Si votre cadre de gouvernance ne dérange personne, vous le faites mal

Key Takeaways

Bonne gouvernance = friction: Une gouvernance efficace doit générer une certaine friction, ce qui indique qu'elle empêche activement les comportements à risque.

Accepter l’agacement face aux pratiques de conformité: Préparez-vous à entendre grogner les développeurs ; une gouvernance efficace crée des limites qui, bien que restrictives, assurent la sécurité de l’organisation.

Zéro friction ? Non merci !: Un cadre de gouvernance affichant zéro friction peut être un signal d’alerte, suggérant un manque de contrôles et de surveillance appropriés, indispensables pour la gestion des risques.

Voici une vérité qui dérange : si vos politiques de gouvernance ne suscitent pas au moins une légère irritation chez vos développeurs, c’est probablement qu’elles ne fonctionnent pas.

Une gouvernance efficace crée nécessairement de la friction, car c’est justement la friction qui indique que vos garde-fous empêchent activement les comportements à risque et protègent l’entreprise.

J’ai récemment entendu le récit d’un CTO à propos d’un moment embarrassant lors d’une réunion trimestrielle où il expliquait à toute l’équipe que le nouveau cadre de gouvernance venait d’être mis en place « sans aucune friction et avec un engagement total ». Moins d’une semaine plus tard, une fuite de données clients sur un bucket AWS non tagué a entraîné un marathon de remédiation de 72 heures, une amende réglementaire à six chiffres et une leçon d’humilité. 

Une gouvernance sans friction est un mythe—et il venait d’en faire la démonstration par l’exemple.

Si vous êtes prêt à mettre en place une gouvernance réellement efficace—accompagnée des plaintes qui prouvent qu’elle est applicable—notre Boîte à outils pour la gouvernance informatique propose des cadres, modèles et outils de mesure pour démarrer immédiatement.

La gouvernance est une priorité majeure pour les entreprises adoptant l’IA agentique

Des données récentes confirment exactement cette tension entre innovation et contrôle. Une enquête menée par la société de gestion d’API Gravitee révèle que près de 80 % des professionnels IT jugent la gouvernance « extrêmement importante », soulignant ainsi l’accent mis sur le déploiement responsable des technologies avancées telles que l’IA agentique et les grands modèles de langage (LLM). 

La même étude a révélé que si 72 % des organisations déploient activement ces solutions IA de pointe, beaucoup continuent de rencontrer d’importants défis d’intégration et des préoccupations liées à la sécurité des données, précisément les risques que la gouvernance efficace vise à atténuer. 

Comme le souligne Rory Blundell, CEO de Gravitee :

Les entreprises sont impatientes de déployer l’IA agentique pour la productivité, mais elles se montrent prudentes quant à la gouvernance. Lorsqu’elles maîtriseront mieux ces défis, l’adoption s’accélérera encore davantage.

Trois modes d’échec flagrants (et pourquoi ils persistent)

1. Directives laxistes

Les entreprises rédigent de longs guides de « bonnes pratiques » sans les faire respecter, pensant que la clarté suffit à garantir la conformité. En réalité, les équipes considèrent ces guides comme facultatifs, conduisant à une application incohérente et à leur oubli progressif.

2. Culture de la commodité

Lorsque les dirigeants privilégient la facilité d’utilisation et des flux de travail sans friction au détriment des restrictions nécessaires, les équipes sautent des étapes cruciales. Chaque raccourci mine la sécurité et la conformité, ouvrant la voie à de futures catastrophes.

Ven Auvaa, directeur de la sécurité de l’information chez ArmorPoint, met en avant cette tension :

Il est difficile de maintenir un équilibre entre sécurité et commodité, et c’est pourquoi il existe beaucoup de frustration à l’encontre des cadres de gouvernance. Les outils qui renforcent la sécurité, comme l’authentification multi-facteur (MFA) ou le changement régulier de mots de passe, sont souvent perçus comme gênants par les utilisateurs qui ne comprennent pas pleinement leur importance. De nombreux incidents de sécurité surviennent précisément parce que les utilisateurs contournent les contrôles jugés gênants, créant ainsi des vulnérabilités. Reconnaître et prendre en compte la frustration des utilisateurs lors de la conception de cadres de gouvernance est essentiel pour parvenir à un équilibre entre utilisabilité et sécurité.

3. La gestion artisanale des exceptions se généralise

Lorsque des ingénieurs sollicitent fréquemment des autorisations « temporaires » ou des exceptions supposément provisoires, celles-ci deviennent souvent des pratiques opérationnelles permanentes. La direction ferme les yeux, les bénéfices à court terme masquant les risques de long terme. Progressivement, les exceptions s’accumulent, créant des réseaux complexes d’autorisations et de politiques presque impossibles à démêler ou à auditer efficacement.

Srikanth Ramachandra, architecte valeur client chez UST, souligne l’une des principales raisons pour lesquelles ces modes d’échec persistent :

Les cadres de gouvernance échouent lorsque le modèle est trop centralisé et unidimensionnel, créant par inadvertance une bureaucratie qui entrave la capacité des équipes locales à prendre des décisions en temps voulu, en fonction de leur culture et de leurs besoins, et freine ainsi l’innovation. Ironiquement, la vocation même de la gouvernance devrait être d’encourager la flexibilité et la croissance rapide. Le problème s’aggrave lorsqu’il existe peu d’alignement entre les directions métier et IT, générant une focalisation disproportionnée sur les indicateurs de conformité au détriment d’une véritable satisfaction des clients et des partenaires de l’écosystème.

Ramachandra souligne qu’une gouvernance efficace exige un modèle fédéré, transparent et orienté sur les données, avec délégation du pouvoir de décision aux équipes de terrain les plus proches de l’action :

Faire respecter la responsabilité commence par un modèle opérationnel inclusif, en amélioration continue, énonçant clairement la raison d’être, la vision, les politiques et les rôles. Au final, c’est la culture organisationnelle qui détermine dans quelle mesure la gouvernance est véritablement adoptée et maintenue.

Identifier ces schémas d’échec constitue la première étape, mais la mise en œuvre nécessite une action systématique.

Notre kit de gouvernance informatique propose une grille d’évaluation complète pour mesurer la santé actuelle de votre organisation, ainsi qu’un plan d’action sprint de 30 jours pour combler les écarts les plus critiques.

La friction intentionnelle est essentielle

Une bonne gouvernance n’est pas conçue pour satisfaire tout le monde. Netflix a popularisé le concept de la « route goudronnée », un chemin sécurisé et standardisé que les équipes sont encouragées, mais non obligées, à suivre. Si les équipes s’en écartent, elles assument alors seules les charges opérationnelles et le risque accru. Les ingénieurs ont ronchonné au départ, mais en moins d’un an, le taux d’incidents a fortement chuté.

De même, Capital One a mis en place des contrôles de sécurité bloquant les fusions de code à haut risque. Les développeurs ont d’abord été frustrés par cette « bureaucratie », mais le nombre de vulnérabilités critiques a baissé de 40 %. 

Shopify a automatisé la suppression nocturne des ressources cloud non étiquetées, ce qui a suscité des plaintes au départ, mais a finalement permis d’économiser des millions en dépenses cloud superflues.

Les plaintes sont la preuve que les garde-fous fonctionnent.

A WEEKLY 5 MINUTE READ

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

LinkedIn

This field is for validation purposes and should be left unchanged.

Your email*

By submitting you agree to receive occasional emails and acknowledge our Privacy Policy. You can unsubscribe at anytime.

Comment concevoir vos propres garde-fous

1. Identifiez les règles critiques

Décidez des éléments non négociables. Par exemple : l’étiquetage obligatoire des ressources, l’interdiction absolue des buckets S3 publics, et des analyses de vulnérabilités systématiques avant toute fusion de code.

2. Automatisez l’application des règles

Utilisez des solutions « policy-as-code » telles que Terraform Sentinel, Open Policy Agent (OPA) et la protection de branches GitHub. Intégrez la conformité directement dans vos processus de déploiement et de build pour empêcher les violations dès les premières étapes.

3. Mesurez les récriminations

Suivez la contestation et les plaintes comme des indicateurs clés. Si vos canaux Slack sont silencieux, c’est un signal d’alerte : vos règles ne sont probablement pas assez strictes.

4. Célébrez la friction

Communiquez régulièrement sur les incidents que votre cadre de gouvernance a permis d’éviter. Mettez en avant les résultats concrets (économies réalisées, failles évitées) pour souligner la valeur de cette friction assumée.

Pour des guides d’implémentation détaillés, des modèles de politiques et des cadres de mesure, téléchargez notre kit de gouvernance informatique, qui inclut des politiques prêtes à l’emploi pour Terraform Sentinel, des modèles de protection de branches GitHub, et des tableaux de bord de mesure de la friction.

Les vents porteurs réglementaires ont changé 

L’administration Trump abandonne les directives de gestion des risques IA de l’ère Biden, réduit le financement du CISA et durcit le contrôle des exportations de puces pour l’IA. 

Pour les CTO, Washington vous offre désormais une plus grande liberté pour innover rapidement, mais avec moins de filets de sécurité extérieurs si tout dérape. 

Désormais, votre gouvernance interne est votre première ligne de défense, et elle doit être plus rigoureuse — et peut-être un peu plus impopulaire — pour compenser l’assouplissement des réglementations extérieures.

1. Plus de latitude, moins d’accompagnement

• Les politiques IA & cloud font l’objet d’une dérégulation
  • E.O. 14179 « Retirer les obstacles au leadership américain en matière d’IA » abroge les directives de gestion des risques de l’ère Biden et invite les agences à « maintenir et renforcer la domination IA ».
  • Mémo OMB M-25-21 demande à chaque agence d’accélérer les pilotes IA et d’« éviter les exigences inutilement contraignantes ».

Conséquence : les garde-fous fédéraux vont s’assouplir ; investisseurs et conseils s’attendront à plus de rapidité de votre part.

2. Durcissement contrôle des exportations & chaîne d’approvisionnement

Alors que les règles nationales s’assouplissent, la Maison Blanche renforce les restrictions à l’exportation des puces IA—le Cadre pour la diffusion de l’IA pourrait limiter l’approvisionnement en GPU avancés aux pays alliés.

Conséquence : Attendez-vous à des difficultés d’approvisionnement, des audits fournisseurs renforcés et des pics soudains de CAPEX pour le calcul interne.

3. Continuité en cybersécurité — mais avec moins de ressources

• Trump a conservé les principaux décrets exécutifs sur la cybersécurité de Biden mais a réduit les effectifs et le financement du CISA de 10 millions $.
• Le nouveau E.O. 14144 sur « Renforcer et promouvoir l’innovation en cybersécurité nationale » confie davantage la responsabilité aux solutions menées par l’industrie. 

Conséquence : Les listes de conformité demeurent, mais le soutien fédéral (subventions, services red team) s’amenuise. Prévoyez une hausse du recours à des évaluateurs tiers et des dépenses en veille sur les menaces.

4. Relais de « résilience » aux États et collectivités locales

Un décret intitulé « Gagner en efficacité grâce à la préparation des États et des collectivités locales » transfère la responsabilité de la préparation des infrastructures critiques aux États et aux comtés.

Conséquence : Les fournisseurs SaaS multi-juridictionnels (fintech, health-tech) pourraient devoir composer avec 50 exigences de résilience légèrement différentes—renforcez votre couche "policy-as-code" pour absorber ces variations.

Que faire ce trimestre

1. Réévaluez vos contrôles internes de risques IA  – Le plafond fédéral est relevé, mais les actionnaires exigeront toujours des preuves d’une IA sûre et conforme.
2. Étendez votre registre de contrôle à l’exportation à vos partenaires GPU et régions cloud — cartographiez les charges de travail pouvant être touchées par de nouvelles restrictions.
3. Prévoyez une hausse de 15 % de votre budget pour des évaluations de sécurité indépendantes afin de compenser la perte des services du CISA.
4. Codifiez les règles de reprise après sinistre au niveau de chaque État (politiques Terraform Sentinel ou OPA), pour pouvoir les hériter sans tout réécrire lorsque les mandats divergent.
5. Briefez le conseil d’administration dès le début – « Nous avançons plus vite avec des règles fédérales assouplies, mais voici comment notre gouvernance interne renforcée nous protège. »

Notre boîte à outils Gouvernance SI contient des feuilles de calcul pour calculer le ROI ainsi que des modèles de synthèse pour vous aider à élaborer un business case convaincant pour ces contrôles renforcés.

Défi : Renforcez une règle dès aujourd’hui

Une bonne gouvernance, c’est inconfortable car elle remet en cause le statu quo. Cette semaine, renforcez une règle critique de gouvernance—par exemple, en rendant l’étiquetage obligatoire ou en introduisant des jalons sécurité incontournables. Puis, soyez attentif aux réclamations. Ces doléances ne sont pas juste du bruit ; elles prouvent que votre gouvernance est suffisamment ferme pour protéger l’entreprise.

Adoptez cette friction. C’est votre nouveau repère de sécurité et d’évolutivité.

Besoin d’aide pour identifier quelle règle renforcer en premier ? Notre boîte à outils Gouvernance SI inclut un bilan santé de la gouvernance qui identifie les contrôles les plus faibles de votre organisation et fournit un guide de remédiation étape par étape. Et abonnez-vous à la newsletter de The CTO Club pour découvrir d’autres outils, cadres et conseils en gouvernance informatique.