La DSI conçoit, développe et gère les outils numériques de la Primature : infrastructures, réseaux, applications, serveurs… C’est son rôle naturel et indispensable.
Mais lui confier en plus la sécurité de ces mêmes systèmes revient à supprimer toute indépendance du contrôle. En clair : « Celui qui construit est aussi celui qui audite son œuvre. » Comment garantir la transparence face à une faille interne ? Comment imposer une mesure de sécurité lourde si elle contredit les choix techniques déjà faits ? Comment établir les responsabilités en cas d’incident majeur ? Cette confusion des rôles crée un conflit d’intérêts permanent, nuisible à la bonne gouvernance numérique.
2) Les normes mondiales recommandent l’indépendance.
Les référentiels reconnus en cybersécurité, notamment ISO/IEC 27001, sont formels :
La sécurité doit être pilotée par une entité indépendante des équipes opérationnelles.
Concrètement :
• un Responsable de la Sécurité des Systèmes d’Information (RSSI) doit être nommé ;
• ce RSSI ne doit pas être rattaché à la DSI ;
• il doit dépendre directement d’une autorité supérieure (Secrétariat général, Direction stratégique…).
Cette organisation permet un regard neutre, un suivi des risques objectif et un reporting transparent auprès des décideurs.
3) Un choix à haut risque pour l’État.
Dans le modèle actuel, la Primature s’expose à :
• une opacité sur les vulnérabilités internes ;
• des rapports minimisés pour protéger la direction en place ;
• une priorité donnée au fonctionnel plutôt qu’à la sûreté ;
• une absence de contre-pouvoir technique ;
• une irresponsabilité diluée en cas d’attaque.
À l’heure où les institutions publiques subissent des cybermenaces croissantes espionnage, rançongiciels, sabotage une telle fragilité peut devenir une faille d’État.
4) La réforme devient urgente.
La sécurité du système d’information de la Primature doit être repensée selon les meilleures pratiques :
• Création d’une fonction de cybersécurité autonome ;
• Nomination d’un RSSI indépendant de la DSI ;
• Mise en place d’une gouvernance claire des risques et incidents.
La DSI doit continuer à exploiter.
La sécurité doit contrôler.
Ce sont deux mondes complémentaires, mais qui ne doivent jamais fusionner.
5) Un enjeu de souveraineté numérique
Au-delà du débat administratif, la question est simple :
Qui protège l’État quand ceux qui construisent le système sont aussi ceux qui doivent dénoncer ses failles ?
La cybersécurité n’est pas seulement une compétence technique : c’est un rôle stratégique, qui exige neutralité, transparence et autorité.
Séparer la sécurité de l’exploitation, c’est faire le choix de la responsabilité et de la souveraineté.
Ne pas le faire, c’est prendre le risque qu’un jour, un incident évitable devienne une crise nationale.
Pape Pi Gueye
RSSI Banque Postale
Mais lui confier en plus la sécurité de ces mêmes systèmes revient à supprimer toute indépendance du contrôle. En clair : « Celui qui construit est aussi celui qui audite son œuvre. » Comment garantir la transparence face à une faille interne ? Comment imposer une mesure de sécurité lourde si elle contredit les choix techniques déjà faits ? Comment établir les responsabilités en cas d’incident majeur ? Cette confusion des rôles crée un conflit d’intérêts permanent, nuisible à la bonne gouvernance numérique.
2) Les normes mondiales recommandent l’indépendance.
Les référentiels reconnus en cybersécurité, notamment ISO/IEC 27001, sont formels :
La sécurité doit être pilotée par une entité indépendante des équipes opérationnelles.
Concrètement :
• un Responsable de la Sécurité des Systèmes d’Information (RSSI) doit être nommé ;
• ce RSSI ne doit pas être rattaché à la DSI ;
• il doit dépendre directement d’une autorité supérieure (Secrétariat général, Direction stratégique…).
Cette organisation permet un regard neutre, un suivi des risques objectif et un reporting transparent auprès des décideurs.
3) Un choix à haut risque pour l’État.
Dans le modèle actuel, la Primature s’expose à :
• une opacité sur les vulnérabilités internes ;
• des rapports minimisés pour protéger la direction en place ;
• une priorité donnée au fonctionnel plutôt qu’à la sûreté ;
• une absence de contre-pouvoir technique ;
• une irresponsabilité diluée en cas d’attaque.
À l’heure où les institutions publiques subissent des cybermenaces croissantes espionnage, rançongiciels, sabotage une telle fragilité peut devenir une faille d’État.
4) La réforme devient urgente.
La sécurité du système d’information de la Primature doit être repensée selon les meilleures pratiques :
• Création d’une fonction de cybersécurité autonome ;
• Nomination d’un RSSI indépendant de la DSI ;
• Mise en place d’une gouvernance claire des risques et incidents.
La DSI doit continuer à exploiter.
La sécurité doit contrôler.
Ce sont deux mondes complémentaires, mais qui ne doivent jamais fusionner.
5) Un enjeu de souveraineté numérique
Au-delà du débat administratif, la question est simple :
Qui protège l’État quand ceux qui construisent le système sont aussi ceux qui doivent dénoncer ses failles ?
La cybersécurité n’est pas seulement une compétence technique : c’est un rôle stratégique, qui exige neutralité, transparence et autorité.
Séparer la sécurité de l’exploitation, c’est faire le choix de la responsabilité et de la souveraineté.
Ne pas le faire, c’est prendre le risque qu’un jour, un incident évitable devienne une crise nationale.
Pape Pi Gueye
RSSI Banque Postale
Accueil
Envoyer à un ami
Version imprimable
