Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • La stratégie IT vise à optimiser les systèmes d'information pour servir les objectifs de l'organisation ; la stratégie cyber vise à gérer les risques associés à ces systèmes. Ce sont deux logiques différentes.
  • Une organisation qui n'a qu'une stratégie IT mais pas de stratégie cyber déploie des capacités numériques sans en maîtriser les risques associés.
  • La confusion entre les deux génère des investissements déséquilibrés : on modernise les systèmes sans renforcer parallèlement les dispositifs de protection.
  • Une stratégie cyber doit être construite indépendamment de la feuille de route IT, en réponse aux menaces réelles et aux risques identifiés.
Cas US Target (2013) — Le déploiement des systèmes de gestion des bâtiments connectés — une initiative IT visant à optimiser la consommation énergétique — avait créé une interconnexion non anticipée avec le réseau de paiement. La stratégie IT avait conduit à une décision d'architecture qui générait un risque cyber majeur. L'absence d'une stratégie cyber indépendante, évaluant les implications de chaque évolution IT sur l'exposition aux risques, avait laissé ce vecteur d'attaque ouvert.

Deux logiques fondamentalement différentes

La stratégie IT et la stratégie cyber répondent à des questions fondamentalement différentes. La stratégie IT répond à : quels systèmes, quelles technologies, quelle architecture permettent à l'organisation d'atteindre ses objectifs opérationnels et commerciaux avec la meilleure efficacité ? La stratégie cyber répond à : quels risques les systèmes déployés génèrent-ils, comment les maîtriser, et quel niveau d'exposition est acceptable en regard des objectifs de l'organisation ? La stratégie IT est une stratégie d'optimisation et d'innovation. La stratégie cyber est une stratégie de maîtrise des risques. Les deux sont nécessaires — et leur confusion conduit à des décisions qui optimisent l'une au détriment de l'autre.

Comment la confusion se manifeste concrètement

La confusion entre stratégie IT et stratégie cyber se manifeste de plusieurs manières dans les organisations. Le budget de cybersécurité est traité comme une ligne du budget IT, et non comme un investissement autonome répondant à des risques spécifiques. La roadmap de sécurité est construite en prolongement de la roadmap technologique, sans évaluation indépendante des risques. Les décisions d'architecture sont prises par les équipes IT pour des raisons de performance et de coût, sans consultation systématique des équipes de sécurité sur les implications en termes d'exposition. Et le RSSI, quand il existe, dépend hiérarchiquement du DSI — ce qui le prive de l'indépendance nécessaire pour contrebalancer les choix technologiques.

Les conséquences d'investissements déséquilibrés

Quand la stratégie IT progresse sans stratégie cyber indépendante, les investissements technologiques et les investissements de sécurité évoluent à des rythmes différents. L'organisation déploie de nouvelles capacités — cloud, mobilité, automatisation, APIs — sans renforcer parallèlement les dispositifs de protection et de surveillance correspondants. La surface d'exposition s'élargit plus vite que la capacité à la surveiller et à la protéger. Ce déséquilibre est invisible dans les indicateurs de performance IT — qui mesurent la disponibilité, la performance et la satisfaction utilisateur. Il n'est révélé que lors d'un incident cyber, qui expose alors l'écart entre la sophistication technologique et la maturité de la protection.

Cas EU Renault (2017) — La modernisation des lignes de production industrielles — une initiative IT/OT visant à améliorer la productivité — avait conduit à la connexion d'automates et de systèmes SCADA à des réseaux d'entreprise. Cette évolution de l'architecture, pilotée par des logiques d'efficacité opérationnelle, n'avait pas été accompagnée d'une stratégie cyber spécifique aux systèmes industriels. L'attaque WannaCry a exploité précisément cette absence, révélant que la stratégie IT avait précédé la stratégie cyber de plusieurs années.

Construire une stratégie cyber indépendante

Une stratégie cyber doit être construite indépendamment de la feuille de route IT, en réponse aux menaces réelles identifiées et aux risques propres de l'organisation. Elle ne part pas des technologies déployées pour en déduire les risques à couvrir — elle part des actifs à protéger et des menaces qui pèsent sur eux pour définir les mesures nécessaires. Elle inclut une vision sur trois à cinq ans de l'évolution de l'exposition — comment les projets de transformation prévus modifient la surface d'attaque — et des objectifs de réduction des risques prioritaires mesurables dans le temps. Cette stratégie est présentée à la direction indépendamment du plan IT, et fait l'objet d'arbitrages budgétaires distincts.

L'articulation entre les deux stratégies

L'indépendance des deux stratégies ne signifie pas leur séparation. La stratégie IT et la stratégie cyber doivent être articulées, avec des mécanismes qui garantissent que les évolutions IT sont évaluées au regard de leurs implications cyber avant leur déploiement. Cette articulation peut prendre la forme d'une revue de sécurité obligatoire pour tous les projets IT au-dessus d'un certain seuil, d'une participation systématique du RSSI aux instances de décision IT, ou d'un processus de validation croisée des budgets IT et cyber. L'objectif est que les deux stratégies progressent de concert, sans que l'une ne précède l'autre de plusieurs années.

Cas Asie Air India (2021) — La migration vers un système de gestion des données de fidélité géré par un prestataire externe s'inscrivait dans une stratégie IT de modernisation des services clients. L'évaluation des risques cyber associés à cette externalisation — notamment le risque de compromission chez le prestataire — n'avait pas été conduite avec la même rigueur que l'analyse de la valeur commerciale de la migration. Quatre millions et demi de passagers ont eu leurs données exposées en conséquence.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Les décisions qui exposent l’entreprise sans que la direction le sache

De nombreuses décisions opérationnelles créent des expositions cyber sans que la direction le sache. L'accumulation silencieuse de ces expositions invisibles constitue un risque structurel que seule la gouvernance peut réduire.

24 mai 2026 7 min
WhatsApp