Evaluation d’un cadre de gestion des risques de cybersécurité dans une approche de gouvernance IT: cas pratique : Direction Générale de NAFTAL

Abstract

Dans un contexte de digitalisation croissante, les systèmes d'information sont devenus des leviers stratégiques pour les organisations, mais également des sources de vulnérabilités accrues. Les menaces telles que les violations de données, les interruptions de service ou les pertes financières rendent indispensable une gestion rigoureuse des risques liés à la cybersécurité. Cette étude vise à évaluer un cadre de gestion des risques cyber dans une perspective de gouvernance IT, à travers le cas de NAFTAL, entreprise publique algérienne spécialisée dans la distribution de produits pétroliers. L’objectif principal est d’analyser l’efficacité des pratiques actuelles de gestion des risques chez NAFTAL, en identifiant les menaces critiques, en évaluant les capacités organisationnelles et en formulant des recommandations adaptées. Pour cela, une méthodologie qualitative a été mobilisée, combinant une revue de littérature, des entretiens semi-directifs avec les responsables de la DSI, ainsi qu’une observation des pratiques sur le terrain. Les résultats montrent que NAFTAL est engagée dans une structuration progressive de sa gouvernance IT, avec des avancées notables en matière d’alignement stratégique. Toutefois, plusieurs faiblesses subsistent, notamment un déficit en ressources spécialisées, une coordination insuffisante entre départements, et une faible adoption des méthodes structurées comme MEHARI. Cette dernière, bien que conforme aux normes internationales, reste marginalisée du fait de sa complexité et d’un manque de formation. L’étude propose des mesures concrètes telles que la mise en place d’un comité cybersécurité, la standardisation des outils d’analyse des risques, et la formation continue. Elle ouvre enfin des perspectives pour étendre l’analyse à d’autres contextes organisationnels.