Le plan directeur de sécurité (PDS) définit la stratégie de cybersécurité d'une entreprise sur 2 à 3 ans : diagnostic, objectifs, projets priorisés, ressources et gouvernance.

Le plan directeur de sécurité (PDS) est le document stratégique qui définit la direction que doit prendre la cybersécurité de votre entreprise au cours des 2 à 3 prochaines années : quels projets seront menés, avec quelle priorité, quelles ressources sont nécessaires et comment la sécurité sera gouvernée. Tandis que le plan de cybersécurité opérationnel (les 20 mesures essentielles) résout l'urgent, le plan directeur résout l'important : construire une posture de sécurité solide, durable et alignée sur la stratégie de l'entreprise.

Si vous n'avez pas encore mis en place les mesures de base, consultez d'abord notre plan de cybersécurité pour les PME.

Qu'est-ce qu'un plan directeur de sécurité, et ce qu'il n'est pas ?

Le PDS est un document stratégique qui part d'un diagnostic de la situation actuelle de sécurité, définit une situation cible fondée sur les risques et les besoins de l'entreprise, priorise les projets nécessaires pour passer de la situation actuelle à la situation cible, estime les ressources requises (budget, personnel, technologie), établit des indicateurs de progression et de réussite, et définit la gouvernance de la sécurité (qui décide de quoi, comment l'escalade s'organise, comment le reporting est assuré). Ce que le PDS n'est pas : un document de 200 pages que personne ne lit, un catalogue de produits de sécurité à acheter, ou un exercice théorique déconnecté de l'entreprise. Un bon PDS tient en 20 à 30 pages, est compréhensible par la direction et contient des décisions concrètes assorties de ressources.

Phase 1 : diagnostic de la situation actuelle

Le diagnostic évalue la maturité de sécurité de l'organisation dans toutes ses dimensions. Le modèle de l'INCIBE pour les PME constitue une référence pratique qui mesure la maturité sur cinq niveaux (inexistant, initial, géré, optimisé, excellent) dans des domaines tels que la gouvernance de la sécurité, la gestion des risques, la protection des actifs, la détection des menaces et la capacité de réponse. Le diagnostic doit inclure un inventaire des actifs d'information, une analyse des risques, une évaluation de la conformité réglementaire (ENS, ISO 27001, RGPD, NIS2), une évaluation technique des vulnérabilités et une évaluation organisationnelle (rôles, processus, formation, culture de sécurité).

Phase 2 : définition de la situation cible

En s'appuyant sur le diagnostic, les risques identifiés et les exigences de l'entreprise, on définit le niveau de sécurité que l'organisation doit atteindre. Les facteurs déterminants sont les obligations légales et contractuelles (ENS si vous êtes fournisseur du secteur public, RGPD si vous traitez des données personnelles, NIS2 si vous êtes opérateur de service essentiel), le niveau de risque accepté par la direction, les attentes des clients et partenaires, et la stratégie de l'entreprise. Si l'entreprise prévoit de croître, de s'internationaliser ou de numériser davantage de processus, la sécurité doit accompagner cette évolution.

Phase 3 : sélection et priorisation des projets

On identifie l'ensemble des projets nécessaires pour combler l'écart entre la situation actuelle et la situation cible. Pour chaque projet, on définit l'objectif concret, la réduction de risque attendue, le coût estimé, le délai d'exécution, les dépendances avec d'autres projets et le responsable. Priorisez les projets à l'aide d'une matrice impact-effort : les projets à fort impact et faible effort (quick wins) sont menés en premier, ceux à fort impact et fort effort sont planifiés à moyen terme, et ceux à faible impact sont évalués au cas par cas.

Phase 4 : planification des ressources et du budget

Estimez le budget total du PDS ventilé par année. Un budget de référence pour la cybersécurité dans une PME représente 5 à 10 % du budget informatique, même s'il peut être plus élevé la première année si l'on part d'un niveau de maturité très faible. Identifiez les sources de financement : budget interne, Kit Consulting (jusqu'à 18 000 euros en cybersécurité), Kit Digital (jusqu'à 29 000 euros en cybersécurité managée), aides régionales (DigitalICE, Digiempresas, Innobonos) et déduction fiscale pour innovation technologique.

Phase 5 : définition de la gouvernance

Établissez la structure de gouvernance de la sécurité : qui est le responsable de la sécurité de l'information (RSSI, bien que dans les PME ce rôle soit souvent combiné à une autre fonction ou externalisé), quel comité examine la sécurité et à quelle fréquence, comment l'état de sécurité est communiqué à la direction, comment les incidents sont escaladés, et quels indicateurs sont suivis.

Quels indicateurs suivre dans le plan directeur de sécurité ?

Les KPI qui démontrent la progression du PDS comprennent le pourcentage de projets achevés par rapport au plan, le niveau de maturité de sécurité (mesuré avec le même modèle que le diagnostic), le nombre et la gravité des incidents (tendance à la baisse), le délai moyen de détection et de réponse, le pourcentage de vulnérabilités critiques corrigées dans les délais, le taux de clic sur les simulations de phishing (tendance à la baisse) et l'état de conformité réglementaire. Le PDS est par ailleurs le pont naturel vers la certification ISO 27001 ou la mise en conformité ENS : un PDS bien élaboré contient déjà une grande partie de la documentation que ces deux cadres exigent. Si votre objectif à moyen terme est la certification, concevez le PDS directement aligné sur les exigences de l'ISO 27001 ou de l'ENS.

Sources officielles

Le marketing du cerveau est plus prévisible que le marketing de l'opinion. — Ángel Ortega Castro