La gouvernance de la sécurité de l’information est ce qui transforme une équipe technique réactive en fonction reconnue par la direction générale. Sans charte, sans comité formel, sans répartition claire des responsabilités, la sécurité reste un sujet d’ingénieurs — courageux mais isolés. Ce tutoriel déroule la mise en place pas-à-pas d’un dispositif de gouvernance qui tient devant un auditeur ISO et qui correspond aux attentes du domaine 1 de l’examen CISM. Vous obtiendrez à la fin un modèle de charte, une composition de comité, une matrice RACI exploitable et un plan de communication pour faire adopter le tout.
Prérequis
- Accès à un sponsor de niveau COMEX (DG, DSI, Secrétaire Général ou Directeur des Risques)
- Connaissance de base de la structure organisationnelle de l’entreprise
- Outils bureautiques classiques : tableur, traitement de texte, outil de diagrammes (draw.io, Lucidchart ou équivalent)
- Temps estimé pour boucler le dispositif : 6 à 10 semaines selon la taille de l’organisation
- Niveau attendu : manager sécurité ou candidat CISM en préparation
Étape 1 — Obtenir un mandat écrit du sponsor exécutif
Avant d’écrire une seule ligne de charte, il faut un mandat. Un mandat est une lettre courte, signée par un membre du COMEX, qui autorise explicitement la mise en place du dispositif de gouvernance sécurité. Sans ce mandat, vous allez vous heurter à chaque direction métier qui considérera votre démarche comme une intrusion. Avec ce mandat, vous arrivez en face des Directeurs RH, Finances et Opérations avec une lettre qui parle pour vous.
À : [Nom du manager sécurité] De : [Nom du sponsor], [Fonction] Objet : Mandat de mise en place d'une gouvernance de sécurité de l'information Conformément à la décision du COMEX du [date], vous êtes mandaté pour piloter la mise en place d'un dispositif de gouvernance de la sécurité de l'information couvrant l'ensemble des entités du groupe. À ce titre, vous êtes habilité à : - Convoquer les responsables métier pour la cartographie des actifs - Proposer pour validation une charte sécurité applicable à tous - Présider un comité opérationnel de sécurité de l'information - Engager les ressources budgétaires inscrites au plan [année] dans la limite de [montant] Ce mandat est valable jusqu'au [date], renouvelable par tacite reconduction sauf décision contraire. [Signature]
Faites signer ce document avant toute autre démarche. Le signataire idéal dépend de votre structure : DG dans une PME, DSI dans une ETI, Directeur des Risques dans une banque, Secrétaire Général dans une organisation publique. Le critère de choix est simple : la personne dont la signature ouvre les portes des autres directions. Conservez l’original, distribuez une copie scannée à chaque interlocuteur que vous convoquerez ensuite.
Étape 2 — Cartographier les parties prenantes et identifier le sponsor naturel
Avant de constituer un comité, listez explicitement les parties prenantes qui ont un intérêt direct dans la sécurité de l’information. Cette cartographie sert deux objectifs : éviter d’oublier un acteur clé qui se vengera plus tard en bloquant un projet, et identifier le ou les sponsors naturels capables de porter politiquement le dispositif. La carte se construit en partant de l’organigramme officiel, complété par les fonctions transverses non visibles dans l’organigramme.
| Acteur | Intérêt principal | Risque s’il est oublié |
|---|---|---|
| DG / Direction Générale | Réputation, continuité, conformité réglementaire | Aucun arbitrage budgétaire possible |
| DSI | Continuité de service, maîtrise des budgets IT | Sabotage passif des projets sécurité |
| Direction Financière | Maîtrise des coûts, conformité audit financier | Refus systématique des budgets sécurité |
| Direction des Risques | Vue consolidée des risques opérationnels | Doublons et incohérences sur le registre risques |
| RH | Onboarding/offboarding, sensibilisation | Aucune sensibilisation utilisateurs efficace |
| Juridique / Conformité | Conformité réglementaire, contractualisation | Engagements clients non couverts |
| Métiers / Lignes de business | Disponibilité des applications, productivité | Refus d’adoption des contrôles |
| Achats | Sélection des fournisseurs | Tiers non audités, contrats sans clauses sécurité |
| Communication | Image et gestion de crise | Sortie médiatique non maîtrisée en cas d’incident |
Le sponsor naturel se reconnaît à trois signes : il porte déjà un sujet transverse (risques, conformité, audit), il dispose d’un accès direct au DG, et il a un intérêt mesurable à la réussite du dispositif. Dans la moitié des organisations, c’est le Directeur des Risques ou le Secrétaire Général. Dans l’autre moitié, c’est la DSI elle-même. Évitez de positionner un sponsor purement technique : le dispositif perdra sa hauteur stratégique dès la première réunion.
Étape 3 — Rédiger la charte de sécurité de l’information
La charte est le document fondateur. Elle pose les principes auxquels l’organisation s’engage, sans entrer dans le détail technique. Trop courte (deux pages), elle ne couvre rien ; trop longue (vingt pages), personne ne la lit. Le format optimal tient en six à huit pages, structuré autour de sept rubriques fixes. Ce squelette est compatible avec les attentes ISO/IEC 27001:2022 et avec les exemples utilisés en examen CISM.
- Préambule et engagement de la direction (signature visible du DG en bas de page)
- Périmètre d’application (entités, filiales, prestataires, sites géographiques)
- Définitions et terminologie (5 à 10 termes clés : actif, incident, événement, etc.)
- Principes directeurs (confidentialité, intégrité, disponibilité, traçabilité, conformité)
- Rôles et responsabilités (renvoi vers la matrice RACI annexée)
- Engagements de l’organisation (politiques applicables, sanctions disciplinaires en cas de violation, plan de formation)
- Gouvernance et révision (fréquence, comité responsable, version, date d’entrée en vigueur)
La charte se distingue des politiques opérationnelles (politique de mots de passe, politique de classification, politique BYOD) qu’elle chapeaute. Elle reste stable pendant 2 à 3 ans et n’est révisée qu’en cas de changement majeur (fusion, nouveau cadre réglementaire, restructuration). Les politiques opérationnelles, elles, peuvent évoluer chaque année. Cette hiérarchie pyramidale — charte → politiques → procédures → instructions — est testée à plusieurs reprises dans l’examen.
Étape 4 — Constituer le comité de sécurité de l’information
Un comité sans règles claires devient soit une réunion d’humeur, soit un alibi. Pour qu’il fonctionne, trois éléments doivent être figés dès la première séance : la composition, la fréquence, et le mandat. Le comité de sécurité opérationnel (ISMSC, Information Security Management Steering Committee) se réunit typiquement une fois par mois et regroupe les décideurs intermédiaires. Un comité stratégique distinct, présidé par le DG, se réunit deux à quatre fois par an pour les décisions de haut niveau.
| Membre | Statut | Présence requise |
|---|---|---|
| Manager sécurité (vous) | Animateur, secrétaire | Obligatoire |
| Sponsor exécutif | Président | Trimestriel minimum |
| DSI ou représentant infra | Membre permanent | Obligatoire |
| Responsable risques | Membre permanent | Obligatoire |
| Juridique / Conformité | Membre permanent | Obligatoire |
| RH | Membre permanent | Recommandé |
| Représentants métiers | Membre tournant | Sur sujet |
| Auditeur interne | Observateur | Sur invitation |
La règle d’or pour la première réunion : faire signer un compte rendu qui formalise la mission du comité, sa fréquence, ses pouvoirs de décision et ses limites. Ce compte rendu devient la référence en cas de contestation future. Un comité qui se réunit sans procès-verbal écrit n’existe pas pour l’auditeur, et n’existe pas pour l’examen non plus — une question typique CISM pose « Quelle est la première chose à faire après la constitution d’un comité ? » et la réponse attendue est « formaliser ses statuts ».
Étape 5 — Construire la matrice RACI sécurité
La matrice RACI répartit les responsabilités sur chaque processus sécurité critique. Les quatre lettres signifient Responsible (l’exécutant), Accountable (le redevable, un seul par ligne), Consulted (consulté avant décision) et Informed (informé après décision). Un processus sans A clairement identifié dérive ; un processus avec plusieurs A devient ingérable. Cette discipline d’un seul A par ligne est ce qui rend la matrice utile.
| Processus | Manager sécurité | DSI | Métier | RH | Juridique | DG |
|---|---|---|---|---|---|---|
| Définir la politique mots de passe | A | R | C | I | I | I |
| Approuver un accès privilégié critique | R | C | A | I | I | I |
| Sensibiliser un nouvel arrivant | C | I | I | A/R | I | I |
| Notifier une violation données personnelles | R | C | C | C | A | I |
| Décider l’arrêt d’un service en cas d’incident | R | C | C | I | C | A |
| Auditer un fournisseur critique | A/R | C | C | I | C | I |
| Valider un changement majeur (RFC sécurité) | C | R | C | I | I | A |
Construire cette matrice ligne par ligne avec les directions concernées prend trois à cinq ateliers de deux heures. La discussion est plus précieuse que le tableau final : c’est là que les non-dits remontent, que les zones grises deviennent visibles, et que les futurs conflits sont désamorcés à froid. Conservez les traces écrites de chaque atelier — elles ressortiront si quelqu’un conteste plus tard son périmètre.
Étape 6 — Communiquer la charte et la rendre vivante
Une charte qui dort sur l’intranet ne sert à rien. La diffusion se prépare comme une campagne. Trois canaux doivent être combinés : un message global signé par le DG (mail ou note interne), une présentation en réunion d’équipe pour chaque direction (15 minutes maximum, animée par le manager sécurité), et une intégration formelle dans le parcours d’onboarding RH. La signature individuelle de la charte par chaque collaborateur — physique ou électronique — est une bonne pratique qui couvre les sanctions disciplinaires éventuelles.
Mesurer l’adoption sur trois indicateurs simples : taux de signature de la charte (cible 95 % à 30 jours), taux de complétion du module de sensibilisation en ligne (cible 90 % à 60 jours), nombre de questions remontées au comité dans les trois mois qui suivent (un volume nul indique un échec, pas un succès). Ces indicateurs alimentent le tableau de bord présenté en comité.
Étape 7 — Mettre en place le cycle de révision annuelle
Le dispositif n’est viable que s’il est révisé. La charte fait l’objet d’une revue annuelle formelle, validée en comité de sécurité stratégique. Les politiques sont revues selon un calendrier qui couvre l’ensemble du corpus en 24 mois. La matrice RACI est ajustée à chaque évolution majeure de l’organigramme. Ce cycle de revue est tracé dans un calendrier publié sur l’intranet et discuté à chaque comité.
Janvier : Revue annuelle de la charte (comité stratégique) Février : Revue politique mots de passe et MFA Avril : Revue politique classification données Juin : Revue politique BYOD et mobilité Septembre : Revue politique gestion incidents Novembre : Revue politique fournisseurs et tiers Décembre : Bilan annuel et préparation année suivante
Chaque revue produit une décision écrite : reconduction sans changement, mise à jour mineure, ou refonte. La date de la prochaine revue est inscrite en bas de chaque document. Un auditeur ISO 27001 vérifie systématiquement ce point — une politique avec une date de revue dépassée est un constat de non-conformité automatique.
Étape 8 — Vérifier que le dispositif tient
Testez votre gouvernance par trois questions concrètes avant de la déclarer opérationnelle. Si vous pouvez répondre sans hésiter à chacune avec un document à l’appui, le dispositif est solide.
- Qui décide d’arrêter un service en production suite à un incident sécurité majeur ? (réponse : DG, sur recommandation du manager sécurité — vérifié dans la RACI)
- Quelle politique encadre la conservation des journaux d’authentification, et combien de temps ? (réponse : politique de gestion des logs, durée 12 mois minimum — vérifié dans le document signé)
- Qui est habilité à valider une exception à la politique de classification des données ? (réponse : comité de sécurité, sur dossier formel — vérifié dans la procédure d’exception)
Si l’une de ces trois questions reste floue, retournez à l’étape correspondante. La gouvernance n’a de valeur que si elle survit aux situations réelles — quand le DG appelle un dimanche soir pour savoir qui décide.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Charte de 25 pages | Volonté de tout couvrir dans le document fondateur | Garder 6 à 8 pages, renvoyer les détails dans les politiques |
| Comité sans décisions tracées | Pas de secrétaire ni de procès-verbal | Manager sécurité = secrétaire systématique avec PV signé en 48 h |
| Matrice RACI avec plusieurs A par ligne | Compromis pour éviter de blesser une direction | Tenir bon sur la règle un seul A — c’est la valeur même de la matrice |
| Politique sans date de prochaine revue | Oubli dans le pied de page | Modèle de document avec champ obligatoire « Revue suivante » |
| Sponsor purement technique | Confort de travailler avec la DSI uniquement | Forcer la signature par un membre COMEX hors DSI |
| Absence de plan de communication | Confiance que le mail RH suffira | Tournée des équipes par le manager sécurité, 15 min par direction |
Tutoriels frères
- Évaluer et traiter les risques informationnels : méthode pas-à-pas avec registre exploitable
- Tableau de bord sécurité pour le COMEX : KPI, métriques, reporting mensuel
- Côté CISSP : CISSP Domaine 1 — Security and Risk Management traite la gouvernance et la gestion des risques avec un angle ISC²/CBK complémentaire.
Pour aller plus loin
- Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
- ISO/IEC 27001:2022 — Information security management systems — référence normative.
- NIST Cybersecurity Framework 2.0 — fonction « Govern » introduite en 2024.
- CISM Review Manual 2026 — chapitre 1 entièrement consacré à ce périmètre.
FAQ
Faut-il une charte sécurité dans une PME de 30 personnes ?
Oui, mais en version simplifiée. Quatre pages suffisent à structurer les principes (qui décide, qui exécute, comment on signale un incident) et à conditionner les futures démarches de certification ou d’appels d’offres. Une PME sans charte signée par sa direction perd des points sur le moindre questionnaire de due diligence client.
Le comité sécurité peut-il être confondu avec le COPIL DSI existant ?
Non. Les enjeux et les arbitrages sont différents : un COPIL DSI parle budgets, projets et incidents techniques ; un comité sécurité parle risques métier, conformité réglementaire et arbitrages de niveau exécutif. La séparation est même conseillée pour éviter que la sécurité ne soit toujours arbitrée en dernier après l’urgence projet.
Combien coûte la mise en place de ce dispositif ?
En interne, sans recourir à un cabinet, comptez 40 à 60 jours de travail du manager sécurité étalés sur deux mois, plus 5 à 10 jours cumulés de chaque membre du comité. Avec un cabinet, le ticket démarre autour de 15 000 € pour une PME et peut atteindre 80 000 € pour un groupe avec plusieurs filiales — l’apport principal étant l’accélération du calendrier et la légitimité externe.
La charte doit-elle être validée par le CSE ou les délégués du personnel ?
Selon les pays, oui. En droit français, toute mesure qui touche aux conditions de travail ou à la surveillance des salariés (logs, badges, géolocalisation) déclenche une consultation obligatoire des représentants du personnel. Au Sénégal ou en Côte d’Ivoire, la consultation se fait via les délégués du personnel ou le CHSCT lorsqu’il existe. Anticiper cette étape évite une remise en cause complète après publication.
Comment l’examen CISM teste-t-il ce domaine ?
Par des cas pratiques qui demandent de choisir le bon ordre des opérations : politique avant procédure, comité avant outil, sponsor avant chartrer. La réponse attendue privilégie toujours la décision durable sur l’action ponctuelle. Les énoncés mentionnent souvent un manager récemment nommé qui « doit faire quoi en premier » — la réponse correcte est presque systématiquement « obtenir un mandat exécutif et cartographier les parties prenantes ».