- Gestion des Exceptions
Les règles ne s'appliquent pas toujours à 100 %.
Dans la vie réelle d’une organisation, des dérogations sont nécessaires. La question n’est pas de les supprimer — c’est de les maîtriser, justifier et tracer. C’est précisément le rôle d’une gouvernance des exceptions.
- Le problème
Le coût silencieux des décisions informelles.
Sans cadre, les dérogations passent par e-mails, conversations, validations orales. La gouvernance se fragmente. Les responsabilités se diluent. Et lorsque l’audit arrive, personne ne sait plus qui a décidé quoi — ni pourquoi.
- De l'informel au structuré
Un processus d'exception maîtrisé.
Chaque dérogation suit un parcours formalisé : demande, évaluation, approbation, suivi, clôture. Le cadre rend la décision lisible et défendable, sans freiner l’opérationnel.
- Taxonomie
Trois familles d'exceptions, un même cadre.
Toute dérogation se rattache à une catégorie qui détermine son flux de validation, ses preuves attendues et son régime d’expiration.
Exemple : Vulnérabilité non patchée — patch validé sous 30 j.
Exemple : Cloisonnement des accès — contournement audit interne.
Exemple : Outil non validé par DSI — usage encadré projet pilote.
- Principe fondamental
Justifier. Approuver. Borner. Suivre.
Une exception n’est jamais ouverte sans motif documenté, sans validateur identifié, sans durée bornée et sans mécanisme de revue. Ces quatre piliers transforment une dérogation en décision de gouvernance.
- Cycle de vie
Ouverte. Expirée. Fermée.
Chaque exception possède un statut explicite et une trajectoire connue. Le système distingue les exceptions actives, celles qui arrivent à terme, et celles qui ont été levées ou clôturées.
- Traçabilité & preuves
L'historique inaltérable d'une décision.
Commentaires, pièces jointes, journal d’événements : chaque action sur une exception est horodatée et nominative. L’auditabilité n’est plus un effort, c’est un sous-produit du processus.
- Identification des actifs
On n'inventorie pas des objets. On structure des catégories.
Cataloguer chaque ordinateur portable ne mène nulle part. Cataloguer les familles de valeur dont dépend l’organisation — voilà où commence la GRC. Trois familles comptent : les données que vous détenez, les systèmes qui les traitent, et les personnes qui les font vivre.
Données personnelles · PI · Financier · Stratégique
Rôles · Compétences · Propriété · Accès
ERP · Cloud · Réseaux · Applications
- Obligations contractuelles
Les contrats ne sont pas stockés. Ils sont connectés.
Chaque clause se rattache à un actif et à une partie.
Une obligation de confidentialité n’a aucun sens isolée. Liée à un jeu de données précis, détenu par un fournisseur identifié, régie par une juridiction donnée — elle devient un engagement opposable, à l’exposition mesurable.
Le module transforme les contrats en objets vivants : rattachés aux actifs qu’ils protègent, aux tiers qu’ils lient, aux obligations qu’ils créent.
- Alertes & revalidation
Le système ne dort pas.
Notifications de mi-parcours, alertes d’expiration, rappels de revalidation : la gouvernance reste vivante. Aucune dérogation ne s’éternise dans l’angle mort.
- Notifications ciblées
- Escalades automatiques
- Revalidations programmées
- Recherche & gestion
Une vue structurée du registre.
Filtres par type, propriétaire, niveau de risque, statut, échéance. Le registre devient un instrument de pilotage opérationnel pour les équipes GRC.
- Reporting & insight gouvernance
La vue d'ensemble pour le COMEX.
Tendances, volumes, zones de concentration : les indicateurs synthétisent ce qui mérite une attention exécutive, sans bruit ni surcharge graphique.
- Personnalisation
Un cadre qui s'adapte à votre maturité.
Workflows, champs, durées, notifications : chaque organisation paramètre la gouvernance des exceptions à son rythme et à son contexte réglementaire.
- Approche pragmatique
L'exception n'est pas une faiblesse C'est un outil de pilotage.
Une organisation mature ne cherche pas à supprimer ses exceptions : elle s’en sert pour comprendre où ses règles frottent avec la réalité, et pour ajuster sa politique. Maîtriser ses exceptions, c’est piloter sa gouvernance par les écarts.
- Prochaine étape
Prêt à maîtriser vos exceptions ?
Découvrez en 30 minutes comment intégrer le module Gestion des Exceptions à votre écosystème GRC ou à votre instance ERAMBA.