Quand j'explique mon travail, je dois commencer par expliquer que non, je ne suis pas un hacker qui essaie de trouver des failles dans les outils et systèmes. Je ne sauve pas non plus le monde en regardant des milliers de lignes de code défiler sur mon écran pour stopper la menace ultime. Et ce n'est pas non plus ma spécialité de parcourir le dark web pour retrouver des données volées. Je sais bien bricoler quelques petites choses sympathiques pour illustrer mes propos, mais à chacun son métier.

Bref, j'explique le travail d'un consultant en Gouvernance, Risque et Conformité.

La GRC, c'est avant tout une approche méthodique, un moyen d'atteindre des objectifs clairs en choisissant le meilleur chemin. Et l'objectif est clair pour moi : m'assurer que mes clients se sentent suffisamment sereins face aux menaces informatiques.

Qu'ils puissent se concentrer sur ce qu'ils font de mieux : leur métier.

La gouvernance, c'est d'abord une approche centrée sur le client.

Ma priorité absolue, c'est de comprendre vos objectifs, vos besoins, vos problèmes, et surtout vos contraintes. Et bref, ne pas arriver avec des solutions génériques pour des problèmes qui n'en sont pas, sans tenir compte de vos possibilités et vos moyens.

En bref, je ne suis pas là pour vendre un produit sous prétexte que je l'ai au catalogue ou en stock. Je ne dispose d'ailleurs d'aucun produit à mon catalogue. Je sais par contre vous aider à choisir ce qui fera réellement la différence.

Mon objectif c'est de vous faire adopter la bonne posture et de vous donner les clés et les outils pour la maintenir sur la durée. Parce qu'une gouvernance ne vaut que si elle continue à bien fonctionner après mon départ.

Le risque, c'est le fait de rechercher et anticiper en permanence les failles et limitations qui pourraient être demain le point d'entrée d'une attaque, avec les conséquences que l'on connait.

Les risques sont divers par nature. Techniques, organisationnels, humains ou encore environnementaux. Les connaître, c'est effectuer un travail de veille permanente. Ce qui est une partie importante de mon travail journalier et que je peux mutualiser.

Chaque risque ne se vaut pas. Voir l'article dédié.

Et pour chaque risque il existe parfois plusieurs solutions. Mon rôle est alors de repartir de la partie gouvernance pour déterminer la meilleure des solutions dans votre contexte.

Pas la plus chère. Pas la plus miraculeuse.  La plus adaptée.

C'est aussi dans la partie risque qu'on va parler le plus de technique. Pour déterminer les actions à mettre en place, les types de solutions à prévoir, les plans de mise en oeuvre, ou encore les processus associés (sauvegarde, continuité d'activité, ...).

La conformité, c'est un domaine à part entière. Plus encadré et ne laissant parfois que très peu de marge sur la mise en oeuvre. Il s'agit de mettre en place les éléments qui permettent d'être conforme à des lois, à des règlementations, ou à des normes. 

La conformité est souvent portée par une volonté au plus haut niveau (choisir de mettre en place une démarche ISO 27001), par des contraintes règlementaires (CRA, DORA, NIS2, ...) ou bien parce que les partenaires élèvent leur niveau d'exigence pour pouvoir travailler avec eux. Le plus souvent, le "choix d'y aller" est un mélange de toutes ces raisons.

Mon rôle est dans ce cas celui d'un facilitateur. Je vais partir de l'objectif et retranscrire l'intégralité des tâches et contraintes pour planifier, orchestrer, et jouer le chef de projet si vous le souhaitez. Sans compter un rôle à première vue secondaire mais pourtant clé :  garder les équipes motivées sur la durée !

En deux mots : efficacité et agilité.

Tout cela manque encore un peu de clarté ? Contactez-moi !