gouvernance du risque cyber en entreprise au niveau du comex

⚠️ Risque cyber : 7 décisions que les dirigeants doivent prendre maintenant

⚠️ Risque cyber en entreprise : 7 décisions que les dirigeants doivent prendre maintenant

Le risque cyber est aujourd’hui un enjeu clé pour toute entreprise.
Il ne concerne plus seulement l’IT. Au contraire, il touche directement l’activité, les revenus et la continuité.

En France et en Europe, avec NIS2 et DORA, les dirigeants sont en première ligne. Pourtant, beaucoup d’organisations restent dans une approche trop technique.

Or, le sujet est simple : il faut piloter ce risque au bon niveau.

🎯 7 décisions concrètes pour mieux piloter le cyber

D’abord, intégrer le RSSI dans les décisions clés.
Ensuite, parler cyber en langage métier.
Puis, raisonner en résilience et non seulement en protection.
De plus, relier la cybersécurité à la continuité d’activité.
Aussi, former les dirigeants et les managers.
Par ailleurs, développer une culture simple et partagée.
Enfin, encadrer les usages de l’IA avec des règles claires.

Ainsi, la cybersécurité devient un levier de pilotage, et non une contrainte.

Une question de gouvernance

D’un côté, les attaques augmentent.
De l’autre, les dépendances numériques sont partout.

Donc, sans cadre clair, les décisions sont lentes ou inadaptées.
Concrètement, piloter ce risque, c’est faire des choix simples : priorités, investissements, limites.

Consulter l'article sur le site de Global Security Mag 

by anne.dore@adhel.fr

irigeants de PME en France en réunion stratégique sur la cyberassurance et le risque cyber

Cyber assurance PME ETI : piloter le risque cyber

Cyber assurance PME ETI : piloter le risque cyber

Pourquoi la cyberassurance séduit les PME et ETI en France

En France, les PME et ETI accélèrent leur structuration face au risque cyber.
En effet, les incidents se multiplient et leurs impacts deviennent de plus en plus concrets pour les dirigeants.

Longtemps perçue comme un sujet complexe, la cyberassurance PME ETI s’impose progressivement comme un levier de pilotage.
Ainsi, elle ne se limite plus à une simple couverture financière.

Au contraire, elle devient un outil structurant pour anticiper et gérer les risques.

Un marché de la cyberassurance encore ouvert

Le marché de la cyberassurance reste encore en construction, notamment en France.
Par conséquent, il offre de réelles opportunités pour les assureurs et les courtiers.

Cependant, la différence ne se fait plus sur la promesse.
Elle se fait sur la clarté.

Autrement dit, les entreprises attendent :

  • une meilleure compréhension des garanties
  • une lecture claire des exclusions
  • une visibilité sur les franchises

Ainsi, la pédagogie devient un véritable levier de confiance.

Cyberassurance et gouvernance du risque cyber en PME ETI

La cyberassurance joue un rôle clé dans la structuration de la gouvernance du risque cyber.
En effet, elle oblige à poser des éléments concrets et mesurables.

Concrètement, les dirigeants doivent répondre à des questions essentielles :

  • Quel est le coût d’un arrêt d’activité (1 jour, 1 semaine) ?
  • Quels sont les scénarios les plus probables (ransomware, fuite de données, indisponibilité) ?
  • Quels impacts métiers sont à anticiper ?

Ainsi, la cyberassurance transforme un risque abstrait en décisions opérationnelles.
Par conséquent, elle facilite les arbitrages au niveau du Comex.

Les prérequis de la cyberassurance : un accélérateur de maturité

Pour être couvert, certaines exigences deviennent incontournables.
De plus, ces prérequis contribuent directement à améliorer le niveau de sécurité.

On retrouve notamment :

  • l’authentification multi-facteurs (MFA)
  • des sauvegardes régulières et testées
  • des procédures de gestion de crise
  • la sensibilisation des utilisateurs
  • la mise à jour des systèmes

Ainsi, la cyberassurance agit comme un accélérateur de maturité pour les PME et ETI.

Un contexte qui renforce l’intérêt de la cyberassurance

Aujourd’hui, le risque cyber reste en tête des préoccupations des entreprises, en France comme en Europe.
En effet, les incidents sont fréquents et leurs conséquences peuvent être critiques.

Dans ce contexte, la cyberassurance apporte une double réponse :

  • elle permet d’absorber une partie des impacts financiers
  • mais surtout, elle incite à mieux se préparer en amont

Les échanges observés lors de AMRAE confirment cette tendance.
D’ailleurs, la dynamique est particulièrement forte sur le segment PME/ETI.

Conclusion : une opportunité pour piloter le risque

La cyberassurance crée une dynamique des deux côtés.
D’un côté, elle représente un relais de croissance pour les assureurs.
De l’autre, elle devient un outil concret de gestion du risque pour les PME et ETI.

Ainsi, elle ne doit plus être vue comme une simple assurance.
Elle devient un levier de gouvernance.

Question pour les dirigeants

Aujourd’hui, dans vos décisions, qu’est-ce qui pèse le plus ?

  • Le coût d’un arrêt d’activité ?
  • Les conditions de couverture ?
  • Ou les prérequis à mettre en place ?

 

Pour en savoir plus - consulter le site de l'AMRAE

Consulter nos formations pour la gestion de la crise cyber

by anne.dore@adhel.fr

IA + Cyber 7 règles pour éviter l’angle mort

IA et cybersécurité : 7 règles de gouvernance pour éviter l’angle mort

Une scène banale… mais révélatrice

La scène est presque anodine.

En comité de direction, quelqu’un lance :
« On doit accélérer sur l’IA. »

Les échanges s’enchaînent : productivité, innovation, cas d’usage, compétitivité.
Puis la décision tombe : on y va.

Mais un point manque souvent à la discussion.
Un point pourtant structurant.

👉 La cybersécurité.

Et surtout : la gouvernance IA et cybersécurité.

Car l’IA n’est pas un simple outil.
C’est un accélérateur d’usages… donc un accélérateur de risques.

Pourquoi la gouvernance IA et cybersécurité devient un sujet Comex

D’un côté, les métiers avancent vite.
De l’autre, les cadres de contrôle peinent à suivre.

Pourtant, les risques sont déjà là :

  • fuites d’informations via les prompts
  • décisions automatisées mal maîtrisées
  • dépendance à des fournisseurs opaques
  • dérives non détectées

Autrement dit :
👉 ce n’est plus un sujet technique.
👉 c’est un sujet de gouvernance et de responsabilité dirigeant.

1. Décider des usages avant de déployer

Avant toute chose, il faut poser un cadre clair.

Quels usages sont :

  • autorisés
  • interdits
  • sous conditions

Et surtout :
👉 qui décide ?

Sans arbitrage explicite, les usages se créent seuls.
Et le risque aussi.

2. Protéger ce qui sort dans les prompts

On pense souvent aux données dans le SI.
Mais avec l’IA, la vraie question devient :

👉 Qu’est-ce qui ne doit jamais être saisi dans un prompt ?

Informations sensibles, données clients, éléments stratégiques…
Tout ce qui sort peut potentiellement être exposé.

3. Gérer les accès et les traces comme pour un outil critique

L’IA doit être pilotée comme un actif sensible.

Cela implique :

  • savoir qui utilise quoi
  • comprendre dans quel contexte
  • conserver un historique

Autrement dit :
👉 pas d’usage sans traçabilité.

4. Cadrer les fournisseurs et les modèles

Les solutions d’IA ne sont pas neutres.

Elles impliquent :

  • des fournisseurs
  • des modèles
  • des chaînes de sous-traitance

Il faut donc anticiper :

  • responsabilités
  • conditions de sortie
  • exigences contractuelles

Et très vite, une question arrive côté conformité :
👉 qui est responsable en cas d’incident ?
(NIS2, DORA, RGPD…)

5. Tester les dérives avant qu’elles ne deviennent un incident

Une IA peut :

  • halluciner
  • exposer des données
  • être contournée
  • produire des résultats incohérents

Ces dérives ne sont pas des exceptions.

👉 Elles doivent être testées, mesurées, surveillées.

Sinon, elles deviennent… des incidents.

6. Préparer une crise liée à l’IA

Une fuite via un prompt.
Une mauvaise décision automatisée.
Un usage non maîtrisé.

Ces situations arrivent plus vite qu’on ne le pense.

Il faut donc :

  • un playbook dédié
  • des scénarios concrets
  • des exercices de gestion de crise

👉 L’IA doit entrer dans les dispositifs de crise cyber.

7. Former les décideurs, pas seulement les équipes

Quand un incident survient, tout s’accélère.

Les équipes techniques proposent.
Les métiers évaluent.
Mais ce sont les dirigeants qui arbitrent.

👉 Sans compréhension des enjeux IA + cyber,
la décision devient fragile.

Former le Comex, ce n’est pas du confort.
C’est un levier de maîtrise du risque.

En clair : piloter l’IA comme un risque stratégique

L’IA ne doit pas être traitée comme :

  • une expérimentation isolée
  • un sujet uniquement métier

Mais comme :
👉 un enjeu de gouvernance IA et cybersécurité
👉 un levier de résilience globale

Sinon, le risque n’est pas technique.

C’est une erreur de gouvernance.

by anne.dore@adhel.fr

Future of Work et cybersécurité : une vision d’entreprise (pas un projet IT)

Début d’année, les organisations fixent leurs priorités : croissance, performance, transformation.
Mais une question reste souvent absente : quel objectif protège tous les autres ?

👉 En réalité, la réponse est simple — et encore sous-estimée : la cybersécurité.

Dans un contexte de Future of Work, elle ne peut plus être traitée comme un sujet technique.
Au contraire, elle devient un levier de gouvernance, au cœur du fonctionnement de l’entreprise.

Des utilisateurs acteurs de la cybersécurité

Longtemps, les entreprises ont “sensibilisé” leurs collaborateurs.
Cependant, cela ne suffit plus.

Dans le Future of Work, les utilisateurs deviennent acteurs et responsables :

  • D’abord, ils comprennent les risques concrets (fraude, arrêt d’activité, fuite de données)
  • Ensuite, ils connaissent leurs droits et devoirs numériques
  • Enfin, ils adoptent les bons réflexes, non par contrainte, mais par compréhension

👉 Ainsi, l’enjeu n’est plus de cocher une case, mais de faire monter en compétence durablement.

Une cybersécurité intégrée aux usages métiers

Une cybersécurité efficace ne doit pas ralentir le travail.
Au contraire, elle doit s’intégrer naturellement dans les gestes du quotidien.

Pour cela :

  • Par exemple, les outils doivent être alignés avec les pratiques terrain
  • De plus, les règles doivent rester simples et applicables
  • Enfin, les arbitrages doivent tenir compte des contraintes opérationnelles

👉 En pratique, dans les organisations résilientes, le bon usage est le plus simple.
Sinon, il est contourné.

Une organisation prête à gérer une crise cyber

Le Future of Work implique une réalité souvent évitée : les crises cyber ne sont plus une exception.

Dès lors, les entreprises doivent être prêtes à :

  • détecter rapidement une attaque
  • puis contenir les impacts
  • ensuite maintenir l’activité
  • et enfin communiquer efficacement

Cela suppose :

  • D’une part, des dirigeants formés aux spécificités du risque cyber
  • D’autre part, une gouvernance claire : qui décide, qui arbitre, qui communique
  • Enfin, des scénarios de crise testés régulièrement

👉 Au final, la cybersécurité devient un sujet de résilience opérationnelle.

Une IA maîtrisée et responsable

L’IA transforme déjà le travail.
Toutefois, sans cadre, elle devient un risque.

Par exemple :

  • fuite de données sensibles
  • décisions automatisées mal comprises
  • responsabilité floue

Ainsi, dans une approche mature :

  • les usages sont définis
  • les données sont protégées
  • les responsabilités sont clarifiées

👉 Autrement dit, l’IA n’est pas seulement un outil, mais un nouveau périmètre de gouvernance cyber.

 RH, SI et métiers : une gouvernance alignée

Le Future of Work n’est pas un sujet technologique.
En réalité, c’est un sujet culturel, organisationnel et stratégique.

Les organisations les plus avancées partagent un point commun :
RH, SI et métiers travaillent ensemble.

De plus, ce cadre est porté par le COMEX.

👉 Sans alignement, la cybersécurité reste fragmentée.
👉 À l’inverse, avec alignement, elle devient un levier de transformation.

Cybersécurité et Future of Work : un enjeu de gouvernance

En définitive, le Future of Work pose une question simple :
travaille-t-on différemment… ou gouverne-t-on différemment ?

Car cybersécurité et IA sont désormais indissociables.
Par conséquent, elles façonnent :

  • les modes de travail
  • les décisions
  • la performance
  • la confiance

💬 Et dans votre organisation ?

Aujourd’hui, le Future of Work est-il :

👉 un sujet de gouvernance
👉 ou un sujet d’outils ?

Prenez un instant pour y répondre.
👉 La réponse dit beaucoup de votre maturité cyber.

by anne.dore@adhel.fr

ésolutions cyber DG 2026 gouvernance cybersécurité entreprise

Les 7 résolutions cyber pour piloter le risque en 2026

1. Faire du RSSI un partenaire stratégique

Le RSSI ne peut plus être uniquement sollicité en bout de chaîne. Les résolutions cyber DG doivent désormais s'inscrire dans la stratégie globale de l'entreprise. Les résolutions cyber DG structurent donc une nouvelle vision de la gouvernance.

Il doit être intégré au pilotage régulier de l’entreprise, avec un rôle clair :

  • éclairer les décisions
  • objectiver les risques
  • proposer des arbitrages

Un point structuré entre DG et RSSI permet de transformer la cyber en levier de décision, et non en contrainte technique. D'ailleurs, toute démarche de résilience inclut aujourd'hui les résolutions cyber DG comme axes majeurs d'action.

2. Parler cyber en enjeux métier

La cybersécurité ne se pilote pas avec des indicateurs techniques seuls.

Elle doit être traduite en impacts concrets :

  • arrêt de production
  • perte de chiffre d’affaires
  • atteinte à la réputation
  • risques réglementaires (NIS2, DORA, RGPD)

Ce changement de langage est clé pour embarquer le COMEX et aligner les priorités.

3. Piloter la cyber comme un enjeu de résilience

La bonne question n’est plus : “Sommes-nous protégés ?”

Mais plutôt :

  • Combien de temps pour détecter une attaque ?
  • Combien de temps pour la contenir ?
  • Combien de temps pour redémarrer ?

La cybersécurité devient une capacité à encaisser un choc et à continuer à opérer.

4. Ancrer la cyber dans la continuité d’activité

Toutes les activités ne se valent pas.

Il est essentiel d’identifier :

  • les fonctions critiques
  • les priorités de redémarrage
  • les dépendances clés

La cybersécurité doit être intégrée aux plans de continuité et de reprise d’activité, avec des scénarios réalistes. Ainsi, intégrer les résolutions cyber DG au sein du plan d'action global garantit une meilleure anticipation des risques.

5. Former les dirigeants à la gestion de crise cyber

En situation de crise, les décisions ne sont pas techniques.

Elles sont stratégiques, humaines et parfois politiques :

  • faut-il arrêter une activité ?
  • que dire aux clients ?
  • quand communiquer ?

Sans préparation, même les meilleures équipes peuvent être déstabilisées.

Former les dirigeants, c’est renforcer la capacité de l’entreprise à tenir dans la tempête.

6. Développer une culture cyber dans toute l’entreprise

La cybersécurité ne repose pas uniquement sur des experts. Par conséquent, les résolutions cyber DG participent activement à l'évolution de cette culture de sécurité partagée.

Elle dépend du comportement de chacun :

  • vigilance face aux emails
  • gestion des accès
  • respect des bonnes pratiques

Pour être efficace, cette culture doit être :

  • simple
  • concrète
  • répétée dans le temps

L’objectif n’est pas de culpabiliser, mais de responsabiliser.

7. Encadrer l’IA avec une gouvernance cyber

L’IA accélère les usages… mais aussi les risques.

Sans cadre clair, elle peut exposer :

  • des données sensibles
  • des accès critiques
  • des dépendances fournisseurs

Avant d’accélérer, il est essentiel de définir :

  • les règles d’usage
  • les niveaux d’accès
  • les contrôles associés

L’IA doit être pensée comme un levier maîtrisé, pas comme un risque subi.

Installer la cybersécurité dans la durée

Il ne s’agit pas de tout transformer en une fois.

Mais de :

  • commencer, même imparfaitement
  • intégrer la cyber dans les instances de gouvernance
  • revisiter régulièrement les priorités

La cybersécurité n’est pas un projet ponctuel.

C’est une discipline de pilotage dans la durée. Pour assurer cette continuité, suivre les résolutions cyber DG offre un cadre pertinent et structurant.

Conclusion

Les entreprises ne pourront pas éviter toutes les crises cyber.

Mais elles peuvent :

  • en réduire fortement la probabilité
  • en limiter l’impact
  • et surtout, mieux les traverser

En 2026, la vraie différence ne se fera pas sur les outils.

Elle se fera sur la capacité des dirigeants à piloter le risque cyber comme un enjeu business à part entière.

Pour en savoir consulter cet article Le DG et le CISO  : une alliance à construire (de toute urgence)

by anne.dore@adhel.fr

Recrutement et cybersécurité : un risque sous-estimé

Un message arrive tôt le matin :
« Peux-tu ouvrir le dossier du candidat avant 10h ? » Cette demande illustre à quel point recrutement et cybersécurité deviennent étroitement liés aujourd’hui.

À première vue, tout semble normal. Le canal paraît légitime. Le contexte est crédible. La demande semble urgente, mais cohérente avec le quotidien d’un recrutement. Bref, rien ne choque.

Et pourtant, c’est souvent exactement dans ce type de moment que le risque s’installe.

Le sujet du recrutement et cybersécurité reste encore trop peu traité dans les organisations. On parle beaucoup de phishing, de ransomware ou de crise cyber. En revanche, on oublie souvent qu’un processus RH peut devenir une porte d’entrée idéale pour un attaquant.

Or, ce n’est pas un détail. C’est un angle mort.

Pourquoi le recrutement est un moment de vulnérabilité

Une attaque liée au recrutement ne repose pas forcément sur une faille technique complexe. Bien souvent, elle s’appuie sur un mécanisme beaucoup plus simple : la confiance.

Dans un contexte de recrutement, plusieurs éléments favorisent cette baisse de vigilance :

  • les échanges sont fréquents et rapides ;
  • les pièces jointes sont attendues ;
  • les interlocuteurs sont parfois inconnus ;
  • l’urgence paraît normale ;
  • le recruteur ou le manager pense traiter un dossier de travail.

Autrement dit, le contexte lui-même rend la demande crédible.

C’est précisément pour cela que le lien entre recrutement et cybersécurité mérite d’être traité comme un vrai sujet de risque métier, et non comme une simple question technique.

Les attaquants exploitent un réflexe humain, pas seulement un système

Ce type de scénario fonctionne parce qu’il active un réflexe courant : répondre vite pour ne pas bloquer le process.

L’attaquant peut alors :

  • se faire passer pour un candidat ;
  • usurper l’identité d’un recruteur ;
  • envoyer un faux CV ou un faux dossier ;
  • utiliser un lien ou un document qui semble parfaitement légitime ;
  • profiter de la pression opérationnelle pour obtenir une action rapide.

En réalité, l’efficacité de l’attaque repose moins sur la sophistication du piège que sur le bon moment choisi.

Et ce bon moment, c’est souvent celui où tout le monde veut avancer.

RH, managers et recruteurs : un rôle clé dans la prévention

Quand on parle de recrutement et cybersécurité, il est essentiel de sortir d’une vision trop étroite. Les RH ne doivent pas devenir des experts sécurité. Ce n’est pas leur rôle.

En revanche, ils ont une responsabilité stratégique : structurer un cadre de confiance qui limite les contournements.

C’est là que leur impact est décisif.

Les équipes RH, les recruteurs et les managers peuvent contribuer à la prévention en posant des règles simples et compréhensibles par tous. Par exemple, il est utile de définir clairement :

  • quels canaux sont autorisés pour envoyer un dossier ;
  • quels formats sont acceptés ;
  • à quel moment un lien externe doit éveiller l’attention ;
  • comment signaler une demande inhabituelle sans ralentir tout le processus.

Ainsi, l’enjeu n’est pas de compliquer le recrutement. L’enjeu est de le rendre fiable.

Intégrer le recrutement dans la gestion du risque cyber

Dans beaucoup d’entreprises, la cybersécurité est encore perçue comme un sujet réservé à la DSI ou au RSSI. Pourtant, le recrutement et cybersécurité se rejoignent directement dès lors qu’on parle de confiance, de processus et de continuité d’activité.

Un recrutement mal cadré peut créer :

  • une exposition inutile à des contenus malveillants ;
  • une habitude de contournement des règles ;
  • une banalisation de l’urgence ;
  • une rupture entre les fonctions RH, métiers et sécurité.

À l’inverse, un recrutement bien structuré renforce la maturité de l’entreprise.

Il envoie un message clair : même dans un moment de pression, l’organisation ne dit pas “oui” à l’aveugle.

Ce que les RH peuvent mettre en place, sans jargon technique

Bonne nouvelle : il n’est pas nécessaire de transformer les recruteurs en analystes cyber.

En revanche, trois leviers sont particulièrement efficaces.

1. Clarifier les règles du jeu

Le premier réflexe consiste à formaliser un cadre simple : qui envoie quoi, par quel canal, et selon quelles règles.

Plus le cadre est clair, moins il laisse de place à l’improvisation.

2. Former aux signaux faibles

Il est ensuite utile de sensibiliser recruteurs et managers à quelques signaux concrets :

  • une urgence inhabituelle ;
  • une demande de contournement ;
  • un changement soudain de canal ;
  • un document inattendu ;
  • une pression discrète pour agir vite.

Ces signaux sont simples à comprendre. En revanche, ils doivent être travaillés dans des cas réels, proches du terrain.

3. Travailler avec le RSSI sur un process fluide

Enfin, le meilleur résultat vient souvent d’une coopération étroite entre RH et sécurité.

L’objectif n’est pas de ralentir le recrutement. Au contraire, il s’agit de construire un processus fluide, crédible et robuste.

Autrement dit, un processus qui fonctionne même quand les équipes sont pressées.

La vraie question pour les dirigeants

Au fond, le sujet n’est pas seulement :
“Nos équipes savent-elles repérer une attaque ?”

La vraie question est plutôt :
“Dans quels moments notre organisation dit-elle oui trop vite ?”

C’est cette question qui permet d’élever la discussion au niveau de la direction générale.

Parce qu’à ce niveau, on ne parle plus seulement d’outil ou de menace. On parle de gouvernance, de maîtrise du risque et de continuité de l’entreprise.

C’est aussi pour cela que le recrutement et cybersécurité constitue un excellent point d’entrée pour embarquer les dirigeants.

Ce que cela change pour un CISO ou un RSSI

Pour un CISO ou un RSSI, ce sujet est précieux. Il permet de créer un dialogue concret avec la DRH, les managers et le COMEX à partir d’une situation que tout le monde comprend.

Le recrutement parle à toute l’entreprise. Il touche à l’image, à l’efficacité opérationnelle, à la confiance et à l’organisation.

C’est donc un terrain particulièrement utile pour faire avancer la culture cyber sans passer par un discours trop technique.

👉 Pour aller plus loin, vous pouvez aussi lire notre article sur la sensibilisation des dirigeants à la cybersécurité.
👉 Et pour en savoir plus sur le lien entre la cybersécurité et les RH, consulter le site de l'ANDRH

Conclusion

Le recrutement n’est pas seulement un processus RH. C’est aussi un moment où l’entreprise ouvre une porte, accorde sa confiance et accepte de traiter vite des informations venues de l’extérieur.

C’est précisément pour cela que le lien entre recrutement et cybersécurité ne doit plus être ignoré.

Quand une organisation apprend à mieux cadrer ces moments-là, elle ne protège pas seulement ses recruteurs. Elle renforce sa capacité collective à décider avec discernement, même sous pression.

Et c’est souvent là que commence une vraie maturité cyber.

by anne.dore@adhel.fr

Qui tient vraiment le volant de la sécurité de l’IA en entreprise ?

Cybersécurité des projets IA : qui tient vraiment le volant ?

La cybersécurité des projets IA se joue dès le premier cadrage, pas à la fin du déploiement. Autrement dit, si personne ne peut dire stop au bon moment, l’entreprise accepte un risque sans le décider.

D’abord, l’IA élargit la surface d’attaque : données, prompts, modèles, agents, connecteurs. Ensuite, elle accélère les offensives : fraude, phishing, deepfakes et automatisation à grande échelle. Enfin, elle complique l’attribution et la maîtrise : un usage “innovant” peut devenir un point d’entrée, même si l’intention initiale reste positive.

Pourquoi la cybersécurité des projets IA échappe souvent à la gouvernance ?

Souvent, les métiers veulent aller vite. Ensuite, les équipes data optimisent la performance. Pendant ce temps, la sécurité arrive trop tard, quand l’architecture et le fournisseur verrouillent déjà les choix. Résultat : personne ne tranche clairement sur la tolérance au risque, alors que le projet engage la responsabilité de l’organisation.

Mettre une gouvernance simple et actionnable

Pour piloter, vous pouvez structurer la cybersécurité des projets IA autour de 5 blocs :

  • Données : classification, traçabilité, droits, et limitation des fuites.

  • Modèles : tests de dérive, évaluation d’exposition, et mesures contre prompt injection / empoisonnement.

  • Usages : règles d’emploi, validation humaine quand nécessaire, et documentation des décisions.

  • Fournisseurs : clauses, responsabilités, auditabilité, et réversibilité.

  • Supervision : observabilité, alertes, et exercices de réponse à incident orientés IA.

La question qui change tout : qui peut dire “stop” ?

Au final, la bonne gouvernance ne dépend pas d’un titre. Elle dépend d’un mandat clair : qui porte l’accountability et qui arbitre quand le business pousse ?

Et chez vous : qui a le pouvoir explicite de freiner un projet IA trop risqué, même s’il est déjà “sponsorisé” ?

by anne.dore@adhel.fr

Cybersécurité : quand elle devient un levier de décision stratégique

Cybersécurité : quand elle devient un levier de décision stratégique

Salle de réunion. À ce moment précis où le Directeur Général fait glisser le plan stratégique 2026–2030 au centre : objectifs de croissance, priorités, acquisitions possibles… puis le plan d’investissements associé.

Et, au milieu de tout ça — sans être invité — le risque cyber.

Ce n’est pas une annexe, ni un “sujet IT”.
Au contraire, c’est une variable qui change la discussion : ce qu’on finance, ce qu’on reporte, ce qu’on accepte comme risque… et ce qu’on refuse.

Aujourd’hui, la cybersécurité est un levier stratégique. Elle pèse sur la trajectoire, la réputation, la continuité d’activité et, surtout, la capacité d’une entreprise à tenir debout quand le réel frappe.

La vraie bascule : passer de “éviter l’attaque” à “tenir la crise”

Pendant longtemps, la question implicite était simple :
“Comment fait-on pour ne pas se faire attaquer ?”

Bien sûr, cette question reste importante.

Cependant, celle que les dirigeants doivent désormais porter est plus mature (et plus inconfortable) :
“Que se passe-t-il si ça arrive demain matin ?”

Car une crise cyber n’est pas seulement un incident technique.
En pratique, c’est une crise de fonctionnement : production, ventes, logistique, RH, finance, relation client… tout le monde est concerné.

La cyber-résilience, ce n’est donc pas une promesse magique. C’est, au contraire, une capacité très concrète à :

  • anticiper la crise avant qu’elle ne frappe,

  • prévoir comment l’entreprise fonctionne en mode dégradé,

  • décider ce qu’on protège en priorité,

  • organiser qui décide quoi, à quel moment, avec quelles informations.

Ainsi, on touche au cœur du sujet : la décision.

Le test des 72 heures : “On tient comment, sans panique ?”

Un exercice simple met souvent tout le monde d’accord :

“De quoi avons-nous besoin pour tenir 72 heures en mode dégradé ?”

Or 72 heures, ce n’est pas un chiffre au hasard. C’est fréquemment le temps nécessaire pour absorber le choc : sans certitude, avec des informations partielles, sous pression client (et parfois médiatique), et avec des systèmes indisponibles.

Pour être prête, une organisation résiliente a déjà travaillé, avant la crise :

  • des scénarios alignés sur les risques métiers,

  • un plan clair pour continuer à servir les clients, même sans certaines briques IT,

  • une gouvernance de crise simple : qui parle, qui arbitre, qui tranche.

Autrement dit : pas un classeur “PCA” qui rassure sur une étagère.
Mais un dispositif vivant, compris, approprié… et surtout testable.

Le rôle du CISO / RSSI : pas “faire peur”, faire projeter

Dans ce cadre, le rôle du CISO / RSSI change profondément.

Il ne s’agit pas d’alarmer, ni de jouer au messager de l’apocalypse.
Au contraire, il s’agit d’aider le COMEX à se projeter — et à projeter l’entreprise en conditions dégradées.

Les bonnes questions ne sont donc pas techniques. Elles sont opérationnelles et décisionnelles :

  • “Quels processus doivent survivre, quoi qu’il arrive ?”

  • “Qu’est-ce qu’on accepte d’arrêter… et pendant combien de temps ?”

  • “Qui décide, quand on manque d’informations fiables ?”

  • “Qu’est-ce qu’on dit aux clients, aux équipes, aux partenaires ?”

En clair : ce n’est pas un sujet d’IT.
C’est un sujet de leadership.

“Les grands groupes sont mieux préparés”… vraiment ?

On entend souvent :
“Les grands groupes, eux, savent faire.”

Parfois oui. Pourtant, souvent non.

Parce que la taille n’achète pas automatiquement :

  • l’alignement métiers,

  • la clarté de la gouvernance,

  • la répétition des réflexes,

  • la capacité à décider vite… sans se contredire.

Et surtout, dans beaucoup d’organisations (grandes ou non), il reste un angle mort :
les fonctions transverses et les métiers.

DAF, DRH, achats, opérations, communication, juridique…
Ont-ils réellement travaillé leur rôle en crise cyber ?

Pas “en théorie”.
Mais, concrètement : décisions, arbitrages, priorités, messages, modes de fonctionnement.

C’est là que se joue la différence entre une crise gérée… et une crise subie.

La question que les dirigeants doivent pouvoir trancher

Sans entrer dans des détails sensibles, un point mérite d’être posé clairement :

La question n’est pas “Sommes-nous protégés ?”
La question est “Sommes-nous prêts ?”

Être prêt, c’est continuer à délivrer une partie de la valeur, même abîmés.
C’est aussi trancher, malgré l’incertitude.
Enfin, c’est coordonner, même sous stress.

Alors, si vous posiez aujourd’hui ces questions autour de la table :

  • “Si nos systèmes critiques s’arrêtent demain matin, on fait quoi, heure par heure ?”

  • “Qui prend les décisions difficiles… et sur quelles priorités ?”

  • “Qu’est-ce qu’on protège en premier : facturation, production, relation client… et pourquoi ?”

S’il y a du silence, des regards fuyants ou des réponses vagues, ce n’est pas un échec.
Au contraire, c’est un signal.

Car la cybersécurité devient un levier stratégique exactement à cet endroit : quand l’entreprise sait décider vite, ensemble, et tenir en mode dégradé.

Pour aller plus loin sur votre site - consulter nos formations

Liens externes (sources de référence)

by anne.dore@adhel.fr

Gouvernance cyber IA : quand le risque cyber devient un risque de décision

Gouvernance cyber IA : quand le risque cyber devient un risque de décision

Le message arrive un lundi matin :
« C’est moi. Urgent. Fais le virement maintenant. »

La voix est parfaite. Le ton est celui du dirigeant.
Et pendant quelques secondes, tout le monde y croit.

C’est ça, le basculement : avec l’IA, la cyber n’est plus seulement un sujet “IT”.
C’est un risque de gouvernance, parce qu’il touche directement :

  • la qualité des décisions,

  • la confiance,

  • la réputation,

  • et la continuité du business.

Pourquoi l’IA change la gouvernance du risque cyber

L’IA rend les attaques plus crédibles, plus rapides et plus difficiles à vérifier.

Les deepfakes et voix clonées peuvent reproduire un dirigeant.
Les contenus synthétiques peuvent manipuler une situation (preuves, documents, échanges).
Et certains usages IA peuvent exposer des informations sensibles sans intention malveillante : un prompt, un copier-coller, un partage trop large.

Résultat : une entreprise peut être “bien équipée” côté technique… et se retrouver vulnérable à cause d’un élément humain : une décision prise sous pression, sur une information fausse.

Ce que la gouvernance doit changer (sans transformer la cyber en usine à gaz)

1) IA et cyber ne doivent plus être traitées comme deux sujets séparés

L’IA n’est pas juste un sujet d’innovation.
La cyber n’est pas juste un sujet informatique.

Les deux convergent : on parle de risque métier, avec des impacts concrets sur la stratégie, l’opérationnel et la confiance.

2) Les dirigeants doivent piloter les usages, pas seulement les outils

La question clé n’est pas : “Avons-nous une bonne solution ?”
C’est : “Où l’IA intervient-elle dans nos processus critiques ?”

Parce que c’est là que le risque se matérialise :

  • quand l’IA touche des données sensibles,

  • quand l’IA influence une décision (finance, RH, achats, juridique, production),

  • quand l’IA ouvre une dépendance à un fournisseur ou à une API.

3) La responsabilité doit être claire

Dans beaucoup d’organisations, le risque est dilué :
“C’est un sujet IT.” / “C’est un sujet innovation.” / “C’est un sujet métier.”

La gouvernance évite ça en posant une règle simple :

  • les métiers portent l’usage et la valeur,

  • le RSSI/CISO porte l’évaluation et les contrôles de sécurité,

  • la direction arbitre et assume l’appétence au risque.

La vraie question à mettre sur la table en CA / COMEX / CODIR

Pas : “Êtes-vous prêts à déployer l’IA ?”
Mais :

“Sommes-nous prêts à décider et agir dans un monde où le vrai peut être falsifié, et où l’IA peut multiplier nos surfaces d’attaque ?”

Parce qu’à ce niveau, ce n’est plus un sujet technique.
C’est un sujet de leadership.

by anne.dore@adhel.fr

Coût d’une cyberattaque : 466 000 € pour une PME, 13 M€ pour une ETI

Coût d’une cyberattaque : 466 000 € pour une PME, 13 M€ pour une ETI… qui assume vraiment ?

Le coût d’une cyberattaque n’est plus un sujet “IT”. C’est un choc business : arrêt d’activité, pertes d’exploitation, mobilisation de prestataires externes, remise en état du SI, tensions clients… et parfois un impact durable sur la confiance.

Coût d’une cyberattaque : les chiffres qui font basculer une discussion COMEX

On peut connaître ces ordres de grandeur… et pourtant, quand on les remet sur la table, ça recadre tout :

  • 466 000 € : coût moyen d’un incident cyber majeur pour une TPE / PME

  • 13 M€ : coût moyen pour une ETI

Ce qui compte ici, ce n’est pas le chiffre “pour faire peur”. C’est ce qu’il impose comme question de gouvernance : êtes-vous capables d’encaisser ce choc sans mettre l’entreprise à genoux ?

Répartition du coût d’une cyberattaque : pourquoi ce n’est pas la rançon le sujet

Quand on regarde la structure du coût d’une cyberattaque, on comprend vite : la rançon n’est qu’une ligne parmi d’autres.

  • 50 % : pertes d’exploitation (activité à l’arrêt)

  • 20 % : prestations externes (forensic, juridique, communication de crise…)

  • 20 % : remise en état (SI, outils, durcissement post-crise)

  • 10 % : impact réputationnel

Le vrai coût, c’est surtout :

  • du chiffre d’affaires perdu,

  • des semaines de désorganisation,

  • des décisions sous stress,

  • des échanges tendus avec clients, assureurs, partenaires, parfois régulateurs.

Coût d’une cyberattaque : la question simple que le COMEX doit trancher

La question n’est plus seulement : « Sommes-nous bien protégés ? »
Mais : « Sommes-nous prêts ? »

Voici le test le plus concret :

Combien coûte 5 jours d’arrêt réel chez vous ?

Pas un “arrêt théorique”. Un arrêt facturation / production / logistique / support.

  • Quel est le coût d’arrêt par jour ?

  • Quelles activités doivent redémarrer en premier ?

  • Qui décide quand l’information est incomplète ?

  • Quels sont les arbitrages acceptables (service minimal, contournements, priorités clients) ?

5 questions COMEX pour piloter le coût d’une cyberattaque (et pas seulement la technique)

  1. Quel est notre coût d’arrêt par jour (CA, pénalités, retards, surcoûts) ?

  2. Quel scénario nous met à l’arrêt le plus vite (AD, ERP, messagerie, IT/OT…) ?

  3. Qui est “owner” de la décision quand ça devient business (DG/DAF/DO/RSSI) ?

  4. Quels prestataires sont prêts (forensic, avocat, communication) avant la crise ?

  5. A-t-on déjà fait un exercice “pour de vrai” avec le COMEX ?

Conclusion : remettre le coût d’une cyberattaque au bon endroit (la gouvernance)

Rappeler le coût d’une cyberattaque ne sert pas à dramatiser. Ça sert à ramener la cyber là où elle est devenue incontournable : le pilotage du risque business.

Question directe : votre COMEX sait-il chiffrer noir sur blanc le coût d’une semaine d’arrêt… ou on préfère ne pas regarder ?

by anne.dore@adhel.fr