)
  • Suivi, revue, communication

🧮 Matrice de risques

Impact →
Probabilité ↓
Faible
Moyen
Élevé
Faible
Acceptable
Modéré
Significatif
Moyen
Modéré
Significatif
Critique
Élevé
Significatif
Critique
Inacceptable
📋 Fiche de risque (exemple pratique)
  • Actif: Base clients CRM
  • Scénario: Exfiltration via compte compromis
  • Impact: Juridique (RGPD), réputation, financier
  • Probabilité: Moyenne • Score: 12/25
  • Contrôles: MFA, journalisation, DLP partiel
Plan de traitement
  • Étendre MFA à tous les comptes à privilèges
  • Déployer DLP complet + sensibilisation phishing
  • Propriétaire: Directeur Commercial • Échéance: T2
  • Risque résiduel cible: 6/25
🧭 Quiz : Que signifie "accepter un risque" ?
Le transférer à un tiers
Le réduire par des contrôles
Décider de vivre avec en connaissance de cause
L'ignorer
✅ Réponse : Acceptation éclairée et documentée du risque résiduel.

4. Organisation et rôles

🎩 Gouvernance

  • Comité de direction
  • Comité de sécurité
  • Propriétaires d'actifs/risques

🛡️ Rôles clés

  • RSSI/CISO
  • DPO
  • CRO/ERM

⚙️ Opérations

  • SOC / CERT
  • Gestion des vulnérabilités
  • Continuité d'activité

🏗️ Organigramme type

Conseil / COMEX
Comité de Sécurité (RSSI, DSI, DPO, Métiers)
Fonctions Risque/Conformité (CRO, Juridique)
Opérations (SOC, CERT, Admins, Projets)
👥 Quiz : Quel rôle est responsable de la protection des données personnelles ?
CISO/RSSI
DPO
CRO
CTO
✅ Réponse : Le DPO (Data Protection Officer) pilote la conformité RGPD.

5. Conformité et réglementation

🇪🇺 Europe

  • RGPD • Privacy by design • AIPD
  • NIS 2 • Obligations de sécurité • Notification d'incident
  • Cyber Resilience Act (produits)

🇫🇷 France

  • LPM • OIV/OSE • Référentiels ANSSI
  • PGSSI-S (santé), SecNumCloud, etc.
  • Contrôles, audits et sanctions

🧾 Preuves & contrôles à conserver

  • Registres: incidents, habilitations, vulnérabilités
  • Traçabilité: tickets, CR comités, décisions de risques
  • Preuves: rapports d'audit, captures SIEM, SoA à jour
⚖️ Quiz : Sous NIS 2, que doivent faire les entités essentielles ?
Mettre en place des mesures de sécurité et notifier les incidents
Publier leur code source
Désactiver le chiffrement
Ouvrir tous les ports réseau
✅ Réponse : Mesures de sécurité proportionnées et notifications dans les délais.

6. Indicateurs, KPI et maturité

🎯 KPI stratégiques

  • Niveau de maturité (1–5)
  • Taux de conformité (%)
  • Budget sécurité / IT (%)
  • Risque résiduel top N

⚡ KPI opérationnels

  • MTTD / MTTR
  • Vulnérabilités critiques ouvertes
  • Taux de correctifs appliqués
  • Taux de phishing cliqué

📊 Mini-dashboard (exemple)

3.4/5
Maturité globale
18
Incidents/mois
92%
Taux de conformité

📐 KPI, KRI et OKR: ne pas confondre

  • KPI: performance (ex: taux de patch < 30j = 95%)
  • KRI: risque (ex: actifs non couverts EDR < 2%)
  • OKR: objectifs/résultats (ex: Réduire le risque phishing de 30% en T2)
📈 Quiz : Que mesure le MTTR ?
Le nombre d'incidents
Le temps moyen de rétablissement
Le budget dépensé
La maturité du SOC
✅ Réponse : Mean Time To Recover (temps de restauration après incident).

7. Gestion des incidents

🚨 Cycle de réponse

  • Préparation • Détection/Analyse • Contention • Éradication • Récupération • Leçons apprises

🧰 Préparation

Playbooks, communication, rôles

👀 Détection

Logs, SIEM, use cases, alerting

🔧 Réponse

Isolation, correction, restauration

🗂️ Playbook « Ransomware » (exemple abrégé)
  1. Détection/qualification (indicateurs, triage)
  2. Confinement (isolation hôte/réseau, bloc IOC)
  3. Éradication (restauration, rotation secrets)
  4. Récupération (tests, réintégration contrôlée)
  5. Communication (interne, autorités, clients)
  6. Leçons apprises (revue post‑mortem, actions)
🚨 Quiz : Quelle étape suit immédiatement la détection ?
Analyse et qualification
Leçons apprises
Audit externe
Procurement
✅ Réponse : Après détection, on qualifie l'incident pour décider des actions.

❓ FAQ

Quel est un bon « set » d'indicateurs pour un COMEX ?
  • 3–5 risques majeurs avec tendance
  • Top incidents/mois (MTTD/MTTR)
  • Taux de conformité et plans en retard
  • Exposition externe (Surface d'attaque)
Comment fixer l'appétence au risque ?

Définir des seuils KRI par domaine (ex: disponibilité, intégrité, confidentialité) et les valider en comité de direction.

Faut‑il viser la certification ISO 27001 ?

Utile pour structurer et démontrer la maturité. Prioriser selon enjeux, contraintes et périmètre pertinent.

🏆 Certification et conclusion

🏆 Quiz final : À quoi sert principalement la gouvernance cyber ?
Orienter et piloter la sécurité selon les risques et objectifs métier
Installer des antivirus
Gérer les tickets helpdesk
Écrire du code
✅ Réponse : La gouvernance fixe la direction, le cadre et la redevabilité.

📚 Pour aller plus loin

  • ANSSI • CNIL • NIST CSF • ISO/IEC 27001
  • Maturité: CMMI, modèles internes
  • Formations: ISO Lead Implementer/Auditor, Risk Manager

🛠️ Ateliers pratiques guidés

Atelier 1 — Rédiger une Politique SSI (60–90 min)
  1. Identifier 5 objectifs métier et exigences réglementaires majeures.
  2. Définir le périmètre et les rôles (RSSI, DSI, DPO, métiers).
  3. Énoncer 10 exigences clés (ex: gestion des accès, journalisation).
  4. Préciser le cycle de revue et de diffusion interne.
  5. Collecter les preuves (versioning, approbation, publication).
Livrable: 1 page A4 + annexe glossaire.
Atelier 2 — Registre des risques minimal (90 min)

Créez un registre avec 10 risques, scorez (P×I), affectez un propriétaire et un plan de traitement.

Conseil: démarrez par 3 risques « top business » pour un impact rapide.
Atelier 3 — Table‑top Incident (60 min)

Simulez un ransomware: décisions de confinement, communication, restauration et leçons apprises.

Indicateurs: MTTD, MTTR, écarts playbook, décisions consignées.

📈 Auto‑évaluation de maturité (rapide)

Notez chaque item de 0 (inexistant) à 5 (optimisé). Obtenez un score global et des recommandations.

DomaineÉnoncé012345
StratégiePolitique SSI approuvée et diffusée
GouvernanceRôles/comités formalisés avec RACI
RisquesRegistre, critères et décisions tracées
ConformitéExigences (RGPD/NIS 2) traduites en contrôles
OpsProcédures (vulnérabilités, sauvegardes, accès)
DétectionLogs/SIEM et use cases actifs
RéponsePlaybooks testés (table‑top) et revus
MesureDashboard KPI/KRI mensuel
AméliorationPDCA en place (audits, actions suivies)
Supply chainExigences tiers, revues et preuves
RéversibilitéSauvegardes testées, restauration éprouvée
HumainSensibilisation, phishing drill régulier

🏗️ Études de cas

Cas 1: Un fournisseur SaaS subit une brèche. Que faites‑vous en premier ?
Activer le plan tiers: confinement, vérif. d’impact, voies légales, communication
Résilier immédiatement le contrat
Ignorer tant que le service fonctionne
Changer tous les prestataires
Note: Appliquez vos clauses sécurité, exigez IOC/preuves, évaluez la notification.
Cas 2: Le COMEX demande « sommes‑nous conformes NIS 2 ? »
Présenter la cartographie mesures ↔ exigences et un plan d’écart daté
Répondre « oui » sans preuves
Dire qu’il n’y a rien à faire
Envoyer la norme complète
Appuyez‑vous sur ISO 27001/Annexe A, preuves d’audit, et un plan priorisé.

🗓️ Plan d’action 30 / 60 / 90 jours

30 jours — Stabiliser

  • Politique SSI brouillon + RACI
  • Registre 10 risques et 3 top contrôles
  • Playbook incident version 0

60 jours — Structurer

  • Dashboard KPI/KRI mensuel
  • SoA initial et preuves de conformité
  • Table‑top + retours d’expérience

90 jours — Accélérer

  • Appétence au risque validée COMEX
  • Roadmap 12–18 mois budgétée
  • Programme sensibilisation lancé

🔗 Ressources complémentaires

  • NIST Cybersecurity Framework: https://www.nist.gov/cyberframework
  • ISO/IEC 27001 (overview): https://www.iso.org/standard/27001
  • COBIT: https://www.isaca.org/resources/cobit
  • ANSSI: https://www.ssi.gouv.fr/
  • CNIL: https://www.cnil.fr/