Phylapp
Gouvernance du risque numérique et stratégie cyber

Les responsabilités des dirigeants face aux risques numériques

Les dirigeants ont des responsabilités personnelles et collectives face aux risques numériques, de plus en plus définies par la réglementation et les attentes des parties prenantes.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 29 lectures

Points clés

  • Les dirigeants ont des responsabilités personnelles et collectives face aux risques numériques, de plus en plus précisément définies par les réglementations.
  • La responsabilité pénale et civile des dirigeants peut être engagée en cas de violation de données ou d'incident cyber grave.
  • L'ignorance du risque numérique n'exonère pas les dirigeants : ils ont une obligation de s'informer et de mettre en œuvre des mesures appropriées.
  • La documentation des décisions de gouvernance est devenue un élément de protection juridique essentiel pour les dirigeants.
Cas US Morgan Stanley (2016-2022) — Morgan Stanley a été condamnée à 60 millions de dollars d'amende par la FED après avoir déclassé des centres de données sans avoir effacé correctement les données clients. Ses dirigeants ont été mis en cause personnellement pour défaut de surveillance adéquate. La banque a également subi une action collective. Ces poursuites illustrent comment la responsabilité des dirigeants est directement engagée par des décisions opérationnelles de sécurité.

Une responsabilité juridique de plus en plus explicite

Les réglementations récentes ont progressivement explicité la responsabilité personnelle des dirigeants en matière de sécurité numérique. En Europe, NIS2 impose aux dirigeants de suivre des formations, d'approuver les mesures de gestion des risques, et de répondre personnellement des manquements graves. DORA impose aux directions des établissements financiers des obligations précises de gouvernance du risque informatique. Aux États-Unis, la SEC exige désormais une divulgation rapide des incidents cyber matériels et la preuve d'une supervision adéquate.

L'obligation de s'informer et de décider

Les dirigeants ne peuvent pas invoquer l'ignorance comme moyen de défense. Ils ont une obligation de diligence qui inclut de s'assurer qu'ils disposent d'une information suffisante sur les risques numériques pesant sur leur organisation. Cela implique de recevoir des rapports réguliers, de participer aux instances de pilotage, de valider les politiques de sécurité, et de s'assurer que les alertes remontent jusqu'à eux. Un dirigeant qui délègue entièrement sans aucun mécanisme de contrôle est juridiquement exposé.

La responsabilité collective du conseil d'administration

Au-delà du dirigeant exécutif, le conseil d'administration ou l'organe de surveillance porte une responsabilité collective. De plus en plus de conseils créent des comités spécialisés sur la cybersécurité, s'assurent de la présence de compétences numériques parmi leurs membres, et requièrent des rapports réguliers sur les risques. Cette évolution n'est pas cosmétique : elle répond à une pression réglementaire et à des attentes des actionnaires qui considèrent le risque cyber comme un risque d'entreprise à surveiller au même titre que le risque financier.

Cas EU Marriott/Starwood (2018) — Lors de l'acquisition de Starwood Hotels, Marriott a hérité d'une violation de données massive (500 millions de clients) qui avait débuté avant l'acquisition. Les dirigeants de Marriott ont été questionnés sur les processus de diligence raisonnable en matière de sécurité lors des acquisitions. L'amende initiale de 99 millions de livres sterling a été réduite mais reste un cas d'école sur la responsabilité des dirigeants dans les opérations de croissance externe.

La documentation comme protection

Face à cette responsabilisation croissante, les dirigeants ont intérêt à documenter leurs décisions de gouvernance de la sécurité : les arbitrages réalisés, les risques formellement acceptés, les mesures décidées et leur état d'exécution. Cette documentation sert à la fois d'outil de pilotage et de preuve de diligence en cas de mise en cause. Elle doit être maintenue à jour et intégrée aux processus de gouvernance réguliers, pas produite après coup.

Vers une gouvernance exécutive de la sécurité

La tendance de fond est claire : la sécurité numérique est désormais un sujet de responsabilité exécutive explicite. Les dirigeants qui anticipent cette évolution en structurant une gouvernance sérieuse sont mieux protégés juridiquement, mieux préparés opérationnellement, et mieux positionnés pour répondre aux attentes des parties prenantes. Ceux qui continuent de traiter le sujet comme une délégation totale à l'IT courent un risque personnel et collectif croissant.

Cas Asie Air India (2021) — La violation de données d'Air India, exposant les informations de 4,5 millions de passagers dont les données de cartes bancaires, a conduit à des questionnements sur la responsabilité de la direction dans le choix et la supervision du prestataire SITA (gestion des données passagers). L'incident illustre comment l'externalisation ne transfère pas la responsabilité des dirigeants : ils restent garants de la sécurité des données de leurs clients, quelle que soit l'organisation retenue.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp