Le numérique infuse chaque strate de nos activités, la cybersécurité ne peut donc plus être cantonnée à une simple gestion technique. Elle est devenue un levier de résilience, au service de la performance et de la compétitivité. C’est tout l’enjeu du nouveau rapport publié par le Cigref, en partenariat avec l’ANSSI : « Gouvernance de la sécurité numérique : orientation, déploiement et pilotage ».
Un changement de paradigme : de la défense à la maîtrise proactive
L’époque où la cybersécurité était l’affaire exclusive d’experts techniques est révolue. Avec une menace qui ne cesse de s’intensifier depuis 2020, qui n’épargne personne et qui est le fait d’attaquants toujours plus difficiles à suivre, les organisations doivent désormais faire face à une industrialisation et une hybridation de la menace.
La gouvernance de la sécurité numérique est un moyen de structurer les capacités d’une organisation à anticiper, absorber et surmonter des perturbations de toute nature. Elle s’inscrit au carrefour des défis des instances décisionnelles, de la gestion des risques globaux et de la stratégie numérique.
« Cette gouvernance constitue désormais pour les organisations un impératif de résilience et, pour ce qui regarde les services et prérogatives étendues de l’État, un impératif de souveraineté. » – Mathieu Weill, Secrétaire général adjoint chargé du numérique au ministère de l’Intérieur
Une structure en trois vecteurs pour une résilience globale
Ce rapport propose une structure de la gouvernance de la sécurité numérique selon trois vecteurs d’action pour optimiser les processus aux niveaux stratégique, organisationnel et opérationnel :
- Définition de la Politique de Sécurité Numérique (PSN) : comprendre l’exposition des actifs numériques et fixer l’ambition en cohérence avec l’appétence au risque.
- Application au quotidien : garantir la sécurité sur tout le cycle de vie des produits, décliner la PSN au plan organisationnel et acculturer les parties prenantes.
- Pilotage par les métriques et communication : mesurer la sécurité réelle, la performance des remédiations et communiquer de manière intelligible vers les instances dirigeantes.
Quatre archétypes de gouvernance pour s’adapter à chaque organisation
Parce qu’il n’existe pas de modèle unique, le groupe de travail a identifié quatre grands archétypes basés sur 11 critères d’évaluation :
- « Expert et partenaire » : une proposition de valeur centrée autour des besoins métiers et de l’innovation technologique, avec une approche de facilitateur d’affaires et de partenaire proactif.
- « Conformité et affaires publiques » : une proposition de valeur centrée autour de la gestion des risques, avec une approche par la conformité et les affaires publiques dans les processus législatifs et normatifs.
- « Plateformisation et gouvernance » : une proposition de valeur centrée autour de l’expansion autonome de la sécurité numérique, avec définition et suivi du cadre de gouvernance et partage des responsabilités.
- « Sécurité intégrée » : une proposition de valeur centrée autour de la gestion du continuum de la menace, avec portage de la responsabilité de la sécurité opérationnelle globale des actifs physiques et numériques.
Le rôle crucial des décideurs (direction générale/Comex et conseil d’administration)
Le rapport souligne la responsabilité directe des dirigeants, renforcée par la directive européenne NIS 2. Au plan stratégique, les conseils d’administration doivent pouvoir exercer un véritable rôle d’orientation et de revue des trajectoires prises, et les directions générales et Comex un rôle d’impulsion et d’alignement avec les impératifs métiers.
« Faire de la sécurité numérique non plus une option technique pour techniciens, mais un enjeu de gouvernance global, au bon niveau stratégique.» – Vincent Strubel, Directeur général de l’ANSSI.
Ce document restitue les travaux du groupe de travail « Gouvernance de la sécurité numérique» menés au Cigref sur l’année 2024-2025 et pilotés par Mathieu Weill (DTNUM). Il a été réalisé à partir des retours d’expériences et des contributions d’une trentaine d’organisations membres, avec le concours de l’ANSSI.