Maîtrisez la terminologie GRC
Tous les termes essentiels de la gouvernance, des risques, de la conformité et de la cybersécurité — définis clairement, enrichis avec nos articles.
Actif informationnel
Toute information ou système d’information ayant de la valeur pour une organisation. Comprend les données personnelles, les bases de données, les logiciels, les infrastructures et les documents. La Loi 25 exige leur inventaire et leur classification.
Analyse d’écart (Gap Analysis)
Exercice consistant à comparer l’état actuel de la sécurité ou de la conformité d’une organisation avec les exigences d’un référentiel cible (ISO 27001, Loi 25, DORA, etc.). Le résultat identifie les écarts à combler par des plans d’action prioritaires.
Audit interne
Processus indépendant d’évaluation des contrôles internes, de la gestion des risques et de la conformité d’une organisation. En GRC, l’audit interne vérifie que les politiques et procédures sont appliquées efficacement et que les risques sont gérés conformément aux objectifs de l’organisation.
Consentement manifeste
Exigence centrale de la Loi 25 : le consentement à la collecte de renseignements personnels doit être donné de façon explicite, libre, éclairée et à des fins spécifiques. Il ne peut pas être présumé ou obtenu par défaut.
Approfondir →
Contrôle de sécurité
Mesure technique, organisationnelle ou juridique mise en place pour réduire un risque identifié. Les contrôles peuvent être préventifs (empêcher un incident), détectifs (détecter un incident) ou correctifs (rétablir après un incident). ISO 27001 en liste 93 dans son Annexe A.
DORA
Digital Operational Resilience Act. Règlement européen entré en vigueur le 17 janvier 2025, imposant aux institutions financières des exigences strictes en matière de résilience opérationnelle numérique : gestion du risque TIC, tests de résilience, gestion des prestataires tiers et partage d’informations sur les cybermenaces.
EFVP
Évaluation des Facteurs relatifs à la Vie Privée. Outil d’analyse obligatoire sous la Loi 25 pour tout projet impliquant des renseignements personnels. Permet d’identifier et d’atténuer les risques d’atteinte à la vie privée avant le déploiement d’un système ou d’un processus. Équivalent québécois de l’étude d’impact (AIPD) du RGPD.
GRC
Gouvernance, Risques et Conformité. Cadre intégré permettant à une organisation d’aligner sa stratégie, gérer ses risques et respecter ses obligations réglementaires de manière cohérente. Une plateforme GRC centralise ces trois dimensions pour éviter les silos et la duplication des efforts.
Incident de confidentialité
Tout accès, utilisation ou communication non autorisé de renseignements personnels, ou perte de contrôle sur ceux-ci. La Loi 25 impose de tenir un registre de tous les incidents et de notifier la CAI et les personnes affectées dès qu’un risque sérieux de préjudice est présent.
ISO 27001
Norme internationale (ISO/IEC 27001:2022) spécifiant les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l’Information (SMSI). Reconnue mondialement, elle couvre 93 contrôles répartis en 4 thèmes et fait l’objet d’une certification par un organisme accrédité.
KRI (Key Risk Indicator)
Indicateur clé de risque. Métrique permettant de surveiller l’évolution du niveau de risque dans le temps et de détecter une détérioration avant qu’un incident survienne. Différent d’un KPI (mesure de performance), un KRI est prédictif et orienté vers la détection précoce.
Loi 25
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Québec). Entrée en vigueur progressivement de 2022 à 2024, elle impose aux organisations québécoises des obligations de gouvernance, de consentement, d’EFVP et de notification des incidents. Les sanctions peuvent atteindre 25 M$ ou 4 % du CA mondial.
Maturité GRC
Niveau de développement et d’efficacité du programme de gouvernance, risques et conformité d’une organisation. Généralement mesuré sur une échelle de 1 (« initial / ad hoc ») à 5 (« optimisé »). Un score de maturité est un KRI central pour les rapports de direction.
Approfondir →
Micro-segmentation
Technique de sécurité réseau consistant à diviser le réseau en zones isolées pour limiter le mouvement latéral d’un attaquant en cas de compromission. Pilier fondamental de l’architecture Zero Trust. Particulièrement efficace contre les rançongiciels.
NIS2
Directive européenne sur la sécurité des réseaux et des systèmes d’information (version 2), entrée en application en octobre 2024. Elle couvre 18 secteurs critiques et impose des exigences de gestion des risques, de notification d’incidents et de sécurité de la chaîne d’approvisionnement. Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial.
PCI-DSS
Payment Card Industry Data Security Standard. Norme de sécurité obligatoire pour toute organisation qui traite, stocke ou transmet des données de cartes de paiement. La version 4.0 est entrée en vigueur en mars 2024 et introduit des exigences renforcées en matière d’authentification et de tests de sécurité.
PIPEDA / LPRPDE
Loi sur la protection des renseignements personnels et les documents électroniques. Loi fédérale canadienne encadrant la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales. S’applique aux organisations privées sous juridiction fédérale. En cours de remplacement par la Loi C-27.
Plan de traitement
Document décrivant les mesures prises pour traiter un risque identifié. Quatre stratégies possibles : réduction (mettre en place des contrôles), transfert (assurance, sous-traitance), évitement (ne pas réaliser l’activité) ou acceptation (risque jugé tolérable). Chaque plan doit avoir un propriétaire et une échéance.
Registre des incidents
Journal obligatoire sous la Loi 25 répertoriant tous les incidents de confidentialité, même ceux ne présentant pas de risque sérieux de préjudice. Doit être conservé 5 ans et inclure : date, nature, données impliquées, personnes affectées, mesures prises et statut des notifications.
Approfondir →
Registre des risques
Document central du programme de gestion des risques listant l’ensemble des risques identifiés, leur évaluation (probabilité, impact, risque brüt et résiduel), les contrôles en place et les plans de traitement associés. Fondement de tout programme GRC et exigence d’ISO 27001.
Responsable de PRP
Responsable de la Protection des Renseignements Personnels. Poste obligatoire sous la Loi 25, équivalent du DPO (Data Protection Officer) européen. Doit être la personne ayant le plus haut niveau d’autorité dans l’organisation si personne d’autre n’est désigné. Ses coordonnées doivent être publiées sur le site web de l’organisation.
Risque résiduel
Niveau de risque subsistant après l’application des contrôles de sécurité. Formule : Risque résiduel = Risque brut − Efficacité des contrôles. Le risque résiduel doit être accepté formellement par la direction lorsqu’il dépasse l’appétence au risque définie.
RGPD
Règlement Général sur la Protection des Données. Règlement européen (2018) encadrant la collecte et le traitement de données personnelles des citoyens européens. S’applique à toute organisation traitant des données de citoyens européens, quelle que soit sa localisation. Fort alignement avec la Loi 25 québécoise.
RSSI
Responsable de la Sécurité des Systèmes d’Information (CISO en anglais). Dirigeant responsable de définir et de piloter la stratégie de sécurité de l’information de l’organisation. Interlocuteur clé de la direction, des auditeurs et des régulateurs pour toutes les questions de cybersécurité et de conformité.
SMSI
Système de Management de la Sécurité de l’Information. Ensemble de politiques, procédures, contrôles et processus permettant de gérer systématiquement la sécurité de l’information. Le SMSI est le cœur de la certification ISO 27001. Son périmètre définit les systèmes et processus couverts par la certification.
SOC 2
Service Organization Control 2. Rapport d’audit développé par l’AICPA évaluant les contrôles d’une organisation selon 5 Trust Service Criteria : Sécurité, Disponibilité, Intégrité, Confidentialité et Vie privée. Très demandé par les clients américains des entreprises SaaS. Le Type II couvre une période de 12 mois.
Approfondir →
Zero Trust
Architecture de sécurité basée sur le principe « ne jamais faire confiance, toujours vérifier ». Aucun utilisateur, appareil ou système n’est considéré comme fiable par défaut, même à l’intérieur du réseau. Repose sur la micro-segmentation, le MFA et la surveillance continue. Recommandé par le Centre canadien pour la cybersécurité.
Un terme manque dans ce glossaire ?
Explorez nos articles pour aller plus loin sur chaque concept GRC, ou contactez notre équipe d'experts.