OneTrust Les multiples facettes des plateformes de GRC (Gouvernance, Risques et Conformité)

La taille du marché mondial des plateformes de gouvernance, risque et conformité (GRC) était de 27,8 milliards de dollars en 2020, selon le cabinet Expert Market Research. Ce dernier prévoit que le marché devrait atteindre 52,6 milliards de dollars en 2026, suivant un taux de croissance annuel moyen de 11,2 % sur la période de prévision.

Le domaine de la gouvernance, du risque et de la conformité désigne une approche structurée utilisée par les entreprises pour traiter les problèmes liés à la gouvernance d’entreprise, à la gestion des risques d’entreprise (ERM) et pour se conformer pleinement aux exigences réglementaires.

Les plateformes de GRC couvrent généralement un périmètre relativement large, proposant une gestion intégrée des risques pour les équipes de sécurité, de gouvernance, d’audit, de gestion des risques et de conformité.

« Les principaux risques auxquels les entreprises sont soumises sont les risques IT et de sécurité, les risques fournisseurs et les risques d’entreprise et opérationnels. Les organisations doivent pouvoir identifier, mesurer, atténuer et contrôler les risques liés à leurs activités dans leur ensemble », déclare Alain Ter Markossian, Senior Manager Solutions Engineering France & SEMEA chez OneTrust.

Risques IT et fournisseurs

Les risques IT et de sécurité des systèmes d’information sont ceux compris dans toute chaîne d’information. Les risques fournisseurs sont ceux liés aux partenaires de l’entreprise, ce sont des risques qualifiés de « tiers » (Third Party Risk Management / TPRM en anglais).

« Si une entreprise installe une machine à café dans sa cafétéria, à laquelle les collaborateurs doivent se connecter pour commander un café, ou pour laquelle ils doivent utiliser leur empreinte digitale, il s’agit typiquement d’un risque tiers. Et dans le cas présent, ce risque tiers englobe aussi le risque d’utilisation de données sensibles », note Alain Ter Markossian.

Pour répondre à ces enjeux, les plateformes de GRC permettent aux organisations de toute taille de synchroniser leurs outils et infrastructures numériques, d’évaluer les risques sur l’ensemble de leurs opérations et de les classer automatiquement. Les entreprises peuvent ainsi établir et appliquer leur méthode de cotation des risques dans un cadre défini ou adopter une approche personnalisée.

Quant à la gestion des risques fournisseurs, les plateformes de GRC facilitent la mise en place d’un inventaire exhaustif des prestataires et le référentiel associé. Et ce tout en rationalisant la gestion des contrats grâce à la technologie et aux services permettant d’automatiser les évaluations et de gérer le remplissage des questionnaires fournisseurs en attente.

Gestion des risques opérationnels et d’entreprise

Mais un des grands enjeux des plateformes de GRC, outre la gestion des risques IT / sécurité et ceux liés aux fournisseurs, est également d’englober les risques opérationnels et d’entreprise. « Ces risques correspondent aux activités tactiques quotidiennes des organisations. Si une entreprise a un ‘trou dans la raquette’ en termes de risques IT et fournisseurs, il est possible de quantifier et de qualifier les impacts commerciaux liés à ces risques », précise Alain Ter Markossian.

En matière de risques opérationnels et d’entreprise, les plateformes de GRC permettent de quantifier le risque à partir de statistiques concrètes pour mesurer les conséquences potentielles sur les activités, de communiquer des renseignements sur les activités stratégiques de l’entreprise et d’identifier et d’indexer ces renseignements afin de faciliter la rédaction de rapports à l’intention des équipes dirigeantes.

Un périmètre qui s’étend jusqu’à la gestion des incidents

Mais jusqu’où s’étend le périmètre des solutions de gouvernance, risque et conformité ? En cherchant à répondre à cette question, il est étonnant de constater qu’une plateforme de GRC peut aussi couvrir la gestion des incidents et réagir à tout genre de violation, qu’elle soit IT ou autre.

« C’est là que nous représentons une force. Par exemple, si nous faisons de la gestion des incidents, il faut savoir réagir s’il y a une violation des données et minimiser les pertes. Si nous nous faisons voler les données personnelles de nos collaborateurs, nous devons pouvoir interagir sur le fait qu’il s’agissait d’un risque IT, et renforcer la protection des données personnelles », observe Alain Ter Markossian.

Pour assurer une gestion des incidents efficace, les solutions de GRC permettent aux organisations de contenir les incidents et de réagir aux violations de données pour éviter et minimiser les pertes. Mais aussi d’étendre le signalement des incidents grâce à un portail libre-service disponible aux personnes internes ou externes à l’entreprise, et d’exécuter et trier les problèmes selon un workflow défini, tout en collaborant avec les parties prenantes.

« Un de nos clients – une entreprise spécialisée dans les solutions pour la distribution et la vente de services de voyages – quand il souhaite intégrer un nouveau fournisseur pour mettre en place une nouvelle fonctionnalité ou application dans les aéroports, procède dans un premier temps à de la gestion des risques fournisseurs. Une fois que le fournisseur est ‘intégré’, il regarde ce qu’il peut représenter comme risque IT. Enfin, si l’outil proposé par ce fournisseur utilise des données personnelles, il est nécessaire de surveiller la gestion de ces données et des incidents si, un jour, cette application-là ‘craque’ », détaille Alain Ter Markossian.

Comme nous pouvons le constater, la couverture fonctionnelle des plateformes de gouvernance, risque et conformité est donc très large. « Au sein des entreprises, ce sont les RSSI qui ont la charge de gérer l’ensemble des menaces que peuvent représenter l’IT, les fournisseurs ou tout ce qui est lié à la cybernétique. Ils doivent donc s’équiper des bons outils pour se protéger, sachant que toutes les entreprises sont concernées », conclut Alain Ter Markossian.