Comment structurer la gouvernance cybersécurité ?

La gouvernance cyber repose sur 3 piliers : une politique de sécurité validée par la direction, un cadre de gestion des risques (ISO 27001, NIST) et un programme de sensibilisation continu.

Quel budget consacrer à la cybersécurité ?

Le budget cybersécurité recommandé représente 5 à 10% du budget IT total, soit 200 000 à 800 000 euros par an pour une ETI.

Que faire en cas de cyberattaque ?

Isoler les systèmes compromis, activer la cellule de crise, notifier les autorités (ANSSI, CNIL), communiquer de façon maîtrisée et engager la remédiation.

Cybersécurité : Gouvernance & Gestion de Risque

La cybersécurité n’est pas un problème IT. C’est un problème de direction générale.

Un incident cyber ce n’est pas 100 serveurs compromise. C’est une crise de gouvernance, une fuite de données clients potentielle, une responsabilité légale, un impact commercial direct. Le COMEX doit comprendre le risque dans sa langue : combien ça peut coûter, quelles sont nos couches de défense, qu’est-ce qu’on peut vraiment contrôler.

J’ai piloté la cybersécurité au niveau COMEX chez plusieurs entreprises. SFR, Thomas Cook, Baccarat. Pas juste des audits de sécurité. Une vraie stratégie cyber qui aligne l’IT, la conformité, la legal, et le business. Qui traduit « firewall » et « zero-trust architecture » en « voici comment on protège le groupe ».

Résultats concrets :

Gouvernance cyber intégrée au COMEX (décisions rapides, risques compris, investissements justifiés)
Capacité d’incident response : récupération en 12-24h au lieu de 5-7 jours
Conformité réglementaire atteinte (RGPD, NIS2, secteur-spécifique) sans débordement

Cybersécurité ≠ IT Security

La plupart des DSI pensent cybersécurité = mise en place de firewall, EDR, SIEM, pentest. C’est une partie. Mais ce n’est pas tout.

La vraie cybersécurité est une affaire d’équilibre :

Technique : comment on défend l’infrastructure. Architectures zero-trust. Segmentation réseau. Encryption end-to-end. Patching automatisé.
Processus : comment on opère de façon sécurisée. SDLC sécurisé. IAM (gestion des accès). Incident response plans. Crisis communication.
Gouvernance : comment on décide quels risques on accepte. Qui arbitre les trade-offs (sécurité vs agilité, coût de défense vs risque résiduel). Comment le COMEX s’assure qu’on a les bons contrôles.
Compliance : RGPD, NIS2, PCI-DSS, ISO 27001, normes sectorielles (healthcare, finance, critical infrastructure). Pas juste une checklist. Vraiment intégrée dans les processus.

À SFR (Telecom, données client très sensibles), c’était d’abord une affaire de gouvernance : où sont les vraies données à risque, comment on les protège, quels incident on peut survivre et lesquels nous coulent. Une fois la gouvernance clair, on mettait les briques techniques.

Les trois piliers de ma stratégie cybersécurité

Pilier 1 : Évaluation des risques IT

Avant de mettre des contrôles, il faut comprendre qu’est-ce qu’on défend. Je fais une vraie cartographie des risques :

Actifs critiques : quels systèmes, quelles données, quelles applications font vraiment marcher le business ? Si je perce base données client, qu’est-ce qui se passe ? Si j’arrête la supply chain IT, quel impact commercial ?
Menaces réalistes : qui pourrait m’attaquer ? Cybercriminels cherchant la rançon ? État nation ? Concurrent ? Insider ? Chaque menace n’a pas la même sophistication ni le même objectif.
Vulnérabilités actuelles : où sont mes faiblesses réelles ? Applications legacy sans patching récent ? Accès trop permissifs ? Pas de segmentation réseau ? Données non-encrypted ?
Probabilité & Impact : mettre ça dans une matrice. Ransomware = probabilité haute, impact très haut. Accès d’un stagiaire à la base de données production = probabilité moyenne, impact haut.

À partir de là, je crée une stratégie : d’abord défendre le critique. Ensuite, réduire les vulnérabilités réalistes.

Pilier 2 : Architecture de défense en couches

Une vraie cybersécurité n’a pas UNE barrière. Elle en a plusieurs. Si une est pénétrée, les autres ralentissent l’attaquant.

Mes couches typiques :

Périmètre : firewall, DDoS protection, IPS (Intrusion Prevention). Bloquer les attaques les plus bêtes avant qu’elles arrivent à la porte.
Accès : IAM (gestion des identités et des accès). Chaque personne a les droits minimums pour faire son job, pas plus. Pas d’accès « superadmin » qui traîne. Multi-factor authentication (MFA) pour tout ce qui touche au critique.
Intérieur du réseau : segmentation réseau. La vente ne peut pas parler à la finance. Le helpdesk n’a pas accès aux données client. Les administrateurs IT ne peuvent pas tous accéder partout.
Données : encryption at rest (données stockées) et in transit (données en mouvement). Masquage de données sensibles. Contrôle d’accès granulaire sur les databases.
Applications : SDLC sécurisé (les devs codent en pensant à la sécu dès le départ, pas en correction après). Dépendances externes vérifiées (open source scanning). Tests de pénétration réguliers.
Détection & Réponse : SIEM (Security Information & Event Management) pour voir les anomalies. EDR (Endpoint Detection & Response) pour surveiller les ordinateurs/serveurs. Incident response team pour réagir vite si quelque chose se passe.

À Thomas Cook, nous avions mis en place une segmentation réseau stricte : la part commerciale e-commerce (client-facing) était complètement isolée de la part opérationnelle interne (admin). Si la partie e-commerce était compromise, la partie opérationnelle restait saine.

Pilier 3 : Gouvernance cyber au COMEX

La vraie gouvernance cybersécurité est au COMEX, pas dans un comité IT « sécurité » qui parle à personne.

Je mets en place :

Un steering security au COMEX : une fois par trimestre, le COMEX revoit : état de la cybersécurité, incidents survenus (même mineurs), investissements planifiés, conformité vs normes. Pas un speech technique. Un vrai débat de gouvernance.
Une charte de risques acceptables : le COMEX décide : quelle latence on peut tolérer sur le système critique avant d’éclarer une crise ? Combien de données on peut perdre avant d’en faire un incident ? Combien coûte vraiment un ransomware (rançon + coûts d’arrêt + dégâts relationnels) et combien on veut investir pour l’éviter ?
Un incident response team clair : qui décide, quand ? Si c’est une fuite données : legal, communications, direction générale doivent être informés en 1h, pas demain. Il faut un plan et des roles clairs.
Reporting régulier : chaque mois, un KPI board : nombre incidents, taux de patching, nombre d’accès non-autorisés détectés et stoppés, état de la conformité. Le COMEX voit la vraie image, pas juste « tout va bien ».

Les scénarios de crise cyber que je gère

Scénario 1 : Ransomware / Perte de données

Un jour, vous découvrez que quelqu’un a encrypté une partie de votre infrastructure et demande une rançon. Ou pire : données exfiltrées et mises en vente sur le dark web.

Première 48h (la vraie crise) :

Isolation : identifier quels systèmes sont compromise et les isoler du réseau (quarantine).
Forensics : qui a pénétré comment. Quels données were exposed. Depuis quand.
Communication : informer le COMEX (en 1h), legal (pour conformité RGPD), relations clients (si données clients exposées).
Plan de rétablissement : c’est quoi la route pour se rétablir. Ça peut prendre jours ou semaines selon la sévérité.

Phase 2 (post-crise, jours 3-30) :

Rétablissement complet et validation.
Durcissement de la sécurité : comment on s’assure que ça ne reproduit pas.
Vérification de toutes les données affectées.
Communication clients / assurance / autorités si nécessaire.

C’est une gestion de crise IT classique, mais la dimension cyber est d’abord une question de gouvernance : qui décide quoi, comment on communique, comment on apaise.

Scénario 2 : Audit & Conformité

Vous êtes en industrie sensible (healthcare, finance, critical infrastructure). Des auditeurs arrivent pour vérifier que vous êtes conforme à RGPD, NIS2, ou une norme spécifique au secteur.

Je fais :

Audit de base : où êtes-vous vs norme ? Qu’est-ce qui manque ?
Plan de remédiation : comment on atteint la conformité en 6-12 mois.
Mise en place : je peux piloter la mise en place si votre équipe IT est débordée.
Validation : avant que les auditeurs reviennent, on valide ensemble qu’on est bon.

À Baccarat (luxury goods, données client très sensibles), nous avons préparé un audit RGPD en 8 semaines. Trouvé 47 non-conformités. Planifié la remédiation. Auditeurs revenus et on a passé clean.

Scénario 3 : Insider threats & contrôle d’accès

Vous avez trop d’accès flottant. Quelqu’un avec accès superadmin depuis 3 ans mais ne le fait plus son job. Une équipe finance qui peut accéder à la paie (risque énorme). Un ancien directeur qui a des accès qu’on a oublié de retirer.

Je fais une vraie revue d’IAM :

Audit de tous les accès : qui a quoi, c’est justifié ou pas ?
Recertification : chaque manager valide que ses directs ont les bons accès et rien de plus.
Durcissement : MFA pour les accès sensibles. Pas de partage de comptes. Logging de tout ce qui touche au sensible.
Process : quand quelqu’un change de rôle ou s’en va, on retire accès en j-1 (pas après 6 mois).

Scénario 4 : Incident response & continuité

Vous avez un incident (pas encore une crise, mais quelque chose qui demande une réaction). Comment on s’assure qu’on réagit vite ?

Je mets en place :

Incident response team : qui est l’incident commander, qui call les décisions, qui communique à qui.
Playbook : pour les incidents les plus courants (ransomware, données exfiltrées, DDoS, compromission interne), avoir un script prêt. Pas de débat circulaire en crise.
Escalade clair : quand on monte au COMEX ? Quand on appelle legal ou external advisor ? Quand on met en crise management externe ?
Continuité opérationnelle : pendant qu’on résout l’incident, comment on garde le business en marche.

Les trois erreurs que je vois souvent

Erreur 1 : Croire qu’on peut éviter 100% des incidents

Faux. On ne peut pas. Un groupe assez gros aura des incidents. La question n’est pas « comment on en a zéro ». C’est « comment on les détecte vite et on répond vite ».

Ma philosophe : défense en profondeur (couches multiples pour ralentir), détection rapide (alertes en temps réel, SIEM), réponse rapide (team en place, plan prêt).

Erreur 2 : Cybersécurité comme projet IT au lieu de programme permanent

« On va faire un audit. On va mettre un firewall neuf. Et puis on s’arrête. » Faux. Cybersécurité c’est permanent. Les menaces évoluent. Les normes évoluent. L’infrastructure change. Faut une équipe de sécurité, un budget continu, une gouvernance constante.

À partir d’une certaine taille (>100M€ revenue, >500 employés), faut une équipe de sécurité dédiée (pas des taches additionnelles pour l’IT). Et une gouvernance au COMEX, pas « une réunion de sécurité » qu’on oublie.

Erreur 3 : Sécurité vs Agilité comme un trade-off

Beaucoup pensent : si on veut être sécurisé, on doit être lent. Si on veut être agile, on doit accepter de risques. C’est pas vrai si la sécurité est bâtie dès le départ.

SDLC sécurisé (code review, dépendances scannées, tests de sécu automatisés) c’est juste 5-10% plus cher et peut-être 1-2 semaines plus lent. Mais ça crée une culture où la sécurité est normal, pas un frein.

Comment on démarre ?

Vous avez une crise cyber, ou vous avez réalisé qu’on avait pas vraie gouvernance cyber. Je propose une intervention rapide :

Crise immédiate : je suis là en 24h. Diagnostic rapide. On met en place un incident response plan, on coordonne la réaction.
Pas de crise mais conscience du risque : diagnostic rapide (2-3 semaines). Où êtes-vous vs benchmark. Qu’est-ce qui vous expose. Trois plans possibles : light (cheap, slow), medium (balanced), aggressive (costly, fast).
Mise en place : je peux piloter la transformation cybersécurité (3-12 mois selon l’ambition), ou je peux rester en sparring/coaching avec votre équipe de sécurité.

À titre d’illustration : la gestion de crise IT inclut souvent une composante cyber forte. Pendant que je stabilise l’opérationnel, il faut aussi s’assurer qu’on n’est pas en train d’être attaqué.

Vous avez une préoccupation cybersécurité ? Contactez-moi. On peut parler 30 minutes du vrai risque et de comment on le traite.

Pour aller plus loin

Services complémentaires

Retours d’expérience

sécurisation d’un programme dans le service public

Zones d’intervention

J’interviens en Île-de-France et sur l’ensemble du territoire national. Découvrez mes pages dédiées par département :

← Retour à la page DSI de transition