Phylapp
Audit, conformité et responsabilité organisationnelle

Les risques liés à une conformité fragmentée entre services

Quand chaque service gère sa conformité de façon autonome, l'organisation crée des angles morts, des redondances coûteuses et une incohérence que les régulateurs peuvent rapidement identifier.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 35 lectures

La fragmentation silencieuse de la conformité

Dans beaucoup d'organisations de taille intermédiaire ou grande, la conformité s'est développée de façon organique — chaque service ou direction a construit son propre dispositif de conformité en réponse aux obligations qui lui sont propres. La direction juridique gère les contrats et les obligations légales. La DRH gère la conformité sociale et les données des employés. La DSI gère la sécurité informatique et les certifications. La direction financière gère les obligations comptables et fiscales. Chacune de ces fonctions a ses propres processus, ses propres registres, ses propres responsables. Ce qui semble être une organisation efficace est en réalité une conformité fragmentée.

La fragmentation crée plusieurs catégories de risques qui ne sont visibles que lorsqu'on adopte une vue transversale de la conformité de l'organisation. Des obligations croisées qui impliquent plusieurs services ne sont ni identifiées ni gérées de façon cohérente. Des efforts sont dupliqués — plusieurs services produisent des registres ou des politiques couvrant des obligations similaires sans coordination. Des angles morts apparaissent dans les zones de jonction entre périmètres de responsabilité. Et la direction ne dispose pas d'une vision consolidée de l'état de conformité de l'organisation.

Identifier et corriger cette fragmentation est un acte de gouvernance qui peut réduire significativement les coûts de conformité tout en améliorant la qualité de la couverture réglementaire.

Points clés

  • Equifax (2017) : La violation a mis en évidence une fragmentation de la gestion des actifs numériques entre plusieurs services — le scanner de certificats SSL relevait d'une équipe, la gestion des patches d'une autre, la sécurité du système affecté d'une troisième. L'absence de gouvernance unifiée a créé l'angle mort qui a permis à la vulnérabilité d'exister pendant quatre mois.
  • Renault : La séparation organisationnelle entre les équipes IT (conformité ISO 27001) et les équipes OT (conformité sécurité industrielle) avait créé une zone de jonction insuffisamment couverte — précisément le périmètre touché lors de l'incident WannaCry.
  • Les violations de données qui impliquent plusieurs services ou processus révèlent systématiquement des lacunes dans les zones de jonction entre périmètres de conformité fragmentés.
  • La fragmentation de la conformité est un facteur de coût élevé : les études sectorielles montrent que les organisations qui gèrent leur conformité en silos dépensent en moyenne 40% de plus pour le même niveau de couverture réglementaire.
  • Les régulateurs évaluent la conformité de l'organisation dans son ensemble — les lacunes dans les zones de jonction entre services ne bénéficient d'aucune tolérance particulière.

Les manifestations concrètes de la fragmentation

La fragmentation de la conformité se manifeste de façon concrète dans plusieurs situations récurrentes que les organisations peuvent identifier sans audit externe.

La première manifestation est l'impossibilité de produire rapidement une vue consolidée de la conformité de l'organisation. Lorsqu'un régulateur pose une question transversale — « quelles données personnelles de vos clients sont partagées avec des tiers et selon quelles conditions ? » — une organisation fragmentée doit mobiliser plusieurs services pour reconstituer une réponse qui n'existe nulle part de façon synthétique. Ce délai et cette mobilisation sont eux-mêmes un signal de fragmentation. La deuxième manifestation est la duplication des registres et des politiques : des registres RGPD partiels dans plusieurs services, des politiques de sécurité différentes selon les entités ou les départements, des niveaux de protection différents pour des données de nature similaire selon le service qui les traite.

La troisième manifestation est l'incohérence des réponses aux questionnaires de sécurité des partenaires : différentes fonctions répondent à des questionnaires similaires avec des réponses légèrement différentes selon leur périmètre de connaissance. Ces incohérences, lorsqu'elles sont détectées par les partenaires ou les régulateurs, soulèvent des questions sur la fiabilité de l'ensemble des déclarations de conformité de l'organisation.

Unifier sans centraliser excessivement

La réponse à la fragmentation n'est pas la centralisation totale de la conformité dans une seule fonction, qui créerait une dépendance excessive et une déconnexion de la réalité opérationnelle de chaque service. La réponse est l'unification de la gouvernance de la conformité — maintenir des responsabilités opérationnelles distribuées mais les coordonner sous un cadre commun avec une vision consolidée.

Cette unification repose sur trois mécanismes. Un référentiel commun de conformité qui définit les obligations de chaque service dans un langage cohérent, avec des points d'articulation explicites entre les périmètres. Un processus de coordination régulier entre les responsables de conformité des différents services, permettant d'identifier les zones de jonction insuffisamment couvertes et d'aligner les approches sur les obligations transversales. Un reporting consolidé vers la direction qui offre une vue unique de l'état de conformité de l'organisation — pas la somme des rapports de chaque service, mais une synthèse qui met en évidence les zones d'articulation et les risques transversaux.

Cette unification de gouvernance est plus difficile à mettre en place qu'une centralisation organisationnelle, mais elle est plus durable et plus adaptée à la réalité opérationnelle des grandes organisations.

Cas documenté

Morgan Stanley (2016-2020) : Les deux amendes de la SEC qui ont totalisé plus de 35 millions de dollars reflètent en partie une fragmentation dans la gestion du cycle de vie des données — la politique de destruction des supports était gérée par une fonction, les équipements physiques par une autre, et la traçabilité de la destruction par une troisième. Cette fragmentation a créé les conditions dans lesquelles des équipements contenant des données clients ont été cédés sans vérification préalable que la destruction des données avait été effectuée.

La direction comme intégrateur de la conformité

La lutte contre la fragmentation de la conformité est une responsabilité de direction qui ne peut pas être déléguée à une seule fonction. C'est la direction générale qui doit imposer le cadre d'unification et arbitrer les tensions entre les logiques de conformité propres à chaque service et les exigences de cohérence transversale.

La direction exerce ce rôle d'intégrateur de quatre façons. En nommant un responsable de la coordination de la conformité — qui peut être le DPO, le RSSI, le directeur juridique, ou une fonction dédiée selon la structure de l'organisation — avec une autorité transversale sur la cohérence du dispositif, pas seulement sur son périmètre technique. En imposant des formats communs de reporting de conformité à tous les services concernés, permettant la consolidation. En arbitrant les conflits de priorité entre les obligations de conformité de différents services lorsqu'elles créent des tensions sur des ressources partagées. En rendant la conformité transversale un critère d'évaluation de la performance des dirigeants de service — signalant que la conformité de leur seul périmètre n'est pas suffisante si les zones de jonction sont négligées.

Références sectorielles
SolarWinds : La SEC a documenté comment la fragmentation entre les équipes commerciales, légales, et techniques de SolarWinds avait conduit à des communications publiques sur la sécurité de l'entreprise qui ne reflétaient pas la réalité opérationnelle connue des équipes techniques. Cette fragmentation de l'information entre services a été présentée comme une défaillance de gouvernance aggravant la responsabilité de l'entreprise.
British Airways : L'investigation ICO a mis en évidence que la violation avait été facilitée par une fragmentation dans la gestion de la sécurité des scripts tiers utilisés sur le site web — une zone de jonction entre l'équipe de développement web, l'équipe sécurité, et les équipes de gestion des partenaires commerciaux dont aucune n'avait explicitement la responsabilité de la surveillance de la sécurité.
Air India : La violation affectant les données passagers d'Air India a mis en évidence une fragmentation dans la gestion de la sécurité des données entre la compagnie aérienne et son prestataire SITA — deux organisations dont les périmètres de responsabilité de conformité n'étaient pas suffisamment définis aux points d'articulation, créant les conditions de l'incident.

Articles similaires

L’audit est le révélateur du niveau réel de sécurité d’une organisation

Points clés Un audit de sécurité est d'abord un outil de mesure de la réalité opérationnelle — il révèle l'écart entre les politiques formelles et les pratiques

24 mai 2026 7 min

Les limites des audits ponctuels face aux risques numériques

Points clés Un audit annuel offre une photographie de la sécurité à un instant T — il ne garantit pas la sécurité des 364 jours suivants, période pendant laquel

24 mai 2026 7 min

Les erreurs fréquentes dans la préparation aux audits de sécurité

Points clés La principale erreur de préparation à l'audit est de préparer l'audit plutôt que de préparer la sécurité : corriger ponctuellement les écarts visibl

24 mai 2026 7 min
WhatsApp