Phylapp
Gouvernance du risque numérique et stratégie cyber

Cybersécurité : délégation technique ou responsabilité stratégique ?

La délégation totale de la cybersécurité aux experts techniques ne décharge pas la direction de sa responsabilité stratégique. La distinction entre ce qui peut être délégué et ce qui ne le peut pas est fondamentale.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 22 lectures

Points clés

  • La délégation totale de la cybersécurité à des experts techniques est une posture confortable — mais elle ne décharge pas la direction de sa responsabilité stratégique et réglementaire.
  • La direction n'a pas à maîtriser la technique : elle doit exercer un jugement sur les risques, les priorités et les ressources — ce qui est sa compétence naturelle.
  • La distinction entre ce qui relève de la délégation technique et ce qui relève de la décision stratégique est essentielle pour une gouvernance efficace.
  • Les organisations où la direction exerce une responsabilité stratégique réelle sur la cybersécurité gèrent leurs incidents significativement mieux que celles où tout est délégué.
Cas US Colonial Pipeline (2021) — La décision de payer la rançon de 4,4 millions de dollars — prise en urgence par la direction générale — a illustré que les décisions stratégiques en situation de crise cyber ne peuvent pas être déléguées aux équipes techniques. La direction avait été prise au dépourvu par la nécessité de prendre une décision de gouvernance majeure sans préparation préalable. L'investissement dans la préparation stratégique de ce type de décision en amont — et non sa délégation — aurait permis une réponse plus structurée.

Ce qui peut être délégué et ce qui ne peut pas l'être

La distinction entre délégation technique et responsabilité stratégique est fondamentale pour une gouvernance efficace de la cybersécurité. Peut être délégué : l'identification et l'évaluation des risques techniques, le choix des outils et des architectures de sécurité, l'opération quotidienne des dispositifs de protection et de surveillance, la réponse technique aux incidents. Ne peut pas être délégué : l'approbation de la politique de sécurité et du niveau de risque acceptable, l'arbitrage entre les investissements de sécurité et les autres priorités de l'organisation, la décision en situation de crise lorsque les enjeux dépassent le périmètre technique, et la responsabilité devant les régulateurs et les parties prenantes. Ces responsabilités non déléguables sont précisément celles que le cadre réglementaire assigne à la direction.

La compétence de la direction en matière de risques

La direction n'est pas censée être experte en cybersécurité technique. Mais elle est experte en gestion des risques — c'est une compétence fondamentale du management. Évaluer des probabilités, quantifier des impacts, arbitrer entre des options avec des profiles risque-rendement différents, prendre des décisions dans l'incertitude — toutes ces compétences que la direction exerce quotidiennement dans les domaines financier, commercial et opérationnel s'appliquent directement à la gestion des risques cyber. Ce qui fait défaut n'est pas la compétence de base — c'est la traduction des risques cyber dans le langage des décisions que la direction est habituée à prendre. Cette traduction est le travail des équipes de sécurité.

Les risques de la délégation totale

La délégation totale de la cybersécurité aux experts techniques comporte plusieurs risques structurels. Le premier est l'invisibilité stratégique : les risques les plus significatifs ne remontent pas naturellement à la direction, et les décisions d'arbitrage ne sont jamais mises à l'agenda des instances qui ont l'autorité pour les prendre. Le deuxième est la déresponsabilisation : si quelque chose se passe mal, la direction peut plaider qu'elle avait délégué — mais les régulateurs et les tribunaux considèrent de plus en plus que cette délégation ne suffit pas à exonérer la responsabilité personnelle des dirigeants. Le troisième est la sous-ressources : sans champion au niveau de la direction, la cybersécurité perd systématiquement les arbitrages budgétaires.

Cas EU SNCF — L'opérateur ferroviaire a clairement défini la frontière entre responsabilité stratégique et délégation technique dans sa gouvernance de la cybersécurité. Les décisions d'architecture, de choix d'outils et d'opération quotidienne sont déléguées aux équipes spécialisées. Les décisions sur le niveau de risque acceptable, les investissements prioritaires et la réponse aux incidents majeurs sont exercées par les instances de direction. Cette clarification des périmètres a permis une gouvernance efficace sans confusion des rôles ni paralysie décisionnelle.

Exercer la responsabilité stratégique concrètement

Exercer une responsabilité stratégique réelle sur la cybersécurité suppose des comportements concrets de la direction. Demander des reportings réguliers dans un format compréhensible, poser des questions sur les risques non traités et les délais de correction, participer aux exercices de simulation de crise, valider explicitement la politique de sécurité et les niveaux de risque acceptables, et défendre les budgets de sécurité dans les arbitrages organisationnels. Ces comportements ne requièrent pas d'expertise technique — ils requièrent de l'attention et de l'engagement. Et ils envoient un signal clair à toute l'organisation sur l'importance réelle accordée à la cybersécurité.

Préparer la direction à exercer sa responsabilité

La direction ne peut pas exercer sa responsabilité stratégique en cybersécurité si elle n'est pas préparée à le faire. Cette préparation passe par une formation adaptée — pas une formation technique, mais une formation sur les enjeux stratégiques, les scénarios de crise et les décisions de gouvernance que la cybersécurité implique. Elle passe par des exercices de simulation qui placent la direction dans des situations de décision réalistes. Et elle passe par des reportings réguliers de qualité qui développent progressivement la familiarité de la direction avec le domaine. Cette préparation est un investissement — dont le ROI se mesure à la qualité des décisions prises lors du prochain incident.

Cas Asie Medibank (2022) — La décision de refuser le paiement de la rançon, prise par la direction de l'assureur australien après la violation des données de 9,7 millions d'assurés, est un exemple de responsabilité stratégique exercée en situation de crise. Cette décision — dont les conséquences (publication des données sur le darknet) étaient prévisibles et ont effectivement eu lieu — a été assumée publiquement par la direction. Elle illustre ce que signifie exercer une responsabilité stratégique réelle : prendre des décisions difficiles, en connaissance de leurs conséquences, et en assumer la responsabilité.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp