01
Stratégie
Mettre le numérique au service de la réalisation des enjeux stratégiques de l’organisation.
Gouvernance
MAGNum 2026 : le Cigref, l’IFACI et ISACA France réécrivent la boussole de la gouvernance numérique
Par Laurent Delattre, publié le 16 mars 2026
Cloud, travail hybride, IA générative, NIS 2, DORA, CSRD, DevSecOps : la gouvernance du numérique n’évolue plus par retouches successives, mais par changement de modèle. Pensé comme un cadre de maturité autant que comme un guide d’audit, le MAGNum remplace le célèbre GAGSI et redonne une lecture commune de la gouvernance du numérique à des organisations confrontées à des risques, des arbitrages et des dépendances devenus beaucoup plus diffus.
Il y a 15 ans, le Cigref, l’IFACI et l’AFAI-ISACA publiaient conjointement le « Guide d’audit de la gouvernance du SI », surnommé « le GAGSI ». Ce référentiel s’est imposé au fil du temps comme un outil incontournable, utilisé aussi bien par les DSI pour leur auto-évaluation que par les auditeurs internes et externes dans le cadre de leurs missions. Il donnait aux entreprises et organisations publiques un cadre commun pour auditer la gouvernance de leur SI à travers douze grands thèmes, facilement adaptables au contexte de chaque organisation. Et l’ouvrage a acquis une réelle légitimité méthodologique et une popularité solide auprès de ceux qui pilotent ou contrôlent la gouvernance numérique. Son importance tient à sa capacité à structurer le dialogue entre DSI, directions métiers et gouvernance d’entreprise autour d’un langage commun, de critères concrets et d’un tableur d’évaluation directement exploitable.
Révisé en 2019 pour intégrer l’accélération de la transformation numérique et de l’évolution du rôle des DSI, ce guide a néanmoins pris un sérieux coup de vieux ces dernières années avec l’expansion du cloud durant les années COVID, la généralisation du travail hybride qui a suivi et bien évidemment l’arrivée de l’IA générative et agentique. Les cybermenaces se sont réinventées, les chaînes de développement se sont métamorphosées, les règlementations se sont multipliées, les attentes envers un numérique plus responsable se sont intensifiées… bref, le monde a changé.
15 ans plus tard, le système d’information n’a plus les mêmes frontières, les mêmes contraintes, les mêmes rôles. Et la DSI aussi a beaucoup changé.
Il était temps non pas de le mettre à jour, mais de le réinventer. Le Cigref, l’IFACI et ISACA France publient un nouveau référentiel pour le remplacer. Exit le GAGSI historique, bienvenue au MAGNum, pour Modèle de maturité et d’audit de la gouvernance du numérique.
Une nouvelle orientation
Un nouveau nom qui acte un basculement de fond : le numérique n’est plus un sujet cantonné à la DSI, mais un objet de gouvernance partagé avec la direction générale et les métiers. La gouvernance ne peut plus être l’affaire d’une seule fonction. Elle doit désormais embrasser l’ensemble de l’organisation, au croisement de la performance, des risques, de la conformité et de la transformation. Et même s’il marque le passage d’une vision centrée sur le SI à une approche globale du numérique, englobant l’ensemble de l’organisation, le nouveau cadre conserve sa vocation à servir à la fois de guide d’audit, d’outil d’autoévaluation et d’instrument de pilotage stratégique.
Le GAGSI permettait d’identifier des pratiques à améliorer, mais n’offrait pas à la direction générale une vision synthétique de la capacité de l’entreprise à gouverner son SI au service de sa stratégie. Le MAGNum comble ce manque en introduisant une dimension absente jusqu’ici : l’évaluation de la maturité. Chaque critère est associé à un indice de maturité sur cinq niveaux — de « initialisé et documenté » (niveau 1) à « amélioration continue » (niveau 5). Cette graduation permet aux organisations de se situer objectivement et de prioriser leurs plans d’action.
Ainsi, le nouveau guide ne se contente plus de lister des bonnes pratiques. Il ajoute une lecture par niveaux de maturité, sur une échelle de 1 à 5, allant d’un traitement initialisé à une logique d’amélioration continue. Autrement dit, il ne demande plus seulement si l’organisation fait “quelque chose”, mais à quel niveau de maîtrise elle se situe réellement. C’est un glissement important, parce qu’il rend enfin le sujet lisible pour le management. Le modèle est d’ailleurs accompagné d’un tableur Excel capable de produire un radar de maturité, pensé pour objectiver les écarts et faciliter les arbitrages entre direction générale, DSI et métiers.
Treize vecteurs pour couvrir tout le spectre
Le MAGNum découpe la gouvernance du numérique en treize axes stratégiques, contre douze dans le GAGSI. Organisés en trois blocs – Stratégie, Opérations, Support – ces vecteurs couvrent l’intégralité du périmètre : Stratégie, Innovation, Risques & conformité, RSE, Données & IA, Architecture, Portefeuille de projets, Projets, Services, Ressources humaines, Prestataires & fournisseurs, Budget & performance, Marketing & communication.
Chaque vecteur est introduit par un rappel des enjeux pour l’organisation et des menaces qui pourraient résulter d’une mise en œuvre insuffisante des bonnes pratiques associées. Chaque bonne pratique est elle-même décomposée en critères d’évaluation, parfois illustrés par des exemples concrets.
Parmi les enrichissements les plus significatifs, on retiendra l’introduction de la conformité dans le vecteur « Risques », une réponse directe à l’inflation réglementaire qui frappe les DSI de plein fouet avec NIS 2, DORA ou l’AI Act. La cybersécurité y est également renforcée pour faire face à la diversification des menaces. Les dépendances technologiques entrent désormais dans le champ de la gouvernance au même titre que les questions de cloud, d’agilité ou de DevOps.
La principale extension visible est l’apparition d’un treizième vecteur consacré à la RSE qui traduit, quant à lui, la montée en puissance des exigences de numérique responsable et les obligations CSRD.
L’IA infiltre les bonnes pratiques
Enfin, l’IA irrigue tout l’ouvrage et les problématiques spécifiques à l’IA sont intégrées dans l’ensemble des vecteurs. Même si un vecteur « Données & IA » concentre l’essentiel du sujet. Ce dernier comprend cinq bonnes pratiques : stratégie et gouvernance, processus, valorisation, sécurisation, et intelligence artificielle. Cette dernière est explicitement formulée : « L’organisation maîtrise l’exploitation de ses données par l’IA pour atteindre ses objectifs stratégiques. »
Sept critères balisent le chemin de maturité, de la définition d’une politique d’usage de l’IA (intégrant éthique et conformité, niveau 3) à l’élaboration d’une feuille de route pour le passage à l’échelle (niveau 5, amélioration continue). Entre les deux, le référentiel insiste sur le partage de la politique avec les métiers, la veille réglementaire et technologique, l’intégration de critères IA dans les processus de décision d’investissement, la promotion par les retours d’expérience, et la valorisation des compétences IA à travers des plans de formation.
Fait notable : le critère de niveau 1 (le plus élevé en termes de maturité dans l’échelle inversée du MAGNum) concerne la formation. C’est un signal clair : avant de définir une politique IA sophistiquée, encore faut-il que les compétences soient identifiées et gérées. Et ce n’est qu’au niveau 5, celui de l’amélioration continue, que le passage à l’échelle apparaît. Autrement dit, le MAGNum rappelle que l’industrialisation de l’IA est un aboutissement, pas un point de départ.
Un outil de pilotage stratégique
Le MAGNum part du principe que la valeur, les risques et les dépendances se jouent désormais à l’échelle de l’entreprise entière. Cela peut sembler évident sur le papier, mais ce n’est pas neutre dans les faits. Beaucoup d’organisations pilotent encore la transformation numérique avec des dispositifs éclatés : stratégie d’un côté, cybersécurité de l’autre, data encore ailleurs, et IA souvent traitée en parallèle comme un chantier spécifique. Le mérite du MAGNum est de remettre ces briques dans une même carte de lecture.
Les concepteurs du MAGNum insistent sur trois principes : pragmatisme (le guide s’appuie sur l’expérience de terrain des contributeurs), lisibilité (un vocabulaire partagé compréhensible par les non-spécialistes) et facilité d’utilisation. Un outil d’évaluation sous forme de tableur, téléchargeable librement, permet de mesurer la maturité de chaque vecteur à partir d’une appréciation en trois points (respectées, partiellement respectées, non respectées) des exigences associées à chaque critère.
C’est cette dimension opérationnelle qui distingue le MAGNum d’un énième framework théorique. Le document de 202 pages n’est pas qu’un catalogue de bonnes intentions : il fournit un cadre d’échange entre DSI, directions générales, auditeurs et métiers. À l’heure où la responsabilité de la gouvernance numérique est « largement partagée avec la direction générale et les métiers », selon les termes du guide, disposer d’un langage commun et d’une grille d’évaluation partagée est un véritable atout qui permet de sortir des débats flous et des dialogues inaudibles.
Mais comme souvent avec les référentiels larges, la richesse peut aussi diluer l’urgence. Treize vecteurs, une granularité importante et une ambition transverse, cela donne un cadre solide, mais cela suppose aussi une forte capacité d’arbitrage. En clair, le MAGNum sera utile s’il sert à prioriser, pas s’il devient un exercice bureaucratique de plus.
Ains, son tableau Excel et son radar de maturité peuvent faire la différence, à condition que le Comex s’en empare vraiment comme outil de pilotage et non comme simple support d’audit. En 2026, le numérique ne se gouverne plus comme un périmètre IT, mais comme une capacité collective de l’organisation. Et c’est précisément pour cela que ce nouveau référentiel mérite, selon nous, toute votre attention.
Référentiel
Les 13 vecteurs du MAGNum 2026
Treize dimensions pour structurer l’action numérique, de la stratégie à la performance, en passant par les données, l’architecture, les projets, les talents et la conformité.
02
Innovation
Explorer et promouvoir les nouvelles technologies et les nouveaux usages numériques.
03
Risques & conformité
Prendre en compte les risques numériques et la conformité dans les enjeux stratégiques, les processus métiers et les produits et services.
04
RSE Nouveau
Soutenir les enjeux de responsabilité sociétale de l’organisation et incarner ses valeurs éthiques et sociétales.
05
Données & IA
Connaître, gérer, valoriser et protéger les données, tout en tirant profit de l’IA et des data sciences.
06
Architecture
Mettre l’architecture du système d’information au service des enjeux stratégiques.
07
Portefeuille de projets
Prioriser et piloter les projets numériques en cohérence avec les objectifs stratégiques.
08
Projets
Maîtriser la réalisation des projets et des solutions.
09
Services
Proposer des services conformes aux attentes des clients.
10
Ressources humaines
Acquérir, organiser et manager les talents et les compétences.
11
Prestataires & fournisseurs
Piloter les relations avec les fournisseurs de services et de solutions numériques.
12
Budget & performance
Piloter la performance économique, opérationnelle et écologique du système d’information.
13
Marketing & communication
Promouvoir les apports du numérique au sein de l’organisation.
Référentiel Cigref
Télécharger le MAGNum 2026
Modèle de maturité et d’audit de la gouvernance du numérique : le nouveau référentiel du Cigref pour piloter et évaluer la maturité de votre gouvernance numérique.
Accéder au document
Source : Cigref
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
