Table Of Content

Le numérique infuse chaque strate de nos activités, la cybersécurité ne peut donc plus être cantonnée à une simple gestion technique. Elle est devenue un levier de résilience, au service de la performance et de la compétitivité. C’est tout l’enjeu du nouveau rapport publié par le Cigref, en partenariat avec lANSSI : « Gouvernance de la sécurité numérique : orientation, déploiement et pilotage ».

Un changement de paradigme : de la défense à la maîtrise proactive

L’époque où la cybersécurité était l’affaire exclusive d’experts techniques est révolue. Avec une menace qui ne cesse de s’intensifier depuis 2020, qui n’épargne personne et qui est le fait d’attaquants toujours plus difficiles à suivre, les organisations doivent désormais faire face à une industrialisation et une hybridation de la menace.
La gouvernance de la sécurité numérique est un moyen de structurer les capacités d’une organisation à anticiper, absorber et surmonter des perturbations de toute nature. Elle s’inscrit au carrefour des défis des instances décisionnelles, de la gestion des risques globaux et de la stratégie numérique.

« Cette gouvernance constitue désormais pour les organisations un impératif de résilience et, pour ce qui regarde les services et prérogatives étendues de l’État, un impératif de souveraineté. » – Mathieu Weill, Secrétaire général adjoint chargé du numérique au ministère de l’Intérieur

Une structure en trois vecteurs pour une résilience globale

Ce rapport propose une structure de la gouvernance de la sécurité numérique selon trois vecteurs d’action pour optimiser les processus aux niveaux stratégique, organisationnel et opérationnel :

  1. Définition de la Politique de Sécurité Numérique (PSN) : comprendre l’exposition des actifs numériques et fixer l’ambition en cohérence avec l’appétence au risque.
  2. Application au quotidien : garantir la sécurité sur tout le cycle de vie des produits, décliner la PSN au plan organisationnel et acculturer les parties prenantes.
  3. Pilotage par les métriques et communication : mesurer la sécurité réelle, la performance des remédiations et communiquer de manière intelligible vers les instances dirigeantes.

Quatre archétypes de gouvernance pour s’adapter à chaque organisation

Parce qu’il n’existe pas de modèle unique, le groupe de travail a identifié quatre grands archétypes basés sur 11 critères d’évaluation :

  • « Expert et partenaire » : une proposition de valeur centrée autour des besoins métiers et de l’innovation technologique, avec une approche de facilitateur d’affaires et de partenaire proactif.
  • « Conformité et affaires publiques » : une proposition de valeur centrée autour de la gestion des risques, avec une approche par la conformité et les affaires publiques dans les processus législatifs et normatifs.
  • « Plateformisation et gouvernance » : une proposition de valeur centrée autour de l’expansion autonome de la sécurité numérique, avec définition et suivi du cadre de gouvernance et partage des responsabilités.
  • « Sécurité intégrée » : une proposition de valeur centrée autour de la gestion du continuum de la menace, avec portage de la responsabilité de la sécurité opérationnelle globale des actifs physiques et numériques.

Le rôle crucial des décideurs (direction générale/Comex et conseil d’administration)

Le rapport souligne la responsabilité directe des dirigeants, renforcée par la directive européenne NIS 2. Au plan stratégique, les conseils d’administration doivent pouvoir exercer un véritable rôle d’orientation et de revue des trajectoires prises, et les directions générales et Comex un rôle d’impulsion et d’alignement avec les impératifs métiers.

« Faire de la sécurité numérique non plus une option technique pour techniciens, mais un enjeu de gouvernance global, au bon niveau stratégique.» – Vincent Strubel, Directeur général de l’ANSSI.

Ce document restitue les travaux du groupe de travail « Gouvernance de la sécurité numérique»  menés au Cigref sur l’année 2024-2025 et pilotés par Mathieu Weill (DTNUM). Il a été réalisé à partir des retours d’expériences et des contributions d’une trentaine d’organisations membres, avec le concours de l’ANSSI.

Cybersécurité : Quand la Résilience Devient un Mot à la Mode

Le dernier rapport du Cigref sur la gouvernance de la sécurité numérique nous rappelle que la cybersécurité n’est plus un simple gadget technique, mais un enjeu de résilience. Mais qui peut encore croire à cette promesse de sécurité dans un monde où les hackers semblent avoir le vent en poupe ?

INTRODUCTION : Dans un contexte où les cyberattaques se multiplient, le Cigref, en partenariat avec l’ANSSI, nous livre un rapport qui pourrait faire sourire, si ce n’était si sérieux. La cybersécurité, un levier de résilience ? Peut-être, mais à quel prix ?

Ce qui se passe réellement

Le rapport du Cigref souligne que la cybersécurité doit être intégrée à tous les niveaux d’une organisation. Finie l’époque où seuls les experts techniques s’en préoccupaient. Aujourd’hui, chaque dirigeant doit s’y coller. « Cette gouvernance constitue désormais pour les organisations un impératif de résilience », déclare Mathieu Weill, Secrétaire général adjoint chargé du numérique au ministère de l’Intérieur. Mais est-ce vraiment un impératif ou juste un joli discours ?

Pourquoi cela dérange

Le rapport propose une structure en trois vecteurs : définir une Politique de Sécurité Numérique, l’appliquer au quotidien, et piloter par les métriques. En théorie, tout cela semble parfait. En pratique, cela ressemble à une belle promesse, souvent trahie par la réalité. Qui n’a jamais vu une entreprise se vanter d’une politique de sécurité numérique tout en négligeant les mises à jour de ses logiciels ?

Ce que cela implique concrètement

Les conséquences directes sont claires : une gouvernance efficace pourrait réduire les risques, mais combien d’organisations sont réellement prêtes à investir le temps et les ressources nécessaires ? La plupart préfèrent encore jouer à la roulette russe avec leurs données.

Lecture satirique

Le discours politique autour de la cybersécurité est un véritable festival de contradictions. D’un côté, on nous promet des mesures de sécurité renforcées, de l’autre, les budgets sont souvent les premiers à être rognés. « Faire de la sécurité numérique un enjeu de gouvernance global », clame Vincent Strubel, Directeur général de l’ANSSI. Mais en attendant, les hackers se frottent les mains.

Effet miroir international

Regardons du côté des États-Unis, où la cybersécurité est devenue un enjeu majeur, mais où les dérives autoritaires se multiplient. La surveillance de masse, justifiée par la nécessité de protéger les citoyens, n’est-elle pas une forme de contrôle similaire à celle que l’on voit en Russie ? La cybersécurité est-elle vraiment une priorité ou un prétexte pour renforcer le pouvoir ?

À quoi s’attendre

Si les tendances actuelles se poursuivent, nous pouvons nous attendre à une augmentation des investissements dans la cybersécurité. Mais attention, cela ne signifie pas nécessairement une amélioration de la sécurité. Les promesses de résilience pourraient rapidement se transformer en désillusions.

Sources

Source : www.cigref.fr

Gouvernance de la sécurité numérique : orientation, déploiement et pilotage
Visuel — Source : www.cigref.fr
Partager ici :
Tags:
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire