Ne dites plus GAGSI, mais MAGNum.

Ce changement « marque le passage d’une vision centrée sur le SI à une approche globale du numérique », assure le Cigref.

L’association est à l’origine de ce document, élaboré avec deux pairs : l’AFAI-ISACA (Association française de l’audit et du conseil informatique ; aujourd’hui ISACA France) et l’IFACI (Institut français de l’audit et du contrôle internes).

L’intégration d’un modèle de maturité

La version initiale fut publiée en 2011. Une première mise à jour intervint en 2019, toujours sous le nom de GAGSI (guide d’audit de la gouvernance des SI). Elle avait notamment ajouté la culture de l’innovation et la gestion des données comme vecteurs d’analyse.

Le Cigref et ses pairs viennent d’en sortir une nouvelle révision. Elle aussi ajoute un axe d’analyse : la RSE. Surtout, donc, elle se focalise sur la notion de « numérique ». Et positionne les bonnes pratiques de gouvernance au niveau de l’ensemble de l’organisation – plus seulement de la DSI. D’où l’acronyme MagNUM, pour « modèle de maturité et d’audit de la gouvernance numérique ».

Des travaux antérieurs avaient ouvert la voie à cette approche. Ils avaient permis de classer les « bonnes pratiques » de chaque vecteur par niveaux de maturité.
Le MAGNum reprend ce système. Mais de façon plus fine, en l’appliquant à tous les critères composant chacune des bonnes pratiques. Les niveaux dépendent de l’effort de mise en place. Le Cigref et C^ie y associent un outil de mesure, la notation consolidée devant permettre d’obtenir un « radar de maturité ».

Parallèlement à l’ajout de la RSE, l’axe « risques » s’enrichit de bonnes pratiques de conformité et met davantage d’accent sur la cybersécurité. L’IA se diffuse de surcroît dans tous les vecteurs, à commencer par celui relatif à la data.

Les lignes bougent, leur contenu aussi

Du GAGSI au MAGNum, les évolutions structurelles sont nombreuses. Le premier axe (« Stratégie ») est une bonne illustration, entre précision, fusion, division et ajout de critères.

La première bonne pratique – participation du DSI à l’élaboration de la stratégie de l’entreprise – demeure. Mais le critère de communication des résultats de la veille technologique est scindé en deux, correspondant à la mise en place du dispositif de veille et au partage des résultats.
En « version MAGNum », cette même bonne pratique a des critères supplémentaires. D’une part, décliner le plan stratégique de l’organisation sous forme de feuille de route numérique. De l’autre, assurer que les sujets de transformation numérique bénéficient d’un sponsoring au plus haut niveau de l’organisation.

Des ajouts, il y en a aussi sur la bonne pratique consistant à intégrer, dans le volet numérique du plan stratégique, les cibles métiers et technologiques ainsi que la planification des ressources nécessaires à leur atteinte. Apparaît notamment un critère appelant à décrire les paliers d’évolution vers les objectifs. En parallèle, le MAGNum fusionne le critère relatif à la stratégie de sourcing dans celui qui invite à préciser les ressources nécessaires.

Pour trouver des critères que le MAGNum précise, on peut aller voir sur la partie communication du volet numérique. La nouveauté : une exigence d’adapter cette com aux publics cibles. Autre exemple de précision : l’instance de pilotage stratégique du SI mise en place pour valider ce même volet et en effectuer le suivi. Elle le sera typiquement au niveau de la DG… mais pourra, le cas échéant, être assurée par la direction de la BU concernée.

Innovation : penser aux dispositifs de repriorisation

Les mêmes types de modifications structurelles se retrouvent sur le deuxième axe (« Innovation »). Témoin la bonne pratique relative à l’encadrement des efforts par une politique et une gouvernance adaptées. Il n’y est plus question d’une instance en charge de l’effort d’innovation, mais d’une structuration des activités, déclinable « de différentes façons plus ou moins formelles ». Le MAGNum mentionne, à ce sujet, le rapprochement entre DSI et marketing stratégique. L’ensemble n’était pas absent du GAGSI, mais figurait dans une autre bonne pratique.

Avec la disparition du critère d’existence de ladite instance, les suggestions de responsabilités associées glissent dans un autre critère (définition claire des rôles et responsabilités dans la politique d’innovation).

Du GAGSI au MAGNum, la notion de PMO (Product Management Office, censé faciliter l’innovation par les technologies émergents) disparaît aussi (elle perdure toutefois sur l’axe « Portefeuille de projets »). Tandis que la bonne pratique relative à la communication et à la performance est divisée en deux, pour couvrir séparément chacun de ces aspects.

La bonne pratique sur le traitement agile des initiatives d’innovation ne change quasiment pas. Si ce n’est qu’y apparaît la notion de dispositifs de repriorisation, dans une logique de souplesse budgétaire.

Une plus grande surface pour la protection cyber et la conformité

Le GAGSI dédiait une bonne pratique à l’identification et à la documentation des contrôles dans les applications. Avec le MAGNum, elle disparaît… pour se retrouver intégrée dans une autre, nouvelle, relative à la protection des données.

La conformité a donc désormais sa bonne pratique spécifique. Laquelle englobe, entre autres, élaboration d’une charte, compliance by design, documentation des écarts et reporting.
Même remarque pour la protection contre les cyberattaques (identification d’une fonction RSSI, définition d’une PSSI, formation et sensibilisation, tests et certifications par tiers, etc.). Et pour la protection des infrastructures numériques (redondance, politique de sauvegarde, processus de gestion de l’obsolescence et des vulnérabilités…).

Sur la partie « identification et évaluation des risques », le GAGSI avait un sous-critère SOC. Le MAGNum n’en a pas, même s’il inclut l’identification des menaces suffisamment importantes. À la place, il appelle les organisations à prendre en compte les risques impactant leur écosystème. Ainsi que l’influence de leurs propres évolutions internes.

Pour ce qui est du cadre de gestion des risques, le MAGNum mentionne, au contraire du GAGSI, l’aspect certifications professionnelles. Il précise par ailleurs la nécessité d’intégrer les risques tiers dans la cartographie. Et cite davantage de référentiels pour l’inventaire de risques (ISO 31000, EBIOS RM, COSO ERM, NIST CSF, OCTAVE et MEHARI rejoignent Risk IT Framework, COBIT et ISO 27005).

IT for green et accessibilité numérique, nouveautés dans la version 2026

L’axe RSE est plus synthétique que les précédents. Il comprend 5 bonnes pratiques :

• Gouvernance
  Sponsorship de la DG en matière de numérique responsable, intégration de la politique RSE de l’organisation dans la stratégie numérique, instance de pilotage du numérique responsable…
• Programme de sensibilisation et de formation
  Référents numérique responsable dans les BU, intégration de cette dimension dans les compétences recherchées pour les candidatures IT…
• Écoconception numérique
  Pilotage dédié de la performance écologique du SI, actions dédiées à l’accessibilité numérique, accompagnement des métiers à l’élaboration de solutions IT for green…
• Politique d’achats numériques responsables
  Critères RSE explicites dans les cahiers des charges, préférence pour le matériel labellisé ou certifié RSE, challenger les fournisseurs sur la fin de vie des équipements…
• La filière numérique pilote se contribution à la RSE de l’organisation

La data pour l’IA… et l’inverse

Sur la partie data, le GACSI s’articulait en cinq bonnes pratiques. Dans les grandes lignes, gestion, valorisation, sécurisation, réglementation et éthique.

Le MAGNum divise l’aspect gestion en deux bonnes pratiques. Au sein de la première, il combine les aspects cartographie et analyse de la chaîne de valeur. Dans la deuxième, il fusionne des critères de maintien d’un référentiel et d’un dictionnaire de données ainsi que de contrôle de la data quality. Il y ajoute une mention de l’IA, en tant qu’elle est utilisable pour « rendre le processus [de gestion] plus efficace ».

Une bonne pratique reste dédiée à la valorisation. Avec deux précisions. D’un, les initiatives peuvent concerner tant les données structurées que non structurées. De deux, la mesure de leur efficacité doit englober l’usage de moteurs d’IA (RAG, par exemple).

La bonne pratique « sécurisation » demeure, mais sans le critère d’intégration de la dimension data dans les PCA/PRA.

Reflet du nouvel axe RSE et du complément conformité, la réglementation et l’éthique ne font plus l’objet de bonnes pratiques dédiées. L’IA, au contraire, a désormais la sienne, entre politique d’utilisation, critères spécifiques dans le processus de décision relatifs aux investissements, actions de promotion, valorisation des compétences et feuille de route pour le passage à l’échelle.

Illustration générée par IA

The post De la gouvernance des SI à celle du numérique : comment le Cigref a révisé son guide d’audit appeared first on Silicon.fr.

BYOD, IA, réseaux sociaux professionnels, logiciels à usage industriel… Les derniers « flashs ingérence » de la DGSI ont souvent fait la part belle au numérique.

Le service de renseignement avait institué ce format en 2012. Il y présente brièvement des cas réels d’ingérence économique et y associe des préconisations. Le dernier en date (février 2026) évoque les risques de captation d’informations lors de déplacements à l’étranger.

Deepfakes, shadow AI… et due diligence sans vigilance

Le « flash ingérence » précédent (décembre 2025) est consacré à l’usage de l’IA dans le monde professionnel.

L’un des cas présentés est une tentative d’escroquerie par deepfake. Elle a visé le responsable d’un site industriel d’un groupe français. L’intéressé a reçu un appel visio. Son interlocuteur avait l’apparence physique et la voix du dirigeant du groupe. Il n’a cependant pas accédé à la demande qui lui a été faite de transférer des fonds dans le cadre d’un prétendu projet d’acquisition.

Les deux autres cas présentés touchent respectivement à l’usage d’IA sans autorisation et sans vérification. Le premier implique la traduction régulière de documents confidentiels à l’aide d’un outil « grand public » développé par une société étrangère, sans aval de la hiérarchie. Le second concerne le recours à un autre outil d’origine étrangère, pour de la due diligence. La société utilisatrice a systématiquement orienté ses décisions en fonction du retour fait par l’outil, sans contrôle complémentaire.

Des approches indésirables sur les réseaux sociaux professionnels

Le « flash ingérence » précédent (novembre 2025) est dédié aux approches malveillantes sur les réseaux sociaux professionnels.

La DGSI y expose le cas d’une start-up en difficulté financière évoluant dans un secteur sensible. Son dirigeant est approché par un prétendu cabinet de conseil étranger qui déclare opérer en qualité d’intermédiaire pour un fonds d’investissement. Convaincu, il lui dévoile des informations, dont un projet de conception d’un nouveau produit. Le service juridique de la start-up finit toutefois par détecter la supercherie. Ni le cabinet ni le fonds n’avait d’existence légale. Et on n’en trouvait trace dans aucune base de données de leurs pays d’origine déclarés.

Autre fausse promesse de financement : celle qui a ciblé le responsable d’un centre de recherche. Elle provenait du soi-disant chargé de com d’une célébrité internationale. Elle était d’autant plus crédible que cette célébrité avait récemment effectué des actions de soutien dans le domaine d’activité du centre – actions largement relayées sur les réseaux sociaux. La discussion n’est pas allée plus loin lorsque l’individu a demandé le règlement préalable d’une taxe locale de plusieurs milliers d’euros.

Le troisième cas exposé est celui de salariés piégés par un faux profil. L’escroc s’est d’abord fait passer pour un comptable interne, sans succès (le dirigeant avait repéré la supercherie). Il a eu plus de réussite quelques mois plus tard. Avec un autre faux profil, il est parvenu à engager des discussions avec des salariés. Dont un qui lui a révélé des infos stratégiques relatives au calendrier de développement de certaines activités de l’entreprise et à l’état de ses progrès technologiques.

Les points faibles des logiciels industriels

En octobre, il y avait eu un « flash ingérence » concernant les risques associés à l’absence de protection des logiciels à usage industriel.

La DGSI y présente le cas d’une entreprise française développant des systèmes industriels. Un de ses clients avait, avec l’aide d’une entreprise concurrente étrangère, détourné le programme embarqué et l’avait installé sur une machine tierce. Or, ni le programme ni la machine ne bénéficiaient d’une protection par brevet. L’entreprise française avait considéré qu’en déposer un aurait publiquement exposé ses inventions. Le client a justifié la démarche par des temps de livraison jugés trop longs.

Deuxième cas : celui d’une entreprise française commercialisant un logiciel à intégrer dans des machines-outils. Un client étranger, prétextant un défaut de mise à jour, a fait une sauvegarde totale des données et du programme. Ce sans respecter les procédures de l’entreprise française, qui, habituellement, se déplace pour faire elle-même la mise à jour.
En l’absence de possibilité de protection par brevet des logiciels en tant que tels, l’entreprise craint notamment une revente à un concurrent.

La DGSI mentionne aussi un cas d’exfiltration de code source non protégé, survenu dans une entreprise ayant développé un logiciel applicatif pour un secteur industriel de pointe. Deux anciens salariés, qui avaient eu accès à ce code source développé dans le cadre de leurs fonctions, avaient créé une société concurrente pour l’exploiter. Ce quand bien même leurs contrats de travail comprenaient des clauses de confidentialité et de non-concurrence.

Entre phishing et keyloggers, la DGSI n’oublie pas le « facteur humain »

Un peu plus tôt dans l’année était paru un « flash ingérence » intitulé « Le facteur humain, principal vecteur de compromission des systèmes d’information ».

Le premier cas présenté est celui d’un salarié d’une société hébergeant des données sensibles. L’intéressé a accédé à sa messagerie professionnelle à partir d’outils personnels, alors même que la charte informatique de son employeur l’interdisait. Cela a permis à des attaquants de pénétrer le SI puis d’exploiter une faille 0-day.

Autre entreprise, autre salarié, quant à lui approché sur un réseau social professionnel par un soi-disant chargé de recrutement dans un grand groupe étranger. Invité à ouvrir une pièce jointe dans un de ses e-mails, il a ouvert la porte à un virus qui a permis d’extraire des centaines de fichiers sensibles. Ainsi que des fichiers appartenant à son ancien employeur.

La DGSI y ajoute une action malveillante d’un salarié travaillant chez un prestataire d’un grand groupe industriel. Il a installé un keylogger sur une clé USB personnelle. Puis l’a mise à disposition de ses collègues en tant que support de stockage professionnel. Cela lui a permis de récupérer les identifiants des personnes qui l’avaient connectée à leur ordinateur.

Le BYOD, consultants compris

En mars 2025, la DGSI avait publié un « flash ingérence » sur les risques associés à l’utilisation d’outils numériques personnels à des fins professionnelles.

Premier cas évoqué : un salarié ayant utilisé à de multiples reprises son ordinateur personnel pour se connecter à la plate-forme commerciale de son entreprise. Sans dispositif d’anonymisation ni chiffrement des échanges. Un membre de sa famille utilisait régulièrement cet ordinateur. Qui, pendant une courte période, a eu un fonctionnement inhabituel, non expliqué. Plusieurs mois après, le RSSI de la société a constaté que l’identifiant et le mot de passe du salarié étaient sur le darkweb. Faute d’authentification forte sur la plate-forme commerciale, des tiers ont accédé à la base de données clients.

Autre cas : celui d’un consultant d’un prestataire informatique d’une société sensible. À son domicile, il s’est fait voler son ordinateur personnel. Il y avait transféré des données de la société depuis son poste de travail pro. Elles étaient stockées sans protection particulière et l’ordinateur n’était sécurisé que par un mot de passe. Le presta n’avait pas avisé la société de ce transfert de fichiers.

La DGSI mentionne aussi une entreprise qui encourageait le BYOD sans l’avoir encadré clairement. Et sans posséder de systèmes de gestion des appareils mobiles à distance. Elle n’a pas pu déterminer ce qui est arrivé au téléphone d’un salarié lors d’un contrôle aéroportuaire. Les autorités étrangères l’ont saisi, ont obtenu son déverrouillage et l’ont emporté dans une autre pièce…

Illustration générée par IA

The post Numérique en entreprise : les mises en garde de la DGSI appeared first on Silicon.fr.