Points clés
- Les projets numériques stratégiques concentrent les enjeux de sécurité les plus critiques : données sensibles, continuité d'activité, obligations réglementaires
- SolarWinds (2020) : un projet de mise à jour logicielle transformé en vecteur d'attaque contre 18 000 organisations dont des agences gouvernementales
- Les projets stratégiques requièrent une gouvernance sécurité proportionnelle à leur criticité, pas un traitement standard
- Les critères de criticité incluent la nature des données, l'exposition réglementaire, les interdépendances avec l'infrastructure critique
Tous les projets numériques ne présentent pas le même niveau d'exposition. Un projet de refonte du site institutionnel n'appelle pas les mêmes exigences de sécurité qu'une migration du système de gestion des patients d'un réseau hospitalier ou qu'un projet de transformation de l'infrastructure de paiement d'une banque. La distinction entre projets standards et projets stratégiques est fondamentale pour allouer correctement les ressources de sécurité.
Les projets numériques stratégiques se caractérisent par trois dimensions : la criticité des données traitées (données personnelles sensibles, données financières, propriété intellectuelle), les interdépendances avec des systèmes critiques (systèmes de production, systèmes de paiement, infrastructures de communication), et l'exposition réglementaire (projets soumis à des obligations de conformité spécifiques).
La classification des projets comme prérequis
Une gouvernance efficace de la sécurité projet commence par une classification rigoureuse. Les frameworks existants (NIST SP 800-60, méthode EBIOS Risk Manager de l'ANSSI, classification COSO) proposent des critères permettant de catégoriser les projets selon leur niveau de criticité et d'en déduire les exigences de sécurité applicables.
Cette classification détermine le niveau de revue de sécurité requis (audit externe obligatoire ou non), les standards architecturaux applicables (chiffrement de bout en bout, authentification forte, journalisation complète), et les obligations de reporting vers les instances de gouvernance de l'organisation.
La supply chain des projets stratégiques
Les projets stratégiques sont particulièrement exposés aux risques liés à la chaîne d'approvisionnement logicielle : prestataires impliqués dans le développement, bibliothèques tierces intégrées, outils de développement et de déploiement. L'attaque SolarWinds a démontré que le maillon le plus vulnérable d'un projet stratégique peut être son pipeline de mise à jour lui-même.
La directive NIS2 et le règlement CRA (Cyber Resilience Act) européen imposent des exigences spécifiques sur la sécurité de la chaîne d'approvisionnement pour les projets intégrant des composants numériques dans des secteurs critiques. Ces exigences incluent la vérification de l'intégrité des composants, la traçabilité des dépendances (Software Bill of Materials - SBOM), et la gestion des vulnérabilités tout au long du cycle de vie.
Le rôle stratégique du COMEX
La gouvernance des projets numériques stratégiques ne peut pas être déléguée entièrement aux équipes techniques. Les décisions qui concernent le niveau d'exposition accepté, les arbitrages entre délai et sécurité, et les investissements de remédiation sont des décisions stratégiques qui appartiennent au COMEX. La direction générale doit disposer d'une vision suffisamment précise des projets stratégiques en cours pour exercer ce rôle de gouvernance.
Le Rapport sur la gouvernance de la cybersécurité publié par le Forum Économique Mondial en 2023 recommande que les conseils d'administration des grandes organisations reçoivent au minimum trimestriellement un reporting sur l'état de sécurité des projets numériques stratégiques, avec des indicateurs permettant une prise de décision éclairée.
La modernisation des systèmes de gestion des ressources humaines de l'OPM était un projet stratégique national impliquant les données de 21,5 millions de fonctionnaires fédéraux, dont 4 millions avec habilitation sécurité. L'absence d'une gouvernance sécurité proportionnelle à la criticité du projet a permis une compromission non détectée pendant près d'un an. Les données exfiltrées incluaient des informations biométriques et les réponses aux enquêtes de sécurité. Le Director of OPM a démissionné. L'incident est considéré comme l'un des pires dans l'histoire de la sécurité nationale américaine.
L'EMA gère les données des dossiers d'autorisation de mise sur le marché de médicaments, incluant les données des essais cliniques — données stratégiques pour l'industrie pharmaceutique mondiale. Une cyberattaque ciblée lors de la phase de validation des vaccins COVID-19 a compromis des documents confidentiels sur le vaccin BioNTech/Pfizer. L'incident a conduit à une révision complète de la gouvernance sécurité de l'EMA pour ses projets numériques, avec une classification renforcée des projets traitant des données pharmaceutiques sensibles.
Le projet de connexion de la Banque du Bangladesh au réseau SWIFT était un projet numérique stratégique pour l'intégration dans le système financier international. La mise en œuvre n'avait pas intégré les contrôles de sécurité correspondant à la criticité des flux financiers concernés. Des attaquants ont soumis des ordres de virement frauduleux pour 951 millions de dollars ; 81 millions ont été transférés avant détection. L'incident a conduit SWIFT à renforcer ses exigences de sécurité pour tous ses membres, via le Customer Security Programme (CSP).