P.I.L.O.T.E

4 min de lecture

Clause 5 – Leadership

5.1 Leadership et engagement

La direction générale a la responsabilité ultime du SMSI. Son rôle dépasse la simple délégation au RSSI : elle doit démontrer un engagement actif, visible et durable. Cet engagement se traduit par la mise à disposition de ressources, la validation des orientations stratégiques et la participation aux comités de suivi.

Dans la pratique, un PDG ou un COMEX impliqué dans le SMSI crédibilise la démarche, rassure les clients et évite que la sécurité soit perçue comme un simple enjeu technique. L’absence de ce leadership conduit souvent à des projets de conformité superficiels qui s’effondrent au premier incident majeur.

Warning

Erreur fréquente : considérer que le leadership peut être « délégué » au RSSI. Sans implication directe du top management, la certification ISO 27001 est fragile et facilement remise en cause.

5.2 Politique de sécurité

La politique de sécurité de l’information est un document stratégique qui exprime la vision et l’engagement de la direction. Elle doit être claire, validée, diffusée à tous les collaborateurs et accessible aux parties prenantes externes si nécessaire.

Une bonne politique ne se limite pas à une déclaration d’intention. Elle doit préciser les objectifs, les responsabilités, les obligations légales applicables (RGPD, NIS2) et le rôle attendu de chaque collaborateur.

Par exemple, une grande banque française a intégré dans sa politique un engagement explicite à maintenir la disponibilité de ses services critiques 24/7, reflétant les attentes de ses clients et des régulateurs.

Warning

Erreur fréquente : produire une politique trop générique (« protéger les informations de l’entreprise ») sans lien avec les réalités sectorielles ni preuve de diffusion. Les auditeurs exigent des preuves concrètes que la politique est connue et appliquée.

5.3 Rôles, responsabilités et autorités organisationnelles

La norme impose une répartition claire des responsabilités en matière de sécurité. Cela inclut la nomination d’un RSSI ou équivalent, la formalisation de ses missions et la mise en place de comités dédiés (par exemple un ISO Steering Committee).

Les responsabilités doivent être documentées, validées par la direction et intégrées dans les fiches de poste. Elles incluent notamment la gestion des incidents, la revue périodique des risques et la communication en cas de crise.

Exemples concrets :

  • Création d’un Comité SSI mensuel associant RSSI, DPO, direction IT et métiers.
  • Validation annuelle d’un budget cybersécurité par le COMEX.
  • Implication de la direction dans les exercices de crise (simulation ransomware, coupure réseau).

Warning

Erreur fréquente : absence de clarté dans les rôles. Dans certaines entreprises, le RSSI est désigné mais n’a pas d’autorité ni de budget, ce qui invalide la conformité ISO 27001.

Cas historique : Target (2013)

En 2013, la chaîne américaine Target a subi une attaque massive ayant compromis 40 millions de cartes bancaires. Les systèmes avaient généré des alertes, mais celles-ci n’ont pas été remontées au niveau exécutif. L’absence de gouvernance et d’implication du top management a transformé un incident technique en crise stratégique.
Résultat : le PDG et le CIO ont été contraints à la démission, et l’affaire est devenue un cas d’école sur l’importance de l’implication de la direction dans la cybersécurité.

Preuves d’audit typiques

  • Politique de sécurité signée et diffusée par la direction.
  • Procès-verbaux de comités SSI ou d’ISO Steering Committee.
  • Budget cybersécurité validé et suivi.
  • Preuves d’implication de la direction dans les exercices de crise.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Expliquer le rôle central du top management dans le SMSI.
  • Décrire les attentes liées à la politique de sécurité et son contenu.
  • Identifier les responsabilités et autorités nécessaires pour un SMSI opérationnel.
  • Tirer des enseignements d’un cas historique de gouvernance défaillante.

Checklist RSSI

  • Vérifier que la politique de sécurité est validée et diffusée.
  • Confirmer l’existence d’un ISO Steering Committee ou comité SSI.
  • S’assurer que les rôles du RSSI et des autres acteurs sont formalisés.
  • Contrôler la validation et le suivi du budget cybersécurité.
  • Préparer les preuves d’implication du top management (comités, exercices).

Vue Graphique