Points clés
- Les silos entre équipes métiers, IT et sécurité sont à l'origine de 70 % des incidents liés aux transformations (Gartner)
- Le cas Capital One illustre comment une architecture cloud non coordonnée entre équipes a conduit à une exposition de 100 millions de dossiers
- La coordination ne se décrète pas : elle s'organise via des rôles, des rituels et des outils partagés
- Les organisations matures intègrent la sécurité dans les instances de pilotage projet, pas dans des comités parallèles
Les projets de transformation impliquent trois types d'acteurs aux logiques différentes : les équipes métiers, orientées vers les fonctionnalités et les délais ; les équipes IT, focalisées sur la faisabilité technique et la stabilité des systèmes ; les équipes sécurité, dont la mission est d'identifier et de réduire les risques. Sans mécanisme de coordination explicite, ces logiques entrent en tension et produisent des angles morts.
La majorité des incidents techniques liés aux transformations ne résulte pas d'une incapacité technique mais d'un défaut de coordination : une décision prise par l'équipe métier sans consultation sécurité, une architecture choisie par l'IT sans évaluation des implications pour les données, un contrôle sécurité ajouté après coup qui fragilise la stabilité du système.
Les mécanismes de coordination qui fonctionnent
Trois mécanismes sont documentés comme efficaces dans les organisations ayant réduit leurs incidents liés aux transformations : la désignation d'un Security Champion dans chaque équipe projet (point de contact sécurité au sein des équipes fonctionnelles), les revues de sécurité intégrées aux cérémonies agiles (sprint reviews, planning, rétrospectives), et les RACI sécurité explicites définissant qui consulte qui pour quelles décisions.
Le SANS Institute identifie la présence d'un Security Champion actif dans l'équipe projet comme le facteur corrélant le plus fortement avec la réduction du nombre de vulnérabilités introduites lors des déploiements — plus que la qualité des outils de scan ou la maturité du processus de développement.
La coordination en situation de crise
La coordination entre équipes est encore plus critique lors des incidents en cours de projet : une vulnérabilité découverte en phase de test, un prestataire compromis, une fuite de données sur un environnement de développement. Dans ces situations, l'absence de protocoles de coordination préétablis entraîne des délais de réponse qui amplifient l'impact.
Les exercices de simulation (tabletop exercises) impliquant conjointement les équipes métiers, IT et sécurité permettent de tester ces protocoles avant qu'un incident réel les mette à l'épreuve. Le NIST recommande leur pratique au moins annuellement pour les projets de transformation d'importance significative.
Ce que la direction doit arbitrer
La direction générale joue un rôle d'arbitre dans les conflits de coordination : lorsque les exigences sécurité sont perçues comme bloquantes par les équipes métiers, ou lorsque les équipes IT et sécurité divergent sur l'architecture. Sans mandat clair de la direction, ces tensions se résolvent par défaut au profit de la vitesse — avec les conséquences documentées.
La mise en place d'un comité de sécurité projet incluant des représentants des trois parties, avec un mandat décisionnel clairement défini, est la structure de gouvernance recommandée par l'ANSSI pour les projets de transformation des systèmes d'information sensibles.
Les enquêtes post-accident sur le système MCAS ont révélé une défaillance de coordination entre les équipes d'ingénierie, de certification et de sécurité. Les décisions critiques sur le fonctionnement du système ont été prises sans que toutes les parties impliquées aient une vision complète des implications. La FAA a conclu que le processus de certification avait fonctionné en silos. Deux accidents ont causé 346 morts. Boeing a engagé plus de 20 milliards de dollars de coûts liés à ces incidents.
Une attaque par ransomware a exploité une vulnérabilité dans un logiciel académique déployé par les équipes IT sans coordination avec l'équipe sécurité. L'équipe métier (administration hospitalière) avait autorisé l'intégration avec les systèmes cliniques sans évaluation de risque. La paralysie des systèmes a conduit au transfert d'une patiente vers un autre hôpital, où elle est décédée. L'incident a conduit à une réforme de la coordination IT-sécurité dans les hôpitaux universitaires allemands.
La migration vers un nouveau système de gestion des passagers a été conduite par les équipes IT avec un prestataire externe, sans intégration de l'équipe sécurité dans les phases de conception et de validation. Les données de 4,5 millions de passagers ont été exposées, incluant informations de cartes bancaires et passeports. L'absence de protocole de coordination entre IT et sécurité a également retardé la détection de la compromission de plusieurs mois après le déploiement.