Phylapp
Audit, conformité et responsabilité organisationnelle

Conformité réglementaire et cybersécurité : deux approches souvent dissociées

Les fonctions conformité et cybersécurité opèrent souvent séparément, avec des logiques, des outils et des indicateurs différents. Cette dissociation crée des angles morts dangereux.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Deux fonctions qui se parlent peu

Dans la plupart des organisations, la fonction conformité et la fonction cybersécurité coexistent sans vraiment dialoguer. La conformité se préoccupe des référentiels réglementaires, des certifications, des registres et des déclarations aux autorités. La cybersécurité se préoccupe des menaces, des vulnérabilités, des incidents et des mesures techniques de protection. Leurs métriques sont différentes, leurs interlocuteurs hiérarchiques ne sont souvent pas les mêmes, et leurs cycles de travail sont désynchronisés.

Cette dissociation produit des angles morts structurels. La conformité peut valider des contrôles qui ne protègent pas contre les menaces actuelles. La cybersécurité peut détecter des risques réels non couverts par les cadres réglementaires applicables. Et la direction peut recevoir des tableaux de bord qui donnent une image favorable sur l'une des dimensions sans visibilité sur les lacunes de l'autre.

Pour la direction générale, cette dissociation n'est pas un problème de gestion opérationnelle — c'est un problème de gouvernance. Les décisions d'investissement, de tolérance aux risques et de réponse aux incidents requièrent une vision intégrée des deux dimensions. Les structures organisationnelles qui maintiennent cette dissociation prennent des décisions partiellement informées.

Points clés

  • T-Mobile (2021-2023) : Les violations successives ont mis en évidence une dissociation entre la fonction conformité PCI DSS du groupe (qui validait les contrôles standards) et les équipes de sécurité (qui avaient identifié des risques sur les API non couverts par ces référentiels). Les deux fonctions n'avaient pas de mécanisme de remontée commun vers la direction.
  • Thales (2022) : Après un incident de sécurité chez sa filiale Thales DIS, le groupe a restructuré sa gouvernance pour unifier sous un même reporting au comité exécutif les fonctions conformité et cybersécurité — supprimant la dissociation qui avait contribué à retarder la détection.
  • La dissociation conformité/cybersécurité crée deux bibliothèques de risques parallèles qui ne dialoguent pas — et des zones non couvertes par aucune des deux.
  • Les référentiels modernes (NIS 2, DORA, ISO 27001:2022) intègrent explicitement les deux dimensions — leur application requiert une fonction alignée.
  • L'alignement des deux fonctions ne signifie pas leur fusion — il signifie un reporting consolidé vers la direction et des processus de coordination formalisés.

Les conséquences opérationnelles de la dissociation

La dissociation entre conformité et cybersécurité se manifeste concrètement dans plusieurs situations récurrentes que les organisations rencontrent lors des incidents et des contrôles réglementaires.

Lors d'un incident de sécurité, les équipes de cybersécurité travaillent à la remédiation technique tandis que la fonction conformité gère les obligations de notification réglementaire — souvent en parallèle, avec des informations partielles de l'autre côté. La coordination entre les deux est ad hoc plutôt que structurée, ce qui conduit à des déclarations aux régulateurs qui ne correspondent pas exactement à la réalité technique de l'incident. Lors d'un audit de conformité, les auditeurs évaluent des contrôles selon les critères du référentiel. Les équipes de cybersécurité, qui connaissent les zones de risque réel non couvertes par ce référentiel, ne sont souvent pas incluses dans le processus d'audit — privant l'organisation d'une occasion de documenter ses risques réels dans le cadre de la démarche de conformité.

Lors des décisions d'investissement, les budgets conformité et sécurité sont souvent gérés séparément, avec des logiques de priorisation différentes. Des investissements en cybersécurité qui répondraient à la fois aux exigences réglementaires et aux risques réels ne sont pas identifiés parce que personne ne fait le lien entre les deux inventaires de besoins.

Créer les conditions de l'alignement

L'alignement entre conformité et cybersécurité ne requiert pas nécessairement une fusion organisationnelle. Il requiert des mécanismes de coordination qui permettent aux deux fonctions de travailler avec une vue partagée des risques et des exigences.

Le premier mécanisme est la cartographie de couverture croisée : identifier pour chaque exigence réglementaire de conformité le contrôle de cybersécurité correspondant, et pour chaque risque cybersécurité identifié l'exigence réglementaire applicable. Cette cartographie révèle les zones couvertes par les deux approches, les zones couvertes par une seule, et les zones non couvertes par aucune. Le deuxième mécanisme est le reporting commun vers la direction : les deux fonctions présentent une synthèse consolidée de l'état de conformité et de l'état de sécurité, avec une analyse des interactions et des lacunes. Ce reporting commun évite que la direction reçoive deux tableaux de bord contradictoires ou parcellaires.

Le troisième mécanisme est la planification conjointe des audits : les calendriers d'audit de conformité et les évaluations de sécurité (tests de pénétration, revues de configuration) sont coordonnés pour se compléter mutuellement et éviter les redondances.

Cas documenté

Colonial Pipeline (2021) : La dissociation entre la gestion de la conformité réglementaire du pipeline (soumis aux réglementations TSA) et la sécurité opérationnelle IT/OT a contribué à la gravité de l'incident. Les équipes de conformité géraient les certifications réglementaires requises pour l'exploitation du pipeline, tandis que les équipes IT géaient la sécurité des systèmes d'information — sans mécanisme d'évaluation intégrée des risques couvrant les deux dimensions. L'attaque par ransomware a exploité un accès VPN dans le périmètre IT, forçant l'arrêt préventif des systèmes OT de distribution de carburant.

Le rôle intégrateur de la direction

L'alignement entre conformité et cybersécurité ne se produit pas spontanément dans les organisations qui maintiennent des structures séparées. Il requiert une impulsion de gouvernance au niveau de la direction générale. Cette impulsion prend trois formes concrètes.

La première est structurelle : définir que les deux fonctions rendent compte conjointement à la même instance de direction. Que ce soit un comité des risques, un comité de direction élargi, ou le directeur général lui-même, l'existence d'un point de convergence hiérarchique crée l'obligation de coordination. La deuxième est processuelle : imposer que toute décision significative touchant l'une des deux dimensions soit préparée avec la contribution de l'autre. Un projet de mise en conformité est préparé avec l'apport des équipes de cybersécurité ; une décision d'investissement en sécurité est évaluée avec la grille de lecture des exigences réglementaires. La troisième est symbolique : lorsque la direction exprime publiquement sa vision de la conformité et de la cybersécurité comme deux dimensions d'un même enjeu de gouvernance, elle signale à l'organisation que la coordination n'est pas optionnelle.

Références sectorielles
Uber (2016) : La violation de données de 57 millions d'utilisateurs d'Uber, dissimulée pendant un an, a illustré de façon extrême les conséquences d'une dissociation entre conformité et cybersécurité. L'équipe de sécurité avait géré l'incident de façon autonome, en dehors des processus de notification réglementaire que la fonction conformité aurait dû déclencher. Les sanctions pour dissimulation ont été plus sévères que celles pour la violation elle-même.
Renault : Après l'incident WannaCry, Renault a créé une direction de la cybersécurité et de la conformité numérique unifiée, rapportant directement au directeur général. Cette réorganisation a été présentée comme une décision de gouvernance, pas seulement comme une réponse à l'incident — Renault ayant reconnu que la dissociation antérieure avait contribué à l'absence de vision consolidée des risques dans ses usines connectées.
SingHealth (post-2018) : La recommandation principale du comité d'enquête singapourien sur la violation de SingHealth a été de créer une structure de gouvernance intégrée cybersécurité/conformité au niveau du ministère de la Santé — reconnaissant que la dissociation antérieure avait créé les angles morts exploités par les attaquants.

Articles similaires

L’audit est le révélateur du niveau réel de sécurité d’une organisation

Points clés Un audit de sécurité est d'abord un outil de mesure de la réalité opérationnelle — il révèle l'écart entre les politiques formelles et les pratiques

24 mai 2026 7 min

Les limites des audits ponctuels face aux risques numériques

Points clés Un audit annuel offre une photographie de la sécurité à un instant T — il ne garantit pas la sécurité des 364 jours suivants, période pendant laquel

24 mai 2026 7 min

Les erreurs fréquentes dans la préparation aux audits de sécurité

Points clés La principale erreur de préparation à l'audit est de préparer l'audit plutôt que de préparer la sécurité : corriger ponctuellement les écarts visibl

24 mai 2026 7 min
WhatsApp