Points clés
- La direction n'est pas responsable de gérer techniquement les risques cyber, mais elle est responsable de créer les conditions organisationnelles pour qu'ils soient gérés.
- Allouer des ressources, arbitrer les priorités, recevoir une information régulière et validée — tels sont les engagements concrets attendus de la direction.
- La réglementation européenne NIS2 et les standards ISO formalisent désormais la responsabilité personnelle des dirigeants en matière de cybersécurité.
- Une direction impliquée réduit significativement le délai de détection et de réponse aux incidents, en assurant une chaîne de décision claire et rapide.
Ce que la direction doit faire — et ce qu'elle ne doit pas faire
La direction n'a pas vocation à devenir experte en cybersécurité. Elle n'a pas à comprendre les détails techniques des attaques, à configurer des systèmes ou à piloter des investigations forensiques. En revanche, elle doit exercer des responsabilités qui lui sont propres et ne peuvent pas être déléguées : approuver la politique de sécurité, allouer les ressources nécessaires, recevoir une information régulière sur le niveau d'exposition, prendre les décisions d'arbitrage entre risque et activité, et décider en situation de crise. Ces responsabilités ne sont pas techniques — elles sont managériales et stratégiques.
Allouer des ressources de manière éclairée
L'une des contributions les plus concrètes de la direction à la gestion des risques cyber est l'allocation de ressources suffisantes et bien orientées. Cette allocation n'est efficace que si elle est informée : si la direction ne comprend pas pourquoi un investissement est nécessaire, elle arbitre par défaut en faveur des projets dont la valeur lui est plus visible. C'est pourquoi les équipes de sécurité doivent être en mesure de présenter leurs besoins en termes d'impact sur les risques — et non en termes techniques — et pourquoi la direction doit disposer d'un cadre de référence suffisant pour évaluer ces demandes.
Définir et valider la politique de sécurité
La politique de sécurité d'une organisation n'est pas un document technique produit par la DSI. C'est un engagement organisationnel qui définit le niveau de risque acceptable, les priorités de protection, et les comportements attendus à tous les niveaux. Sa validation par la direction lui confère une légitimité qui la rend applicable et suivie. Une politique de sécurité que seule la DSI connaît et défend reste un document interne sans portée réelle. Celle que la direction a approuvée et s'engage à respecter elle-même donne le ton à l'ensemble de l'organisation.
La responsabilité personnelle des dirigeants : une réalité réglementaire
La directive NIS2, applicable en Europe depuis 2024, formalise explicitement la responsabilité personnelle des membres des organes de direction en matière de cybersécurité. Elle prévoit que les dirigeants peuvent être tenus personnellement responsables en cas de manquement grave aux obligations de gestion des risques cyber. Cette évolution réglementaire transforme la cybersécurité en enjeu de responsabilité individuelle pour les dirigeants, et non plus seulement en risque organisationnel. Elle incite à une implication réelle, documentée, et régulièrement mise à jour.
Assurer une chaîne de décision claire en situation de crise
Lors d'un incident numérique majeur, les décisions les plus critiques ne sont pas techniques : elles concernent la continuité ou l'arrêt de certaines activités, la communication aux parties prenantes, les obligations de notification réglementaire, et les engagements envers les clients. Ces décisions supposent une autorité et une légitimité que seule la direction peut exercer. Une organisation dont la chaîne de décision n'est pas clairement définie avant la crise voit ses délais de réponse s'allonger considérablement, avec des conséquences directes sur l'ampleur des impacts. La clarté de la gouvernance de crise se prépare dans le calme.