Resources
Ressources GRC de référence éprouvées sur le terrain, rédigées par un CISO actif. Articles, guides approfondis, une encyclopédie en croissance et une newsletter hebdomadaire qui ne vous fait pas perdre votre temps.
Blog
Articles courts sur les réglementations, les audits et le quotidien du CISO.
Pillars
Les guides complets sur NIS 2, DORA, ISO 27001, AI Act et bien d'autres.
Encyclopedia
Définitions en langage clair de tous les termes que vous rencontrerez sur le terrain.
Newsletter
Cinq liens sélectionnés sur la réglementation cyber européenne. Sans remplissage.
Latest

NIS 2 fait de la sécurité des tiers une obligation légale, et non une « bonne pratique ». Voici l'approche pragmatique, éprouvée sur le terrain, pour répondre aux exigences NIS 2 en matière de chaîne d'approvisionnement sans mettre votre organisation sous pression.
Read
La cybersécurité et la sûreté personnelle reposent sur les mêmes fondations : le contexte, la vigilance, la défense en profondeur et la capacité à réagir. La sécurité n'est pas seulement un métier ; c'est un état d'esprit qui s'applique partout.
Read
Orienté ISO ? Audit ? Gouvernance technique ? Voici une comparaison sans détour de PECB, ISACA et Exin ; et la filière de certification qui correspond réellement à vos objectifs de carrière en GRC.
ReadDeep dives
Pillar
Dans le périmètre : 18 secteurs, entités de taille moyenne (50+ ETP / 10M+ de chiffre d'affaires) et supérieure. Deux catégories, essentielles et importantes, avec une intensité de supervision différente.Dix mesures de gestion des risques de cybersécurité au titre de l'Article 21. La directive dit quoi ; ISO 27001 est le comment le plus courant.Notification d'incident : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Définissez le processus avant d'en avoir besoin.La responsabilité personnelle et la responsabilité de la direction sont désormais explicites. Le conseil d'administration est engagé, pas seulement le RSSI.L'état de transposition varie d'un pays à l'autre : vérifiez votre autorité nationale avant de supposer que le texte de l'UE s'applique tel quel.
Lire le guidePillar
S'applique à une vingtaine de catégories d'entités financières ainsi qu'aux prestataires tiers de services TIC critiques désignés, depuis le 17 janvier 2025.Cinq piliers. Le registre des tiers (pilier 4) et les tests de résilience (pilier 3, dont le TLPT pour les entités significatives) sont les plus opérationnels et les plus audités.Pour les entités significatives, des tests de pénétration fondés sur la menace tous les trois ans, supervisés par l'autorité nationale dans le cadre de TIBER-EU.Les prestataires tiers de services TIC critiques sont supervisés directement par les autorités européennes de surveillance (ESAs). Leur risque de concentration compte désormais à l'échelle de l'UE.À combiner avec ISO 22301 pour le BCMS, ISO 27001 pour la gestion du risque TIC, et Lead Operational Resilience Manager pour la couche face au régulateur.
Lire le guidePillar
Foundation est le prérequis. Elle apporte le vocabulaire et le modèle mental du système de management. Deux jours, examen d'1 heure.Lead Implementer (5 jours) vous apprend à construire le ISMS, à rédiger la SoA, à mener le traitement des risques et à faire fonctionner le cycle de revue de direction.Lead Auditor (5 jours) vous apprend à planifier et à diriger des audits tierce partie ou internes. Un état d'esprit différent : preuves, échantillonnage, technique d'entretien, rédaction du rapport.La plupart des CISOs et responsables sécurité suivent Lead Implementer. Les auditeurs internes et les consultants Big Four suivent Lead Auditor. Suivre les deux sur 12 à 18 mois est courant.Taux de réussite sur les cohortes PECB animées par un formateur : 99,1 % au premier essai sur nos sessions ; la moyenne du marché se situe entre 80 % et 85 % selon le partenaire.
Lire le guideVocabulary
AI Risk Manager est la certification (PECB / ISACA, en cours de développement) destinée aux praticiens qui pilotent des programmes de gestion des risques propres à l'IA : risque modèle, biais, dérive, transparence, risque tiers lié aux modèles. Couche opérationnelle qui complète ISO/IEC 42001 (niveau système) et l'AI Act (couche réglementaire). Complément courant du CISO ou du Lead AI Auditor.
AAIA est le credential avancé ISACA pour l'audit des systèmes d'IA, des modèles et de la gouvernance. Lancé en 2024. Nécessite un CISA ou équivalent. Conçu pour les auditeurs seniors souhaitant intégrer une compétence IA, aligné sur ISO 42001 et les obligations de l'AI Act relatives aux systèmes à haut risque.
ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certification. Elle est impliquée opérationnellement dans la coopération NIS 2, les normes d'exécution DORA et le socle de sécurité de l'AI Act. Son rapport annuel sur le paysage des menaces est la publication annuelle la plus citée du secteur.
ANSSI est l'agence nationale française de cybersécurité, rattachée au Premier ministre depuis 2009. Autorité nationale en matière de politique de cybersécurité en France, elle qualifie les produits et les prestataires de services, publie EBIOS Risk Manager et agit en tant qu'autorité compétente pour la transposition de NIS 2. Ses qualifications (SecNumCloud, PVID, PASSI) constituent la référence dans le secteur public français.
Une DPIA est l'analyse structurée que le GDPR impose avant tout traitement à risque élevé. Elle documente la nature, la portée, le contexte et les finalités du traitement ; évalue la nécessité et la proportionnalité ; identifie les mesures d'atténuation. La CNIL met à disposition un outil PIA gratuit à cet effet. Omettre une DPIA lorsqu'elle était obligatoire est l'un des moyens les plus sûrs d'attirer l'attention d'un régulateur.
L'appétit pour le risque est la quantité et le type de risque que l'organisation est disposée à accepter pour atteindre ses objectifs. Il est défini par la direction générale ou le conseil d'administration, par écrit. Sans lui, chaque décision de traitement du risque repose sur le jugement personnel de l'équipe risque, et l'audit ne manquera pas de le relever. À associer avec la tolérance au risque (l'écart accepté autour de l'appétit).
The GRC Brief
Réglementation cyber européenne, constats d'audit, modèles et prises de position courtes. Depuis le bureau d'un CISO actif. Gratuit. Sans remplissage.
S'abonner à The GRC Brief