Gouvernance & politique de sécurité Mis à jour : Juin 2026

La PSSI est le document fondateur de la gouvernance cyber. Elle définit : les objectifs de sécurité, les actifs à protéger, les règles d'utilisation acceptables, les sanctions en cas de non-respect. Elle doit être approuvée par la direction, communiquée à tous, et révisée annuellement.

RACI : Responsible (qui fait), Accountable (qui décide), Consulted (qui conseille), Informed (qui est tenu au courant). Exemple : gestion des incidents — Responsible: équipe IT, Accountable: CISO, Consulted: Direction juridique, Informed: DG. Ce modèle évite les zones grises en cas de crise.

Un comité de sécurité efficace se réunit mensuellement, regroupe : CISO, DG, DAF, DRH, responsable légal. Il examine : les incidents du mois, l'avancement des projets sécurité, le budget, les nouvelles menaces. La fréquence trimestrielle convient aux PME, mensuelle aux organisations plus exposées.

Audit interne : fait par l'équipe IT ou le CISO, fréquent (trimestriel), couvre les processus courants. Audit externe : fait par un tiers certifié (CISA, ISO 27001), annuel ou avant certification, couvre la conformité et identifie les angles morts. Les deux sont complémentaires.

Un bon tableau de bord direction contient : 5-7 indicateurs max, code couleur RAG (Rouge/Amber/Green), tendance sur 3 mois, budget consommé vs prévu, top 3 risques ouverts. Il se lit en 2 minutes et conduit à une décision.

Quand un incident survient, la communication doit être préparée à l'avance : qui parle (porte-parole désigné), quand (protocole de notification), quoi dire (template messages). Trois audiences : employés, clients, médias/régulateurs. La transparence contrôlée protège mieux la réputation que le silence.