De la conformité à la résilience : comment les RSSI peuvent combler le déficit de gouvernance
L’alerte de 3 h du matin : une défaillance de gouvernance déguisée
Maria, RSSI d’une fintech en forte croissance, a été réveillée en sursaut par une alerte P1. Une base de données de production, supposément isolée, communiquait avec une adresse IP externe inconnue. Son équipe SOC était déjà mobilisée et remontait la connexion jusqu’à un espace de stockage objet dans le cloud mal configuré, créé par une équipe d’analyse marketing qui testait un nouvel outil de segmentation client. Le dommage immédiat a été contenu, mais la revue post-incident a révélé un problème bien plus dangereux, sans lien avec les pare-feu ni les logiciels malveillants.
Le responsable marketing qui avait commandité l’outil ne faisait l’objet d’aucune supervision formelle en matière de sécurité. L’ingénieur DevOps qui avait créé l’environnement avait contourné les contrôles de sécurité standard pour tenir un délai serré. Les données présentes dans l’espace de stockage, bien qu’anonymisées, étaient suffisamment sensibles pour déclencher des clauses contractuelles de notification auprès de plusieurs clients clés.
La cause racine n’était pas une vulnérabilité technique. Il s’agissait d’une défaillance catastrophique de gouvernance. Maria avait des politiques, des outils et une équipe compétente. Ce qui lui manquait, c’était un cadre de gouvernance vivant, appliqué et compris au-delà de la fonction sécurité. Son entreprise était conforme sur le papier, son certificat ISO/IEC 27001:2022 toujours bien visible au mur, mais elle n’était pas résiliente en pratique.
C’est précisément dans cet écart critique que de nombreuses organisations, et leurs RSSI, trébuchent. Elles confondent les artefacts de gouvernance — les politiques et les listes de contrôle — avec la gouvernance elle-même. Cet article explique où ce raisonnement échoue et propose une feuille de route concrète pour transformer la conformité sur le papier en maîtrise opérationnelle durable grâce à la boîte à outils intégrée de Clarysec.
Au-delà du classeur : redéfinir la gouvernance comme une action
Depuis trop longtemps, la gouvernance est traitée comme un substantif : une collection statique de documents stockés sur un serveur. La véritable gouvernance de la sécurité de l’information est pourtant une action. Elle correspond à l’ensemble continu d’actions par lesquelles la direction oriente, surveille et soutient la sécurité comme une fonction métier essentielle. Elle consiste à créer un système dans lequel chacun, du conseil d’administration aux équipes de développement, comprend son rôle dans la protection des actifs informationnels de l’organisation.
Les référentiels, d’ISO/IEC 27001:2022 à NIS2, partent de cette réalité : la gouvernance est une fonction de direction, et non une fonction technique. Selon ISO/IEC 27014:2020, la direction générale doit définir une stratégie de sécurité de l’information alignée sur les objectifs de l’organisation. Cette stratégie doit garantir que les exigences de sécurité répondent aux besoins internes et externes, y compris aux engagements légaux, réglementaires et contractuels. Pour le confirmer, la direction doit mandater des audits indépendants, favoriser une culture qui soutient activement la sécurité et veiller à la bonne coordination des objectifs, des rôles et des ressources.
Le problème est que cette impulsion donnée par la direction ne se traduit pas toujours en actions au niveau opérationnel. C’est là qu’intervient la mesure la plus critique, et souvent la plus mal comprise : les responsabilités de la direction.
L’effet de cascade : pourquoi la sécurité ne peut pas s’arrêter au RSSI
Le principal point de défaillance de tout système de management de la sécurité de l’information (SMSI) est l’hypothèse selon laquelle le RSSI serait seul responsable de la sécurité. En réalité, le RSSI est le chef d’orchestre, mais les responsables de chaque unité métier sont les musiciens. S’ils ne jouent pas leur partition, le résultat n’est pas l’harmonie, mais le bruit.
C’est précisément ce que traite ISO/IEC 27001:2022 dans la mesure 5.4, « Responsabilités de la direction ». Cette mesure impose que les responsabilités en matière de sécurité de l’information soient attribuées et appliquées dans toute l’organisation. Comme le souligne notre Zenith Blueprint : feuille de route en 30 étapes pour auditeurs à l’étape 23, cette mesure vise à garantir que le leadership en matière de sécurité se décline à tous les niveaux de l’organisation.
« En définitive, la mesure 5.4 rappelle que le leadership en matière de sécurité ne s’arrête pas au RSSI. Il doit se décliner à chaque niveau de management opérationnel, car la réussite ou l’échec de votre SMSI dépend souvent non pas des politiques ou des outils, mais de la capacité des managers à porter activement la sécurité dans leurs propres périmètres. » Zenith Blueprint
Dans le cas de Maria, le responsable marketing percevait la sécurité comme un frein, et non comme une responsabilité partagée. L’ingénieur DevOps voyait un délai, et non un devoir de diligence. Un cadre de gouvernance vivant aurait intégré des points de contrôle de sécurité dans le processus de lancement des projets et dans les indicateurs de performance de l’équipe DevOps. La gouvernance cesse alors d’être une charge de conformité pour devenir un outil d’évitement des crises.
De la théorie à la pratique : construire la gouvernance avec des politiques opérationnelles
Une politique rangée sur une étagère est un livrable justificatif ; une politique intégrée aux opérations quotidiennes est une mesure de sécurité. Pour opérationnaliser la gouvernance, les organisations ont besoin d’une définition sans ambiguïté des responsabilités. Notre Governance Roles & Responsibilities Policy est conçue précisément pour cela. L’un de ses objectifs centraux est le suivant :
« Maintenir un modèle de gouvernance qui impose la séparation des tâches, élimine les conflits d’intérêts et permet l’escalade des problèmes de sécurité non résolus. » Politique relative aux rôles et responsabilités de gouvernance
Cette formulation transforme un principe de haut niveau en exigence concrète et auditable. Elle crée un cadre de responsabilité à plusieurs niveaux, dans lequel chaque niveau de management est formellement responsable de sa part du programme de sécurité. Pour les organisations plus petites, la Governance Roles & Responsibilities Policy - SME simplifie cette approche en indiquant directement, à la clause 4.3.3, que chaque employé « doit signaler immédiatement les incidents et les problèmes de conformité au Directeur général ». Cette clarté supprime les ambiguïtés et donne à chacun les moyens d’agir.
Revenons à l’incident de Maria et voyons comment elle pourrait utiliser la boîte à outils Clarysec pour reconstruire son approche de gouvernance, en transformant une défaillance réactive en système proactif et résilient.
La politique comme socle : d’abord, elle mettrait en œuvre la Politique relative aux rôles et responsabilités de gouvernance. En lien avec les ressources humaines, elle intégrerait des responsabilités de sécurité précises dans les fiches de poste de tous les managers, du marketing à la finance. La sécurité deviendrait ainsi une composante formelle de leur rôle, et non une considération de second plan.
Définir le « comment » : ensuite, elle utiliserait la politique pour établir un processus clair. La clause 7.2.2 de la politique indique : « Les risques liés à la gouvernance doivent être examinés par le comité de pilotage du SMSI et validés lors des audits internes. » Cela crée une instance formelle dans laquelle le nouveau projet du responsable marketing aurait été examiné avant la création de tout environnement cloud, ce qui aurait empêché la mauvaise configuration initiale.
Exploiter l’intelligence de conformité croisée : pour comprendre tout le périmètre de son nouveau modèle de gouvernance, Maria consulterait Zenith Controls : guide de la conformité croisée. Cette ressource montre que les « responsabilités de la direction » (ISO 5.4) ne constituent pas une tâche isolée, mais un point central relié à d’autres mesures critiques. Par exemple, elle met en évidence le lien direct entre 5.4 et 5.8 (« Sécurité de l’information dans la gestion de projet »), en garantissant que la direction exerce la supervision nécessaire pour intégrer la sécurité dans toutes les nouvelles initiatives.
Cette approche proactive fait passer la gouvernance d’une analyse réactive post-incident à une fonction qui soutient l’activité. Elle garantit que, lorsqu’un manager souhaite lancer un nouvel outil, sa première question n’est pas « Comment faire passer cela malgré la sécurité ? », mais « Avec qui, dans l’équipe sécurité, dois-je travailler ? »
L’auditeur arrive : prouver que votre gouvernance est réelle
Un auditeur expérimenté est formé à rechercher des éléments de preuve de mise en œuvre, un concept que Zenith Blueprint décrit comme l’alignement de la politique avec la « réalité ». Lorsqu’un auditeur évalue votre cadre de gouvernance, il ne se contente pas de lire des documents ; il teste la mémoire opérationnelle de votre organisation. Il recherche des éléments de preuve montrant que la gouvernance est vivante, active et réactive.
Les auditeurs examineront votre cadre de gouvernance sous des angles différents. Voici comment ils testeraient le nouveau modèle de gouvernance robuste de Maria :
L’auditeur ISO/IEC 27001:2022 : cet auditeur ira directement aux éléments de preuve de l’engagement de la direction exigé par la clause 5.1. Il demandera les comptes rendus des réunions de revue de direction (clause 9.3). Il recherchera les points d’ordre du jour où la performance de sécurité a été discutée, les ressources allouées et les décisions prises sur la base des appréciations des risques. Il veut constater que la direction ne se contente pas de recevoir des rapports, mais pilote activement le SMSI.
L’auditeur COBIT 2019 : un auditeur COBIT raisonne en objectifs d’entreprise. Il se concentrera sur des objectifs de gouvernance tels que EDM03 (« Optimisation des risques assurée »). Il demandera à consulter les rapports de risques présentés au conseil d’administration et voudra savoir si la direction suit les indicateurs clés de sécurité et prend des actions correctives lorsque ces indicateurs se dégradent. Pour lui, la gouvernance consiste à garantir que la sécurité soutient et protège la valeur métier.
L’auditeur ISACA : guidé par des cadres tels que l’ITAF, cet auditeur s’intéresse particulièrement à l’impulsion donnée par la direction. Il mènera des entretiens avec les dirigeants afin d’évaluer leur compréhension et leur engagement. Une réponse lente ou désinvolte de la direction à un constat d’audit antérieur constitue un signal d’alerte majeur, révélateur d’une culture de gouvernance faible.
Le régulateur NIS2 ou DORA : avec des réglementations comme NIS2 et DORA, les enjeux sont plus élevés. Ces cadres imposent aux organes de direction une responsabilité directe et personnelle en cas de défaillances de cybersécurité. Un auditeur d’une autorité compétente exigera des éléments de preuve montrant que le conseil d’administration a approuvé le cadre de gestion des risques de cybersécurité, supervisé sa mise en œuvre et reçu une formation spécialisée. Il recherchera la preuve que la direction n’est pas seulement informée, mais activement engagée et responsable.
Pour répondre à ces approches d’audit diverses, il faut présenter davantage que des politiques. Il faut constituer un portefeuille d’éléments de preuve.
| Domaine d’attention de l’audit | Éléments de preuve requis |
|---|---|
| Engagement de la direction générale | Comptes rendus des revues de direction, budgets approuvés, présentations au conseil d’administration et communications stratégiques. |
| Revues d’efficacité | Journaux d’actions issus des décisions de direction, actions d’atténuation suivies à la suite des appréciations des risques. |
| Responsabilité et réponse | Matrices RACI, fiches de poste incluant des responsabilités de sécurité, rapports d’incident montrant l’escalade vers la direction. |
| Attribution formelle | Chartes signées des comités de sécurité, descriptions formelles des rôles des propriétaires du risque, attestations annuelles des chefs de département. |
Si vos éléments de preuve se limitent à des PDF de politiques, sans journaux opérationnels, vous échouerez à l’audit. Le guide Zenith Controls vous aide à constituer le bon portefeuille pour démontrer les éléments de preuve, et pas seulement l’intention.
La boucle de retour d’expérience : transformer les incidents en résilience
En définitive, la preuve la plus solide d’un cadre de gouvernance résilient réside dans la manière dont l’organisation répond à l’échec. La véritable résilience signifie apprendre, s’adapter et agir. Comme l’indique Zenith Blueprint à propos de la mesure 5.24 (« Planification et préparation de la gestion des incidents de sécurité de l’information ») :
« Ce qui définit une organisation sécurisée n’est pas l’absence d’incidents, mais sa préparation à les gérer lorsqu’ils surviennent… Cette mesure porte sur l’amélioration, et pas seulement sur la clôture. Les auditeurs demanderont : “Qu’avez-vous appris de votre dernier incident ?” Ils s’attendront à voir une analyse de la cause racine, des enseignements formalisés et, surtout, des éléments de preuve montrant que quelque chose a changé en conséquence. »
Dans le cas de Maria, le « quelque chose qui a changé » n’était pas simplement une règle de pare-feu. C’était la mise en œuvre d’un processus de gouvernance exigeant la validation formelle de la direction pour les nouveaux projets, une matrice RACI claire pour les déploiements cloud et une formation obligatoire à la sécurité pour l’équipe marketing. Sa capacité à démontrer cette boucle d’apprentissage transformerait une non-conformité majeure potentielle en élément de preuve d’un SMSI mature et en amélioration continue.
C’est ici que la gouvernance démontre sa valeur. Une défaillance n’est plus seulement un problème technique à corriger, mais une leçon organisationnelle à apprendre et à intégrer. Comme l’indique la Politique relative aux rôles et responsabilités de gouvernance à la section 9.1.1.4, les « constats d’audit significatifs ou incidents impliquant une défaillance de gouvernance » ne sont pas enfouis ; ils sont revus, escaladés et traités.
Ancrer la gouvernance dans la durée : le rôle de la responsabilité
Même avec les meilleures politiques et l’adhésion de la direction, la gouvernance peut échouer s’il n’existe aucune conséquence en cas de non-conformité. Un cadre réellement robuste doit être soutenu par un processus disciplinaire équitable, cohérent et bien communiqué. C’est l’objet de la mesure 6.4 d’ISO/IEC 27001:2022, « Processus disciplinaire ».
Cette mesure garantit que les règles du SMSI ne sont pas facultatives. Elle fournit le mécanisme d’application qui démontre l’engagement de la direction envers la sécurité. Comme le détaille Zenith Controls, ce processus constitue un traitement des risques critique pour les menaces internes et la négligence. Il fonctionne conjointement avec d’autres mesures : les activités de surveillance (8.16) peuvent identifier un manquement à la politique, tandis que le processus disciplinaire (6.4) dicte la réponse formelle.
« Les sanctions disciplinaires sont plus défendables lorsque les employés ont été correctement formés et sensibilisés à leurs responsabilités. La mesure 6.4 s’appuie sur 6.3 (Sensibilisation, formation et éducation à la sécurité de l’information) afin de garantir que le personnel ne puisse pas invoquer l’ignorance des politiques qu’il a violées. »
Un auditeur vérifiera que ce processus est appliqué de manière cohérente à tous les niveaux, afin de s’assurer qu’un dirigeant qui enfreint la politique de bureau propre est soumis au même processus qu’un stagiaire. C’est le dernier maillon de la chaîne : il transforme la gouvernance, de simples orientations, en norme applicable.
La carte unifiée de conformité : une vue unique de la gouvernance
La pression exercée par la gouvernance moderne tient au fait qu’elle ne s’inscrit jamais dans un seul référentiel. Des réglementations comme NIS2 et DORA ont fait passer la responsabilité de la direction du statut de bonne pratique à celui d’obligation légale assortie d’une responsabilité personnelle. Un RSSI résilient doit être capable de démontrer la gouvernance d’une manière qui satisfasse simultanément plusieurs auditeurs.
Ce tableau unifié, dérivé des cartographies de Zenith Controls, montre comment le principe de responsabilité de la direction constitue une exigence universelle dans les principaux référentiels.
| Référentiel/norme | Clause/mesure pertinente | Correspondance avec la responsabilité de la direction (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Clauses 5.1, 5.2, 9.3 | Exige un leadership actif, l’intégration du SMSI dans les processus métier et des revues de direction régulières. |
| NIS2 de l’UE | Article 21(1) | Les organes de direction doivent approuver et superviser les pratiques de gestion des risques de cybersécurité, avec une responsabilité personnelle en cas de défaillance. |
| DORA de l’UE | Article 5(2) | L’organe de direction porte la responsabilité ultime du cadre de gestion des risques liés aux TIC de l’entité et de sa résilience opérationnelle. |
| GDPR de l’UE | Articles 5(2), 24(1) | Le principe de responsabilité impose aux responsables du traitement (direction générale) de démontrer la conformité et de mettre en œuvre des mesures appropriées. |
| NIST SP 800-53 | PM-1, PM-9 | La direction doit établir le plan du programme de sécurité et créer une fonction exécutive de gestion des risques pour une supervision unifiée. |
| COBIT 2019 | EDM03 | Le conseil d’administration et la direction exécutive doivent évaluer, orienter et surveiller les initiatives de sécurité afin de garantir leur alignement avec les objectifs métier. |
Le constat est clair : tous les auditeurs, quel que soit leur référentiel, convergent vers la même exigence : « Montrez-moi la gouvernance en action. »
Conclusion : transformer votre gouvernance d’une case à cocher en boussole
La vérité difficile est que des organisations « conformes » subissent chaque jour des violations. Les organisations « résilientes », en revanche, survivent et s’adaptent. La résilience exige l’intégration profonde des politiques, de la technologie et d’une véritable appropriation par la direction. Ce n’est pas un défilé de formulaires, mais une culture dans laquelle la sécurité et la stratégie métier avancent de concert.
Commencez par poser les questions difficiles :
- Notre leadership en matière de sécurité est-il visible ? Les managers hors de la fonction sécurité participent-ils activement aux décisions liées aux risques ?
- Les responsabilités sont-elles claires ? Chaque manager peut-il expliquer ses responsabilités précises pour protéger l’information dans son périmètre ?
- La gouvernance est-elle intégrée ? Les considérations de sécurité sont-elles intégrées dès le départ dans nos processus de gestion de projet, d’approvisionnement et de ressources humaines ?
- Apprenons-nous de nos erreurs ? Lorsqu’un incident survient, déclenche-t-il une revue de notre cadre de gouvernance, et pas seulement de nos mesures techniques ?
La différence entre survivre à un incident et échouer sous le contrôle réglementaire dépend de la profondeur avec laquelle la gouvernance est intégrée au fonctionnement de vos opérations. Elle constitue la boussole qui guide votre organisation dans l’incertitude. En situation de crise, seule une gouvernance réelle fait rempart entre conformité et catastrophe.
Prochaines étapes : rendre votre résilience mesurable
- Utilisez Zenith Blueprint pour confronter votre responsabilité managériale à la réalité opérationnelle et vérifier que la sécurité dispose d’une visibilité à l’échelle de l’organisation.
- Mettez en œuvre les politiques de Clarysec, telles que la Politique relative aux rôles et responsabilités de gouvernance, comme des documents vivants qui structurent la formation, l’escalade et la correction.
- Exploitez Zenith Controls pour préparer vos audits ISO/IEC 27001:2022, NIS2, DORA et d’autres référentiels, avec des cartographies concrètes et des dossiers de preuves.
Prêt à faire évoluer votre gouvernance d’une case à cocher vers une boussole ? Réservez une revue de gouvernance SMSI avec Clarysec et placez réellement votre équipe dirigeante aux commandes.
Références :
- Zenith Blueprint : feuille de route en 30 étapes pour auditeurs
- Zenith Controls : guide de la conformité croisée
- Politique relative aux rôles et responsabilités de gouvernance
- Politique relative aux rôles et responsabilités de gouvernance - PME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
