Le DG & le CISO : une alliance à construire (de toute urgence)
On parle souvent de collaboration entre dirigeants.. mais très rarement de la collaboration entre le DG et le CISO / RSSI.
Et pourtant...
La cybersécurité, ce n’est pas un sujet technique, c’est un risque métier, un risque pour l’entreprise qui de fait doit être gérer le DG et son équipe.
La cybersécuirté devenu un sujet stratégique, humain et culturel.
Mais soyons honnêtes, combient de DG collaborent, s’investissent dans la gestion du risque cyber car
👉 Se croiser 20 minutes une fois par an pour parler budget ?
On ne peut pas appeler ça une collaboration.
👉 Lire quelques KPIs sur les incidents ?
Ce n’est pas piloter la cybersécurité.
Ce n’est pas comprendre les vrais risques.
Et pourtant...`
Qui d’autre que le DG (et son équipe, son comité de direction) devrait avoir la vision claire des risques ?
La compréhension des enjeux ?
Et la capacité à les maîtriser ?
Souvent je dis aux dirigeants qui laisserait reposer sur les épaules d’une seule personne, CISO ou RSSI - aussi brillante soit elle, le risque le plus important de sa société?
Alors posons la vraie question :
Est-ce que le DG comprend ce que vit le CISO au quotidien ?
• Les difficultés à recruter et garder les bons talents
• Le fait que la cybersécurité n’est pas l’affaire d’une seule personne
• Les incidents critiques à gérer dans l’urgence
• Le manque de sensibilisation des équipes
• La complexité (et la probabilité) des risques
↳ Et donc la nécessité d’anticiper la crise avant qu’elle n’arrive
Parce que tant que ces sujets restent flous...
❌ Impossible de porter une vraie vision cyber
❌ Et encore moins d’en faire une culture partagée dans l’entreprise
Et pourtant...
✔ Le DG a la légitimité pour embarquer tout le monde
✔ Et la responsabilité en cas de crise
(On se souvient tous des hôpitaux paralysés ou des entreprises totalement à l’arrêt...)
Alors, que faire ?
Créer une vraie collaboration DG / CISO → parler cybersécurité comme un enjeu métier.
La gouverner comme un sujet stratégique, pas juste technique
Traduire les risques cyber... en risques métier clairs, concrets, compréhensibles
📌 C’est la seule voie pour sécuriser l’entreprise sur le long terme.
Et vous, dans votre organisation...
👉 Le DG et le CISO se parlent vraiment ?
👉 Ou c’est encore trop ponctuel, trop flou ?
En 2024 (et en 2025)…La cybersécurité change de visage.
(Mais la menace, elle, reste bien réelle.)
Pourquoi un « nouveau visage » ?
→ Parce que la cybersécurité est devenue plus stratégique.
→ Parce qu’elle est plus difficile à cerner.
Je suis tombée sur l’édition 2024 du Future Risks Report d’AXA.
(Lien en commentaire 👇)
Un rapport dense.
Un rapport riche.
Et surtout : un rapport qui confirme ce que beaucoup pressentaient déjà.
👉 Le monde est entré dans une ère de polycrises.
👉 Les risques ne se succèdent plus… ils s’empilent.
Top 5 des préoccupations des experts cette année :
- Le changement climatique 🌍
- L’instabilité géopolitique
- La cybersécurité 💻
- L’intelligence artificielle 🤖
- La désinformation 🌀
C’est la première fois que la désinformation entre avec autant de force dans ce classement.
Et ce n’est pas un hasard.
→ Elle alimente les tensions sociales.
→ Elle fragilise les équilibres géopolitiques.
→ Elle s’infiltre dans toutes les autres crises.
Le plus inquiétant ?
Elle circule sur les mêmes canaux censés nous protéger :
• Amplifiée par les algorithmes
• Rendue virale par les plateformes
• Déformée par l’intelligence artificielle
Aujourd’hui, la désinformation :
→ Menace nos démocraties
→ Fragilise notre stabilité économique
Alors… que faire ?
✅ Oui, il faut des réglementations
✅ Oui, il faut de l’éducation
✅ Oui, il faut une IA responsable
Mais sans coopération internationale,
(et sans coordination entre les organisations)
nous sommes condamnés à l’échec.
En 2024, cyber et IA sont indissociables.
Et la désinformation est devenue leur zone grise.
Un modèle non sécurisé.
Une campagne mal modérée.
Et c’est toute une chaîne de confiance qui s’effondre.
La cybersécurité n’est plus un sujet IT.
C’est un enjeu de souveraineté.
Un enjeu business.
Un enjeu de vérité.
Alors question :
👉 En tant que dirigeant, DSI, RSSI… ou même simple client :
À quel point êtes-vous prêt ?
Et à quel point votre écosystème l’est-il ?
🎧 Si vous découvrez mon contenu aujourd’hui, n’hésitez pas à me suivre ou me contacter.
Nous accompagnons les décideurs dans la gestion de l’impact.
Source photo: https://www.axa.com/fr/actualites/2024-future-risks-report
Créer une culture de la cybersécurité au travail
Parcours Cybersécurité ANDRH - Découvrez dans cette épisode de podcast avec Anne Doré, consacré aux compétences clés en matière de cybersécurité.Découvrez dans notre podcast conseils pratiques et retours d'expérience pour insuffler une véritable culture de la cybersécurité dans votre organisation !
💥 Cybersécurité : les 7 erreurs que les dirigeants paient (cher)
Trop souvent, la cybersécurité est vue comme une affaire uniquement
technique. Résultat ? Une organisation KO à la 1ère attaque sérieuse….
Voici les 7 erreurs les plus fréquentes que je rencontre sur le terrain :
→ Penser que ça n’arrive qu’aux autres
"Nous sommes trop petits", "notre activité n'intéresse personne"...
Faux. Aujourd’hui, tout le monde est une cible, surtout ceux qui pensent ne pas l’être.
→ Ne pas former ses équipes – toutes les équipes
La cyber n’est pas réservée à la DSI. C’est l’affaire de tous. Et pourtant, souvent, personne n’est formé. Ou juste une poignée de personnes. Résultat ? une première ligne fragile et il est donc plus facile pour les attaquants de pénétrer le système ... et n'oublier pas former aussi vos équipes SI 😉
→ Ne jamais tester les sauvegardes
"Oui, l’équipe SI a testé la restauration de la sauvegarde … mais personne n’a vérifié que les sauvegardes étaient complètes, exploitables, et accessibles rapidement. Devinez ce qui se passe le jour où on en a vraiment besoin…
→ Ne pas prioriser la cybersécurité
Trop souvent repoussée. "Pas le temps", "pas prioritaire", "pas de budget cette année". Jusqu’au jour où il est trop tard.
→ Déléguer à 200 % au DSI ou RSSI
"Ce n’est pas mon sujet, c’est celui du DSI". Grave erreur. La cybersécurité est un enjeu stratégique. Elle mérite l'implication de la direction générale.
→ Pas de plan de crise
Chez la majorité des PME/ETI avec lesquelles j’échange, il n’y a aucun plan de gestion de crise cyber. "On saura faire". Vraiment ? On sait gérer les crises… on a gére le covid.. mais une cyberattaque n’a rien à voir avec une pandémie : tout peut être bloqué, mails, téléphones, accès…
→ "La cyber, ça coûte cher"
Non c’est un investissement ! Combien coûtera l’arrêt – partiel ou total – de votre entreprise ? Perte d’exploitation, image, confiance, données.
👉 Comment éviter tout ça ?
→ Formation régulière et au fil de l’eau, pas juste une fois par an !
→ Le pilotage du risque par le DG et son équipe : le RSSI ne peut pas tout gérer, certaines actions ne sont pas de son ressort.
→ Une culture de la sécurité à tous les niveaux : on n’allume pas une allumette dans une station-service, pourquoi ? Parce que c’est intégré, répété, enseigné.
→ Des exercices de crise, pour être prêt. Oui, on peut se retrouver sans mail, sans téléphone, sans accès. Et là, il faut savoir quoi faire, tout de suite.
📌 La cybersécurité n’est plus une option.
C’est un levier de confiance, de résilience et de performance.
Et vous, quelle est votre prochaine action pour être prêt ?
🎧 Pour ceux qui me découvrent à travers ce contenu, je vous invite à me suivre ou à me contacter pour en savoir plus. Nous accompagnons les décideurs dans la gestion de l’impact cyber.