Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 20 lectures

Points clés

  • La cybersécurité portée uniquement par la DSI reste une sécurité technique sans légitimité stratégique — elle ne peut pas imposer ses priorités aux fonctions métiers ni obtenir des arbitrages budgétaires à la hauteur des enjeux.
  • Quand la direction générale porte la cybersécurité, elle envoie un signal organisationnel qui change le comportement à tous les niveaux.
  • La réglementation NIS2 et les standards ISO formalisent désormais que la responsabilité de la cybersécurité appartient aux organes de direction — pas aux équipes techniques seules.
  • Porter la cybersécurité ne signifie pas la gérer techniquement : cela signifie créer les conditions de son efficacité — budgets, priorités, culture, arbitrages.
Cas US Uber (2016-2018) — La décision de dissimuler la violation de données affectant 57 millions d'utilisateurs a été prise au plus haut niveau de la direction. L'amende de 148 millions de dollars et les poursuites pénales engagées contre des dirigeants ont démontré que la cybersécurité est une responsabilité de la direction générale — dans les deux sens : quand elle est bien gérée, mais aussi quand elle est mal gérée ou dissimulée.

Pourquoi la DSI seule ne peut pas porter la cybersécurité

Confier la cybersécurité à la seule DSI crée une asymétrie de pouvoir qui limite structurellement l'efficacité des mesures de sécurité. La DSI peut identifier les risques, définir les politiques, déployer les outils — mais elle ne peut pas imposer ses contraintes aux directions commerciales qui veulent déployer un nouveau service sans délai, ni aux directions financières qui arbitrent les budgets en faveur des projets à ROI visible, ni aux responsables opérationnels qui contournent les processus de sécurité pour maintenir la productivité. Sans l'autorité de la direction générale pour imposer les compromis nécessaires, la cybersécurité reste une injonction sans pouvoir de contrainte.

Ce que change le portage par la direction générale

Quand la direction générale porte explicitement la cybersécurité, plusieurs choses changent. Le budget alloué à la sécurité est évalué en regard des risques stratégiques — et non comme une ligne de dépense IT à optimiser. Les projets de transformation doivent intégrer les exigences de sécurité comme des contraintes non négociables — et non les traiter comme un audit à passer en fin de cycle. Les responsabilités en cas d'incident sont claires : la direction a assumé la responsabilité de la sécurité, elle assume aussi celle de la réponse. Et les équipes de sécurité disposent d'une légitimité organisationnelle qui leur permet d'exercer leur rôle avec l'autorité nécessaire.

Les engagements concrets de la direction générale

Porter la cybersécurité au niveau de la direction générale implique plusieurs engagements concrets. Approuver et défendre publiquement la politique de sécurité de l'organisation. Recevoir et utiliser régulièrement les reportings sur l'état de la cybersécurité pour prendre des décisions éclairées. Participer aux exercices de crise cyber pour comprendre les enjeux de la réponse à incident et valider les chaînes de décision. S'assurer que les investissements en sécurité sont proportionnels aux risques identifiés — et non résiduels après tous les autres arbitrages. Ces engagements ne requièrent pas une expertise technique — ils requièrent de la disponibilité, de l'attention et de l'autorité décisionnelle.

Cas EU SNCF — En tant qu'opérateur d'importance vitale, l'organisation a développé un modèle de gouvernance cyber directement articulé avec la direction générale. La cybersécurité n'est pas traitée comme une fonction IT mais comme une composante de la sûreté opérationnelle, portée au niveau des instances dirigeantes. Ce positionnement donne aux équipes de sécurité l'autorité nécessaire pour imposer leurs exigences dans tous les projets, et garantit que les arbitrages budgétaires en faveur de la sécurité sont réellement effectués.

La responsabilité personnelle des dirigeants : une réalité juridique

La directive NIS2, applicable en Europe depuis 2024, formalise explicitement la responsabilité personnelle des membres des organes de direction en matière de cybersécurité. Elle prévoit la possibilité de tenir les dirigeants personnellement responsables en cas de manquement grave aux obligations de gestion des risques cyber. Cette évolution transforme la cybersécurité en enjeu de responsabilité individuelle, pas seulement organisationnelle. Elle incite à une implication réelle, documentée et mise à jour régulièrement — ce qui est précisément ce que le portage par la direction générale permet de réaliser.

Le signal culturel envoyé par l'implication de la direction

L'engagement visible de la direction générale dans la cybersécurité envoie un signal culturel à toute l'organisation. Si la direction générale consacre du temps aux sujets de sécurité, pose des questions sur le niveau d'exposition lors des comités de direction, participe aux exercices de crise et tient ses propres équipes responsables du respect des politiques de sécurité — l'ensemble de l'organisation comprend que la cybersécurité est une priorité réelle, pas un sujet technique relégué à une équipe spécialisée. Ce signal culturel est l'un des facteurs les plus puissants de réduction de l'exposition aux risques — et il ne peut être émis que par la direction générale.

Cas Asie SingHealth (2018) — Le comité d'enquête gouvernemental sur la plus grande violation de données médicales de Singapour a conclu que l'une des causes contributives majeures était la gouvernance insuffisante de la cybersécurité au niveau des instances dirigeantes de l'organisation. Les recommandations du comité incluaient explicitement le renforcement de l'implication du niveau Direction dans la supervision des risques cyber — reconnaissant que la délégation totale aux équipes techniques n'était pas suffisante pour protéger des actifs de cette criticité.

Articles similaires

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min

Les décisions qui exposent l’entreprise sans que la direction le sache

De nombreuses décisions opérationnelles créent des expositions cyber sans que la direction le sache. L'accumulation silencieuse de ces expositions invisibles constitue un risque structurel que seule la gouvernance peut réduire.

24 mai 2026 7 min
WhatsApp