La cybersécurité est avant tout une affaire de gouvernance

Thomas Hutin
FTI Consulting

La cybersécurité est un enjeu stratégique majeur qui doit concerner les instances dirigeantes.

Dans l’inconscient collectif, la cybersécurité fait partie du scope d’intervention des seules directions informatiques et cybersécurité. Pourtant, elle est désormais un enjeu stratégique majeur qui dépasse largement le périmètre technique.

En effet, compte tenu d’un contexte géopolitique mouvant et de la multiplication manifeste des cybermenaces, notamment celles provenant d’acteurs étatiques ou soutenus par des États il est devenu impératif que les instances dirigeantes s’emparent pleinement du sujet de la cybersécurité.

La cybersécurité a longtemps été considérée comme une affaire de spécialistes et elle a souvent été perçue comme un centre de coûts plus que comme un levier de résilience, de performance et de création de valeur.

Cette approche est aujourd’hui obsolète et dangereuse. Les attaques récentes contre des infrastructures critiques, des hôpitaux ou des entreprises jugées stratégiques prouvent que les cybercriminels ne ciblent plus seulement les failles techniques : ils testent la solidité globale de nos organisations, leur capacité de réaction, leur culture du risque et… la qualité de leur gouvernance.

Or, face à des attaques de plus en plus sophistiquées, la responsabilité finale ne peut plus être déléguée. Un plan de cybersécurité efficace ne dépend pas uniquement du déploiement de technologies spécialisées : il exige une vision stratégique, des arbitrages budgétaires clairs, une politique RH adaptée, des priorités définies au plus haut niveau. Autrement dit, il requiert l’implication directe des comités exécutifs et des conseils d’administration.

Certaines menaces, y compris celles attribuées à des groupes liés à des puissances étrangères, poursuivent des objectifs qui dépassent la simple extorsion : espionnage économique, déstabilisation, affaiblissement des chaînes de valeur. L’exposition des entreprises françaises et européennes n’est plus théorique. Dans ce contexte, ignorer la dimension géopolitique de la cybersécurité revient à naviguer en eaux troubles.

Intégrer ces risques au niveau stratégique ne signifie pas transformer les dirigeants en experts techniques. Il s’agit de leur permettre de comprendre les enjeux, de poser les bonnes questions, d’évaluer les enjeux pour l’entreprise et d’arbitrer avec lucidité. Cela se traduit par l’inclusion systématique du risque cyber dans les décisions structurantes, par des audits réguliers, par la préparation à la gestion de crise et par une culture interne qui considère le numérique comme un actif stratégique, et la cybersécurité comme une capacité essentielle et un véritable atout pour l’entreprise lorsque cette cybersécurité est performante.

La cybersécurité doit désormais faire partie intégrante de la stratégie globale de l’entreprise et devenir un réflexe collectif pensé au sommet et appliqué partout.