Accueil
Actualités
Cybersécurité : un enjeu de gouvernance et non plus seulement IT


#CYBERSÉCURITÉ

Cybersécurité : un enjeu de gouvernance et non plus seulement IT



Longtemps perçue comme une problématique purement technique, la cybersécurité relevait essentiellement des équipes informatiques. Ces dernières années, la multiplication des cyberattaques, leur sophistication technique et leurs impacts stratégiques ont profondément transformé cette vision.

En Europe, selon l’Agence de l'Union européenne pour la cybersécurité (ENISA), près de 60 % des entreprises ont subi au moins un incident cyber significatif ces dernières années. Aujourd’hui, une faille de sécurité peut entraîner des pertes financières majeures, nuire à la réputation d’une entreprise et engager la responsabilité juridique de ses dirigeants. Et surtout, personne n’est à l’abri.

Dans ce contexte, la cybersécurité dépasse largement le cadre opérationnel des services informatiques. Elle s’impose désormais comme un enjeu de gouvernance et monopolise l’ensemble du personnel.

Les directions générales, les conseils d’administration et les fonctions métiers doivent s’en saisir pour piloter le moindre risque de cybersécurité.

Pourquoi les directions s’impliquent davantage sur la cybersécurité ? Quelles obligations en termes de cybersécurité les poussent à s’y intéresser ? Quelles conséquences pour les équipes ?

LA CYBERSÉCURITÉ : UN RISQUE STRATÉGIQUE POUR L’ENTREPRISE

Les cyberattaques ne sont plus de simples incidents techniques. Elles peuvent paralyser l’activité d’une organisation entière. L’un des meilleurs exemples reste les attaques par rançongiciel (ransomware). Elles sont particulièrement révélatrices : certaines entreprises industrielles ou collectivités territoriales ont vu leur production ou leurs services publics interrompus pendant plusieurs jours. En 2023, plusieurs hôpitaux français ont été ciblés, compromettant ainsi l’accès aux soins et illustrant l’impact direct sur les citoyens.

Ces situations passées démontrent que la cybersécurité touche désormais l’intégralité des organisations. Elles influencent à la fois :

  • la continuité d’activité,
  • la confiance des clients
  • et même la valorisation financière de l’entreprise.

Comme le souligne l’Agence nationale de la sécurité des systèmes d'information (ANSSI), “la cybersécurité est un enjeu de souveraineté et de compétitivité”. Dès lors, laisser ce sujet uniquement aux équipes IT devient insuffisant. Les décisions stratégiques, comme les investissements ou les priorités de protection, doivent être portées au niveau de la direction.

UNE CROISSANCE DES OBLIGATIONS LÉGALES POUR LES DIRIGEANTS

Le cadre réglementaire européen a également renforcé le rôle de la gouvernance sur la cybersécurité de leur entité. Des textes comme la directive européenne NIS2 ou la réglementation française RGPD imposent des obligations strictes en matière de sécurité des systèmes d’information et de protection des données. En cas de manquement, les sanctions peuvent être lourdes, tant sur le plan financier que juridique.

Concrètement, cela signifie que les dirigeants ne peuvent plus ignorer les enjeux de la cybersécurité. Par exemple, une entreprise victime d’une fuite de données personnelles peut être sanctionnée si elle n’a pas mis en place des mesures de sécurité adaptées. Au-delà de la conformité, il s’agit aussi de démontrer une capacité à anticiper et gérer les risques. La cybersécurité devient ainsi un sujet de pilotage, intégré aux comités de direction et aux conseils d’administration. Elle nécessite des indicateurs, des audits réguliers et une vision globale alignée avec la stratégie de l’entreprise. Un véritable sujet stratégique !

UNE NOUVELLE APPROCHE TRANSVERSE DE LA CYBERSÉCURITÉ QUI IMPLIQUE TOUS LES MÉTIERS

Autre évolution majeure : la cybersécurité n’est plus uniquement une affaire de spécialistes techniques. Elle concerne l’ensemble des collaborateurs et des fonctions de l’entreprise. En effet, les attaques de type phishing ou ingénierie sociale exploitent souvent des failles humaines plutôt que technologiques. Un clic sur un lien dans un e-mail est plus vite arrivé que l’on ne le croit.

Prenons un exemple concret : un collaborateur reçoit un e-mail semblant provenir de son service informatique lui demandant de réinitialiser son mot de passe via un lien. En apparence légitime, ce message est en réalité une tentative de phishing. Sans sensibilisation adéquate, il peut facilement transmettre ses identifiants à un attaquant. De la même manière, les équipes RH, qui manipulent quotidiennement des données sensibles, doivent adopter des réflexes de sécurité rigoureux. Cela suppose de :

  • former l’ensemble des collaborateurs,
  • mettre en place des politiques internes claires,
  • impliquer chaque métier dans la gestion des risques cyber.

Cette approche transverse renforce le rôle de la gouvernance, qui doit impulser une culture de la cybersécurité. Il ne s’agit plus seulement de protéger des systèmes, mais de sécuriser l’ensemble de l’organisation face à des menaces globales.

La cybersécurité est aujourd’hui un enjeu stratégique majeur pour les organisations. Elle dépasse largement le cadre technique pour s’inscrire au cœur de la gouvernance. Dirigeants et métiers doivent collaborer pour anticiper, prévenir et gérer les risques. Il est devenu indispensable pour les dirigeants de l’intégrer dans leur vision globale afin d’assurer une performance durable.