La Ferma (Federation of European Risk Management Associations) - représentée en France par l'Amarae (Association pour le Management des Risques et des Assurances de l'Entreprise) - et l'ECIIA (European Confederation of Institutes of Internal Auditing) ont récemment publié un rapport sur la gouvernance de la Cybersécurité. Ces organisations ne sont pas des associations de techniciens de la sécurité informatique mais bien des regroupements de gestionnaires de risques et d'auditeurs. L'approche est donc ici clairement stratégique, organisationnelle et métier. Son titre, « At the junction of corporate governance and cybersecurity » [A la jonction de la gouvernance d'entreprise et de la cybersécurité], est d'ailleurs explicite.

Prenant acte d'une part que la cybersécurité n'est pas un sujet uniquement IT sous la seule responsabilité du DSI et du RSSI, d'autre part que la capacité à définir et à communiquer publiquement une stratégie de cybersécurité dépend de la maturité de l'organisation, ce rapport vise à définir un schéma de gouvernance de la cybersécurité au sein des entreprises. Ce schéma précise les rôles et les compositions de « lignes de défense » successives, partant de la tactique (DSI, DRH, opérations, responsables de traitements de données...) pour remonter vers le Comité Exécutif en passant par les entités en charge de la gestion des risques et de l'audit.

Pour l'heure, le document n'est disponible qu'en anglais. L'AMRAE a annoncé travailler sur une adaptation française.