« Il n’existe pas un seul modèle valable universellement ». En posant ce principe, le Cigref et l’ANSSI cadrent d’emblée leur ambition : non pas imposer une organisation type, mais fournir un référentiel pour structurer la gouvernance de la sécurité numérique. Derrière cette approche, un déplacement clair : la cybersécurité devient un objet de pilotage stratégique, au service de la résilience.
Trois vecteurs pour structurer la gouvernance
« La cyber est encore trop souvent perçue comme un sujet de DSI ou de RSSI. Il est temps de changer ça ». Le constat posé par Mathieu Couturier, chef de la division management de la sécurité numérique à l’ANSSI, via un post Linkedin, résume l’ambition du rapport du Cigref en partenariat avec l’ANSSI, publié au Forum InCyber : « Gouvernance de la sécurité numérique : orientation, déploiement et pilotage ».
Le texte ne commence pas par des structures, mais par des dynamiques. Il propose une lecture en trois vecteurs, qui dessinent moins un organigramme qu’une manière de piloter dans la durée.
Premier axe : la définition d’une politique de sécurité numérique. « La sécurité numérique s’est affranchie de son statut de sous-jacent technologique ». On ne parle pas de protéger un système d’information, mais d’arbitrer. Arbitrer entre dépendances technologiques, exposition au risque, allocation des ressources. La sécurité s’inscrit alors dans une trajectoire, avec ses priorités, ses renoncements parfois, et surtout son rôle dans la résilience globale.
Deuxième axe : la mise en application. « L’acculturation globale aux bonnes pratiques […] représente un avantage concurrentiel réel ». Ici, la question n’est pas d’empiler des contrôles. Elle est d’inscrire la sécurité dans les usages, dans les décisions du quotidien, dans les interactions entre équipes. Cela suppose une diffusion bien plus large que les seules fonctions expertes, et un dialogue plus direct avec les instances de gouvernance.
Troisième axe : le pilotage. « Le pilotage impose d’adapter la mesure aux instances de gouvernance ». Ce que le rapport introduit, c’est une logique de mesure différenciée. Des indicateurs qui ne parlent pas uniquement aux équipes opérationnelles, mais aussi aux décideurs. La sécurité devient lisible, comparable, arbitrable. Elle entre pleinement dans les logiques de gestion.
Quatre modèles pour se situer
C’est dans ce cadre que s’inscrivent les quatre archétypes proposés. Non pas comme des standards à appliquer, mais comme des points de repère : « Il n’existe pas un seul modèle valable universellement ».
Le premier modèle, « expert et partenaire », installe la sécurité au plus près des métiers. Elle intervient en amont des projets, accompagne les décisions et s’intègre aux dynamiques d’innovation. La fonction sécurité y joue un rôle de facilitateur, capable d’arbitrer sans freiner.
Le deuxième, « conformité et affaires publiques », privilégie une lecture par le risque et par la norme. La sécurité s’y structure autour des obligations réglementaires, des enjeux juridiques et des relations avec les autorités. Elle devient un point d’équilibre entre exposition au risque et exigences de conformité.
Le troisième, « plateformisation et gouvernance », organise la sécurité comme une fonction transverse. L’enjeu est de poser un cadre commun, de mutualiser les capacités et de répartir clairement les responsabilités. La sécurité y est pensée comme une infrastructure organisationnelle, au service de l’ensemble des entités.
Le quatrième, « sécurité intégrée », pousse la logique plus loin. La sécurité est directement embarquée dans les opérations et dans le pilotage des activités. Elle couvre l’ensemble du continuum de la menace, en reliant actifs physiques et numériques, prévention, détection et gestion de crise.
Mais le document ne s’arrête pas à ces modèles. Il descend d’un cran, vers les mécanismes : qui décide, qui arbitre, qui rend des comptes. Pour consulter l’intégralité du rapport, rendez-vous sur le site du Cigref.
