Glossaire GRC : les termes clés de la gestion des risques, de la conformité, de la protection des données et du PCA

Le niveau d'un risque avant prise en compte des mesures d'atténuation. Calculé comme combinaison de la probabilité d'occurrence et de l'impact en l'absence de protection. Le risque brut montre l'ampleur théorique du risque si aucune mesure de contrôle n'existait, c'est la base pour apprécier l'efficacité des mesures.

Le risque qui subsiste après prise en compte des mesures mises en place. Si un risque brut était qualifié d'« élevé » et qu'un pare-feu plus un monitoring interviennent, le risque net peut descendre à « moyen ». Les termes « résiduel » et « net » sont synonymes ; l'ISO 27005 privilégie « résiduel ».

Le niveau de risque qu'une organisation accepte délibérément pour atteindre ses objectifs. Un assureur conservateur a une faible appétence pour le risque cyber, tandis qu'une start-up en forte croissance accepte consciemment des risques opérationnels plus élevés. L'appétence au risque est généralement définie par la direction et se traduit en règles de décision concrètes.

Document validé par le conseil d'administration ou la direction qui traduit l'appétence au risque en seuils et catégories concrets. Un bon RAS formule un énoncé clair par catégorie de risque (« nous n'acceptons pas plus de 4 heures par an d'indisponibilité des systèmes clients ») et le relie à des Key Risk Indicators.

Liste centrale et interrogeable de tous les risques identifiés de l'organisation, avec évaluation, responsable, mesures et statut. Un registre structuré est l'exigence minimale de tout SMSI et de toute pratique de gestion des risques auditable. Sans registre, impossible de présenter l'exposition globale ni de justifier une priorisation.

Représentation bidimensionnelle des risques, généralement 5×5, avec la probabilité d'occurrence sur un axe et l'impact sur l'autre. Chaque case correspond à une combinaison (par ex. « possible × critique »), les risques y sont reportés sous forme de points. La heatmap est l'outil de visualisation privilégié du reporting managérial car elle montre d'un coup d'œil où se concentrent les risques.

Indicateur quantitatif ou qualitatif qui alerte précocement d'un risque en augmentation. Exemples : nombre de tentatives de connexion échouées par heure, patches critiques en retard, MTTR moyen des incidents. Un bon KRI est mesurable, disponible quasi en temps réel et possède un seuil défini déclenchant une escalade lorsqu'il est franchi.

Cause potentielle d'un dommage, la « source » dont un risque peut émerger. Les menaces peuvent être humaines (phishing, insiders), techniques (panne matérielle, zero-day), naturelles (incendie, dégât des eaux) ou organisationnelles (défaillance fournisseur). Leur pendant est la vulnérabilité, qu'elles peuvent exploiter.

Faiblesse ou lacune dans un système, un processus ou l'organisation qui peut être exploitée par une menace. Exemples typiques : logiciels non patchés, absence de séparation des accès, authentification faible, responsabilités floues. Seule la combinaison menace + vulnérabilité génère réellement un risque.

Personne de l'organisation qui porte la responsabilité métier et organisationnelle du pilotage d'un risque concret. Le propriétaire décide des mesures, valide les risques résiduels et rend compte des évolutions. Important : ce n'est pas le CISO ni le risk manager, mais le responsable opérationnel ou de ligne concerné.

Modèle de gouvernance répartissant les responsabilités sur trois lignes : la première ligne (entités opérationnelles qui pilotent directement les risques), la deuxième ligne (fonctions de gestion des risques et de conformité qui supervisent et conseillent) et la troisième ligne (audit interne, qui contrôle de manière indépendante). D'origine bancaire, ce modèle est aujourd'hui appliqué tous secteurs confondus.

La norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Elle définit les exigences d'établissement, d'exploitation et d'amélioration continue d'un SMSI. La version actuelle est ISO/IEC 27001:2022 ; les mesures figurent en annexe A et sont détaillées dans l'ISO/IEC 27002. Les certifications durent en général trois ans avec des audits de surveillance annuels.

Norme générique de gestion des risques, non certifiable mais largement utilisée comme cadre de référence. Elle décrit des principes (intégré, structuré, inclusif, dynamique), un cadre et un processus de gestion des risques. Neutre par rapport aux secteurs, l'ISO 31000 sert souvent de socle lorsqu'il faut intégrer plusieurs types de risques (IT, opérationnels, financiers, projet).

Norme ISO dédiée au management de la continuité d'activité. Elle définit comment les organisations détectent les perturbations, y répondent et s'en remettent. Ses éléments centraux sont la Business Impact Analysis, le Plan de continuité d'activité et le Plan de reprise d'activité. Certifiable et fréquemment exigée dans les organisations à processus critiques (services financiers, santé, infrastructures critiques).

Référentiel cybersécurité élaboré par le National Institute of Standards and Technology américain. La version actuelle 2.0 (2024) s'articule autour de six fonctions : Govern, Identify, Protect, Detect, Respond, Recover. Non certifiable mais mondialement reconnu, idéal comme outil d'auto-évaluation et comme pont entre contrôles techniques et gouvernance.

Directive européenne sur la sécurité des réseaux et systèmes d'information entrée en vigueur en 2023, en remplacement de NIS. Elle élargit massivement le périmètre (environ 160 000 entreprises à l'échelle UE) et impose des obligations strictes : mesures de gestion des risques, notification d'incidents, responsabilité personnelle des dirigeants. Les entreprises suisses avec des filiales ou des clients significatifs dans l'UE sont concernées indirectement.

Règlement européen applicable au secteur financier depuis janvier 2025. DORA impose aux banques, assureurs et acteurs des marchés financiers une résilience opérationnelle numérique complète, avec des exigences fortes en matière de gestion des risques IT, de reporting d'incidents, de tests d'intrusion et de gestion des risques tiers. Le règlement est d'application directe, sans transposition en droit national.

Référentiel de gouvernance et de management des SI publié par l'ISACA. La version actuelle COBIT 2019 distingue les objectifs de gouvernance et de management et vise davantage l'IT d'entreprise dans son ensemble que l'ISO 27001. COBIT est souvent choisi par les organisations qui veulent ancrer l'IT comme fonction stratégique.

Examen structuré et indépendant vérifiant que des exigences définies, issues d'une norme, d'un contrat ou de politiques internes, sont effectivement respectées. On distingue les audits internes (menés par l'audit interne), externes (audit fournisseur par un client) et de certification (par des organismes accrédités). Un rapport d'audit documente les constats, les non-conformités et les recommandations.

Dispositif concret qui réduit un risque ou apporte une preuve de conformité. Les contrôles se répartissent en préventifs (empêcher), détectifs (détecter) et correctifs (réparer). Exemples : principe des quatre yeux sur les paiements (préventif), alerte SIEM (détectif), restauration à partir de sauvegarde (correctif). L'ISO 27002 liste 93 mesures de sécurité de l'information.

Règlement européen 2016/679, applicable depuis mai 2018. Il encadre le traitement des données à caractère personnel des personnes physiques et s'applique également aux entreprises hors UE dès lors qu'elles offrent des biens ou services dans l'UE ou suivent des citoyens européens (principe du marché). Amendes jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial annuel, les entreprises suisses avec des clients UE y sont soumises comme les européennes.

La loi fédérale suisse révisée sur la protection des données, en vigueur depuis le 1^er septembre 2023. Elle aligne largement le niveau suisse sur le standard RGPD tout en restant plus légère (pas d'obligation générale d'analyse d'impact, pas de droits d'accès automatiques vers de nombreux États tiers). Les violations peuvent donner lieu à des poursuites pénales, amendes jusqu'à 250 000 CHF, prononcées contre des personnes physiques, non contre l'entreprise.

Analyse de risques structurée que les responsables de traitement doivent réaliser lorsqu'un traitement est susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées. Déclencheurs typiques : surveillance systématique, grands volumes de données sensibles, nouvelles technologies. L'AIPD documente le traitement, évalue les risques et définit les mesures, elle doit être actualisée régulièrement.

Contrat écrit entre un responsable de traitement et un sous-traitant encadrant le traitement des données personnelles. Composantes obligatoires : objet, durée, nature des données, instructions contraignantes, obligations du sous-traitant (confidentialité, MTO, sous-sous-traitance, droits des personnes), droits d'audit. Sans contrat valide, la transmission à un prestataire est illicite.

Personne physique identifiée ou identifiable dont les données personnelles sont traitées. Ses droits incluent notamment l'accès, la rectification, l'effacement, l'opposition, la portabilité et le droit de ne pas faire l'objet d'une décision purement automatisée. Ces droits doivent généralement être traités dans un délai d'un mois.

Personne physique ou morale qui traite des données personnelles pour le compte d'un responsable de traitement. Exemples classiques : fournisseurs cloud, prestataires IT, gestionnaires de paie. Le sous-traitant ne peut traiter les données que sur instructions documentées, doit mettre en œuvre des MTO appropriées et être en mesure de le démontrer.

Ensemble des dispositifs assurant un niveau de protection adéquat pour le traitement. Techniques : chiffrement, contrôle d'accès, pseudonymisation, sauvegardes. Organisationnelles : modèles de rôles, formations, engagements de confidentialité, politiques de suppression. Les MTO sont un élément central de tout contrat de sous-traitance et sont examinées lors des audits.

Étude systématique identifiant les processus métier critiques, leurs dépendances et l'ampleur du préjudice qu'une indisponibilité entraîne dans le temps. Elle produit une liste priorisée des processus avec leurs objectifs RTO et RPO. La BIA est le fondement de tout PCA, sans elle, les plans de reprise deviennent arbitraires.

Manuel qui, en cas de crise, encadre la poursuite des processus critiques, avec rôles, circuits d'alerte, sites de repli, priorités et procédures de reprise. Un PCA n'est utile que s'il est testé et mis à jour régulièrement ; un plan au fond d'un tiroir est pire que pas de plan du tout, car il donne une fausse impression de sécurité.

Volet technique de la planification de continuité : comment les systèmes IT, données et infrastructures sont rétablis après une perturbation. Le PRA précise les étapes concrètes, bascule vers le data center de secours, restauration à partir des sauvegardes, redéploiement des services. Là où le PCA est orienté processus métier, le PRA est orienté systèmes.

Durée maximale admissible entre une panne et la reprise d'un processus ou d'un système. Un RTO de « 4 heures » pour le système comptable signifie : au plus tard quatre heures après la panne, le système doit fonctionner à nouveau. Le RTO découle de la BIA et influence directement le coût des solutions de continuité, un RTO bas impose des systèmes redondants et un hot standby.

Perte de données maximale tolérable, mesurée en temps. Un RPO d'« 1 heure » signifie : lors d'une panne totale, au plus une heure de données peut être perdue. Le RPO conditionne la fréquence des sauvegardes, RPO = 24 h autorise des sauvegardes quotidiennes, RPO = 15 min impose une réplication continue.

Durée maximale pendant laquelle un processus peut être indisponible sans compromettre sérieusement la survie ou les objectifs stratégiques de l'organisation. La MTPD est une borne absolue ; le RTO doit se situer nettement en dessous. Là où le RTO est défini opérationnellement, la MTPD relève typiquement d'une décision de direction.

Niveau de service minimum à maintenir pendant une perturbation. Exemple : un centre d'appels traite normalement 100 demandes par heure, son MBCO peut être de 20 par heure, avec une équipe réduite en mode dégradé. Le MBCO oblige à définir clairement ce qui doit absolument continuer à fonctionner.

Ensemble des structures, processus et canaux de communication activés en cas de crise. On y trouve généralement une cellule de crise aux rôles clairement définis (direction, communication, IT, juridique, RH), des circuits d'escalade prédéfinis et des procédures éprouvées. Une bonne gestion de crise se voit au fait que les 60 premières minutes ne sont pas improvisées.

Guide détaillé, étape par étape, pour une situation opérationnelle précise, par exemple « panne du serveur de base de données primaire » ou « suspicion de ransomware sur un poste d'administration ». Les runbooks doivent être rédigés pour qu'une personne autre que l'auteur initial puisse exécuter correctement les actions : prérequis clairs, étapes numérotées, points de décision, validations.

Les trois objectifs classiques de la sécurité de l'information : confidentialité (seules les personnes autorisées accèdent aux données), intégrité (les données ne sont pas modifiées à l'insu de tous), disponibilité (les données et systèmes sont accessibles lorsqu'ils sont nécessaires). La triade est le point de départ de toute analyse de risques, pour chaque actif, on fixe le niveau requis de chacun des trois objectifs.

Catalogues de bonnes pratiques maintenus par le Center for Internet Security : les CIS Controls sont 18 mesures de sécurité priorisées ; les CIS Benchmarks sont des configurations de durcissement spécifiques à des produits (Microsoft 365, Windows Server, AWS, Kubernetes, etc.). Les benchmarks sont particulièrement appréciés des PME suisses car ils sont directement actionnables et mis à jour régulièrement.

Paradigme de sécurité fondé sur le principe « never trust, always verify ». Plutôt que de considérer le réseau interne comme fiable (modèle de périmètre classique), chaque accès, interne ou externe, est authentifié, autorisé et vérifié en continu. Le Zero Trust n'est pas un produit mais une architecture, déployée sur plusieurs années.

Procédure de connexion combinant au moins deux facteurs indépendants : savoir (mot de passe), possession (smartphone, token matériel) ou inhérence (empreinte, visage). La MFA est la mesure unique la plus efficace contre le vol de mot de passe et le phishing, elle bloque plus de 99 % des attaques automatisées. À implémenter de préférence avec FIDO2 / passkeys, pas avec SMS.

Plateforme qui collecte, corrèle et analyse logs et événements provenant de sources variées (pare-feu, postes, services cloud, applications). Un SIEM détecte les motifs laissant supposer une attaque, déclenche des alertes et soutient l'analyse forensique. Produits connus : Splunk, Sentinel, QRadar, Elastic Security. Un SIEM sans cas d'usage définis ni monitoring 24/7 n'est qu'un coûteux entrepôt de logs.

Ensemble des processus et systèmes qui régissent quelles identités numériques existent dans l'organisation et à quelles ressources elles accèdent. L'IAM couvre les processus joiner-mover-leaver, les modèles de rôles (RBAC), la gestion des accès à privilèges, la fédération d'identité (SSO) et les recertifications d'accès. Les faiblesses de l'IAM figurent parmi les causes les plus fréquentes de constats de conformité.

Attaque par ingénierie sociale amenant la victime, via des messages falsifiés, à révéler des identifiants ou à exécuter un code malveillant. Variantes : spear phishing (ciblé sur un individu), whaling (dirigeants), Business Email Compromise (faux ordre du CEO). Les contrôles techniques (filtres mail, DMARC, MFA) ne sont efficaces qu'en combinaison avec de la sensibilisation.

Logiciel malveillant qui chiffre les données de la victime et exige une rançon pour leur déchiffrement, les variantes modernes exfiltrent en plus des données et menacent de les publier (« double extortion »). Les attaques par ransomware contre des PME et communes suisses ont fortement augmenté ces dernières années. Défenses clés : sauvegardes offline testées, segmentation réseau, MFA et un playbook réaliste.

Le système de management qui pilote la sécurité de l'information, analogue au système de management de la qualité (SMQ) ou de l'environnement (SME). Il regroupe politiques, processus, rôles, gestion des risques, mesures de contrôle, formations, audits et amélioration continue (cycle PDCA). Un SMSI certifié ISO 27001 est souvent un prérequis pour travailler avec de grands comptes ou le secteur public.

Délimitation précise des parties de l'organisation (sites, entités, services, systèmes) couvertes par le SMSI. Un périmètre judicieusement choisi est le levier décisif : trop petit, la certification perd de sa valeur ; trop large, la mise en œuvre devient écrasante. Il doit être justifié et documenté de manière compréhensible et figure sur le certificat.

Document central d'un SMSI ISO 27001 : liste de l'ensemble des 93 mesures de l'annexe A précisant si elles sont appliquées, pourquoi (ou pourquoi pas) et où se trouvent les preuves. La SoA est le premier document que consulte un auditeur de certification, elle révèle avec quel recul l'organisation a choisi ses mesures. Une SoA affichant « toutes applicables, aucune exception » est un signal d'alerte.

Cycle d'amélioration à la base de tout système de management : Plan (définir objectifs et mesures), Do (mettre en œuvre), Check (vérifier l'efficacité), Act (ajuster). En pratique : revues annuelles des risques, audits réguliers, revues de direction, amélioration continue. Sans PDCA, un SMSI n'est qu'un ensemble de documents figés.

Écart documenté par rapport à une exigence définie, d'une norme, d'une politique interne, d'un contrat. On distingue les écarts majeurs (défaillance systémique, menaçant la certification) et mineurs (écart isolé). Toute NC doit faire l'objet d'une analyse des causes et d'une action corrective avant que la certification ne soit renouvelée.

Autorité suisse de surveillance en matière de protection des données, le pendant des autorités nationales de l'UE (comme le BfDI allemand). Sous la nLPD, les compétences du PFPDT sont nettement élargies : enquêtes, injonctions contraignantes, réception des notifications de violation de données. Ses fiches et lignes directrices sont la principale source d'interprétation de la nLPD.

Autorité suisse de surveillance des banques, assureurs, bourses et directions de fonds. Les circulaires FINMA (telles que Circ. 2023/1 « Risques opérationnels et résilience » et Circ. 2008/21 « Risques opérationnels, banques ») fixent des exigences contraignantes en matière de gestion des risques, de sécurité informatique et de continuité d'activité pour les établissements assujettis.

Autorité nationale de cybersécurité, issue du Centre national pour la cybersécurité (NCSC). Elle exploite le guichet de notification des cyberincidents, publie des recommandations et coordonne la réponse en cas d'attaques contre les infrastructures critiques. La loi sur la sécurité de l'information (LSI), en vigueur depuis 2024, prévoit une obligation de notification graduée pour certaines organisations.

Directive publiée par l'Office fédéral pour l'approvisionnement économique du pays (OFAE) qui recommande une protection de base pour les exploitants d'infrastructures critiques en Suisse. Son contenu s'appuie sur le NIST CSF, avec des adaptations spécifiques à la Suisse. Ce n'est pas une loi, mais elle est fréquemment citée dans les appels d'offres et les standards sectoriels (électricité, eau, transports).

Loi fédérale en vigueur depuis janvier 2024, qui régit la sécurité de l'information auprès des autorités fédérales et de certains exploitants d'infrastructures critiques. À partir de 2025, s'y ajoute une obligation de notification des cyberincidents pour les infrastructures critiques. L'effet sur le secteur privé est indirect, mais tout titulaire de mandats fédéraux doit travailler conformément à la LSI.