Dans des environnements numériques fortement interconnectés et largement externalisés, les incidents technologiques peuvent produire des effets transverses affectant simultanément plusieurs métiers, processus et chaînes de valeur. Dans ce contexte, la maîtrise du risque lié aux technologies de l’information et de la communication (TIC) ne peut plus reposer uniquement sur des approches locales. Elle suppose un pilotage consolidé, fondé sur une vision stratégique de l’exposition aux risques technologiques, cyber et de dépendance aux prestataires.
Le top-down transversal s’impose désormais
Avec l’avènement du risque opérationnel dans les cadres prudentiels, notamment dans les accords de Bâle 2 pour les banques et Solvabilité 2 pour les assurances, les organisations ont progressivement développé des dispositifs de gestion des risques largement fondés sur des approches bottom-up. Les risques étaient alors principalement appréhendés à partir d’événements de risque localisés : fraudes internes ou externes, défaillances de processus, incidents informatiques ou perturbations opérationnelles. Les systèmes d’information étaient majoritairement internes, peu interconnectés et faiblement externalisés.
Dans ce contexte, ces approches, fondées sur l’identification locale des risques, la remontée d’incidents et l’analyse des pertes, pouvaient suffire à structurer le pilotage. La situation est aujourd’hui profondément différente. Les organisations financières reposent sur des architectures numériques distribuées et largement externalisées (cloud, SaaS, infogérance, fournisseurs de données). Les technologies constituent désormais le socle des processus métiers et des chaînes de valeur. Les risques TIC présentent une forte dimension systémique : un incident unique peut affecter simultanément plusieurs métiers, entités et chaînes de valeur, à l’échelle d’un groupe international.
Dans cet environnement, les signaux locaux ne permettent plus, à eux seuls, d’apprécier l’exposition réelle au risque. Une vision consolidée devient nécessaire pour identifier les dépendances critiques, mesurer les concentrations et arbitrer les priorités. Cette dimension systémique du risque TIC s’inscrit dans un environnement géopolitique instable, marqué par des tensions internationales, des stratégies de souveraineté numérique et une intensification des menaces cyber d’origine étatique ou para-étatique. Dans ce contexte, les dépendances technologiques critiques (cloud, fournisseurs de services numériques, infrastructures) exposent les organisations à des risques de rupture ou de contrainte qui dépassent les cadres traditionnels d’évaluation. La prise en compte de ces facteurs appelle une évolution des approches de gestion du risque TIC, intégrant davantage les interdépendances et les dynamiques exogènes dans la définition de l’appétence au risque et des arbitrages stratégiques.
Un pilotage top-down, fondé sur une définition explicite de l’appétence au risque et une capacité d’arbitrage stratégique, s’impose dès lors comme une condition de cohérence globale. Les démarches ascendantes conservent toute leur pertinence, mais elles doivent s’inscrire dans un cadre consolidé. Les cadres réglementaires récents, et en particulier DORA, traduisent juridiquement cette évolution : le risque TIC ne doit plus être traité comme un enjeu technique isolé, mais comme un élément stratégique relevant pleinement de la gouvernance.
Les limites d’une approche bottom-up
Les démarches exclusivement ascendantes reposent sur l’idée que l’agrégation des signaux de terrain permet de construire un dispositif efficace. En pratique, elles peuvent produire une fragmentation : tableaux de bord hétérogènes, arbitrages incohérents, priorités mal alignées.
Le principal écueil réside dans l’absence de vision consolidée. À l’échelle locale, il devient difficile de concilier innovation, performance, maîtrise des coûts, exigences de sécurité et conformité réglementaire sans cadre stratégique partagé.
Une impulsion portée par le top management permet de fixer l’appétence au risque, d’aligner les objectifs stratégiques et de hiérarchiser les enjeux au regard de l’intérêt global de l’organisation. Les crises récentes ont montré que les organisations doivent absorber des transformations rapides difficilement intégrables par des dispositifs locaux existants.
L’enjeu n’est donc pas d’opposer bottom-up et top-down, mais d’articuler les remontées terrain avec une gouvernance consolidée.
La combinaison du top-down et de la transversalité
Le risque TIC dépasse aujourd’hui le périmètre strictement technique. Il recouvre l’ensemble des risques liés aux technologies de l’information et de la communication : risques informatiques et cyber, dépendances technologiques, ainsi que les risques associés aux chaînes de sous-traitance et aux prestataires de services numériques. Certaines applications ou services mutualisés peuvent concentrer simultanément des enjeux cyber, opérationnels, juridiques et métiers, impliquant un pilotage transversal.
Cette réalité a conduit les organisations à structurer un cadre de pilotage consolidé du risque technologique, souvent désigné sous le terme d’ « ICT (Information and Communication Technology) Risk Management ». Ce cadre vise à coordonner l’ensemble des fonctions concernées – IT, cybersécurité, gestion des risques, conformité et métiers – autour d’une vision partagée de l’exposition au risque et des priorités de maîtrise.
Il permet notamment d’identifier les dépendances critiques, d’évaluer les concentrations de risque, de prioriser les investissements de sécurisation et d’éclairer les arbitrages stratégiques au niveau de la gouvernance.
La recherche de la cohérence
La transversalité constitue ainsi un levier de cohérence : gouvernance partagée, langage commun du risque, qualité et fiabilité de la donnée, harmonisation des reportings et circuits de décision structurés. Les modèles de gouvernance varient fortement selon les organisations, entre approches centralisées et décentralisées. Les premières facilitent la consolidation et le pilotage global ; les secondes favorisent l’adaptation aux enjeux métiers. L’enjeu réside avant tout dans la cohérence des dispositifs et la capacité effective de pilotage.
Il ne s’agit donc pas de privilégier un modèle unique, mais de définir des mécanismes de pilotage permettant d’assurer une vision consolidée et une capacité réelle de suivi des actions, indépendamment du degré de centralisation. L’enjeu est ainsi de rapprocher les indicateurs techniques des logiques de gouvernance, afin d’éclairer les décisions stratégiques à partir d’une vision opérationnelle et objectivée du risque.
Nous assistons à une transformation profonde du pilotage des risques. Dans un environnement numérique interconnecté et largement externalisé, la maîtrise du risque TIC ne peut plus reposer sur une lecture fragmentée : elle exige une vision consolidée au plus haut niveau.
Loin d’être un frein, la conformité agit comme un catalyseur de maturité. Elle conduit les organisations à clarifier leur appétence au risque, à structurer leurs responsabilités et à fiabiliser leurs dispositifs de résilience, de gestion des incidents et de supervision des prestataires. La gestion du risque TIC s’inscrit dans un modèle hybride : stratégique par la gouvernance, transversal dans son organisation, et nourri par les remontées terrain.
L’ICT Risk Management marque le passage d’une approche principalement technique à un pilotage stratégique du risque, aligné sur les enjeux métiers. Il ne s’agit plus seulement de maîtriser l’exposition, mais d’inscrire le risque dans la décision, la résilience et la création de valeur durable, tout en assurant un niveau de contrôle et un suivi effectif des dispositifs déployés. Dans les organisations financières, le pilotage du risque technologique devient ainsi un enjeu de gouvernance comparable à celui du capital ou de la liquidité.