![[Forum INCYBER 2026] Risque cyber : la gouvernance bascule dans une logique de continuité d’activité](https://incyber.org//wp-content/uploads/2025/07/incyber-news-threat-cybersecurite-cybersecurity-2160x735.jpg)
Forum INCYBER 2026 Risque cyber : la gouvernance bascule dans une logique de continuité d’activité
![Image [Forum INCYBER 2026] Dépendances numériques : l’Europe à l’heure des choix](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-europe-885x690.jpg)
À travers les débats et échanges du Forum INCYBER 2026 à Lille, une ligne de force se dessine nettement : la cybersécurité change de statut dans l’entreprise. Elle ne relève plus seulement d’un impératif de protection technologique, mais d’une réflexion plus large sur la continuité, la gouvernance et la capacité d’une organisation à absorber un choc sans désorganiser son activité. Les prises de parole convergent ainsi vers une même idée : le risque cyber doit désormais se lire à l’échelle de l’entreprise dans sa globalité.
Le premier basculement est d’ordre conceptuel, mais ses effets se manifestent très concrètement dans l’organisation. La cybersécurité n’est en effet plus seulement associée à la protection des systèmes ni à la confidentialité des données. Elle concerne directement la capacité d’une entreprise à maintenir ses opérations, à préserver ses flux, à protéger son image et à sécuriser son patrimoine informationnel. La menace agit désormais sur la chaîne de valeur dans son ensemble. « Il faut désormais adopter une vision systémique. Pour les grandes entreprises, cela suppose de ne plus traiter la tech ou la cyber comme un simple sujet technologique, mais de les inscrire dans une réflexion plus large sur la continuité d’activité, la résilience, la poursuite des opérations et la protection du patrimoine numérique et des données », déclare Franck Le Moal, Chief Information Officer du groupe LVMH.
Cette lecture plus large du sujet modifie le cadre d’analyse. La cybersécurité s’inscrit désormais dans une logique de résilience opérationnelle. Elle ne consiste plus seulement à empêcher l’incident, mais aussi à préparer l’organisation à absorber un choc, à redémarrer et à maintenir ses fonctions essentielles dans un contexte dégradé. « La résilience opérationnelle ne se limite pas à la cyberrésilience. Elle ne relève donc pas du seul RSSI, mais de l’ensemble de l’entreprise, puisqu’elle combine des mesures techniques et organisationnelles destinées à permettre, en cas de panne informatique, de cyberattaque ou de fuite de données, de se relever et de poursuivre l’activité », complète Odile Duthil, Directrice cybersécurité du Groupe Caisse des Dépôts.
Le rôle de RSSI en pleine transformation
À partir du moment où le risque cyber affecte les opérations, la réputation, les revenus et la continuité de service, il change de portée dans l’entreprise. Il ne peut plus relever du seul cercle des experts ni demeurer suivi à distance par les équipes cybersécurité. Il s’impose désormais dans les arbitrages du Comex, des comités de direction et des directions métiers. Cette évolution fait naturellement bouger la fonction RSSI. Celle-ci conserve un rôle d’impulsion, de cadrage et de pilotage, mais elle ne se situe plus à l’écart du reste de l’organisation. Elle s’inscrit davantage au contact du business, de la conformité, des transformations en cours et des instances de décision. Le RSSI n’apparaît donc plus comme un gardien isolé, mais comme un acteur transverse du fonctionnement de l’entreprise.
« Nous avons quitté une fonction strictement technique pour devenir un partenaire business au service des métiers. Notre rôle consiste désormais à accompagner ces métiers dans leurs évolutions. Nous ne sommes plus dans une posture consistant à opposer un refus de principe au DSI, mais dans une logique visant à permettre aux différents départements de l’entreprise d’avancer, tout en sécurisant l’ensemble des nouvelles technologies », ajoute Odile Duthil.
La cybersécurité doit s’intégrer dès la conception
Cette « montée en gouvernance » ne produit toutefois des effets réels qu’à la condition de s’accompagner d’un changement de méthode. La cybersécurité ne peut ainsi plus intervenir comme une couche de contrôle ajoutée en bout de projet. Elle doit au contraire s’intégrer dès l’amont, dans la conception même des applications, des produits, des architectures et des chaînes de développement. « Construire un environnement numérique de confiance exige un véritable changement de paradigme. Le délai entre la divulgation d’une vulnérabilité et son exploitation se compte désormais en heures. Il n’est donc plus possible d’ajouter la cybersécurité en bout de course. La sécurité dès la conception s’impose, elle doit être intégrée dès les toutes premières lignes de développement du code », analyse Nolwenn Le Ster, COO d’Almond et Présidente de la commission Cyber de NUMEUM.
Cette exigence prend encore plus de relief avec l’essor de l’intelligence artificielle générative et des agents d’IA. Les rythmes de développement s’accélèrent, les dépendances logicielles se multiplient et les surfaces d’exposition s’élargissent. La gouvernance cyber doit donc arbitrer dans un environnement plus mouvant, où la vitesse d’exécution et la maîtrise du risque doivent progresser en parallèle.
Parler « métier » pour faire entrer la cybersécurité dans la gouvernance
Un autre enseignement se dégage avec netteté : la cybersécurité prend davantage de poids lorsqu’elle se formule dans un langage clair, directement opérationnel. Les dirigeants et responsables de business units d’une entreprise ne s’emparent pas réellement du sujet lorsqu’il leur est présenté à travers un vocabulaire très technique, fait d’acronymes, de normes ou de schémas d’architecture. En revanche, ils en mesurent immédiatement la portée lorsque le risque cyber est traduit en conséquences concrètes pour l’activité : une caisse qui ne fonctionne plus, une livraison bloquée, une production interrompue, un magasin perturbé ou une relation client dégradée.
« Dès lors que vous employez leur langage et que vous explicitez les risques auxquels ils font face au quotidien, ils s’intéressent beaucoup plus directement à ce que vous faites. Nous n’avons pas parlé d’acronymes techniques. Nous avons parlé de leur activité et du risque cyber dans des termes très simples et très compréhensibles », commente Fabrice Bru, Directeur Cybersécurité et Architecture du Groupement Les Mousquetaires et membre du CESIN. Ce changement de vocabulaire n’a rien d’accessoire. Il conditionne la qualité du dialogue entre experts et décideurs. Il permet aussi de déplacer la cyber hors du registre de l’alerte abstraite pour la replacer dans celui du pilotage. La gouvernance peut alors arbitrer sur des impacts concrets, compréhensibles et reliés à la performance réelle de l’organisation.
Les métiers deviennent coresponsables du risque cyber
Cette évolution du langage accompagne une évolution plus profonde encore : celui du partage de la responsabilité liée à la cybersécurité au sein de l’entreprise. Le sujet ne relève plus du seul RSSI, ni même du seul binôme RSSI / DSI. Les métiers sont désormais appelés à participer eux aussi à l’analyse du risque, aux arbitrages qu’il implique et à l’intégration de la cybersécurité dans leurs propres pratiques et processus. « Nous ne voulons plus seulement des relais facilitateurs chargés, au fond, de faire de la sensibilisation dans leurs équipes. Nous allons désormais beaucoup plus loin. Nous voulons des business partners, c’est-à-dire des personnes qui s’approprient ces sujets, les comprennent et prennent le recul nécessaire pour mesurer ce qu’ils impliquent dans leur métier », fait remarquer Nolwenn Le Ster.
Dernier constat, sans doute le plus impactant et structurant : la réponse au risque cyber ne peut plus rester cantonnée aux frontières de chaque organisation. Les attaquants coopèrent, mutualisent leurs moyens, industrialisent leurs modes opératoires et tirent parti des dépendances qui traversent les chaînes de valeur. En retour, les entreprises doivent elles aussi renforcer leurs coopérations avec les administrations, les services régaliens et les acteurs technologiques. « Le temps est désormais venu de changer de posture car, de toute façon, tout cela nous dépasse. Les cybercriminels sont en train de se regrouper et, si nous ne mettons pas en place une démarche collaborative, cela va nous impacter. Il faut désormais renforcer de façon extrêmement forte et opérationnelle, et pas seulement dans les discours, la collaboration entre les grandes entreprises privées, les grandes administrations et les organismes publics », conclut Franck Le Moal.