Points clés
- Intégrer les systèmes critiques dans la gouvernance globale signifie les soumettre aux mêmes processus de décision et de supervision que les autres actifs stratégiques.
- Cette intégration implique des comités de gouvernance, des politiques formalisées, des indicateurs de reporting et des processus de gestion des changements spécifiques.
- DORA exige que l'organe de direction supervise activement la stratégie ICT incluant les systèmes critiques et rende compte de cette supervision aux autorités compétentes.
- Le modèle des trois lignes de défense appliqué aux systèmes critiques (opérations IT, risk management, audit interne) est le standard recommandé par ASIS International et l'IIA.
- NIS2 impose que les responsables des entités essentielles suivent une formation spécifique à la cybersécurité.
La gouvernance des systèmes critiques dépasse le cadre de la direction IT. Ces systèmes, parce qu'ils conditionnent la continuité de l'activité, la conformité réglementaire et parfois la sécurité physique, doivent être gouvernés comme des actifs stratégiques au même titre que les actifs financiers ou humains. Cette intégration dans la gouvernance globale est à la fois une exigence réglementaire et une condition de résilience organisationnelle.
Les organisations qui traitent les systèmes critiques uniquement comme un sujet technique — relevant des seules équipes IT ou RSSI — s'exposent à des décisions sous-optimales : investissements insuffisants, arbitrages en faveur de la disponibilité au détriment de la sécurité, et absence de réponse institutionnelle lors d'un incident majeur.
Le modèle des trois lignes de défense appliqué
Le modèle des trois lignes de défense, recommandé par l'IIA (Institute of Internal Auditors) et intégré dans les référentiels DORA et NIS2, structure la gouvernance des systèmes critiques en trois niveaux. La première ligne de défense comprend les équipes opérationnelles IT et sécurité, responsables de l'application des contrôles au quotidien. La deuxième ligne comprend les fonctions de risk management et conformité, responsables du cadre de contrôle, de la mesure du risque résiduel et du reporting. La troisième ligne est l'audit interne, qui évalue l'efficacité réelle des contrôles en place et du dispositif de gouvernance.
Pour les systèmes critiques, chaque ligne doit avoir des responsabilités clairement définies et des canaux d'escalade vers la direction documentés. L'absence de deuxième ligne opérationnelle est l'une des lacunes les plus fréquentes identifiées lors des inspections réglementaires.
Les comités de gouvernance des systèmes critiques
Les organisations de taille significative formalisent la gouvernance de leurs systèmes critiques dans des comités dédiés ou dans l'agenda des comités de direction existants. Un comité de sécurité des systèmes critiques efficace réunit les responsables métiers des fonctions dépendantes, le DSI ou RSSI, et un représentant de la direction générale. Son agenda régulier couvre : l'état des indicateurs de performance et de risque, les incidents significatifs survenus et leurs enseignements, les décisions d'investissement en attente, et les résultats des tests de continuité.
DORA impose que l'organe de direction (conseil d'administration ou équivalent) reçoive régulièrement des rapports sur l'état des risques ICT critiques et soit impliqué dans les décisions stratégiques de résilience.
La gestion des changements sur les systèmes critiques
Les systèmes critiques doivent être soumis à un processus de gestion des changements plus rigoureux que les systèmes standard. Chaque modification — patch, mise à jour de configuration, évolution d'architecture, ajout d'un accès externe — doit passer par un processus formel incluant une analyse d'impact sur la disponibilité et la sécurité, une validation par les responsables compétents, un test en environnement non-productif et un plan de rollback documenté.
La panne CrowdStrike de juillet 2024 est l'exemple le plus récent d'une défaillance de gestion des changements sur un composant critique : une mise à jour de configuration déployée en production sans tests suffisants sur l'ensemble des configurations client a déclenché la plus grande panne informatique de l'histoire documentée.
JPMorgan Chase dépense environ 15 milliards de dollars par an en technologie, dont une part significative dédiée à la résilience des systèmes critiques. Son modèle de gouvernance IT intègre un Technology Risk Committee au niveau du conseil d'administration, une Chief Information Security Officer rapportant directement au CEO, et un processus de gestion des changements sur les systèmes critiques incluant des fenêtres de déploiement planifiées et des tests de régression obligatoires. Ce modèle est régulièrement cité par la Fed et l'OCC comme référence sectorielle.
BNP Paribas a structuré la gouvernance de ses systèmes critiques autour d'un Comité des Risques IT réunissant trimestriellement les directeurs de pôle, le CIO et le CISO. Ce comité supervise les indicateurs de risque ICT, valide les décisions d'investissement en résilience et suit les plans de remédiation des vulnérabilités identifiées sur les systèmes critiques. Le dispositif a été audité par la BCE dans le cadre de DORA et identifié comme aligné avec les attentes réglementaires.
GovTech Singapore a développé un cadre de gouvernance des systèmes critiques gouvernementaux (SGTS — Singapore Government Tech Stack) incluant un processus de classification formelle, des exigences de tests de pénétration annuels sur les systèmes de criticité maximale, et un comité de gouvernance ICT présidé par le Chief Information Officer du gouvernement. Ce cadre, adapté des recommandations du NIST et de l'ISO 27001, est obligatoire pour l'ensemble des agences gouvernementales de Singapour.