Responsabilité cyber, qui est le pilote ? DG ou DSI ?

« Le dialogue entre DG et DSI n’est pas un simple exercice de gouvernance ; il est le moteur de l’agilité. Une DG qui comprend le risque peut allouer des ressources de manière proactive, transformant la DSI d’un centre de coût défensif en un partenaire stratégique pour l’innovation sécurisée. C’est cet alignement qui permet de prendre les bonnes décisions, de justifier les investissements et de construire une posture de sécurité crédible et durable »

La cybersécurité siège désormais à la table du COMEX, ce n’est plus un sujet technique confiné à la salle des serveurs. Erreurs de configuration Cloud, API vulnérables, shadow IT, cyberattaques — Face à des menaces systémiques, la question de la responsabilité devient centrale. Elle ne se décrète pas, elle se construit au plus haut niveau de l’organisation. Mais lorsque l’un de ces risques devient avéré et paralyse l’entreprise, vers qui les regards se tournent-ils ? Le Directeur Général (DG) ? Le Directeur des Systèmes d’Information (DSI) ?

Comme nous l’explique Laurent Galvani, responsable avant-vente & business developer cyber chez Fidens by TVH Consulting, la réalité est que la résilience numérique d’une entreprise repose sur une responsabilité partagée, à la fois stratégique et opérationnelle.

Un paysage des menaces complexe comme contexte

Avant même de parler de responsabilité, il est nécessaire de comprendre la nature actuelle du risque. L’adoption massive du Cloud, par exemple, crée de nouvelles surfaces d’attaque : une simple erreur de configuration peut exposer accidentellement des bases de données entières au public. Parallèlement, l’économie des APIs, vitale pour l’interconnexion, ouvre des portes d’entrée directes vers vos données critiques lorsqu’elles sont mal auditées. Le risque s’étend également au-delà du SI : la Supply Chain numérique, incluant fournisseurs et sous-traitants, est devenue un maillon faible potentiel. Enfin, l’intelligence artificielle n’est plus un outil neutre ; elle est désormais activement utilisée par les attaquants pour générer des tentatives de phishing ultra-convaincantes ou pour exploiter vos propres modèles de données. Ces menaces ne sont plus seulement techniques, elles visent le cœur même de la stratégie et des opérations de l’entreprise.

La triple pression : réglementaire, commerciale et financière

Et pour ne pas arranger les choses, le risque cyber ne reste pas cantonné dans les murs des entreprises, trois « forces externes » les obligent à structurer leur cybersécurité.

1. La pression réglementaire (NIS 2, Cyber Résilience Act…) : De nouvelles directives, comme NIS 2, renforcent drastiquement les obligations des organisations. Elles imposent une déclaration rapide des incidents, un audit de la chaîne de sous-traitance et, surtout, engagent directement la responsabilité du dirigeant en cas de non-respect. Le Cyber Resilience Act (CRA) impose quant à lui la sécurité dès la conception (« by design ») pour tous les produits et logiciels.
2. La pression des clients et actionnaires : Vos clients exigent des preuves de votre robustesse avant de s’engager avec vous. Quoi de plus normal ? La cybersécurité devient de fait un argument commercial et un gage de confiance. De leur côté, les actionnaires demandent des garanties (basées sur des référentiels comme ISO 27001) pour rassurer les parties prenantes.
3. La pression des assureurs : Obtenir une cyber-assurance n’est plus une formalité ! Les assureurs exigent désormais une liste de prérequis de sécurité stricts : authentification multifacteur (MFA), détection et réponse (EDR), sauvegardes testées, gestion des comptes à privilèges, sensibilisation… Sans ces minimums, la couverture est refusée ou devient exorbitante.

DG vs. DSI : Un tandem pour la cyber-résilience

Dans ce contexte, les rôles ne s’opposent pas mais se complètent et s’imbriquent. Le DSI, souvent en première ligne opérationnelle, devient l’architecte et l’orchestrateur de la défense. En l’absence fréquente d’un RSSI (Responsable de la Sécurité des Systèmes d’Information), c’est lui qui porte la charge d’élaborer la politique de sécurité et de veiller à son application rigoureuse. Son rôle va au-delà du simple volet technique : il doit activement cartographier les risques, piloter les audits pour découvrir les failles avant les attaquants, et surtout, préparer la riposte. En cas d’attaque, il est celui qui orchestre la réponse aux incidents et coordonne la gestion de crise pour minimiser l’impact.

Mais cette charge technique et opérationnelle ne peut reposer uniquement sur ses épaules. La cybersécurité est l’affaire de tous, et c’est au Directeur Général de porter ce message au plus haut niveau. La responsabilité du DG est avant tout stratégique et fiduciaire. C’est à lui de garantir la conformité réglementaire face à un arsenal législatif de plus en plus strict (NIS 2, RGPD, IA Act…). Plus important encore, le DG doit arbitrer les moyens : la sécurité a un coût, et il est le seul à pouvoir allouer les budgets et les ressources humaines nécessaires. Son rôle est de faire de la cybersécurité un sujet COMEX, de décloisonner le dialogue et de s’assurer qu’elle est intégrée non pas comme un centre de coût, mais comme un impératif stratégique dans toutes les décisions métier.

Un plan d’action pragmatique pour l’entreprise

Face à ces enjeux, la réponse doit être structurée. Adopter une démarche pragmatique permet de construire une défense solide, étape par étape. Voici ces piliers :

1. Gouvernance et pilotage :
   • Désigner un responsable cybersécurité (interne ou externe). Il ne s’agit pas d’un simple titre, mais d’un rôle mission-critique. Cette personne centralise la responsabilité, coordonne les défenses et doit disposer d’une « ligne directe » avec la direction pour rapporter les risques et les besoins.
   • Cartographier vos actifs critiques, flux de données et fournisseurs. On ne peut pas protéger ce qu’on ne connaît pas. Cette étape fondamentale consiste à identifier quelles données sont vitales (fichiers clients, R&D, plans stratégiques…) et où elles se trouvent (serveurs internes, Cloud, chez vos partenaires). Cette carte révèle vos zones de risque réelles.
   • Mettre à jour vos contrats fournisseurs avec des clauses de sécurité claires. Votre chaîne d’approvisionnement est une extension de votre surface d’attaque. Vos contrats doivent exiger de vos partenaires un niveau de sécurité équivalent au vôtre, incluant des obligations de notification en cas d’incident et des preuves de conformité.
2. Protection technique et organisationnelle :
   • Sécuriser les accès à tous les environnements (local, Cloud, IA) avec du MFA et une gestion stricte des droits. Le vol d’identifiants est la principale porte d’entrée des attaquants. L’authentification multifacteur (MFA) est la barrière la plus efficace. Elle doit être couplée au principe du « moindre privilège » : chaque collaborateur n’accède qu’aux données et outils strictement nécessaires à sa mission.
   • Vérifier la sécurité de chaque nouveau projet, à plus forte raison pour les projets Cloud ou IA, avant son déploiement. L’innovation ne doit pas se faire au détriment de la sécurité. Chaque nouvel outil ou service doit passer par une validation « Security by Design ». Les configurations sont-elles correctes ? Les APIs sont-elles protégées ? Stopper une vulnérabilité avant la mise en production coûte infiniment moins cher que de gérer une fuite de données.
   • Sensibiliser toutes les équipes aux nouveaux risques. Vos collaborateurs sont une composante essentielle de votre défense. Des formations régulières et engageantes sont vitales. Les e-mails de phishing ne sont plus truffés de fautes ; grâce à l’IA, ils sont personnalisés et très convaincants. Vos équipes doivent devenir un « pare-feu humain » capable de détecter et signaler ces tentatives.
3. Résilience et Continuité :
   • Sauvegarder vos données critiques quotidiennement sur un support déconnecté ou un Cloud sécurisé. C’est votre assurance-vie en cas d’attaque par ransomware. Une sauvegarde « immuable » ou « hors-ligne » est une copie que l’attaquant ne peut ni chiffrer ni supprimer, garantissant votre capacité à redémarrer.
   • Tester de façon récurrente la restauration de ces sauvegardes. Une sauvegarde qui n’a jamais été testée n’est qu’un espoir, pas un plan. Vous devez vous assurer régulièrement que vous pouvez restaurer vos systèmes rapidement et intégralement. Découvrir que vos sauvegardes sont corrompues pendant une crise est… un échec fatal.
   • Prévoir un plan de gestion de crise clair, incluant les contacts d’urgence. Lorsque l’incident survient, la panique est votre pire ennemie. Vous avez besoin d’un guide documenté : Qui prend les décisions ? Qui communique avec les clients, les régulateurs, les employés ? Avoir les numéros de vos experts en réponse à incident, de vos conseillers juridiques et de vos partenaires de communication avant la crise est essentiel.

Faire de la cybersécurité une opportunité

La clé est d’adopter « la politique du petit pas » : se lancer dès maintenant, sans attendre d’être parfait, et valoriser chaque action comme une preuve de résilience. Chaque avancée devient un actif tangible qui renforce la réputation et la différenciation sur le marché. C’est initier une démarche collective qui forge la confiance des clients, des actionnaires et des partenaires, et une opportunité de croissance qui prouve le sérieux et l’engagement d’une organisation.

En tant qu’éditeur et expert français en Cybersécurité, Fidens by TVH Consulting peut vous accompagner dans la mise en œuvre de vos stratégies de défense. De l’audit à la réalisation de tests d’intrusion, en passant par l’externalisation de rôles clés (RSSI et/ou DPO) et le déploiement de solutions éprouvées, nous vous aidons à transformer le risque cyber en un avantage concurrentiel.