Phylapp
Gouvernance du risque numérique et stratégie cyber

Les enjeux de coordination entre métiers, IT et direction

La coordination entre métiers, IT et direction est un défi central en sécurité. Les frictions produisent des angles morts et des décisions non concertées qui créent des vulnérabilités.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 12 lectures

Points clés

  • La coordination entre métiers, IT et direction est l'un des défis organisationnels les plus importants en matière de sécurité numérique.
  • Les frictions entre ces trois pôles produisent des angles morts, des décisions différées et des projets mal sécurisés.
  • La direction doit jouer un rôle d'arbitre et de cadre : définir les règles de coordination, pas uniquement les observer.
  • Les organisations qui ont résolu ce défi de coordination sont plus rapides, plus résilientes et moins exposées aux incidents liés à des décisions non concertées.
Cas US Target (2013) — La violation de données de Target est passée par le réseau d'un prestataire HVAC ayant accès au système de paiement. Cette faille résultait d'un défaut de coordination : les métiers avaient autorisé l'accès tiers pour des raisons opérationnelles, l'IT n'avait pas été consulté sur les implications de sécurité, et la direction n'avait pas de processus pour valider ce type de décision. Trois pôles agissant indépendamment ont produit une vulnérabilité qu'aucun d'eux n'aurait accepté en connaissance de cause.

Pourquoi la coordination est structurellement difficile

La coordination entre métiers, IT et direction est rendue difficile par des temporalités, des objectifs et des langages différents. Les métiers sont orientés vers la performance opérationnelle et la relation client. L'IT gère des contraintes techniques et des portefeuilles de projets. La direction pilote des indicateurs financiers et stratégiques. La sécurité est un sujet transversal qui parle à ces trois univers différemment — et qui souffre quand aucun mécanisme de coordination ne permet de traduire ses enjeux dans chaque registre.

Les frictions les plus courantes

Les frictions entre ces trois pôles autour de la sécurité prennent des formes récurrentes : les métiers qui déploient des outils cloud sans consultation IT, l'IT qui impose des contraintes de sécurité perçues comme des obstacles par les métiers, et la direction qui arbitre tardivement des conflits qui auraient dû être résolus en amont. Ces frictions produisent des délais, des solutions de contournement risquées, et une défiance mutuelle qui nuit à la qualité de la gouvernance globale.

Les mécanismes de coordination efficaces

Plusieurs mécanismes permettent de réduire ces frictions. La désignation de référents sécurité dans chaque département métier crée des interlocuteurs formés et légitimes. L'intégration de la sécurité dans les processus de validation de projets évite les décisions unilatérales. Un comité de gouvernance régulier réunissant représentants des métiers, IT et direction permet de traiter les sujets transversaux avant qu'ils ne deviennent des conflits. Ces mécanismes sont simples — leur absence l'est encore moins.

Cas EU Deutsche Bank (2019-2021) — Les difficultés de Deutsche Bank en matière de conformité numérique ont été en partie attribuées à un déficit de coordination entre les métiers bancaires, les équipes IT et la direction des risques. Chaque division gérait ses systèmes et ses données de manière autonome, sans mécanisme de coordination permettant d'assurer la cohérence des contrôles. Le régulateur a imposé une refonte de la gouvernance qui a inclus des mécanismes formels de coordination entre ces trois pôles.

Le rôle de la direction dans la coordination

La direction ne peut pas se contenter d'observer les frictions de coordination — elle doit les résoudre en définissant des règles du jeu claires. Cela signifie : qui a le dernier mot sur les décisions qui impliquent un compromis entre performance métier et sécurité ? Quel processus permet d'escalader rapidement quand les trois pôles ne s'accordent pas ? Quelles décisions ne peuvent pas être prises sans validation exécutive ? Sans ces règles, chaque conflit de coordination remonte à la direction dans l'urgence, ce qui est à la fois chronophage et risqué.

Construire un langage commun

L'un des obstacles à la coordination est l'absence d'un langage commun. La sécurité parle de vulnérabilités, les métiers parlent de performance, la finance parle de coûts. Construire un langage commun — centré sur le risque business, la continuité de l'activité, et la confiance des clients — permet de rendre les enjeux de sécurité compréhensibles et actionnables pour chacun. Ce travail de traduction est souvent la responsabilité du responsable de la sécurité, mais il nécessite le soutien de la direction pour être entendu.

Cas Asie Sony Pictures (2014) — L'attaque contre Sony Pictures a mis en lumière une coordination quasi inexistante entre les équipes métiers (studios, production), l'IT et la direction. Chaque entité avait ses systèmes, ses pratiques et ses priorités — sans mécanisme de gouvernance transverse. La direction n'avait pas de vue consolidée sur les risques agrégés. L'attaquant a exploité cette fragmentation pour accéder à des systèmes que des contrôles coordonnés auraient protégés.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp