FGBX Consulting

ComplyOPS un nouveau métier ? La #Conformité, bien que fondamentale, est à considérer comme un point de départ sur le chemin de la cybersécurité. Elle se concentre sur le respect des réglementations et des normes de l'industrie, démontrant ainsi l'engagement à protéger les données sensibles. Malheureusement, elle se concentre sur l'accomplissement de critères prédéterminés à un moment spécifique sans prendre en compte l'évolution constante des menaces. Elle est statique. A l'inverse, la #Cybersécurité est une approche proactive et dynamique qui implique une surveillance continue, la détection des menaces, des évaluations de vulnérabilité, une réponse aux incidents et la sensibilisation des collaborateurs. Elle vise à mettre en place des mesures pour atténuer les risques avant que les attaquants n'exploitent les faiblesses des systèmes (et des personnes). Ainsi la conformité peut créer un faux sentiment de sécurité, car les organisations qui se concentrent uniquement sur le respect des normes peuvent négliger les menaces émergentes ou ne pas adapter leurs défenses en conséquence. La cybersécurité, quant à elle, repose sur l'amélioration continue et la mitigation des menaces au cours du temps. L'appréhension du risque peut débuter par une approche par conformité. Les mesures opérationnelles ne doivent cependant pas suivre l'objectif premier de cocher des cases produisant des tableaux de bords dans les tons exclusivement verts. #Codir: Les présentations avec des indicateurs pastèques 💚 🍉 💥 (vert à l'extérieur et rouge à l'intérieur) ne protègent pas l'Entreprise. Protéger véritablement ses actifs résulte d'une culture de sensibilisation à la sécurité et à la sureté de fonctionnement des systèmes d'information #Résilience. Un objectif pour les RSSI serait de promouvoir la conformité comme atout confiance pour atteindre l'enjeux opérationnel de couverture des risques. La conformité est une exigence minimale, la cybersécurité est un impératif stratégique.

RSSI , un t-shirt XXL ? La cybersécurité est un des enjeux de cet été 🌞 #JO2024 et les RSSI sont à l'œuvre. Mais leurs responsabilités ne se limitent plus seulement à la protection contre les cybermenaces. Les études de l'IANS et du Gartner révèlent que d'ici 2027, 45% des missions des RSSI s'étendront au-delà de la cybersécurité, en raison de l'accroissement des exigences réglementaires et de l'expansion des surfaces d'attaque. Les RSSI travaillent désormais en étroite collaboration avec la Direction, les régulateurs, les assureurs et les finances pour établir des budgets appropriés et aligner les risques cyber avec la stratégie business. Ils doivent également maîtriser le langage des affaires afin de traduire ces enjeux techniques en termes de risques et d'opportunités pour l'entreprise. Face à la complexité croissante des technologies, certaines organisations ont choisi de différencier les responsabilités entre plusieurs rôles, avec d'un côté les contrôles techniques et de l'autre la gestion des risques commerciaux. Quelles seraient donc les voies à suivre pour un RSSI ? Devrait-il être proche des métiers pour en protéger la #valeur? Devrait-il être global en dépassant la seule sécurité de l'information en se transformant en gestionnaire #Data? Devrait-il être un Geek et se rapprocher de l'#innovation pour améliorer la compétitivité de l'Entreprise grâce à l'IA? Ceci interroge sur la répartition des responsabilités et des lignes hiérarchiques associées. Le résultat s'orientera en fonction de la maturité de l'Entreprise en SSI , de son appétit pour la technologie et de l'importance de données dans son pilotage.

Risques de la sous-traitance: De la Cyber aux RiskOPS. Les réglementations axées #Résilience invitent à prendre la mesure du poids des sous traitants dans la chaine de valeur de l'Entreprise. La mise en avant de la thématique #Cyber telle que la fuite de données confidentielles ou l'interruption d'activité via rançongiciel ne doit masquer les autres risques dans vos analyses. N'oubliez donc pas: ➡ L'analyse financière : La trésorerie du fournisseur est-elle en difficulté ou a-t-il une dépendance excessive? Quid d'un rachat par un concurrent de l'Entreprise ? ➡ Le pilotage opérationnel : La qualité et les livraisons sont elles au rendez vous ? A défaut, la communication est elle transparente ? ➡ L'adaptabilité : Le fournisseur propose-t-il des solutions innovantes ? Est-il flexible en cas de changements de volume ? ➡ La conformité: Suit-il et maintient-il des certifications ? A-t-il des pratiques controversées en terme de RSE qui pourrait nuire à l'Entreprise ? ➡ Et bien sûr, la Cybersécurité Quelle adhérence a-t-il avec mes systèmes ? Face à ces risques, quelques éléments de plan d'action: 1️⃣ Cartographier votre écosystème de partenaires et identifier les risques potentiels. 2️⃣ Évaluer régulièrement la solidité financière et la gouvernance de vos sous-traitants. 3️⃣ Mettre en place des mesures de sécurité et de contrôle adaptées. 4️⃣ Prévoir des plans de continuité en cas de défaillance d'un fournisseur. #ContinuitéActivité #RisquesSousTraitance

A vos Marques, prêts ? GPT ! La capacité d'analyser des données de manière rapide et efficace par l'#IA devient un enjeux majeur pour les entreprises et des projets de GPT internes fleurissent. Le "Corporate GPT" , nouveau maillon de la chaine de valeur, est-il un fournisseur de service comme un autre ? Le RGPD traite des aspects de la collecte et l'utilisation des données par les fournisseurs mais quand est-il de la transparence des algorithmes? Sera-t-il nécessaire de conserver des preuves ayant conduit aux décisions prises ? Un cadre est à instaurer en amont des premiers uses case. La mise en place des chartes et le suivi de son utilisation favoriseront le développement de la confiance en l'IA. La formation et la responsabilisation des utilisateurs sont tout aussi essentielles pour garantir une appropriation correcte de l'IA en entreprise. Les professionnels de la sécurité de l'information ne pourront être les seuls à surveiller les potentiels comportements déviants. #Cybersécurité Le règlement sur l'IA adopté par le Parlement européen joue un rôle crucial dans la mise en place de cadres réglementaires. Néanmoins, seule une collaboration étroite entre différents départements au sein des entreprises, tels que l'éthique, la conformité, les ressources humaines ,le juridique et la sécurité pourra aborder de manière holistique les implications de l'IA pour les métiers. #GouvernanceDesDonnées

Vous connaissez les SIE #NIS , voici les SIA #IA. Le Parlement européen a adopté la législation sur l'intelligence artificielle: l'IA Act. La réglementation se concentre sur les "systèmes d'intelligence artificielle" (SIA), définis comme des systèmes automatisés capables d'adaptation après leur déploiement. Si les SIE sont catégorisés selon leur criticité, les SIA le sont par leur dangerosité. Ainsi, les SIA sont à "haut risque" s'ils impactent les droits fondamentaux, la sécurité ou la santé. Les fournisseurs de SIA à haut risque devront appliquer des exigences que l'ont pourrait qualifier de #TransparancyByDesign et permettre le contrôle humain. Aura-t-on des Captchat "Vérifiez que vous (?) êtes une puissance de calcul." ?

De l'expert technique au droit international, la #cyber dans tous ces Etats. Le mois dernier, InterCERT France alertait sur les risques liés à une dépendance excessive aux solutions Microsoft. Aujourd'hui Reuters nous apprend que l'exigence de non dépendance aux lois non européennes serait supprimée du projet EUCS. #Cloud Les objections à la souveraineté étant de mettre l'accent sur dispositions techniques plutôt que les obligations politiques. Au quotidien, le fait de durcir les postes utilisateurs ne légitime pas l'absence d'une charte d'utilisation ou d'un règlement intérieur. Surtout si l'on décide de faire confiance à un contrat B2B avec partenaire étranger pour la gestion de données sensibles. Au delà de la souveraineté et au regard de l'augmentation de la fréquence des incidents climatiques/épidémiologiques ; peut être serait-il bon de revoir les clauses de "force majeure" afin de s'assurer contractuellement de la continuité du service souscrit. #Contrat Sources : https://lnkd.in/dksj-amv https://lnkd.in/emWUdX5V

#DORA #NIS2.... jamais 2 dans 3! #CRA