Le programme de sécurité de l’information est l’élément vivant qui transforme une charte signée et un registre de risques en activités quotidiennes, en livrables datés, en équipes recrutées et en budgets engagés. C’est le bloc le plus volumineux de l’examen CISM (33 % des questions) parce que c’est précisément là où un manager prouve sa valeur. Ce tutoriel montre comment passer de l’analyse des risques validée en comité à une feuille de route à trois ans, défendable devant le COMEX, mesurable par des indicateurs précis et finançable par un budget construit ligne par ligne.
Prérequis
- Registre de risques validé en comité (sortie du tutoriel précédent)
- Charte sécurité signée et matrice RACI active
- Connaissance des grands référentiels de contrôles (NIST CSF 2.0, ISO 27002:2022, CIS Controls v8.1)
- Accès aux données financières de l’entité : enveloppe DSI, taux journalier moyen interne
- Temps estimé pour boucler la première version de la feuille de route : 4 à 8 semaines
- Niveau attendu : manager sécurité en prise de poste ou candidat CISM en révision domaine 3
Étape 1 — Choisir le référentiel de contrôles cible
Une feuille de route a besoin d’un référentiel pour structurer les chantiers. Sans référentiel, vous risquez l’arbitraire — chaque manager construit son programme selon son histoire personnelle, sans cohérence d’une organisation à l’autre. Trois grands référentiels dominent en 2026 et chacun convient à un contexte précis.
| Référentiel | Émetteur | Particularité | Bon pour |
|---|---|---|---|
| NIST CSF 2.0 | NIST (États-Unis) | 6 fonctions : Govern, Identify, Protect, Detect, Respond, Recover | Communication exécutive, multi-secteurs |
| ISO/IEC 27002:2022 | ISO international | 93 contrôles regroupés en 4 thèmes | Préparation certification ISO 27001 |
| CIS Controls v8.1 | Center for Internet Security | 18 contrôles avec implementation groups IG1/IG2/IG3 | PME et démarrage opérationnel rapide |
NIST CSF 2.0, publié en février 2024, a ajouté la fonction « Govern » qui formalise la gouvernance comme première pierre du programme. C’est désormais le référentiel le plus parlant pour communiquer en direction générale parce que ses 6 fonctions tiennent sur un schéma lisible. ISO 27002:2022 reste incontournable si l’organisation vise une certification ISO 27001. CIS Controls v8.1 offre une progressivité naturelle pour une PME : IG1 couvre l’essentiel défensif avec 56 sauvegardes, IG2 ajoute 74 sauvegardes pour une organisation moyenne, IG3 boucle avec 23 sauvegardes supplémentaires pour les grandes entreprises.
Beaucoup d’organisations utilisent NIST CSF 2.0 pour la vue exécutive et ISO 27002 pour le détail opérationnel — les deux se complètent. Quelle que soit votre combinaison, formalisez le choix en comité et inscrivez-le dans la politique de gestion du programme. C’est ce qu’un auditeur cherchera en premier.
Étape 2 — Établir la cartographie de maturité actuelle
Avant de tracer la cible, mesurez le point de départ. La cartographie de maturité évalue chaque contrôle du référentiel sur une échelle 0 à 5 inspirée du CMMI : 0 inexistant, 1 ad hoc, 2 répétable, 3 défini, 4 mesuré, 5 optimisé. Cette cartographie alimente directement le tableau de bord présenté au COMEX et devient l’élément de comparaison année après année.
Fonction NIST CSF 2.0 : PROTECT Catégorie : PR.AA — Identity Management, Authentication and Access Control Contrôle PR.AA-01 : Identities and credentials for users, devices and services Maturité actuelle : 2 (répétable) Justification : Active Directory en place, MFA partiel sur admin uniquement Maturité cible : 4 (mesuré) Écart à combler : MFA généralisé, revue trimestrielle des comptes Chantier associé : C-007 Déploiement MFA complet Échéance : 2027-Q1 Coût estimé : 45 k€
L’auto-évaluation se fait par atelier avec les directions concernées, idéalement deux à trois ateliers de demi-journée par fonction du référentiel. La règle d’or : ne jamais s’attribuer une note 3 ou plus sans pouvoir produire le document de référence. Une politique n’existe pas tant qu’elle n’est pas écrite, signée et diffusée. Cette discipline réduit drastiquement l’auto-complaisance et donne une photographie honnête.
Étape 3 — Définir le niveau de maturité cible
Un programme qui vise « 5 partout » n’est pas un programme, c’est un manifeste. Le niveau cible se définit par fonction en fonction de trois critères : criticité métier des actifs concernés, exposition au risque (issue du registre), et exigences réglementaires applicables. Pour une PME e-commerce, viser 3 (défini) sur l’ensemble est ambitieux et raisonnable. Pour une banque ou une OIV, viser 4 (mesuré) sur les fonctions critiques est attendu par les régulateurs.
| Profil organisation | Niveau cible recommandé | Horizon |
|---|---|---|
| PME < 100 personnes | 3 (défini) sur fonctions critiques, 2 sur le reste | 24 mois |
| ETI 100-500 personnes | 3 généralisé, 4 sur Identify et Protect | 24 à 36 mois |
| Grand groupe > 500 personnes | 4 sur l’ensemble, 5 sur fonctions à régulation forte | 36 mois minimum |
| Banque, assurance, OIV | 4 généralisé, 5 sur Detect et Respond | 36 à 60 mois |
L’écart entre l’actuel et la cible définit le volume de chantiers à conduire. C’est ce delta — pas la cible absolue — qui se présente en COMEX. Un écart de 2 niveaux sur la fonction Detect signale un investissement majeur en supervision (SIEM, SOC, EDR). Un écart de 0 à 1 sur la fonction Govern signale qu’il faut surtout formaliser et documenter, pas dépenser.
Étape 4 — Construire la feuille de route à 3 ans
La feuille de route convertit la liste d’écarts en programme daté. Le format qui parle à un COMEX tient sur une seule diapositive ou page A3 : trois lignes (année 1, 2, 3), une colonne par trimestre, et un chantier maximum par case. Chaque chantier porte un identifiant stable, un livrable précis, un pilote, un budget. La discipline « un seul chantier majeur par trimestre par équipe » évite la dispersion qui fait dérailler la plupart des programmes.
| Q1 2027 | Q2 2027 | Q3 2027 | Q4 2027 |
Année 1 | C-001 MFA gén | C-002 EDR | C-003 Logs | C-004 Form |
| 45 k€ | 120 k€ | 30 k€ | 15 k€ |
| Q1 2028 | Q2 2028 | Q3 2028 | Q4 2028 |
Année 2 | C-005 IAM | C-006 SIEM | C-007 DLP | C-008 Audit |
| 80 k€ | 180 k€ | 60 k€ | 25 k€ |
| Q1 2029 | Q2 2029 | Q3 2029 | Q4 2029 |
Année 3 | C-009 SOC | C-010 ZeroT | C-011 DR test | C-012 Cert |
| 200 k€ | 150 k€ | 40 k€ | 50 k€ |
Le séquencement obéit à une logique : on traite Identify avant Protect, Protect avant Detect, Detect avant Respond. Cette progression évite de déployer un SIEM coûteux avant d’avoir des logs centralisés exploitables, ou un EDR avant d’avoir un inventaire d’endpoints à jour. La règle est testée à plusieurs reprises dans l’examen CISM — la mauvaise réponse classique est de placer la détection avant la protection de base.
Étape 5 — Construire le budget défendable
Un budget sécurité défendable se construit en quatre couches additionnées. Présentées séparément, elles permettent au COMEX d’arbitrer ce qu’il accepte de retirer en cas de contrainte budgétaire — au lieu de tout couper de 30 % au pifomètre.
- Couche 1 — Run obligatoire : licences existantes, maintenance des outils déjà déployés, abonnements antivirus/EDR/SIEM. Non discutable, c’est le coût pour rester à niveau actuel. Typiquement 60 à 70 % du budget total.
- Couche 2 — Conformité réglementaire : projets imposés par la loi ou un régulateur (mise en conformité RGPD, PCI DSS, NIS 2, exigences sectorielles bancaires). Non négociable si l’organisation veut éviter sanctions et perte d’agrément.
- Couche 3 — Réduction des risques rouge et orange : chantiers issus du plan de traitement validé en comité, qui ramènent des risques précis sous le seuil acceptable. C’est ici que se joue la défense argumentée : chaque ligne renvoie à un identifiant de risque résiduel.
- Couche 4 — Amélioration continue et anticipation : montée en maturité sur les fonctions à 2-3 niveaux, veille technologique, prototypes (Zero Trust, IA défensive). Cette couche est arbitrable et c’est celle qui se sacrifie en premier en année difficile.
Les benchmarks 2026 situent l’investissement sécurité moyen autour de 10 à 12 % du budget IT global, avec une tendance à monter à 14-15 % dans les secteurs régulés. Un budget sécurité inférieur à 6 % du budget IT signale soit une organisation très immature, soit une organisation qui sous-investit gravement par rapport à son exposition. Ces chiffres servent à argumenter en COMEX quand on parle ratio plutôt que valeur absolue.
Étape 6 — Définir les KPI et KRI du programme
Un programme sans indicateurs n’est pas mesurable et n’est donc pas pilotable. La distinction entre KPI (Key Performance Indicators, mesure de la performance du programme) et KRI (Key Risk Indicators, mesure du niveau de risque résiduel) est testée à l’examen. Visez un jeu réduit de 8 à 12 indicateurs, présentés mensuellement en comité opérationnel et trimestriellement en comité stratégique.
| Indicateur | Type | Cible 2027 | Fréquence |
|---|---|---|---|
| Couverture MFA sur comptes à privilèges | KPI | 100 % | Mensuel |
| Délai moyen de patching critique | KPI | < 14 jours | Mensuel |
| Taux de réussite sensibilisation | KPI | > 85 % | Trimestriel |
| Nombre d’incidents majeurs / mois | KRI | < 2 | Mensuel |
| Délai moyen de détection (MTTD) | KPI | < 4 h | Mensuel |
| Délai moyen de réponse (MTTR) | KPI | < 24 h | Mensuel |
| Fournisseurs critiques audités | KPI | 100 % | Semestriel |
| Risques rouges résiduels | KRI | < 5 % | Trimestriel |
| Phishing simulé : taux de clic | KRI | < 8 % | Semestriel |
| Budget consommé vs prévu | KPI | +/− 10 % | Trimestriel |
Chaque indicateur a un propriétaire nommé, une source de données identifiée et une procédure de calcul écrite. Un indicateur sans propriétaire devient un indicateur fantôme — il finit par disparaître en silence ou par être manipulé. Le tutoriel sur le tableau de bord COMEX déroule la mise en forme finale pour la présentation exécutive.
Étape 7 — Structurer l’équipe et la montée en compétence
Le programme ne tient que si une équipe le porte. Le manager sécurité ne peut pas tout faire — la question stratégique est de définir la taille minimale de l’équipe en fonction du périmètre. La règle empirique qui résiste depuis vingt ans : 1 ETP sécurité dédié pour 100 collaborateurs dans une PME, descendant à 1 pour 200 dans un grand groupe avec mutualisation, montant à 1 pour 50 dans le secteur bancaire ou la santé. Sous ce seuil, le manager devient le seul opérationnel et le programme ne progresse plus.
- Manager sécurité (vous) — stratégie, comité, arbitrages, reporting COMEX
- Analyste sécurité opérationnel — supervision, gestion d’alertes, gestion d’identité
- Ingénieur sécurité technique — durcissement, projets, intégration outils
- Auditeur ou conformité (à temps partiel possible) — politiques, audits internes, fournisseurs
- Responsable sensibilisation (à temps partiel ou mutualisé RH) — campagnes, formations, communication
La feuille de route inclut un plan de recrutement échelonné — l’erreur classique est de viser une équipe finale sur trois ans et d’attendre la troisième année pour recruter. Il faut au contraire embaucher tôt et former en interne. Le coût d’un recrutement raté en cybersécurité (départ à 9 mois, perte d’efficacité d’équipe) dépasse largement celui d’une formation interne bien encadrée.
Étape 8 — Faire valider la feuille de route en comité stratégique
Une feuille de route non validée par le COMEX n’est qu’un brouillon. La validation se prépare en trois temps. D’abord une revue technique en comité opérationnel pour aligner les pairs de la DSI et des métiers. Ensuite des pré-réunions individuelles avec chaque membre du COMEX dont l’avis pèsera : DG, Directeur Financier, Directeur des Risques. Enfin la présentation formelle en comité stratégique, calibrée pour 30 minutes maximum, avec un seul livrable papier (la diapositive feuille de route) et un seul document de référence (le rapport de 15 pages disponible en annexe).
Le document de validation se signe à la fin de la séance et porte trois mentions : approuvée, approuvée avec ajustements, ou repoussée. Une approbation avec ajustements demande un retour en comité dans le mois. Une feuille de route repoussée signale un échec de préparation amont — souvent une absence de sponsor solide ou un budget incompatible avec la stratégie d’entreprise. C’est l’occasion de revoir l’étape 1 du tutoriel précédent : le mandat exécutif est-il vraiment en place ?
Étape 9 — Vérifier que le programme tient
Trois tests à passer avant de considérer la version 1 du programme comme aboutie.
- Chaque chantier de la feuille de route renvoie à un identifiant de risque dans le registre, ou à une exigence réglementaire nommée. Si un chantier n’a pas de justification traçable, il est suspect.
- Le budget de chaque chantier se découpe par couche (Run, Conformité, Risque, Amélioration) — un chantier 100 % Amélioration en année 1 est un mauvais signal.
- Le COMEX peut citer en une phrase ce que fait le programme dans l’année en cours. Si la réponse demande deux minutes d’explication, le programme n’est pas clair.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Feuille de route à 5 ans | Volonté de visibilité | 3 ans maximum, revue annuelle obligatoire |
| Trop de chantiers en parallèle | Pression de tout couvrir | 1 chantier majeur / trimestre / équipe maximum |
| Detect avant Protect | Achat d’un SIEM avant durcissement | Respecter la séquence Identify → Protect → Detect → Respond |
| Budget en couche unique | Présentation simplifiée | 4 couches séparées pour arbitrage COMEX informé |
| KPI sans propriétaire | Délégation floue | Tableau de bord avec colonne propriétaire visible |
| Équipe sous-dimensionnée | Optimisme budgétaire | Appliquer ratio 1 ETP / 100 personnes a minima |
Tutoriels frères
- Évaluer et traiter les risques informationnels : méthode pas-à-pas avec registre exploitable
- Tableau de bord sécurité pour le COMEX : KPI, métriques, reporting mensuel
Pour aller plus loin
- Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
- NIST Cybersecurity Framework 2.0 — référence 2024 librement téléchargeable.
- ISO/IEC 27002:2022 — Information security controls — 93 contrôles détaillés.
- CIS Controls v8.1 — accès gratuit avec inscription.
- CISM Review Manual 2026 — chapitre 3, le plus volumineux.
FAQ
Doit-on choisir un seul référentiel ou les combiner ?
La pratique mature combine. NIST CSF 2.0 pour la communication exécutive (6 fonctions lisibles), ISO 27002 pour la déclinaison opérationnelle (93 contrôles précis), CIS Controls v8.1 pour les actions techniques rapides. L’examen CISM vous attend sur la capacité à expliquer pourquoi vous combinez et comment vous tracez les correspondances. Une matrice de mapping NIST CSF ↔ ISO 27002 ↔ CIS Controls existe dans la documentation officielle de chaque organisme.
Comment chiffrer un chantier sans données historiques ?
Trois méthodes complémentaires : demander deux à trois devis indicatifs à des intégrateurs ou cabinets, utiliser les benchmarks publiés (Gartner, Forrester, retours d’expérience publics), s’appuyer sur le TJM interne pour le coût RH. Documentez la méthode d’estimation et marquez chaque ligne d’une incertitude. Un budget incertain mais documenté résiste mieux à la critique qu’un chiffre rond sans justification.
Que faire si le COMEX refuse la feuille de route ?
Demander le motif écrit. Trois cas typiques : budget global trop élevé (réduire la couche 4 d’amélioration, étaler sur 4 ans), absence de lien démontré avec les risques majeurs (revenir au registre et reconstruire la justification chantier par chantier), opposition d’une direction métier (gérer politiquement, parfois en obtenant un sponsor exécutif différent). Une feuille de route refusée n’est jamais un échec définitif — c’est un signal sur ce qui doit être corrigé en amont.
Comment l’examen CISM teste-t-il ce domaine ?
Par des questions qui exigent de choisir l’action prioritaire dans un scénario. Le piège classique propose deux actions techniquement correctes — par exemple « déployer un EDR » vs « formaliser la politique de gestion des endpoints ». La bonne réponse est presque toujours celle qui pose le cadre (politique, processus, gouvernance) avant celle qui agit techniquement (outil, contrôle). C’est la marque managériale du domaine 3.
Le programme doit-il être public ou interne ?
La feuille de route détaillée reste interne — confidentiel diffusion restreinte. Les grands axes peuvent être communiqués aux clients dans une fiche pédagogique d’une page (« notre engagement sécurité ») et aux régulateurs lors d’audits. La granularité fine — outils, montants, calendrier — ne sort jamais. Un programme entièrement public donne une carte du système d’information à un attaquant.