La bibliothèque Cyber Academy.

Ressources GRC de référence éprouvées sur le terrain, rédigées par un CISO actif. Articles, guides approfondis, une encyclopédie en croissance et une newsletter hebdomadaire qui ne vous fait pas perdre votre temps.

Resources

Les pages piliers

See all

Pillar

NIS 2 : le guide qui remplace votre veille juridique.

Dans le périmètre : 18 secteurs, entités de taille moyenne (50+ ETP / 10M+ de chiffre d'affaires) et supérieure. Deux catégories, essentielles et importantes, avec une intensité de supervision différente.Dix mesures de gestion des risques de cybersécurité au titre de l'Article 21. La directive dit quoi ; ISO 27001 est le comment le plus courant.Notification d'incident : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Définissez le processus avant d'en avoir besoin.La responsabilité personnelle et la responsabilité de la direction sont désormais explicites. Le conseil d'administration est engagé, pas seulement le RSSI.L'état de transposition varie d'un pays à l'autre : vérifiez votre autorité nationale avant de supposer que le texte de l'UE s'applique tel quel.

Lire le guide

Pillar

DORA : ce que votre RSSI ne vous a pas dit.

S'applique à une vingtaine de catégories d'entités financières ainsi qu'aux prestataires tiers de services TIC critiques désignés, depuis le 17 janvier 2025.Cinq piliers. Le registre des tiers (pilier 4) et les tests de résilience (pilier 3, dont le TLPT pour les entités significatives) sont les plus opérationnels et les plus audités.Pour les entités significatives, des tests de pénétration fondés sur la menace tous les trois ans, supervisés par l'autorité nationale dans le cadre de TIBER-EU.Les prestataires tiers de services TIC critiques sont supervisés directement par les autorités européennes de surveillance (ESAs). Leur risque de concentration compte désormais à l'échelle de l'UE.À combiner avec ISO 22301 pour le BCMS, ISO 27001 pour la gestion du risque TIC, et Lead Operational Resilience Manager pour la couche face au régulateur.

Lire le guide

Pillar

ISO 27001 : Foundation, Lead Implementer, Lead Auditor, laquelle choisir ?

Foundation est le prérequis. Elle apporte le vocabulaire et le modèle mental du système de management. Deux jours, examen d'1 heure.Lead Implementer (5 jours) vous apprend à construire le ISMS, à rédiger la SoA, à mener le traitement des risques et à faire fonctionner le cycle de revue de direction.Lead Auditor (5 jours) vous apprend à planifier et à diriger des audits tierce partie ou internes. Un état d'esprit différent : preuves, échantillonnage, technique d'entretien, rédaction du rapport.La plupart des CISOs et responsables sécurité suivent Lead Implementer. Les auditeurs internes et les consultants Big Four suivent Lead Auditor. Suivre les deux sur 12 à 18 mois est courant.Taux de réussite sur les cohortes PECB animées par un formateur : 99,1 % au premier essai sur nos sessions ; la moyenne du marché se situe entre 80 % et 85 % selon le partenaire.

Lire le guide

Encyclopedia preview

See all 87

AI Risk Manager

AI Risk Manager est la certification (PECB / ISACA, en cours de développement) destinée aux praticiens qui pilotent des programmes de gestion des risques propres à l'IA : risque modèle, biais, dérive, transparence, risque tiers lié aux modèles. Couche opérationnelle qui complète ISO/IEC 42001 (niveau système) et l'AI Act (couche réglementaire). Complément courant du CISO ou du Lead AI Auditor.

Advanced in AI Audit

AAIA

AAIA est le credential avancé ISACA pour l'audit des systèmes d'IA, des modèles et de la gouvernance. Lancé en 2024. Nécessite un CISA ou équivalent. Conçu pour les auditeurs seniors souhaitant intégrer une compétence IA, aligné sur ISO 42001 et les obligations de l'AI Act relatives aux systèmes à haut risque.

Agence de l'Union européenne pour la cybersécurité

ENISA

ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certification. Elle est impliquée opérationnellement dans la coopération NIS 2, les normes d'exécution DORA et le socle de sécurité de l'AI Act. Son rapport annuel sur le paysage des menaces est la publication annuelle la plus citée du secteur.

Agence nationale de la sécurité des systèmes d'information

ANSSI

ANSSI est l'agence nationale française de cybersécurité, rattachée au Premier ministre depuis 2009. Autorité nationale en matière de politique de cybersécurité en France, elle qualifie les produits et les prestataires de services, publie EBIOS Risk Manager et agit en tant qu'autorité compétente pour la transposition de NIS 2. Ses qualifications (SecNumCloud, PVID, PASSI) constituent la référence dans le secteur public français.

Analyse d'impact relative à la protection des données

DPIA

Une DPIA est l'analyse structurée que le GDPR impose avant tout traitement à risque élevé. Elle documente la nature, la portée, le contexte et les finalités du traitement ; évalue la nécessité et la proportionnalité ; identifie les mesures d'atténuation. La CNIL met à disposition un outil PIA gratuit à cet effet. Omettre une DPIA lorsqu'elle était obligatoire est l'un des moyens les plus sûrs d'attirer l'attention d'un régulateur.

Appétit pour le risque

L'appétit pour le risque est la quantité et le type de risque que l'organisation est disposée à accepter pour atteindre ses objectifs. Il est défini par la direction générale ou le conseil d'administration, par écrit. Sans lui, chaque décision de traitement du risque repose sur le jugement personnel de l'équipe risque, et l'audit ne manquera pas de le relever. À associer avec la tolérance au risque (l'écart accepté autour de l'appétit).

Cinq liens sélectionnés chaque lundi à 8h.

Réglementation cyber européenne, constats d'audit, modèles et prises de position courtes. Depuis le bureau d'un CISO actif. Gratuit. Sans remplissage.

S'abonner à The GRC Brief