Sur les programmes que je pilote, la sécurité n'est jamais un chapitre à part. Elle est tissée dans l'architecture, dans la gouvernance, dans les comités. Et ce n'est pas qu'une question de bonnes pratiques : c'est une question d'économie de programme.
Le coût caché du 'on verra après'
Rajouter la sécurité en fin de projet, c'est repenser les architectures, redéployer, refaire des audits, retarder la mise en production. Les études sectorielles parlent d'un facteur 10 entre une faille traitée en conception et la même traitée après go-live.
Trois rituels qui changent tout
- Un atelier sécurité dès la phase de cadrage : on identifie les menaces, on définit les exigences, on valide avec le sponsor.
- Un représentant sécurité dans le comité de pilotage hebdomadaire — pas en observateur, en décideur.
- Une revue 'security-by-design' à chaque jalon majeur, avec critères go/no-go documentés.
La sécurité comme accélérateur
Bien pilotée, la sécurité ne ralentit pas. Elle clarifie les choix, élimine les fausses bonnes idées, et donne aux équipes la confiance pour avancer plus vite. C'est ce que j'ai vu chez Orange Cyberdéfense : x3 sur la capacité de livraison, avec une qualité sécurité supérieure.