CDI TECH MEDIA Nous écrire

Walter Peretti (ESILV) : « Impliquez toute l’équipe, ne laissez pas le DSI gérer cela en solo, ce n’est pas viable »

découvrez les conseils de walter peretti (esilv) sur l'importance d'impliquer toute l'équipe dans la gestion des projets it, en soulignant que laisser le dsi gérer seul n'est pas une solution viable.

Walter Peretti (ESILV) et la résilience NIS2-DORA : pourquoi “ne pas laisser le DSI seul” change tout

Dans les échanges qui ont animé la Matinale IT for Business du 11 juin, une idée a servi de boussole à Walter Peretti, responsable du Campus Cyber de l’ESILV : la résilience n’est pas un projet informatique, c’est une discipline d’organisation. La nuance paraît fine, elle est en réalité explosive. Elle explique pourquoi des structures “très outillées” échouent encore lorsqu’un incident devient une crise, et pourquoi des organisations plus modestes parviennent à encaisser le choc. ⚠️

Le duo réglementaire NIS2-DORA donne une forme concrète à cette bascule. DORA est un règlement déjà en vigueur côté finance depuis début 2025 : il s’impose, il harmonise et il exige des preuves. NIS2 est une directive : elle fixe un cap européen et oblige chaque État à transposer, avec un calendrier qui, en France, a longtemps ressemblé à une course d’endurance. Ce décalage ne doit pourtant pas être un prétexte à l’immobilisme. Les organisations ont déjà des référentiels pour avancer, et la plupart des “briques” attendues sont connues.

Ce qui est nouveau, c’est moins la présence de plans techniques que la manière dont la cyberattaque est requalifiée : un risque systémique. Autrement dit, un événement qui ne s’arrête pas à la salle machine, ni aux équipes IT. Quand l’informatique devient l’ossature de la production, du commerce, de la relation client, des RH et même de la conformité, sa chute entraîne un effet domino. Qui tranche quand le SI est indisponible ? Qui communique aux clients ? Qui valide un contournement opérationnel ? Qui arbitre entre continuité et sécurité ? Ce ne sont pas des questions pour une seule personne, même très compétente.

NIS2 vs DORA : les différences clés
CritèreNIS2DORA
NatureDirective européenneRèglement directement applicable
SecteursÉnergie, transport, santé, numérique…Finance : banques, assurances, fintech
Calendrier FranceTransposition en cours, échéances 2026En vigueur depuis janvier 2025
Obligation cléGestion des risques et notification incidentsTests de résilience, continuité, reporting

Du “l’IT protège” à “l’organisation protège l’organisation”

Walter Peretti décrit une évolution presque culturelle : la sécurité a d’abord été l’affaire des réseaux, puis des postes, puis des identifiants. Aujourd’hui, elle se niche dans les gestes quotidiens : smartphone connecté, messageries hybrides, usage d’outils cloud, partage de documents, captures d’écran en open space… et parfois même une photo anodine publiée trop vite. 📱

La conséquence est directe : attendre que “la DSI protège tout le monde” devient un scénario intenable. Le mot d’ordre est donc double : protéger l’organisation, mais aussi protéger la DSI elle-même, en lui évitant de porter seule une charge qui dépasse son périmètre. Cette protection passe par la gouvernance : rôles clairs, décisions pré-écrites, arbitrages assumés par la direction.

Un fil rouge : gouvernance, leadership, preuves

La conformité n’est pas un simple dossier administratif. Elle exige de la traçabilité : décisions, exercices, revues, responsabilités. À ce titre, l’ISO 27001 est souvent citée comme un socle solide, notamment parce qu’elle impose un point que beaucoup d’organisations sous-estiment : le leadership du top management. Sans engagement formel et visible, impossible de tenir sur la durée, encore moins de prouver la maturité face à un audit ou à un contrôle.

Pour visualiser la répartition réelle des tâches, beaucoup d’équipes gagnent à formaliser un “triangle” : DSI pour l’architecture et l’exploitation, RSSI pour la stratégie de sécurité et les contrôles, et un responsable continuité/risque pour relier le tout aux métiers. Puis, au-dessus, la direction qui arbitre. Ce n’est pas de la théorie : c’est ce qui évite, lors d’un incident, qu’une cellule de crise passe 90 minutes à débattre de “qui décide”. ⏱️

Dans cette logique, l’écosystème partenaire prend une importance particulière : prestataires d’hébergement, intégrateurs, fournisseurs de services managés, cabinets de conseil, assureurs. Pour ancrer l’action dans le réel, certaines DSI s’appuient sur des cadres de coopération déjà éprouvés, par exemple à travers des approches décrites dans des partenariats orientés valeur et résultats, qui évitent le piège du “catalogue de services” sans impact.

NIS2 vs DORA en 2026 : périmètres, obligations, et ce que cela implique vraiment pour les équipes

La comparaison entre NIS2 et DORA est souvent réduite à une question de “qui est concerné”. Or, l’enjeu le plus intéressant est ailleurs : la logique de preuve et la montée en maturité attendues. DORA encadre le secteur financier avec une exigence d’opérationnalité : gestion des risques TIC, réponse aux incidents, tests de résilience, gestion des prestataires. NIS2, elle, étend l’esprit “OIV” à une palette beaucoup plus large, avec dix-huit secteurs critiques au niveau européen.

Côté France, l’attente autour de la transposition a créé un brouillard : certaines entités ont différé leurs investissements, espérant “voir le texte final”. Pourtant, le terrain avance déjà avec des guides ANSSI, des normes, et des retours d’expérience de crise. La Commission européenne ayant accentué la pression sur les États en retard, l’hypothèse la plus coûteuse n’est plus “faire trop tôt”, mais bien faire trop tard. ⚖️

Tableau de lecture opérationnel : ce qu’il faut aligner (et qui doit le porter)

Pour éviter la confusion entre conformité et résilience, un tableau simple aide à répartir le travail entre décideurs, fonctions support et métiers. L’objectif : transformer des exigences générales en responsabilités concrètes, sans enfermer le sujet dans l’IT.

🧩 Domaine ✅ Attente typique NIS2/DORA 👥 Porteur principal (à ne pas confondre avec “exécutant”) 📌 Preuve attendue
🧭 Gouvernance Décisions, rôles, arbitrages Direction + DSI/RSSI Procès-verbaux, politiques, RACI
🛡️ Gestion des risques Cartographie, priorisation, plans Risk manager + RSSI Registre des risques, plans de traitement
🚨 Gestion de crise Organisation, communication, escalade Direction + Continuité Exercices, comptes rendus, actions correctives
🔗 Prestataires Contrats, exigences, contrôles Achats + DSI + Juridique Clauses, audits, SLA, plans de sortie
🏭 Continuité métier Scénarios, procédures de contournement Métiers + Continuité PCA, tests métier, temps de reprise

Ce tableau met en lumière un point clé : la DSI exécute beaucoup, mais ne doit pas “porter seule” la responsabilité politique. Quand l’arbitrage implique le risque juridique, l’impact client ou l’arrêt de production, la décision doit être assumée au bon niveau. 🎯

Exemple fil rouge : l’entreprise fictive “Novalys” face à la dépendance numérique

Pour rendre le sujet tangible, imaginons “Novalys”, un groupe de services B2B très numérisé : CRM cloud, facturation dématérialisée, portail client, support externalisé. Un incident d’authentification sur un fournisseur SaaS bloque les accès. La DSI peut diagnostiquer, mais le vrai sujet devient : faut-il ouvrir un canal de support alternatif ? Autoriser une procédure manuelle de facturation ? Différer une clôture comptable ?

Si ces décisions sont improvisées, la crise s’allonge. Si elles sont préparées, elles deviennent des gestes professionnels. C’est pourquoi la résilience est une compétence “métiers + IT”, pas un script technique. En parallèle, l’entreprise peut renforcer son architecture avec des approches de sécurité réseau modernes (SASE, accès conditionnel, segmentation), souvent déployées avec des partenaires spécialisés, à l’image de ce qui est évoqué dans les retours sur les stratégies SASE autour de Netskope. L’intérêt n’est pas de “faire tendance”, mais de réduire l’exposition et d’accélérer le retour à la normale.

Cette compréhension ouvre naturellement la porte au thème suivant : comment transformer l’exercice de crise en réflexe, plutôt qu’en événement annuel subi.

Pour approfondir des cas pratiques, une recherche vidéo pertinente permet de croiser méthodes et retours du terrain :

Mario : De l'ESILV (école d'ingénieurs) à l'ESSEC - Hello Prépa Alumni

Exercices de crise cyber : du “baptême” au réflexe métier, la méthode défendue par Walter Peretti

La résilience se mesure moins à la beauté d’un plan qu’à la capacité à l’exécuter sous stress. Walter Peretti insiste sur un point que beaucoup d’organisations découvrent trop tard : le jour J, le cerveau cherche des automatismes. Si rien n’a été répété, la crise devient un débat permanent, et chaque minute coûte plus cher que prévu. ⛔

DORA met ce principe noir sur blanc : certaines entités doivent réaliser des exercices et démontrer leur capacité à gérer les incidents. Cette approche est cohérente avec une réalité opérationnelle : la crise cyber n’est pas seulement technique. Elle implique l’arbitrage, la communication, la relation fournisseurs, parfois la régulation, et l’impact sur les clients.

Trois niveaux d’entraînement : réveiller, structurer, localiser

La progression proposée s’appuie sur trois étages complémentaires. D’abord, un exercice “baptême” destiné à la cellule décisionnelle : il sert à créer un électrochoc utile, sans dramatiser. Ensuite, une équipe de crise identifiée s’entraîne régulièrement, pour transformer des rôles théoriques en comportements réels. Enfin, des exercices métier localisés testent la continuité là où elle compte : comptabilité, achats, support, production, logistique.

Pourquoi cette gradation fonctionne-t-elle ? Parce qu’elle évite deux écueils : d’un côté, l’exercice “spectacle” qui impressionne mais ne change rien ; de l’autre, l’exercice ultra-technique qui laisse les métiers à distance. La crise, elle, n’attend pas que chacun soit “dans son couloir”.

Ce que “Novalys” apprend en testant la comptabilité et le support

Reprenons Novalys. Un exercice métier sur la comptabilité révèle un point aveugle : les procédures de clôture s’appuient sur un outil de validation hébergé chez un prestataire, et personne ne sait faire sans. Le plan existe, mais il manque les accès, les modèles de documents, et le circuit d’approbation alternatif. Résultat : en crise réelle, la décision aurait été bloquée par une question simple… “qui signe ?”

Un exercice sur le support client montre autre chose : les scripts de réponse, trop techniques, déclenchent la panique chez les équipes en front. En retravaillant la communication, l’entreprise prépare des messages gradués, utiles et factuels, validés par juridique et direction. Dans une crise, la confiance se joue au téléphone et dans les premières notifications, pas dans un rapport post-mortem.

Liste d’actions concrètes pour éviter le piège “DSI seule”

Pour transformer l’intention en mécanique, voici une liste d’actions que les organisations peuvent déployer rapidement, tout en restant réalistes sur les ressources. Chaque point vise à répartir la charge et à rendre les décisions plus rapides. ✅

  • 🧑‍⚖️ Nommer un sponsor direction de la résilience, avec un mandat clair d’arbitrage et de priorisation.
  • 🧩 Construire une matrice RACI crise (qui décide / qui exécute / qui valide / qui informe), et la tester en conditions dégradées.
  • 📣 Pré-écrire des messages de communication (clients, partenaires, interne), validés par juridique, pour gagner du temps sous pression.
  • 🔐 Mettre en place un “kit crise” d’accès hors SI principal (comptes d’urgence, moyens de contact, annuaire, procédures imprimables).
  • 🏢 Organiser des exercices métiers courts (60 à 90 minutes) chaque trimestre, plutôt qu’un grand exercice annuel trop lourd.
  • 📑 Documenter les décisions post-exercice (ce qui a été arbitré, pourquoi, et ce qui change), afin de produire de la preuve.

Cette discipline est d’autant plus efficace qu’elle s’appuie sur des événements à forte valeur pédagogique. L’ESILV, par exemple, s’inscrit dans une dynamique d’écosystème et d’exercices grandeur nature, à l’image de participations à des exercices nationaux de gestion de crise cyber orchestrés en France. Là, le stress est simulé, mais la prise de conscience est réelle. 🔥

La prochaine difficulté apparaît alors : comment obtenir l’adhésion du COMEX sans basculer dans la peur, ni réduire le sujet à un centre de coûts ?

Convaincre le COMEX sans l’angoisser : budgets, ROI et stratégie de long terme autour de NIS2-DORA

Une cellule dirigeante a besoin de clarté, pas de catastrophisme. Walter Peretti le formule avec pragmatisme : un COMEX ne se pilote pas à la peur. Le risque, sinon, est double : soit l’anxiété entraîne un investissement désordonné, soit le rejet provoque l’inaction. L’approche la plus robuste consiste à relier la résilience à des objectifs stratégiques : continuité de service, confiance client, protection du chiffre d’affaires, et capacité à absorber les chocs mieux que les concurrents. 📈

Dans beaucoup d’entreprises, le premier frein est une lecture comptable : “combien ça coûte ?” La question est légitime, mais incomplète. La vraie interrogation est : “combien coûte une journée d’arrêt, une perte de données, un défaut de livraison, une notification mal gérée ?” Et surtout : “combien vaut la capacité à tenir quand d’autres tombent ?” C’est là que la résilience devient un avantage compétitif.

Faire converger résilience et transformation (y compris IA) au lieu d’empiler les projets

Une analogie aide à comprendre : lancer un projet d’intelligence artificielle sans revoir les processus, c’est prendre le risque d’automatiser le chaos. De la même manière, déployer des outils de sécurité sans modifier les pratiques et la gouvernance produit une conformité fragile, qui s’évapore après le premier audit. Le meilleur ROI vient de la convergence : intégrer la résilience dans les processus d’entreprise, la rendre visible et vérifiable.

Chez Novalys, par exemple, le programme de modernisation du support client (chat, base de connaissance, automatisation) est devenu l’occasion d’ajouter des modes dégradés, des canaux de secours et des procédures de bascule. La résilience n’a pas été un projet “en plus”, mais un critère de conception. Résultat : le budget a été plus simple à défendre, car il servait à la fois l’expérience client et la continuité.

Indicateurs utiles : ce que le COMEX peut suivre sans devenir expert cyber

Le pilotage ne nécessite pas que chaque dirigeant maîtrise les détails techniques. En revanche, le COMEX doit suivre des indicateurs orientés impacts : temps de reprise, dépendances critiques, efficacité des exercices, taux de couverture des plans, maturité des prestataires. Le point essentiel est de sortir d’une logique “binaire” (conforme / pas conforme) pour aller vers une trajectoire : mieux chaque trimestre.

Un bon rituel consiste à présenter une carte de dépendances et un plan d’actions priorisé. Cet angle rejoint des réflexions plus larges sur la place de la DSI dans la stratégie et la maîtrise technologique, telles que discutées dans les analyses sur la DSI comme pilier de souveraineté technologique. Sans être un slogan, la souveraineté appliquée signifie : savoir où sont les données, comprendre les points de rupture, et disposer d’options en cas de défaillance d’un fournisseur.

Le piège de la conformité “one shot” et la valeur du temps long

Une conformité menée comme une opération ponctuelle s’essouffle vite. Elle produit des documents, pas des réflexes. À l’inverse, une résilience travaillée dans le temps long construit une organisation qui apprend : chaque exercice laisse une trace, chaque incident améliore un scénario, chaque changement d’outil déclenche une mise à jour des dépendances.

Les entreprises qui s’en sortent le mieux sont souvent celles qui acceptent une idée simple : l’attaque est possible, et le sujet devient la capacité à en gérer les conséquences. C’est une philosophie de management autant qu’une posture de sécurité. Quand elle est adoptée, la question “qui doit gérer ?” trouve sa réponse naturelle : tout le monde, chacun à sa place, et surtout pas le DSI seul. ✅

Pour compléter cette approche avec des retours d’expérience, une recherche vidéo centrée sur NIS2 et la gouvernance de crise aide à croiser les points de vue :

Structuration de l’équipe de direction en PME : anticiper et gérer la démission d’un manager clé

Ce passage du pilotage à la pratique amène un dernier angle incontournable : la gestion des tiers et des dépendances, là où une crise peut naître sans qu’aucun serveur interne ne soit compromis.

Dépendances, fournisseurs et “surface réelle” : bâtir une résilience qui dépasse la salle machine

La plupart des crises modernes commencent par une dépendance. Un fournisseur d’identité, une mise à jour défectueuse, un prestataire d’infogérance saturé, une indisponibilité cloud, un sous-traitant victime d’un rançongiciel. Dans ces scénarios, l’organisation peut être “bien sécurisée” en interne et tout de même à l’arrêt. C’est pourquoi NIS2 et DORA insistent sur la maîtrise des tiers : contrats, contrôles, tests, et plans de sortie. 🔗

Cette réalité se voit chez Novalys : un prestataire gère une brique de téléphonie et de centre de contact. Le contrat prévoit un SLA de disponibilité, mais ne dit rien d’une attaque paralysant les consoles d’administration, ni des délais pour reconfigurer en mode dégradé. La crise ne se résout pas avec un patch, mais avec une relation fournisseur structurée, des clauses adaptées, et des scénarios de bascule testés.

Transformer les contrats en outils de continuité (pas seulement en documents juridiques)

Une clause de sécurité n’a d’intérêt que si elle est exploitable. Par exemple : exiger une notification d’incident “sans délai” est trop vague. Mieux vaut définir des seuils (incident critique, suspicion de compromission, indisponibilité majeure), des canaux de contact, et une participation obligatoire à des exercices conjoints. L’idée n’est pas de “punir” le prestataire, mais d’aligner les attentes et d’éviter les surprises.

Le même raisonnement vaut pour les solutions techniques : un produit, même excellent, ne compense pas l’absence de coordination. En 2026, beaucoup d’organisations adoptent des architectures hybrides où réseau, cloud et sécurité convergent. Cela nécessite un pilotage partenarial, de la formation et parfois des programmes communs. Les DSI s’inspirent aussi de modèles d’écosystèmes, par exemple via des logiques proches de programmes partenaires pour accélérer l’intégration et les compétences, afin de ne pas dépendre d’un seul savoir détenu par une personne ou un prestataire unique.

La “preuve” de résilience : exercices avec fournisseurs et dépendances cartographiées

Un audit ne se contente plus d’intentions. Il cherche des traces : cartographies, comptes rendus d’exercices, preuves de tests, décisions et actions correctives. Une cartographie des dépendances ne doit pas se limiter à un schéma applicatif : elle doit inclure les flux critiques, les identités, les accès, les composants de sécurité, et les services externes.

Dans le fil rouge Novalys, une cartographie a révélé que la réinitialisation des mots de passe dépendait d’un seul canal SMS lié à un opérateur. Une attaque de type SIM swap sur un profil administratif pouvait déclencher une escalade. La réponse a été organisationnelle (règles de contrôle, double validation), technique (MFA renforcée), et contractuelle (canaux alternatifs). Cette combinaison illustre la philosophie défendue par Walter Peretti : la résilience est une chorégraphie, pas un bouton.

Une dernière question qui change la posture

Avant de valider un nouveau fournisseur, un nouvel outil ou une nouvelle automatisation, une question rhétorique mérite d’être posée : “Si cette brique tombe demain matin, qui prend la main, avec quels moyens, et en combien de temps ?” 🤔

Si la réponse renvoie spontanément vers “la DSI”, sans mention des métiers, de la direction, des achats, du juridique et de la communication, alors le diagnostic est déjà posé : il faut impliquer toute l’équipe, parce qu’un pilotage en solo n’est pas viable quand le risque devient systémique.

Ce que Google ne vous dira jamais

Pourquoi ne pas laisser le DSI gérer la résilience tout seul ?

Parce que la résilience dépasse l'informatique : elle touche la production, les clients, les RH. Un DSI seul ne peut pas arbitrer tous ces sujets, surtout en crise.

Concrètement, c'est quoi le triangle DSI-RSSI-responsable continuité ?

Le DSI gère l'architecture et l'exploitation, le RSSI la stratégie de sécurité, et le responsable continuité fait le lien avec les métiers. La direction arbitre au-dessus.

NIS2 et DORA, c'est vraiment différent ?

Oui : DORA est un règlement déjà en vigueur pour la finance, NIS2 une directive à transposer. Mais les deux exigent des preuves de gouvernance, pas juste des plans techniques.

On peut utiliser l'ISO 27001 pour préparer NIS2 ?

Oui, c'est un bon socle : elle impose le leadership du top management et la traçabilité des décisions, ce que demandent aussi NIS2 et DORA.

Vous avez essayé ? Racontez-nous dans les commentaires

Laisser un commentaire
Retour en haut