Phylapp
Gouvernance du risque numérique et stratégie cyber

Les conséquences d’une gouvernance fragmentée entre IT, conformité et métiers

Une gouvernance fragmentée entre IT, conformité et métiers crée des angles morts aux interfaces — là où personne n'est responsable. Les risques les plus critiques se trouvent précisément dans ces interstices.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 25 lectures

Points clés

  • Une gouvernance fragmentée entre IT, conformité et métiers produit des angles morts aux interfaces — là où la responsabilité n'est clairement assignée à personne.
  • La fragmentation conduit à des décisions contradictoires, des risques non couverts et une information qui ne circule pas entre les acteurs qui en ont besoin.
  • Les risques les plus critiques sont souvent ceux qui se trouvent précisément dans les interstices entre les silos de gouvernance.
  • Créer des mécanismes de coordination transversale sans fusionner les responsabilités est la solution qui préserve les expertises tout en réduisant les angles morts.
Cas US Capital One (2019) — La configuration erronée dans l'environnement cloud qui a exposé 100 millions de clients illustre les conséquences d'une gouvernance fragmentée. Les équipes cloud (IT), les équipes de sécurité et les équipes de conformité opéraient selon des processus distincts, avec des référentiels de risque différents et des canaux de communication insuffisants. Aucune instance transversale n'assurait la cohérence des contrôles de sécurité dans cet environnement hybride.

Les angles morts aux interfaces entre silos

Dans une gouvernance fragmentée, chaque silo gère son périmètre avec sa propre logique et ses propres processus. La DSI gère les systèmes. La conformité gère les obligations réglementaires. Les métiers gèrent leurs processus opérationnels. Ces trois silos ont chacun leur légitimité — mais leurs interfaces créent structurellement des angles morts. Un risque qui implique un système IT, des données réglementées et un processus métier ne trouve pas naturellement de propriétaire unique dans une gouvernance fragmentée. Chaque silo se déclare partiellement responsable — et personne ne l'est entièrement. Ces angles morts aux interfaces sont précisément là où les risques les plus critiques se développent sans surveillance.

Les décisions contradictoires

La fragmentation de la gouvernance produit régulièrement des décisions contradictoires entre silos. La DSI déploie un service cloud pour des raisons de performance et de coût, sans avoir consulté la conformité sur les implications de transfert de données hors du territoire. La conformité impose des exigences de chiffrement sur certaines catégories de données sans avoir consulté la DSI sur la faisabilité technique et l'impact sur les performances. Les métiers adoptent un outil SaaS pour améliorer leur productivité sans avoir consulté la DSI ni la conformité. Chacune de ces décisions est prise de bonne foi dans son périmètre — leur combinaison crée une exposition non anticipée et une incohérence de gouvernance.

L'information qui ne circule pas

Dans une gouvernance fragmentée, l'information pertinente ne circule pas naturellement entre les silos qui en ont besoin. La DSI identifie une anomalie dans les journaux réseau qui pourrait indiquer une compromission, mais n'a pas de canal établi pour alerter rapidement le RSSI et le responsable conformité simultanément. Le responsable conformité identifie un prestataire tiers qui ne respecte pas ses engagements contractuels de sécurité, mais n'informe pas systématiquement la DSI qui maintient des accès avec ce prestataire. Les métiers détectent un comportement suspect d'un collaborateur, mais ne savent pas à qui le signaler. Ces ruptures dans la circulation de l'information sont des conditions de l'aggravation des incidents.

Cas EU Deutsche Bank (2019) — L'exposition de données clients via un prestataire résultait en partie d'une gouvernance fragmentée entre la direction des achats (qui gérait la relation contractuelle), la DSI (qui gérait les accès techniques) et la conformité (qui supervisait les obligations réglementaires de protection des données). Aucune de ces fonctions n'avait une vision complète de la chaîne de risque créée par ce prestataire. La coordination entre ces acteurs n'était pas structurée pour permettre une évaluation globale du risque.

Les mécanismes de coordination transversale

La solution à la gouvernance fragmentée n'est pas la fusion des silos — chacun détient une expertise légitime et distincte. La solution est la création de mécanismes de coordination transversale qui permettent aux silos de travailler ensemble sur les risques qui les concernent simultanément. Un comité de gouvernance cyber qui réunit régulièrement les représentants de chaque silo. Des processus d'escalade transversaux qui définissent quels acteurs doivent être impliqués pour quel type de décision. Des canaux de communication dédiés aux alertes rapides entre silos. Et un référentiel commun de risques qui permet à chaque silo de comprendre les risques identifiés dans les autres périmètres. Ces mécanismes préservent les expertises distinctes tout en réduisant les angles morts aux interfaces.

L'instance de coordination : un rôle pour la direction

La direction générale est la seule instance naturellement transversale dans toute organisation. C'est elle qui peut imposer la coordination entre silos, en désignant explicitement une instance de coordination inter-silos et en lui donnant l'autorité nécessaire pour prendre des décisions transversales. C'est elle qui peut exiger que les décisions ayant des implications pour plusieurs silos soient prises conjointement plutôt que séquentiellement. Et c'est elle qui peut évaluer si les mécanismes de coordination fonctionnent — en posant régulièrement la question "les trois silos sont-ils alignés sur les risques qui les concernent simultanément ?"

Cas Asie Air India (2021) — La violation des données de 4,5 millions de passagers via un prestataire de gestion des données de fidélité illustre les conséquences d'une gouvernance fragmentée entre la direction commerciale (qui gérait la relation avec le prestataire), la DSI (qui supervisait l'accès aux données) et la direction de la sécurité (qui était supposée qualifier les prestataires). L'absence de mécanisme de coordination transversale avait permis que ce prestataire opère sans évaluation de sécurité complète malgré l'accès à des données sensibles.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp