Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi la cybersécurité ne peut plus être limitée aux équipes IT

La cybersécurité ne peut plus être confinée aux équipes IT : elle concerne tous les départements et exige une gouvernance transversale portée par la direction.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 20 lectures

Points clés

  • La cybersécurité est devenue un sujet transversal qui concerne chaque département de l'organisation, pas uniquement les équipes informatiques.
  • Les incidents majeurs exploitent souvent des vecteurs non techniques : erreurs humaines, processus défaillants, relations fournisseurs mal encadrées.
  • La direction doit imposer une vision transversale de la sécurité, avec des responsabilités partagées entre métiers, RH, juridique et IT.
  • Les organisations cloisonnées qui traitent la cybersécurité comme un problème IT exclusif sont structurellement plus vulnérables.
Cas US Capital One (2019) — La violation de données de Capital One, exposant 100 millions de comptes clients, a été rendue possible par une configuration cloud mal maîtrisée et des contrôles d'accès insuffisants. La responsable de la sécurité, ancienne employée d'Amazon Web Services, avait agi seule — illustrant le risque d'une sécurité perçue comme un domaine réservé aux seuls techniciens.

La cybersécurité déborde largement du périmètre IT

Confier la cybersécurité aux seules équipes informatiques, c'est méconnaître la nature réelle des menaces contemporaines. Les attaques n'empruntent pas uniquement des chemins techniques. Elles exploitent des processus d'achat mal sécurisés, des accès fournisseurs non maîtrisés, des comportements humains non formés, ou des contrats insuffisamment exigeants en matière de sécurité. Chaque département produit des vulnérabilités potentielles — et doit donc participer à leur réduction.

Les vecteurs d'attaque non techniques

L'ingénierie sociale, le phishing, les violations de données par des tiers, les fuites via des appareils personnels connectés au réseau de l'entreprise : la majorité des incidents graves impliquent un facteur humain ou organisationnel. Les ressources humaines sont concernées par la formation et la gestion des accès. Le juridique est concerné par les clauses contractuelles de sécurité. Les achats sont concernés par l'évaluation des risques fournisseurs. La finance est concernée par les fraudes au virement et les arnaques au président.

Pourquoi le cloisonnement amplifie les risques

Quand la cybersécurité est traitée comme un domaine réservé à l'IT, les autres départements ne se sentent pas concernés. Les alertes circulent mal, les procédures restent théoriques, et les incidents sont découverts tardivement. Pire : les projets métiers sont lancés sans évaluation préalable des risques, et les équipes IT se retrouvent à gérer seules des situations que la direction aurait dû anticiper. Ce modèle cloisonné est un facteur aggravant documenté dans la quasi-totalité des grandes violations.

Cas EU Maersk (2017) — L'attaque NotPetya contre le géant du transport maritime a paralysé 45 000 postes et 4 000 serveurs en quelques heures. L'infection est entrée par une mise à jour comptable d'un fournisseur ukrainien. Ce n'est pas l'IT qui a échoué — c'est l'ensemble de la chaîne de gouvernance : absence de contrôle des logiciels tiers, pas de segmentation réseau validée au niveau exécutif, aucune procédure de continuité opérationnelle approuvée.

Construire une cybersécurité transversale

La direction doit impulser une vision dans laquelle chaque département comprend sa part de responsabilité. Cela passe par des formations adaptées à chaque profil, des procédures de sécurité intégrées dans les processus métiers, des critères de sécurité dans les décisions d'achat, et une gouvernance qui inclut des représentants de chaque fonction dans les instances de pilotage. Ce n'est pas une réorganisation lourde : c'est une clarification des rôles et des attentes.

Le rôle de la direction dans cette transition

La direction est la seule instance capable d'imposer cette vision transversale. Elle peut mandater des référents sécurité dans chaque département, intégrer des critères de sécurité dans les évaluations de performance, et s'assurer que les projets stratégiques incluent systématiquement une analyse des risques numériques. Sans ce portage au plus haut niveau, la cybersécurité reste un sujet IT — avec toutes les limites que cela implique.

Cas Asie Cathay Pacific (2018) — La compagnie aérienne hongkongaise a subi la violation de données de 9,4 millions de passagers sur une période de plusieurs mois avant détection. L'enquête a révélé que les équipes métiers avaient continué à utiliser des systèmes non patchés sans que la direction ait été informée de l'exposition au risque. La cybersécurité avait été laissée à l'IT sans remontée vers les décideurs.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp