Cybersécurité : un focus excessif qui fait oublier d'autres risques IT critiques
Cybersécurité, priorité absolue… mais à quel prix ?
Depuis plusieurs années, la cybersécurité s’est imposée comme la préoccupation centrale (parfois unique) des dirigeants et conseils d’administration en matière de gouvernance IT. Cette obsession s’explique : multiplication des attaques par rançongiciels, contexte géopolitique tendu, structuration de mafias numériques souvent liées à des États voyous… Mais une fois les dispositifs en place pour contrer les cybermenaces, continuer à concentrer tous les efforts sur ce seul axe revient à négliger d’autres risques IT tout aussi stratégiques.
Les risques IT ne se limitent pas à la cybersécurité
Il est certes complexe, long et coûteux de se remettre d’un vol de données ou d’une attaque informatique. Mais d’autres menaces IT, moins visibles, peuvent avoir un impact tout aussi dévastateur sur la pérennité de l’entreprise. Et pourtant, elles sont souvent sous-estimées, car moins médiatisées.
Il est temps de retrouver une vision globale du système d'information, qui ne soit pas uniquement défensive, mais au service de la stratégie d’entreprise.
3 risques IT souvent oubliés mais lourds de conséquences
Échec d’un projet de transformation majeur
70 % des projets de transformation IT échouent : dépassement de budget, surcharge des équipes, non-atteinte des objectifs, perte de compétitivité… Un projet mal maîtrisé peut faire plus de dégâts à moyen terme qu’un incident cyber, en affectant directement l’agilité et la croissance de l’entreprise.
Perte des compétences internes clés
Turnover, départs à la retraite, évolution rapide des technologies : il devient difficile pour les organisations de garder la maîtrise de leur SI. L’externalisation semble parfois la solution simple… mais elle augmente la dépendance et les coûts. Il est crucial de maintenir un socle interne de compétences IT pour piloter le changement, garantir la continuité et accélérer le time to market.
Faible résilience et continuité d’activité fragile
Savoir revenir rapidement à la normale après une crise IT est un défi majeur. Peu d’organisations ont des dispositifs efficaces, testés et couvrant l’ensemble de leur écosystème. La réglementation DORA, par exemple, impose cette capacité au secteur financier, mais peu d’acteurs sont réellement prêts.
Une cartographie dynamique des risques IT comme boussole
Maîtriser les risques IT impose une évaluation continue, agile, ancrée dans le réel. Le contexte technologique et humain évolue vite, les risques aussi.
La cartographie des risques IT reste un outil fondamental, à condition qu’elle soit :
Vivante (mise à jour régulière)
Englobante (cyber, transformation, compétences, dépendances)
Orientée action (priorisation, plans de mitigation, suivi)
Conclusion : la cybersécurité ne doit plus éclipser les autres priorités IT
La vigilance cyber reste indispensable. Mais faire de la cybersécurité le seul prisme de gestion des risques IT revient à naviguer à vue. Pour une gouvernance IT efficace en 2025, les entreprises doivent replacer l’IT au cœur de la stratégie, en abordant tous les risques, pas seulement ceux qui font la une des médias.