Glossaire GRC et risk management cyber
Définitions des termes essentiels pour comprendre et piloter votre démarche GRC.
- GRC
- Gouvernance, Risk management, Compliance. Désigne l'ensemble des processus permettant à une organisation de gouverner sa cybersécurité, gérer ses risques et assurer sa conformité réglementaire de façon intégrée.
- PSSI
- Politique de Sécurité des Systèmes d'Information. Document fondateur de la gouvernance cybersécurité, signé par la direction, définissant les objectifs, responsabilités et règles de sécurité de l'organisation.
- EBIOS Risk Manager
- Méthode française d'analyse de risques développée par l'ANSSI. Référence nationale pour les analyses de risques NIS2 et les homologations de systèmes sensibles.
- vCISO
- Virtual CISO (Chief Information Security Officer externalisé). Prestataire jouant le rôle de RSSI pour une organisation sans RSSI interne à temps plein. Adapté aux PME. Des distributeurs comme Resilium proposent ce type d'accompagnement pour les PME.
- Risk Assessment
- Évaluation des risques cyber. Processus d'identification, d'analyse et d'évaluation des risques pesant sur les actifs d'une organisation. Livrable obligatoire NIS2 et ISO 27001.
- PASSI
- Prestataire d'Audit de la Sécurité des Systèmes d'Information. Qualification délivrée par l'ANSSI aux cabinets d'audit ayant démontré leur compétence et leur indépendance.
- DORA
- Digital Operational Resilience Act. Règlement européen entré en vigueur en janvier 2025, imposant un cadre de gestion du risque ICT aux entités financières et à leurs prestataires critiques.
- NIS2
- Directive européenne sur la sécurité des réseaux et des systèmes d'information, version 2. Transposée en France en octobre 2024, elle concerne environ 15 000 entités dans 18 secteurs.
- Plan de traitement des risques
- Document opérationnel listant les risques identifiés, les mesures de traitement retenues, les responsables et les échéances. Livrable central de toute démarche GRC.
- ISO 27001
- Norme internationale de management de la sécurité de l'information. Certification volontaire délivrée après audit par un organisme accrédité. Souvent exigée par les clients grands comptes.