Phylapp
Protection globale des systèmes d’information

La coordination entre exploitation, sécurité et gouvernance

La coordination entre exploitation, sécurité et gouvernance est la condition de la protection opérationnelle effective. Chaque silo produit des angles morts que les attaquants exploitent. La gouvernance joue le rôle d'arbitre éclairé de ces tensions légitimes.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 12 lectures

Points clés

  • La coordination entre exploitation, sécurité et gouvernance est la condition de la protection opérationnelle effective — chaque silo produit des angles morts
  • Les équipes d'exploitation connaissent les systèmes ; les équipes de sécurité connaissent les menaces ; la gouvernance définit les priorités : sans coordination, les trois fonctions sont sous-optimales
  • Le modèle DevSecOps intègre cette coordination dans les cycles de développement et de déploiement
  • Les exercices conjoints (tabletop, red team) sont le meilleur test de la qualité de cette coordination avant un incident réel

L'efficacité de la protection des systèmes d'information repose sur la qualité de la coordination entre trois fonctions distinctes : l'exploitation (les équipes IT qui opèrent les systèmes au quotidien), la sécurité (les équipes RSSI/SOC qui identifient et répondent aux menaces), et la gouvernance (la direction qui définit les priorités, alloue les ressources et accepte les risques résiduels). Lorsque ces trois fonctions opèrent en silos — chacune dans sa propre logique, sans mécanisme de coordination formalisé — les angles morts se multiplient.

L'exploitation connaît les systèmes dans leur réalité opérationnelle : les configurations qui ont évolué depuis la documentation initiale, les dépendances non documentées entre applications, les processus manuels qui contournent les procédures officielles. La sécurité connaît les menaces et les vecteurs d'attaque, mais pas nécessairement les réalités opérationnelles qui déterminent ce qui est réellement protégeable. La gouvernance définit les priorités mais n'a souvent pas une vision suffisamment fine de la réalité technique pour des décisions pleinement informées.

Les mécanismes de coordination efficaces

La coordination entre exploitation, sécurité et gouvernance s'opère par des mécanismes formels et informels. Les mécanismes formels incluent : les Change Advisory Boards (CAB) qui réunissent exploitation et sécurité pour valider les modifications des systèmes, les runbooks partagés qui définissent les procédures d'incident response conjointes, les tableaux de bord de sécurité opérationnelle partagés entre les trois fonctions, et les revues de sécurité régulières avec représentation des trois parties.

Les mécanismes informels — relations de travail entre les équipes, culture de la communication proactive, sentiment partagé d'appartenance à une même mission — sont tout aussi importants. Les exercices conjoints de simulation d'incident créent ces mécanismes informels : les équipes qui ont "vécu ensemble" un incident simulé réagissent de manière beaucoup plus coordonnée lors d'un incident réel.

Les points de friction les plus courants

Les points de friction entre exploitation et sécurité sont bien documentés : les équipes d'exploitation perçoivent les contrôles de sécurité comme des obstacles à la fluidité opérationnelle (délais de changement, restrictions d'accès, mises à jour qui créent des régressions). Les équipes de sécurité perçoivent les équipes d'exploitation comme insuffisamment sensibles aux risques et peu coopératives sur les actions de remédiation.

Ces frictions sont réelles et productives lorsqu'elles sont gérées dans un cadre de coordination : elles signalent des tensions entre les objectifs légitimes de chaque fonction, qui doivent être arbitrées par la gouvernance avec une vision complète des enjeux. Elles deviennent destructrices lorsqu'elles conduisent à l'évitement, à la dissimulation d'informations, ou à des décisions unilatérales.

La gouvernance comme arbitre

La direction joue un rôle d'arbitre dans les tensions entre exploitation et sécurité. Cet arbitrage requiert d'être informé des deux côtés : comprendre les contraintes opérationnelles qui rendent certains contrôles difficiles à mettre en œuvre, et comprendre les risques de sécurité qui rendent ces contrôles nécessaires. Un arbitrage uninformé — toujours en faveur de la fluidité opérationnelle ou toujours en faveur de la sécurité — produit des déséquilibres que les équipes apprendront à contourner plutôt qu'à résoudre.

L'ISACA publie un guide sur la coordination entre les fonctions IT, sécurité et audit qui inclut des modèles de gouvernance de ces tensions. Ce guide est utilisé comme référence par de nombreuses organisations pour structurer leurs mécanismes de coordination et définir les escalades appropriées lorsque les tensions ne peuvent pas être résolues au niveau opérationnel.

Coordination exploitation-sécurité-gouvernance : leçons documentées
Three Mile Island — États-Unis (analogie des systèmes de contrôle)
L'accident nucléaire de Three Mile Island (1979) a révélé une défaillance de coordination entre les équipes d'exploitation (qui opéraient le réacteur) et les systèmes de supervision (dont les alertes étaient mal interprétées). Le rapport de la Commission Kemeny a conduit à des réformes fondamentales dans la coordination entre opérateurs, systèmes de contrôle et supervision réglementaire dans l'industrie nucléaire. Ces leçons ont ensuite été transposées à d'autres secteurs critiques, dont l'informatique industrielle, comme modèle de coordination entre exploitation et sécurité.
Airbus AMSAFE — coordination OT/IT, depuis 2019
Airbus a développé un programme de coordination entre ses équipes d'exploitation industrielle (OT - Operational Technology) et ses équipes de sécurité IT pour protéger ses usines de production aéronautique. Ce programme a nécessité de développer un langage commun entre des équipes avec des cultures et des objectifs différents. Des exercices de simulation conjoints — impliquant à la fois les équipes de production et les équipes de sécurité — ont été organisés pour tester les procédures de réponse aux incidents dans un contexte où la continuité de la production est un enjeu critique. Airbus publie des retours d'expérience sur ce programme dans des conférences industrielles.
Singapore Airlines — coordination opérations-sécurité, programme STORM
Singapore Airlines a développé le programme STORM (Security, Technology, Operations and Risk Management) pour formaliser la coordination entre ses équipes d'exploitation (opérations aériennes et systèmes au sol) et ses équipes de sécurité IT. Le programme définit des procédures conjointes pour les incidents affectant les systèmes opérationnels critiques, des niveaux d'escalade clairs vers la direction, et des exercices de simulation trimestriels impliquant les deux fonctions. Singapore Airlines cite ce programme dans ses rapports annuels comme un élément de sa stratégie de résilience opérationnelle.

Articles similaires

La sécurité des systèmes ne se limite plus aux outils techniques

La sécurité des systèmes d'information dépasse les outils techniques : gouvernance, processus et culture sont des composantes indissociables d'une protection réellement efficace face aux menaces contemporaines.

24 mai 2026 7 min

Pourquoi la complexité des systèmes augmente mécaniquement le risque

La complexité des systèmes d'information augmente mécaniquement à chaque intégration et transformation numérique. Sans cartographie continue des actifs, les investissements de sécurité sont alloués en aveugle sur une surface d'attaque partiellement inconnue.

24 mai 2026 7 min

Les erreurs les plus fréquentes dans la protection des infrastructures IT

Les erreurs les plus fréquentes dans la protection des infrastructures IT — gestion des accès, patches en retard, sauvegardes non testées — sont connues depuis des années. Leur persistance révèle un défaut de processus, pas un manque de connaissance.

24 mai 2026 7 min
WhatsApp