Cybersécurité : quand elle devient un levier de décision stratégique
Salle de réunion. À ce moment précis où le Directeur Général fait glisser le plan stratégique 2026–2030 au centre : objectifs de croissance, priorités, acquisitions possibles… puis le plan d’investissements associé.
Et, au milieu de tout ça — sans être invité — le risque cyber.
Ce n’est pas une annexe, ni un “sujet IT”.
Au contraire, c’est une variable qui change la discussion : ce qu’on finance, ce qu’on reporte, ce qu’on accepte comme risque… et ce qu’on refuse.
Aujourd’hui, la cybersécurité est un levier stratégique. Elle pèse sur la trajectoire, la réputation, la continuité d’activité et, surtout, la capacité d’une entreprise à tenir debout quand le réel frappe.
La vraie bascule : passer de “éviter l’attaque” à “tenir la crise”
Pendant longtemps, la question implicite était simple :
“Comment fait-on pour ne pas se faire attaquer ?”
Bien sûr, cette question reste importante.
Cependant, celle que les dirigeants doivent désormais porter est plus mature (et plus inconfortable) :
“Que se passe-t-il si ça arrive demain matin ?”
Car une crise cyber n’est pas seulement un incident technique.
En pratique, c’est une crise de fonctionnement : production, ventes, logistique, RH, finance, relation client… tout le monde est concerné.
La cyber-résilience, ce n’est donc pas une promesse magique. C’est, au contraire, une capacité très concrète à :
-
anticiper la crise avant qu’elle ne frappe,
-
prévoir comment l’entreprise fonctionne en mode dégradé,
-
décider ce qu’on protège en priorité,
-
organiser qui décide quoi, à quel moment, avec quelles informations.
Ainsi, on touche au cœur du sujet : la décision.
Le test des 72 heures : “On tient comment, sans panique ?”
Un exercice simple met souvent tout le monde d’accord :
“De quoi avons-nous besoin pour tenir 72 heures en mode dégradé ?”
Or 72 heures, ce n’est pas un chiffre au hasard. C’est fréquemment le temps nécessaire pour absorber le choc : sans certitude, avec des informations partielles, sous pression client (et parfois médiatique), et avec des systèmes indisponibles.
Pour être prête, une organisation résiliente a déjà travaillé, avant la crise :
-
des scénarios alignés sur les risques métiers,
-
un plan clair pour continuer à servir les clients, même sans certaines briques IT,
-
une gouvernance de crise simple : qui parle, qui arbitre, qui tranche.
Autrement dit : pas un classeur “PCA” qui rassure sur une étagère.
Mais un dispositif vivant, compris, approprié… et surtout testable.
Le rôle du CISO / RSSI : pas “faire peur”, faire projeter
Dans ce cadre, le rôle du CISO / RSSI change profondément.
Il ne s’agit pas d’alarmer, ni de jouer au messager de l’apocalypse.
Au contraire, il s’agit d’aider le COMEX à se projeter — et à projeter l’entreprise en conditions dégradées.
Les bonnes questions ne sont donc pas techniques. Elles sont opérationnelles et décisionnelles :
-
“Quels processus doivent survivre, quoi qu’il arrive ?”
-
“Qu’est-ce qu’on accepte d’arrêter… et pendant combien de temps ?”
-
“Qui décide, quand on manque d’informations fiables ?”
-
“Qu’est-ce qu’on dit aux clients, aux équipes, aux partenaires ?”
En clair : ce n’est pas un sujet d’IT.
C’est un sujet de leadership.
“Les grands groupes sont mieux préparés”… vraiment ?
On entend souvent :
“Les grands groupes, eux, savent faire.”
Parfois oui. Pourtant, souvent non.
Parce que la taille n’achète pas automatiquement :
-
l’alignement métiers,
-
la clarté de la gouvernance,
-
la répétition des réflexes,
-
la capacité à décider vite… sans se contredire.
Et surtout, dans beaucoup d’organisations (grandes ou non), il reste un angle mort :
les fonctions transverses et les métiers.
DAF, DRH, achats, opérations, communication, juridique…
Ont-ils réellement travaillé leur rôle en crise cyber ?
Pas “en théorie”.
Mais, concrètement : décisions, arbitrages, priorités, messages, modes de fonctionnement.
C’est là que se joue la différence entre une crise gérée… et une crise subie.
La question que les dirigeants doivent pouvoir trancher
Sans entrer dans des détails sensibles, un point mérite d’être posé clairement :
La question n’est pas “Sommes-nous protégés ?”
La question est “Sommes-nous prêts ?”
Être prêt, c’est continuer à délivrer une partie de la valeur, même abîmés.
C’est aussi trancher, malgré l’incertitude.
Enfin, c’est coordonner, même sous stress.
Alors, si vous posiez aujourd’hui ces questions autour de la table :
-
“Si nos systèmes critiques s’arrêtent demain matin, on fait quoi, heure par heure ?”
-
“Qui prend les décisions difficiles… et sur quelles priorités ?”
-
“Qu’est-ce qu’on protège en premier : facturation, production, relation client… et pourquoi ?”
S’il y a du silence, des regards fuyants ou des réponses vagues, ce n’est pas un échec.
Au contraire, c’est un signal.
Car la cybersécurité devient un levier stratégique exactement à cet endroit : quand l’entreprise sait décider vite, ensemble, et tenir en mode dégradé.
