🎭 GRC : tout est sous contrîle (sauf le vrai processus)

Sur le papier, tout va bien, tout est sous contrĂŽle
Les politiques sont signĂ©es, les procĂ©dures validĂ©es, les risques cotĂ©s, les comitĂ©s tenus. La GRC est propre, alignĂ©e, rassurante. Un chef-d’Ɠuvre de gouvernance.
Pour ceux qui ont ratĂ© la conception de la GRC, rattrapage :  GRC – Gouvernance, Risques et ConformitĂ© : le trio qui sauve votre peau (et votre budget) 

Puis arrive la question fatale, gĂ©nĂ©ralement posĂ©e lors d’un incident, d’un audit ou d’un contrĂŽle assurance cyber :
“Qui a validĂ© cette exception ?”

Silence. Regards fuyants. Mémoire sélective.
La rĂ©ponse existe pourtant
 quelque part entre un couloir, un mail jamais archivĂ©, une rĂ©union Teams sans compte-rendu, et un “oui, vas-y” prononcĂ© un mardi Ă  18h47.

Bienvenue dans le monde du Shadow Process :
la réalité opérationnelle de la cybersécurité, celle qui permet au business de fonctionner, mais que la GRC officielle préfÚre ne pas regarder de trop prÚs.

Cet article ne va pas refaire ISO 27001.
Il va dĂ©monter ce dĂ©calage, pointer les incohĂ©rences, et expliquer pourquoi la GRC fabrique parfois elle-mĂȘme l’ombre qu’elle prĂ©tend combattre.

Quand la conformitĂ© est parfaite
 jusqu’au premier “qui a validĂ© ça ?”

đŸ•¶ïž 1) Le Shadow Process, ce n’est pas du Shadow IT

On confond souvent les deux, Ă  tort.

  • Shadow IT : des outils non validĂ©s (SaaS, scripts, solutions bricolĂ©es).
  • Shadow Process : des dĂ©cisions, validations et pratiques qui existent bel et bien
 mais hors procĂ©dure officielle.

Ici, les outils sont parfois parfaitement conformes.
Ce sont les usages, les arbitrages et les raccourcis qui ne le sont pas.

Quelques grands classiques :

  • validations orales jamais tracĂ©es,
  • exceptions “temporaires” sans date de fin,
  • procĂ©dures “qu’on appliquera plus tard”,
  • responsabilitĂ©s diluĂ©es dans le collectif.

👉 Le Shadow IT achùte un outil.
👉 Le Shadow Process engage votre responsabilitĂ© juridique.

đŸ§± 2) Pourquoi il apparaĂźt : quand la GRC crĂ©e sa propre clandestinitĂ©

Non, le Shadow Process n’est pas qu’un problùme de “mauvaises pratiques”.
Il est souvent une rĂ©ponse rationnelle Ă  une gouvernance irrĂ©aliste.

Les causes structurelles

  • Trop lent : quand une validation sĂ©curitĂ© prend trois semaines, le mĂ©tier trouve un chemin en trois heures.
  • Trop complexe : huit Ă©tapes, trois comitĂ©s, deux validations croisĂ©es → contournement garanti.
  • Trop abstrait : politiques dĂ©connectĂ©es des contraintes d’exploitation.
  • Trop indicateur : on mesure le nombre de documents, pas leur usage rĂ©el.

La GRC pense protĂ©ger l’organisation.
L’opĂ©rationnel, lui, doit livrer, dĂ©panner, rĂ©pondre Ă  un incident, assurer l’astreinte.

RĂ©sultat :
le processus officiel devient un décor,
le vrai processus se fait en silence.

🧹 3) Les 7 incohĂ©rences qu’on retrouve partout

3.1 đŸ•łïž L’exception qui n’existe nulle part

SymptĂŽme :
“Oui, on a accordĂ© une dĂ©rogation
 mais elle n’est pas formalisĂ©e.”

ConsĂ©quence :
Impossible de prouver la maĂźtrise du risque. En audit, c’est un cadeau empoisonnĂ©.

Ce que la GRC croit :
“C’est exceptionnel.”

La rĂ©alitĂ© :
C’est permanent et invisible.

✅ Correctif : registre des dĂ©rogations, date de fin obligatoire, revue rĂ©guliĂšre.

3.2 ⏱ Le processus d’urgence devenu la norme

SymptĂŽme :
Comptes admin créés en urgence, accÚs temporaires jamais supprimés.

ConsĂ©quence :
Dette de sécurité + dette documentaire.

Ce que la GRC croit :
“C’était exceptionnel.”

La rĂ©alitĂ© :
C’est le fonctionnement standard.

✅ Correctif : urgence = SLA court + validation a posteriori obligatoire.

3.3 đŸ‘» La validation fantĂŽme (“validĂ© en comitĂ©â€)

SymptĂŽme :
DĂ©cision collective
 sans trace Ă©crite.

ConsĂ©quence :
ResponsabilitĂ© diluĂ©e. En cas de problĂšme, tout le monde savait, personne n’a dĂ©cidĂ©.

Ce que la GRC croit :
“C’est actĂ©.”

La rĂ©alitĂ© :
C’est introuvable.

✅ Correctif : dĂ©cision = ticket, CR, approbation horodatĂ©e.

3.4 📄 La procĂ©dure jamais testĂ©e

SymptĂŽme :
PRA, PCA, gestion de crise impeccables
 sur le papier.

ConsĂ©quence :
Le jour J : panique, improvisation, WhatsApp en cellule de crise.

Ce que la GRC croit :
“On est prĂȘts.”

La rĂ©alitĂ© :
Personne n’a jamais fait l’exercice.

✅ Correctif : exercices courts, rĂ©guliers, mesurĂ©s.

3.5 đŸȘ‘ Le RACI dĂ©coratif

SymptĂŽme :
Tout le monde est “Consulted”. Personne n’est “Accountable”.

ConsĂ©quence :
DĂ©cisions floues, arbitrages au feeling.

Ce que la GRC croit :
“C’est collaboratif.”

La rĂ©alitĂ© :
C’est irresponsable.

✅ Correctif : un seul A par dĂ©cision. Toujours.

3.6 🧰 Le contrĂŽle “existant” parce qu’un outil est installĂ©

SymptĂŽme :
“On a un EDR, donc le risque est traitĂ©.”

ConsĂ©quence :
Personne ne regarde les alertes, la couverture est partielle.

Ce que la GRC croit :
“Contrîle en place.”

La rĂ©alitĂ© :
PrĂ©sence ≠ efficacitĂ©.

✅ Correctif : contrĂŽle = preuve mesurable, pas une ligne Excel.

3.7 📊 La conformitĂ© par slide PowerPoint

SymptĂŽme :
Une politique signée = conformité déclarée.

ConsĂ©quence :
Aucune corrélation avec la réalité terrain.

Ce que la GRC croit :
“C’est validĂ©.”

La rĂ©alitĂ© :
C’est cosmĂ©tique.

✅ Correctif : document → process → preuve → mĂ©trique.

💾 4) Ce que ça coĂ»te vraiment

Le Shadow Process ne coûte pas que de la sécurité.

  • OpĂ©rationnel : rework, incidents rĂ©currents, perte de temps.
  • RH : cynisme, perte de confiance, culture du contournement.
  • Juridique / assurance : incapacitĂ© Ă  prouver la maĂźtrise du risque.
  • Image : audit “mineur” qui vire au “majeur”.

La conformité affichée rassure

jusqu’au moment oĂč il faut la dĂ©montrer.

🔍 5) DĂ©tecter un Shadow Process en 2 semaines

Pas besoin d’outil miracle.

MĂ©thodes simples

  • Interview inversĂ©e : “Raconte-moi la derniĂšre urgence.”
  • Walkthrough rĂ©el : suivre un changement de bout en bout.
  • Échantillons : accĂšs, changements, incidents.
  • Test des preuves : “Montre-moi oĂč c’est tracĂ©.”
  • Cartographie : Ă©crit vs vĂ©cu.

Signaux faibles

  • “C’est X qui sait”
  • “On fait comme ça depuis toujours”
  • “Ce n’est pas documentĂ© mais ça marche”

đŸ› ïž 6) RĂ©parer sans rajouter de la GRC inutile

La solution n’est pas “une procĂ©dure de plus”.

Principes efficaces

  • RĂ©duire la friction (au-delĂ  de 3 validations, c’est mort).
  • Encadrer l’exception plutĂŽt que la nier.
  • Mettre la preuve au centre.
  • Ritualiser lĂ©ger : revue courte, rĂ©guliĂšre.
  • Simplifier les outils.

👉 Si votre conformitĂ© tient sur la mĂ©moire de Paul, Paul est un SPOF.

🎯 Conclusion – La vraie GRC n’a pas peur de la rĂ©alitĂ©

Le Shadow Process n’est pas une trahison humaine.
C’est un symptĂŽme de gouvernance dĂ©connectĂ©e.

Une GRC mature ne cherche pas Ă  tout contrĂŽler.
Elle cherche Ă  rĂ©duire l’écart entre ce qui est Ă©crit et ce qui est fait.

Moins de théùtre.
Plus de preuves.
Moins d’ombre.
Plus de maĂźtrise.

Et surtout :
si la GRC ne survit pas Ă  la rĂ©alitĂ©, c’est la GRC qu’il faut corriger — pas la rĂ©alitĂ©.

đŸ—Łïž Top 5 des phrases qui dĂ©clenchent un Shadow Process

Si votre GRC est dĂ©clenchĂ©e par des phrases et non par des preuves, alors vous n’avez pas un problĂšme de sĂ©curitĂ© — vous avez un problĂšme de gouvernance.

đŸ„‡ 1) « C’est urgent »

Traduction opérationnelle

La procédure existe, mais on va faire sans.

Effet immédiat

  • Bypass des validations
  • AccĂšs crĂ©Ă©s en direct
  • DĂ©cision orale

Pourquoi c’est dangereux

  • L’urgence devient une excuse universelle
  • Personne ne dĂ©finit jamais quand elle se termine

👉 Indicateur GRC :
Si “urgent” n’a pas de dĂ©finition, ce n’est pas un critĂšre, c’est un joker.

đŸ„ˆ 2) « On rĂ©gularisera aprĂšs »

Traduction opérationnelle

On n’a aucune intention de rĂ©gulariser.

Effet immédiat

  • Dette documentaire
  • Dette de sĂ©curitĂ©
  • Dette de responsabilitĂ©

Pourquoi c’est dangereux

  • “AprĂšs” n’est jamais planifiĂ©
  • Personne n’est responsable du suivi

👉 Indicateur GRC :
Une régularisation sans date est une fiction administrative.

đŸ„‰ 3) « C’est validĂ© en comitĂ© »

Traduction opérationnelle

Personne ne sait vraiment qui a décidé.

Effet immédiat

  • Absence de trace
  • Dilution de responsabilitĂ©
  • Arbitrage impossible a posteriori

Pourquoi c’est dangereux

  • En cas d’incident, le comitĂ© disparaĂźt
  • L’audit demande un nom, pas un souvenir collectif

👉 Indicateur GRC :
Une dĂ©cision sans trace n’existe pas.

🏅 4) « On fait comme ça depuis toujours »

Traduction opérationnelle

On n’a jamais remis en question ce risque.

Effet immédiat

  • Normalisation du contournement
  • Refus implicite d’amĂ©lioration
  • Angle mort historique

Pourquoi c’est dangereux

  • Les menaces Ă©voluent
  • Les usages dĂ©rivent
  • La GRC reste figĂ©e

👉 Indicateur GRC :
L’anciennetĂ© n’est pas un contrĂŽle de sĂ©curitĂ©.

đŸŽ–ïž 5) « C’est maĂźtrisĂ© »

Traduction opérationnelle

Personne ne peut le démontrer.

Effet immédiat

  • Fin de la discussion
  • Absence de preuve
  • Faux sentiment de sĂ©curitĂ©

Pourquoi c’est dangereux

  • “MaĂźtrisĂ©â€ sans indicateur = opinion
  • Les audits ne prennent pas les opinions

👉 Indicateur GRC :
Si ce n’est pas mesurĂ©, ce n’est pas maĂźtrisĂ©.

☠ Bonus – La phrase nuclĂ©aire

« Ne t’inquiĂšte pas, je gĂšre »

Traduction réelle

Le systĂšme repose sur une personne.

Conséquence

  • SPOF humain
  • Perte de traçabilitĂ©
  • Risque maximal en cas de dĂ©part ou d’incident

👉 RĂšgle d’or GRC :
Si “je” remplace “le processus”, le processus est dĂ©jĂ  mort.

✅❌ Checklist express – Votre GRC est-elle vĂ©cue
 ou juste affichĂ©e ?

Mode d’emploi
Pour chaque question :
✔ = preuve tangible et rĂ©cente
❌ = rĂ©ponse floue, orale ou inexistante

👉 Ă€ partir de 3 ❌, votre GRC est surtout dĂ©corative.

đŸ—‚ïž Gouvernance & dĂ©cisions

  • ⬜ Une dĂ©cision de sĂ©curitĂ© laisse-t-elle toujours une trace Ă©crite (ticket, CR, validation outillĂ©e) ?
  • ⬜ Peut-on identifier une personne responsable (Accountable) pour chaque arbitrage ?
  • ⬜ Les comitĂ©s produisent-ils autre chose que des slides ?

đŸ§© Exceptions & dĂ©rogations

  • ⬜ Existe-t-il un registre centralisĂ© des exceptions ?
  • ⬜ Chaque dĂ©rogation a-t-elle une date de fin ?
  • ⬜ Les exceptions sont-elles revues pĂ©riodiquement ?

⚙ Processus opĂ©rationnels

  • ⬜ Les procĂ©dures critiques ont-elles Ă©té testĂ©es dans les 12 derniers mois ?
  • ⬜ Les processus “d’urgence” sont-ils encadrĂ©s et tracĂ©s ?
  • ⬜ Le fonctionnement rĂ©el correspond-il Ă  ce qui est Ă©crit ?

📊 Contrîles & preuves

  • ⬜ Chaque contrĂŽle de sĂ©curitĂ© dispose-t-il d’une preuve mesurable ?
  • ⬜ Les outils de sĂ©curitĂ© sont-ils surveillĂ©s, pas seulement installĂ©s ?
  • ⬜ Les indicateurs reflĂštent-ils l’usage rĂ©el, pas l’intention ?

đŸ‘„ Facteur humain & culture

  • ⬜ Les Ă©quipes savent-elles pourquoi un contrĂŽle existe ?
  • ⬜ Les contournements sont-ils dĂ©clarables sans sanction immĂ©diate ?
  • ⬜ La GRC est-elle perçue comme une aide, pas une punition ?

🔍 RĂ©alitĂ© terrain

  • ⬜ Un audit terrain donnerait-il le mĂȘme rĂ©sultat qu’un audit documentaire ?
  • ⬜ Les rĂ©ponses commencent-elles par “voici la preuve” et non “normalement” ?
  • ⬜ Les connaissances clĂ©s sont-elles documentĂ©es et partageables ?

🧼 RĂ©sultat rapide

  • 0–2 ❌ → GRC vĂ©cue, perfectible mais saine
  • 3–5 ❌ → GRC fragile, Shadow Process en formation
  • 6 ❌ et + → GRC affichĂ©e, gouvernance parallĂšle active

☠ Question finale (celle qui pique)

Si demain une personne clĂ© quitte l’entreprise, votre GRC survit-elle ?

Si la rĂ©ponse est “ça dĂ©pend de qui”

alors ce n’est pas une GRC, c’est une croyance collective.

🎭 GRC : tout est sous contrîle (sauf le vrai processus)
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut