Phylapp
Gestion des incidents et des crises cyber

L’importance de la coordination entre IT, métiers et direction

La coordination entre IT, métiers et direction est déterminante dans la qualité de la réponse à un incident. Les défauts de coordination produisent des délais et des décisions incohérentes sous pression.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • La coordination entre IT, métiers et direction est l'un des facteurs les plus déterminants dans la qualité de la réponse à un incident cyber.
  • Les défauts de coordination produisent des décisions incohérentes, des délais évitables, et une amplification des impacts opérationnels.
  • Une coordination efficace ne s'improvise pas en situation de crise : elle repose sur des mécanismes établis et testés en amont.
  • La direction est le seul niveau qui peut imposer la coordination entre des fonctions qui ont naturellement des priorités différentes.
Cas US Home Depot (2014) — L'analyse post-incident a montré que les équipes IT avaient identifié des anomalies plusieurs mois avant la détection officielle, mais n'avaient pas de processus clair pour escalader vers les métiers et la direction. Les équipes de sécurité ont géré le sujet de manière autonome sans mobiliser les décideurs qui auraient pu autoriser des mesures plus radicales de confinement. Ce défaut de coordination entre niveaux a permis à la violation de se prolonger et de s'étendre.

Pourquoi la coordination échoue en situation de crise

En situation de crise, les défauts de coordination se manifestent brutalement. L'IT prend des décisions techniques qui impactent les métiers sans les consulter. Les métiers maintiennent des systèmes connectés qui auraient dû être isolés pour des raisons commerciales. La direction reçoit des informations contradictoires de différentes équipes et ne peut pas prendre de décision cohérente. Ces défauts ne sont pas des problèmes personnels — ce sont des défauts de conception organisationnelle qui deviennent catastrophiques sous la pression d'un incident.

Les interfaces critiques entre IT, métiers et direction

La coordination requiert des interfaces clairement définies entre les trois pôles. Entre l'IT et les métiers : des responsables métiers référents en sécurité capables de comprendre les enjeux techniques et de transmettre les contraintes opérationnelles. Entre les métiers et la direction : un processus d'escalade clair sur les décisions qui nécessitent un arbitrage au niveau exécutif. Entre l'IT et la direction : un responsable de la sécurité capable de traduire les enjeux techniques en décisions de gouvernance. Ces interfaces doivent être définies, connues, et testées — pas découvertes lors de l'incident.

La décision coordonnée sous pression

La décision la plus difficile à prendre coordonnément sous pression est celle d'isoler des systèmes critiques pour l'activité. L'IT veut isoler pour contenir l'incident. Les métiers veulent maintenir les systèmes pour préserver l'activité client. La direction doit arbitrer avec une information incomplète dans un délai court. Si ce processus de décision coordonnée n'a pas été préparé et pratiqué, l'arbitrage sera lent, douloureux, et souvent incohérent. Si il a été préparé, il peut se faire en minutes.

Cas EU Marriott/Starwood (2018) — La gestion de la violation de données héritée de l'acquisition de Starwood a révélé des défauts de coordination entre l'IT de Marriott, les équipes de l'ancien Starwood et la direction du groupe. Les systèmes hérités n'avaient pas été pleinement intégrés dans les processus de gouvernance de Marriott, créant des zones d'ombre dans la coordination. La réponse a été ralentie par cette fragmentation organisationnelle résultant d'une intégration post-acquisition incomplète.

Mécanismes de coordination en situation de crise

Plusieurs mécanismes permettent de maintenir la coordination en situation de crise. Un point de situation régulier (toutes les heures ou toutes les deux heures) réunissant les représentants des trois niveaux permet d'aligner les informations et les décisions. Un tableau de bord partagé de l'état de l'incident visible par tous les décideurs évite les informations contradictoires. Un protocole de communication interne unique (pas de communication individuelle contradictoire) maintient la cohérence du message. Ces mécanismes doivent être définis à l'avance et activés dès le début de la réponse.

Pratiquer la coordination en exercice

La coordination entre IT, métiers et direction ne peut être efficace sous pression que si elle a été pratiquée en dehors de la pression. Les exercices de simulation doivent inclure des représentants des trois niveaux, reproduire les tensions naturelles entre leurs priorités respectives, et pratiquer les mécanismes de décision coordonnée. Un exercice qui n'implique que les équipes techniques ne teste pas la coordination qui fera la différence lors d'un vrai incident d'ampleur.

Cas Asie Air India (2021) — La gestion de la violation de données d'Air India a illustré les défauts de coordination entre la direction de la compagnie, ses équipes IT, et le prestataire SITA responsable de la gestion des données passagers. L'absence d'une interface de coordination clairement définie entre ces trois acteurs a conduit à une réponse fragmentée et à des communications vers les clients non synchronisées. Cette leçon a conduit la compagnie à revoir ses contrats avec les prestataires pour inclure des protocoles de coordination de crise explicites.

Articles similaires

Pourquoi aucune organisation n’est réellement prête à gérer un incident cyber

Aucune organisation n'est totalement prête à gérer un incident cyber. L'écart entre préparation théorique et préparation effective est considérable — et déterminant dans la gestion de crise.

24 mai 2026 7 min

Les premières heures après une attaque : ce qui fait la différence

Les premières heures d'un incident cyber sont déterminantes. La qualité de la réponse initiale dépend de la préparation — pas de l'improvisation sous pression.

24 mai 2026 7 min

Les erreurs les plus fréquentes lors de la gestion d’un incident

Les erreurs de gestion d'incident sont récurrentes et documentées : sous-estimation du périmètre, isolation technique, décisions différées, communication défaillante, absence de retour d'expérience.

24 mai 2026 7 min
WhatsApp