La solitude du DSI après un incident de cybersécurité

Dans un monde où les attaques informatiques se multiplient, chaque entreprise sait qu’elle sera un jour touchée. Mais ce que l’on évoque moins souvent, c’est ce qu’il se passe après l’incident. Quand les alarmes se taisent, que le système redémarre, que les communiqués ont été validés. Le plus dur commence alors pour les directions des systèmes d’information.

Car au-delà de la réponse technique, c’est souvent une crise de gouvernance qui s’ouvre. Et dans cette crise, le DSI peut devenir, volontairement ou non, le responsable idéal.

Le scénario classique : une attaque, une cellule de crise, un coupable tout désigné

L’attaque a été contenue. Le SI a tenu bon, ou presque. Les données critiques ont été préservées, ou en partie. Pourtant, le DSI se retrouve au cœur d’un jeu d’imputations.

Des questions fusent :

Pourquoi n’a-t-on pas anticipé ?
Pourquoi n’a-t-on pas investi plus tôt ?
Qui a laissé ce système exposé ?

Les mêmes décideurs qui avaient gelé un budget de sécurisation six mois plus tôt deviennent exigeants, parfois hostiles. Le DSI doit alors démontrer qu’il a alerté, documenté, proposé. Il entre dans une logique défensive qui le détourne de l’essentiel : reconstruire.

Les angles morts de la culture de cybersécurité

Ce type de situation révèle souvent un mal plus profond. Dans certaines organisations, la cybersécurité reste perçue comme un sujet technique, réservé à l’IT. Or, elle est avant tout un sujet de gouvernance.

Un bon niveau de sécurité ne se décide pas dans un bureau isolé de la DSI. Il dépend :

de l’adhésion des métiers,
de l’arbitrage stratégique du Codir,
de la rigueur des partenaires externes,
de la capacité de chacun à intégrer la sécurité dans ses pratiques quotidiennes.

Lorsque la cybersécurité est cantonnée à un budget annexe ou à un simple audit annuel, elle ne protège plus. Elle rassure à tort.

Une pression asymétrique sur la DSI

La DSI est responsable, mais rarement décisionnaire à 100 %.
Elle propose des orientations, elle formalise des scénarios, mais c’est souvent ailleurs que se prennent les décisions d’investissement ou de priorisation. Cette asymétrie crée une vulnérabilité managériale majeure : le DSI est exposé, mais pas toujours outillé pour se défendre.

Dans certaines structures, un simple incident isolé peut suffire à remettre en cause toute la légitimité de l’équipe IT. Même lorsque celle-ci a travaillé avec méthode. C’est dans ces moments que la solitude du DSI devient tangible.

Que peut-on changer dans la culture de gestion des incidents ?

Des pistes concrètes existent. Elles ne relèvent pas de la technique, mais du management et de la gouvernance. En voici quelques-unes, observées sur le terrain.

Anticiper la gouvernance de crise, pas seulement l’infrastructure

Beaucoup d’entreprises préparent des plans de reprise d’activité, mais oublient de définir qui parle, qui décide, qui assume. Formaliser un cadre clair de gestion de crise (rôles, niveaux de responsabilité, seuils de décision) permet d’éviter la panique et les conflits d’interprétation.

Intégrer les métiers dans la stratégie de sécurité

La sécurité ne peut pas être un sujet de la DSI seule. Chaque direction doit avoir un rôle clair, des indicateurs, et une redevabilité vis-à-vis de la sécurité de son périmètre. Cela commence par des formations ciblées, des campagnes internes bien pensées, et surtout des arbitrages partagés.

Revaloriser la parole du DSI dans les arbitrages budgétaires

Les DSI qui obtiennent des budgets cohérents ne sont pas ceux qui crient le plus fort, mais ceux qui arrivent à parler “risque” dans le langage du Codir. Traduire une recommandation technique en exposition financière, en perte de réputation ou en coût d’arrêt permet souvent de franchir le mur de l’indifférence.

Décloisonner la remontée d’incidents

Une attaque informatique ne commence pas toujours par un script ou un code malveillant. Elle commence parfois par un mauvais clic, un mot de passe trop faible, une négligence de prestataire. Mettre en place un processus de signalement interne, sans culture de la sanction, peut prévenir bien des crises.

Une culture du blâme ou une culture de la résilience ?

La question n’est pas de désigner un coupable. Elle est de construire une culture organisationnelle qui résiste, qui apprend, qui se renforce après chaque incident. Ce type de culture ne se décrète pas. Il se construit dans le temps, par la pédagogie, l’écoute, et la cohérence des décisions.

Les directions générales ont un rôle clé à jouer. Elles peuvent, par leur posture, décider de faire du DSI un partenaire stratégique ou un fusible. L’écart entre les deux est parfois une seule réunion.

En conclusion

Les incidents de cybersécurité sont inévitables. Ce qui distingue les organisations matures, ce n’est pas leur capacité à les éviter tous, mais à en sortir plus solides. Cela suppose une reconnaissance du rôle complexe des DSI : entre technique, coordination, anticipation, et diplomatie.

Cet article s’adresse aussi aux décideurs non techniques. Comprendre ce que vit une direction IT après un incident, c’est aussi mieux outiller son entreprise à l’avenir, et éviter que la prochaine crise ne devienne une crise de confiance.