Phylapp
Gouvernance du risque numérique et stratégie cyber

Direction, IT, juridique : qui pilote réellement le risque numérique ?

Dans de nombreuses organisations, le risque numérique est piloté par personne : la délégation en cascade produit une responsabilité orpheline. Clarifier les rôles est un acte de gouvernance fondamental.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • Dans de nombreuses organisations, le risque numérique est piloté par personne — chaque acteur pense que la responsabilité appartient à un autre.
  • La direction délègue au DSI, le DSI délègue au RSSI, le RSSI signale sans avoir l'autorité pour décider : ce système de délégation en cascade produit une responsabilité orpheline.
  • La clarification des responsabilités est un acte de gouvernance fondamental que seule la direction générale peut réaliser.
  • Le rôle de chaque acteur doit être précis et documenté, avec des interfaces claires entre les fonctions qui gèrent le risque numériques sous des angles différents.
Cas US Morgan Stanley (2016-2019) — Les défaillances dans la gestion des données clients lors du décommissionnement d'équipements ont mis en évidence une confusion des responsabilités : la DSI pensait que la direction de la conformité supervisait le processus, la conformité pensait que la DSI le gérait, et la direction n'avait pas clarifié laquelle des deux était responsable. Cette confusion, sur un processus qui devrait être clairement assigné, a conduit à une double défaillance coûteuse.

Le problème de la responsabilité orpheline

La responsabilité orpheline est l'une des configurations les plus dangereuses en matière de risque numérique. Elle survient quand chaque acteur pense que la responsabilité appartient à un autre. La direction pense avoir délégué au DSI. Le DSI pense que le RSSI s'en occupe. Le RSSI pense qu'il a alerté mais n'a pas l'autorité pour décider. Le responsable conformité pense que les risques numériques relèvent du technique. Et les directions métiers pensent que "ça, c'est de l'IT". Dans cette configuration, un risque peut être connu de plusieurs acteurs sans qu'aucun ne prenne la responsabilité de le traiter — précisément parce que tout le monde croit que quelqu'un d'autre le fait.

Les rôles distincts de chaque acteur

Une clarification efficace des responsabilités suppose de définir précisément le rôle de chaque acteur. La direction générale définit le niveau de risque acceptable, approuve la politique de sécurité, alloue les ressources et prend les décisions stratégiques. Le RSSI identifie les risques, évalue l'exposition, recommande des mesures de traitement, supervise leur mise en œuvre et alerte la direction sur les évolutions significatives. Le DSI opère les systèmes selon les exigences définies par le RSSI et la direction. Le responsable conformité s'assure que les exigences réglementaires sont intégrées dans les décisions de gouvernance. Les directions métiers identifient les processus critiques, contribuent à l'évaluation des impacts et appliquent les politiques dans leur périmètre.

Les zones de friction entre acteurs

Même avec des rôles bien définis, des zones de friction émergent aux interfaces entre acteurs. La plus fréquente oppose le RSSI et le DSI : l'un veut contraindre des décisions techniques pour des raisons de sécurité, l'autre veut maintenir la flexibilité pour les projets. Une deuxième oppose la direction de la conformité et le RSSI : l'une approche le risque par les obligations réglementaires, l'autre par les menaces réelles. Une troisième oppose la direction générale et les acteurs techniques : la première veut avancer vite, les seconds veulent prendre le temps de sécuriser. Ces frictions sont normales — elles reflètent des légitimités différentes. La gouvernance est précisément le mécanisme qui permet de les résoudre sans que l'une ne prime systématiquement sur les autres.

Cas EU British Airways (2018) — La question de la responsabilité sur le composant JavaScript tiers qui a permis l'injection de code malveillant illustre les zones de friction entre acteurs. Qui était responsable de surveiller les composants tiers intégrés dans la plateforme de paiement ? La DSI, qui avait déployé la plateforme ? Le RSSI, qui était supposé superviser la sécurité ? La direction de la conformité, qui gérait les obligations PCI-DSS ? L'absence de réponse claire à cette question avant l'incident est symptomatique d'une gouvernance avec des rôles insuffisamment précis.

La clarification comme acte de gouvernance fondamental

Clarifier qui est responsable de quoi dans la gestion du risque numérique est un acte de gouvernance fondamental que seule la direction générale peut réaliser. Cette clarification ne peut pas être laissée aux acteurs eux-mêmes — chacun tendrait naturellement à défendre son périmètre et à limiter ses responsabilités. Elle doit être conduite par la direction générale, qui dispose de l'autorité pour imposer une définition des rôles que chaque acteur est tenu de respecter. Cette clarification doit être documentée — dans une politique de gouvernance, un RACI ou tout autre format adapté à la culture de l'organisation — et révisée quand l'organisation ou l'environnement évolue.

Rendre la clarification visible et suivie d'effet

Une clarification des responsabilités n'a de valeur que si elle est suivie d'effet dans les comportements réels. Cela suppose que les responsables désignés rendent effectivement compte de leurs résultats, que les interfaces entre acteurs fonctionnent dans la pratique et pas seulement sur le papier, et que la direction générale s'assure périodiquement que la clarification produit les effets attendus. Un mécanisme simple — demander régulièrement à chaque responsable de rendre compte de l'état de son périmètre — est suffisant pour créer la dynamique de responsabilité qui transforme la clarification formelle en gouvernance réelle.

Cas Asie SingHealth (2018) — Le comité d'enquête gouvernemental a conclu que la confusion des responsabilités entre les équipes IT, les équipes de sécurité et les instances de gouvernance avait contribué directement à la violation. La question "qui est responsable de quoi" n'avait pas reçu de réponse suffisamment précise dans la gouvernance de l'organisation. Les recommandations du comité incluaient une clarification explicite des responsabilités à chaque niveau, avec des mécanismes de reddition de comptes formalisés.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp