Parler à un expert
Tarification

Construire un cadre robuste d'appétence au risque pour la gestion des risques technologiques et cybernétiques

À une époque dominée par les avancées technologiques et les cyberactivités, la gestion des risques technologiques et cybernétiques est devenue primordiale, en particulier pour les institutions financières. Ces organisations ont évolué vers une approche des contrôles basée sur les risques, en les hiérarchisant en fonction des capacités de sécurité actuelles, de la probabilité des menaces et de l'impact potentiel d'une cyber-attaque. Avec des régulateurs tels que l'Office of the Comptroller of the Currency et l'Autorité bancaire européenne qui définissent des lignes directrices et des attentes, l'élaboration d'un cadre d'appétit pour le risque de bout en bout, complet, mesurable et objectif, prend de plus en plus d'ampleur.

Définir un cadre d'appétit pour le risque : Pourquoi la clarté est cruciale

Lorsque les organisations affirment avoir une faible appétence pour les cyberrisques, une question se pose : Que signifie une faible appétence en termes de mise en œuvre des contrôles ? Il est essentiel de définir clairement des cadres d'appétence pour le risque, assortis d'indicateurs de risque clés et de déclarations à l'échelle de l'entreprise. Il est impératif de trouver un équilibre entre les événements commerciaux du monde réel et l'adoption de seuils de mesure fondés sur la propension au risque.

Structurer un cadre d'appétence pour les risques technologiques et cybernétiques : Un guide étape par étape

1. Élaborer des taxonomies de risques :
Il est primordial d'élaborer des taxonomies de risques qui englobent tous les risques technologiques et cybernétiques existants et émergents. Il s'agit de segmenter les risques en fonction des impacts potentiels tels que la compromission de la confidentialité, la perte de disponibilité des systèmes, la compromission de l'intégrité des données, etc.

2. Définir des déclarations d'appétit :
Les entreprises doivent établir des déclarations d'appétit pour le risque qui soient non seulement quantitatives et centrées sur l'entreprise, mais qui reflètent également les taxonomies des risques technologiques et cybernétiques. Par exemple, les déclarations pourraient spécifier les temps d'arrêt acceptables pour les services critiques et non critiques de l'entreprise.

3. Conception des normes de contrôle :
Les normes et modèles de contrôle doivent être conçus sur la base des déclarations d'appétit pour le risque, en veillant à ce qu'ils soient mesurables et classés en fonction de leur importance pour l'entreprise, en s'alignant éventuellement sur les normes du secteur.

4. Créer des KRI et des KCI :
La formulation de seuils pour les indicateurs clés de risque (KRI) et les indicateurs clés de contrôle (KCI) permettra de vérifier si le risque est dans les limites de tolérance et si les performances des contrôles sont conformes aux objectifs. Un ICR, par exemple, peut concerner le pourcentage d'applications gérant des données critiques avec une authentification multifactorielle.

Se lancer dans la conception et la mise en œuvre d'un cadre : Considérations et stratégies

  • Comprendre les capacités actuelles : Il est essentiel de reconnaître et d'utiliser les éléments existants d'un cadre d'appétit pour le risque, tout en reconnaissant la nécessité d'une structure complète liée à des objectifs de contrôle.
  • S'aligner sur les objectifs de l'entreprise : L'élaboration d'une appétence pour le risque qui résonne avec les objectifs de l'entreprise et implique les équipes technologiques dans le processus de prise de décision garantit que le cadre tient compte à la fois des perspectives technologiques et commerciales. Les questions relatives aux temps d'arrêt acceptables, à la perte de données et à la symbiose entre les cyberinvestissements, les contrôles et l'habilitation de l'entreprise devraient dicter l'appétit pour le risque et les objectifs de contrôle correspondants.
  • Adopter l'automatisation : Tirer parti des avancées technologiques pour automatiser l'application et la mise en œuvre des contrôles - par exemple, par le biais d'une politique en tant que code - sur la base des niveaux de risque résiduels, garantit un environnement de gestion des risques durable et gérable.

L'importance de l'élaboration d'un cadre d'appétit pour le risque

Les fruits du travail investi dans le développement méticuleux, la compréhension et l'exécution d'un cadre d'appétit pour le risque sont multiples : communication transparente avec les membres du conseil d'administration, plates-formes objectives pour les discussions interdépartementales sur les niveaux de risque résiduels, et fourniture aux régulateurs de preuves tangibles d'une gestion efficace des risques technologiques et cybernétiques.

En outre, même si les mandats réglementaires incitent souvent à la création de cadres d'appétit pour le risque vigoureux, en particulier dans des secteurs tels que les services financiers, la gestion des risques technologiques et cybernétiques qui en résulte n'est pas uniquement bénéfique pour les industries réglementées. Les organisations de tous les secteurs ont tout à gagner à gérer leurs risques technologiques et cybernétiques en fonction d'un appétit pour le risque orienté vers l'impact commercial.

En conclusion

La mise en place d'un cadre solide d'appétit pour le risque peut s'avérer complexe et exiger un travail initial intensif, l'acquisition de données, un suivi approfondi et l'alignement des fonctions commerciales et technologiques. Cependant, les dividendes - sous la forme d'un renforcement des objectifs commerciaux et d'une compréhension claire des forces et faiblesses technologiques et cybernétiques - sont en effet convaincants et précieux pour naviguer dans le paysage complexe de la gestion des risques technologiques et cybernétiques.

Cet article de blog souligne l'essentiel, à savoir que les organisations ne se contentent pas de se conformer aux attentes réglementaires, mais qu'elles protègent également leurs infrastructures technologiques et leurs cyberactivités contre les menaces et les vulnérabilités potentielles. Avec un cadre d'appétit pour le risque solide et bien articulé, les organisations peuvent non seulement naviguer dans les eaux troubles des cyber-risques, mais aussi s'assurer que leurs objectifs commerciaux restent inchangés et solides.

Téléchargez l'article complet pour approfondir l'élaboration d'un cadre d'appétit pour le risque, afin de garantir que votre organisation est protégée contre les risques technologiques et cybernétiques.

Clause de non-responsabilité: Les liens vers les organismes de réglementation sont fournis à titre de référence et peuvent nécessiter une vérification pour obtenir les informations les plus récentes et les plus exactes. Il est recommandé de consulter directement les sites web officiels pour obtenir des informations complètes et des mises à jour.

Cet article vous plaît ?

Courriel
Partager sur Facebook
Partager sur LinkedIn
Partager sur XING

Empowered propose des solutions innovantes en matière d'audit, de conformité et de gestion des risques, permettant aux organisations du monde entier de faire face à un monde exigeant et en constante évolution.

Linkedin-in Facebook Youtube Instagram

nos produits

nos solutions

Informations sur l'entreprise

clause de non-responsabilité du site web

Toutes les capacités ou technologies décrites sur ce site ou qui vous sont présentées sont soumises à la protection de la propriété intellectuelle, y compris, mais sans s'y limiter, les lois et traités internationaux sur les droits d'auteur (et, dans certains cas, les brevets/applications de brevets) et tous les droits sont réservés. Tout devis fourni doit rester confidentiel et n'être utilisé que pour votre décision d'achat. Vous pouvez partager un devis ou une proposition avec vos conseillers à cette fin s'ils ont signé avec vous un accord de non-divulgation de ces informations, mais vous ne pouvez le partager avec personne d'autre sans l'accord écrit préalable d'Empowered Systems. Toute information supplémentaire fournie par Empowered Systems sera également traitée comme confidentielle et ne pourra être utilisée que de la même manière que les informations figurant dans votre offre ou proposition (sauf indication contraire). Ce site web n'est pas un devis ou une proposition.

Ce site web est fourni à des fins d'information uniquement. Il ne constitue ni un conseil, ni une offre susceptible d'être acceptée, ni ne crée de droit ou d'obligation entre Empowered Systems et l'utilisateur de ce site ou toute personne associée à l'utilisateur susmentionné. Tout contrat sera établi sur la base des conditions générales d'Empowered Systems. Rien sur ce site ne crée d'accord entre Empowered Systems et l'utilisateur de ce site.

Les informations contenues dans ce site ont été compilées avec soin, mais Empowered Systems ne fait aucune déclaration ou garantie expresse ou implicite selon laquelle les informations sont exemptes d'erreurs ou d'omissions et ne peut être tenu responsable de l'utilisation des informations ou de la confiance accordée à celles-ci (sauf en cas de déclaration frauduleuse ou d'autres questions pour lesquelles la responsabilité ne peut être exclue ou limitée en vertu de la loi).

Les références aux capacités d'Empowered Systems peuvent inclure des capacités fournies à Empowered Systems par des tiers.

 AutoAudit® et Empowered Systems sont des marques déposées d'Empowered Systems IP Holder LLC.

1995-2024 Empowered Systems. Tous droits réservés.

Empowered Systems est le nom commercial d'Empowered Systems Ltd. au Royaume-Uni. Numéro d'enregistrement : 13416888 en Angleterre et au Pays de Galles. Siège social : 6 Lloyds Avenue, Suite 4cl, Londres, Angleterre EC3N 3AX.

Parler à un expert
Tarification
Parler à un expert
Tarification

Parler à un expert

"Les champs obligatoires sont indiqués par un astérisque(*)

Vous cherchez du soutien ?

Si vous recherchez une assistance produit, veuillez vous connecter à notre centre d'assistance en cliquant ici.

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande de prix

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande d'appel d'offres

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Quelle est la solution pour laquelle votre appel d'offres demande une réponse ?*
Déposez vos fichiers ici ou
Types de fichiers acceptés : pdf, doc, docx, Taille maximale du fichier : 1 MB, Nombre maximal de fichiers : 4.
    Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
    Skip to content