Gouvernance de la sécurité numérique – orientation, déploiement et pilotage

ANSSICigref

Auteur : Cigref, en partenariat avec l’ANSSI. Rédaction : Pierre Skrzypczak, chargé de mission senior Stratégie et Prospective au Cigref.

Ce rapport expose la gouvernance de la sécurité numérique comme un sujet de direction générale et de conseil d’administration, dans un contexte de menace cyber durablement élevée en 2025 et de tensions géopolitiques accrues. Il montre que la sécurité numérique dépasse la seule SSI et doit couvrir les dépendances technologiques, les risques juridiques, économiques, organisationnels et ceux liés à l’IA. Le document structure la démarche autour de trois vecteurs : définir une politique de sécurité numérique, l’appliquer au quotidien, puis la piloter par des métriques adaptées aux niveaux stratégique, décisionnel et opérationnel. Il détaille le déploiement de la PSN en sept étapes, depuis la définition de la cible de sécurité jusqu’à l’assurance cyber et à l’articulation avec les autres gouvernances. Le rapport précise la répartition des rôles entre conseil d’administration et Comex, avec un rappel des effets de NIS2 sur la responsabilité des dirigeants. Il présente aussi quatre archétypes d’organisation : expert et partenaire, conformité et affaires publiques, plateformisation et gouvernance, sécurité intégrée. Des retours d’expérience d’Airbus, Groupama, Getlink, Crédit Agricole, BCG et de l’ANSSI illustrent les choix de rattachement, de comitologie, de mutualisation et de gestion de crise. Le document insiste sur la prise en compte des fournisseurs, de la chaîne de valeur, du facteur humain, des entraînements de crise et de la mesure de la dette de sécurité. Il s’adresse en priorité aux dirigeants, aux comités exécutifs et aux conseils d’administration pour faire de la sécurité numérique un levier de résilience, de performance et de compétitivité.

Éléments clés à retenir :

  • La menace cyber reste à un niveau élevé en 2025 et les attaques DDoS ont doublé en 2024 par rapport à 2023.
  • Le rapport fait de la sécurité numérique un enjeu de gouvernance globale, plus large que la seule sécurité du SI.
  • La gouvernance repose sur trois vecteurs : PSN, application quotidienne, pilotage par métriques.
  • La PSN est déployée en sept étapes, avec cartographie des actifs, analyse de risques, feuille de route et assurance cyber.
  • NIS2 renforce la responsabilité légale des dirigeants et impose une montée en compétence des instances dirigeantes.
  • Quatre archétypes organisationnels sont proposés pour adapter la gouvernance au contexte de chaque organisation.
  • Le rapport souligne l’importance des exercices de crise, de la sensibilisation et de l’acculturation de tous les collaborateurs.
  • La gestion des fournisseurs et de l’écosystème est intégrée à l’analyse de résilience.
  • Une auto-évaluation de 180 questions est citée dans le retour d’expérience Getlink pour relier maturité cyber et assurabilité.
  • Le document résulte de 6 sessions de travail menées en 2024-2025 avec de grandes entreprises et administrations françaises.


Rapport-Gouvernance-de-la-securite-numerique-Cigref-mars-2026.pdf