Une équipe sécurité n’est pas nécessairement conçue pour prendre seule l’ensemble des décisions en matière de sécurité, ni toujours dotée des ressources nécessaires pour gérer la complexité croissante des risques.
La sécurité moderne exige une autorité fédérée
By
Published on 26 janvier 2026 6h48
45%Près de la moitié des entreprises (45 %) ont à présent un référent sécurité des SI en interne
Un défi d’autant plus important alors que 89 % des dirigeants français estiment que l’exploitation de l’IA agentique dans le domaine du développement logiciel entraînera des défis de sécurité sans précédent. En effet, l’intelligence artificielle cherche à exploiter l’ensemble des données de l’entreprise. Or, les surfaces d’attaque augmentent de manière exponentielle à l’inverse des budgets, ce qui oblige les équipes de sécurité à gagner en efficacité dans la gestion de la sécurité au sein d’environnements logiciels de plus en plus dynamiques.
Mais les problèmes de sécurité ne peuvent pas être résolus simplement en embauchant plus de personnes, en achetant plus d’outils ou en travaillant plus longtemps. À grande échelle et dans un contexte d’une complexité croissante, ces approches tactiques atteignent leurs limites. Face à cette problématique, les entreprises doivent faire un choix radicalement différent : cesser de vouloir centraliser l’autorité en matière de sécurité et la redistribuer au plus près des responsables métiers, là où les risques apparaissent.
De nombreuses entreprises ont déjà adopté un modèle de gouvernance de sécurité fédéré. Dans ce modèle, les RSSI définissent les politiques et la stratégie de gestion des risques à l’échelle de l’entreprise, tandis que les data owners et les équipes techniques gèrent la mise en œuvre de la sécurité au sein de leurs départements respectifs. Cela permet aux équipes techniques d’appliquer les politiques avec plus de flexibilité, en ajustant les détails et les contrôles pour mieux atteindre les objectifs fixés.
La centralisation ne suffit plus
Les modèles de sécurité traditionnels exigent des RSSI qu’ils soient experts dans de multiples domaines d’activité, chacun avec leurs propres contraintes et exigences. Les réglementations locales, la protection des données ou la conformité sectorielle peuvent introduire des variations importantes entre les unités.
Dans un modèle fédéré, les responsables technologiques (IT, ingénierie ou métiers) possèdent une compréhension fine de leur périmètre. Leur expertise leur permet de définir des stratégies adaptées aux technologies, aux processus et aux risques spécifiques, qui offrent trois bénéfices immédiats que la centralisation ne peut égaler :
-
Une supervision de la sécurité en contexte réduit la friction et les pertes d’efficacité. Les décisions en matière de sécurité sont prises plus rapidement, car elles se font au plus près de l’action. Les responsables de services et d’applications disposent déjà du contexte et de l’expertise nécessaires pour prendre la meilleure décision dans leur périmètre de responsabilité. Cette délégation d’autorité permet aux entreprises de saisir plus vite les opportunités du marché, de déployer de nouveaux outils, de limiter les escalades et de réduire les frictions ou retards inutiles.
-
Des politiques flexibles facilitent l’adoption et l’exploitation des technologies émergentes. Lorsque la gouvernance se déploie en cascade, les équipes de sécurité peuvent évaluer la manière dont la surface d’attaque d’une nouvelle technologie affecte le profil de risque propre à leur unité, et définir des politiques précisant les limites de sécurité en fonction de la classification des données et des contraintes réglementaires. Le RSSI peut établir des standards organisationnels généraux pour l’adoption d’une technologie, mais ce sont les partenaires techniques au sein des unités qui en assurent la mise en œuvre. Cette approche collaborative garantit un équilibre entre adoption efficace et contrôle, évitant des politiques de sécurité trop rigides ou trop généralistes.
-
Une autorité de sécurité évolutive accompagne la croissance d’une entreprise. Les acquisitions, les lancements de nouveaux produits ou les ouvertures sur de nouveaux marchés imposent aux équipes de sécurité la gestion de nouvelles tâches et le développement d’expertises spécialisées. Trouver le bon équilibre entre ce qui doit être centralisé et ce qui peut être fédéré permet à l’entreprise de se développer. Sous une gouvernance rigoureuse des politiques, la gestion des identités et des données sont deux domaines qui se fédèrent bien, grâce au soutien de plateformes technologiques centralisées. Les unités commerciales bénéficient ainsi d’une plus grande agilité, car elles disposent de l’autonomie nécessaire pour gérer, déléguer et provisionner les accès à leurs services et ressources.
Trouver le bon équilibre
Pour les entreprises habituées aux silos et aux structures hiérarchiques rigides, la transition vers un modèle fédéré peut se révéler difficile. Elle suppose un partage réel de la responsabilité en matière de sécurité. Les RSSI doivent fixer des standards adaptés aux réalités opérationnelles, et les équipes partenaires doivent veiller à ce que leurs contrôles soient conformes aux classifications de données.
Concrètement, cela peut se traduire par un RSSI qui définit des standards de classification des données, tandis que les équipes métiers implémentent ces derniers sous forme de politiques simples et efficaces. Netflix est souvent cité pour sa philosophie des « Paved Roads » : construire des solutions sécurisées conformes aux politiques et extrêmement faciles à adopter pour les équipes de développement.
Les standards globaux doivent également rester flexibles afin de ne pas devenir trop restrictifs et continuer à s’adapter aux besoins de chaque unité. Des processus d’exception en libre-service permettent d’évaluer les risques dans leur contexte et d’éviter que la sécurité ne freine inutilement l’activité.
Le ROI de l’atténuation des risques
À mesure que le rôle du RSSI se renforce, les investissements en sécurité sont de plus en plus évalués selon leur capacité à réduire les risques tout en soutenant les objectifs commerciaux de l’entreprise. Le modèle fédéré permet aux RSSI d’avoir une vision globale des risques et des menaces, tout en favorisant un impact positif sur l’ensemble de l’entreprise.
Alors que les systèmes d’IA deviennent plus autonomes et interconnectés, les surfaces d’attaque qu’ils génèrent dépassent la capacité de toute équipe centralisée à les gérer efficacement. Une autorité fédérée deviendra donc une nécessité, mais elle entraînera également une transformation organisationnelle majeure et redéfinira la manière dont les entreprises planifient, budgétisent et exécutent leur politique de sécurité. Pour les grandes entreprises numériques, l’avantage stratégique résidera dans la rapidité avec laquelle elles adopteront ce modèle et encourageront une culture de sécurité collaborative adaptée à ce nouveau paradigme.