Points clés
- La traçabilité numérique n'est pas seulement une préoccupation de la DSI ou du RSSI — elle est un enjeu de gouvernance d'entreprise qui doit être intégré dans les politiques, les processus et les structures de responsabilité.
- L'intégration de la traçabilité dans la gouvernance numérique passe par trois dimensions : politique (définir les exigences), processus (les implémenter dans les pratiques opérationnelles), et contrôle (vérifier leur respect).
- Les conseils d'administration sont de plus en plus scrutinisés sur leurs capacités de supervision numérique : la SEC américaine impose depuis 2023 un reporting sur les capacités de cybersécurité incluant la supervision aux sociétés cotées.
- ISO 27001:2022 Section 5 (Leadership) et NIST CSF 2.0 (fonction Govern) placent la gouvernance de la supervision au niveau de la direction générale et du conseil d'administration.
Intégrer la traçabilité dans la gouvernance numérique d'une organisation signifie en faire un sujet de gouvernance au même titre que la conformité financière ou légale — pas seulement un sujet technique géré par les équipes IT. Cette intégration reflète le rôle croissant de la traçabilité dans la démonstration de la responsabilité organisationnelle aux régulateurs, aux investisseurs et aux partenaires.
La gouvernance de la traçabilité couvre trois dimensions interdépendantes : la définition des politiques (quelles activités doivent être tracées, pendant combien de temps, avec quels standards de protection), l'implémentation dans les processus opérationnels (comment les systèmes de traçabilité sont déployés et maintenus), et le contrôle de leur respect (comment l'organisation vérifie que les politiques sont effectivement appliquées).
La politique de traçabilité comme document de gouvernance
Une politique de traçabilité formalisée définit le périmètre des activités à journaliser, les standards de protection et de conservation des journaux, les rôles et responsabilités dans la gestion de la traçabilité, et les processus de contrôle. Cette politique est un document de gouvernance — validé par la direction générale et intégré dans le système de management de la sécurité — pas un document technique.
La politique de traçabilité doit couvrir explicitement les scénarios réglementaires : comment les journaux sont utilisés pour répondre à une demande d'audit RGPD, comment les preuves sont collectées lors d'un incident pour notification réglementaire, comment la chaîne de custody est maintenue pour une potentielle procédure judiciaire. Cette couverture explicite transforme la politique de journalisation technique en politique de gouvernance de la responsabilité organisationnelle.
ISO 27001:2022 Section 5.2 impose que la politique de sécurité de l'information soit approuvée par la direction. ISO 27001:2022 A.8.15 sur la journalisation fait partie du périmètre couvert par cette politique. La validation formelle de la politique de traçabilité par la direction générale est donc une exigence de certification ISO 27001, pas seulement une bonne pratique.
L'intégration dans les processus de gouvernance
La traçabilité doit être intégrée dans les processus de gouvernance numérique existants. Le processus de gestion du cycle de vie des actifs doit inclure des exigences de traçabilité pour chaque nouveau système (quels logs, transmis où, pendant combien de temps). Le processus de gestion des tiers doit inclure des exigences de traçabilité pour les prestataires avec des accès aux systèmes (journalisation des accès prestataires, conservation des logs). Le processus de gestion des incidents doit inclure des procédures de collecte et de conservation des preuves.
La gestion des changements (Change Management) doit inclure une évaluation de l'impact sur la traçabilité. Un changement d'infrastructure qui supprime ou modifie une source de logs existante doit être évalué en termes d'impact sur la couverture de supervision. ISO 27001:2022 A.8.32 (Gestion des changements) doit couvrir les impacts sur la traçabilité comme une dimension de l'évaluation des risques associés aux changements.
La revue de direction annuelle (Management Review), imposée par ISO 27001:2022 Section 9.3, doit inclure un point sur les capacités de traçabilité et de supervision : résultats des audits, métriques de performance, incidents où la traçabilité a été déterminante (positivement ou négativement). Cette intégration dans la revue de direction ancre la gouvernance de la traçabilité au niveau le plus élevé de l'organisation.
Le conseil d'administration et la supervision numérique
La SEC américaine a adopté en 2023 de nouvelles règles imposant aux sociétés cotées de déclarer leurs incidents cyber matériels dans les 4 jours ouvrables, et de publier annuellement des informations sur les politiques et processus de gestion des risques cyber de leur conseil d'administration. Ces règles augmentent directement la responsabilité des administrateurs sur les capacités de supervision de leur organisation.
En Europe, DORA impose que les organes de direction des entités financières soient responsables des politiques de sécurité ICT, incluant les politiques de supervision et de détection. Cette responsabilité implique que les administrateurs doivent comprendre les capacités de supervision de l'organisation et recevoir un reporting régulier sur leur efficacité.
Le NIST CSF 2.0, dans sa nouvelle fonction Govern (ajoutée dans la version 2.0 de 2024), place la gouvernance de la cybersécurité — incluant la supervision — au niveau de la stratégie organisationnelle et du conseil d'administration. Cette évolution illustre la tendance de fond : la supervision numérique est devenue un enjeu de gouvernance d'entreprise.
Les règles de reporting cybersécurité de la SEC, adoptées en juillet 2023, imposent aux sociétés cotées américaines de déclarer les incidents matériels sur le formulaire 8-K dans les 4 jours ouvrables, et de publier annuellement dans le formulaire 10-K des informations sur les processus de gestion des risques cyber du conseil d'administration. Ces règles ont conduit de nombreuses sociétés à revoir leur gouvernance de la supervision cyber pour s'assurer que le conseil d'administration est suffisamment informé pour remplir ses obligations déclaratives. SolarWinds et plusieurs autres sociétés touchées par des incidents majeurs ont dû publier des déclarations SEC détaillées sur leurs capacités de supervision et leurs lacunes identifiées.
DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose aux entités financières européennes (banques, assurances, gestionnaires d'actifs, prestataires de services ICT critiques) que leur organe de direction assume la responsabilité finale de la gestion des risques ICT, incluant les politiques de supervision et de détection. Cette responsabilité implique que les administrateurs doivent approuver les politiques de supervision, recevoir des rapports réguliers sur leur efficacité, et être en mesure de rendre compte de ces politiques aux autorités compétentes. DORA introduit également des exigences de tests de résilience (TLPT — Threat-Led Penetration Testing) qui évaluent les capacités de détection des entités soumises.
La Hong Kong Monetary Authority a publié en 2023 une circulaire sur la gouvernance de la cybersécurité dans les institutions financières supervisées, imposant que le conseil d'administration approuve formellement les politiques de supervision cyber et reçoive un reporting annuel sur les capacités de détection et les résultats des tests. La HKMA a également mis en place un programme de certification des capacités de supervision cyber des établissements supervisés, évaluant leur maturité sur plusieurs dimensions incluant la qualité des journaux, la couverture de supervision, et les délais de détection. Les résultats de cette évaluation influencent les priorités d'inspection de la HKMA.