IA et cybersécurité : 7 règles de gouvernance pour éviter l’angle mort
Une scène banale… mais révélatrice
La scène est presque anodine.
En comité de direction, quelqu’un lance :
« On doit accélérer sur l’IA. »
Les échanges s’enchaînent : productivité, innovation, cas d’usage, compétitivité.
Puis la décision tombe : on y va.
Mais un point manque souvent à la discussion.
Un point pourtant structurant.
👉 La cybersécurité.
Et surtout : la gouvernance IA et cybersécurité.
Car l’IA n’est pas un simple outil.
C’est un accélérateur d’usages… donc un accélérateur de risques.
Pourquoi la gouvernance IA et cybersécurité devient un sujet Comex
D’un côté, les métiers avancent vite.
De l’autre, les cadres de contrôle peinent à suivre.
Pourtant, les risques sont déjà là :
- fuites d’informations via les prompts
- décisions automatisées mal maîtrisées
- dépendance à des fournisseurs opaques
- dérives non détectées
Autrement dit :
👉 ce n’est plus un sujet technique.
👉 c’est un sujet de gouvernance et de responsabilité dirigeant.
1. Décider des usages avant de déployer
Avant toute chose, il faut poser un cadre clair.
Quels usages sont :
- autorisés
- interdits
- sous conditions
Et surtout :
👉 qui décide ?
Sans arbitrage explicite, les usages se créent seuls.
Et le risque aussi.
2. Protéger ce qui sort dans les prompts
On pense souvent aux données dans le SI.
Mais avec l’IA, la vraie question devient :
👉 Qu’est-ce qui ne doit jamais être saisi dans un prompt ?
Informations sensibles, données clients, éléments stratégiques…
Tout ce qui sort peut potentiellement être exposé.
3. Gérer les accès et les traces comme pour un outil critique
L’IA doit être pilotée comme un actif sensible.
Cela implique :
- savoir qui utilise quoi
- comprendre dans quel contexte
- conserver un historique
Autrement dit :
👉 pas d’usage sans traçabilité.
4. Cadrer les fournisseurs et les modèles
Les solutions d’IA ne sont pas neutres.
Elles impliquent :
- des fournisseurs
- des modèles
- des chaînes de sous-traitance
Il faut donc anticiper :
- responsabilités
- conditions de sortie
- exigences contractuelles
Et très vite, une question arrive côté conformité :
👉 qui est responsable en cas d’incident ?
(NIS2, DORA, RGPD…)
5. Tester les dérives avant qu’elles ne deviennent un incident
Une IA peut :
- halluciner
- exposer des données
- être contournée
- produire des résultats incohérents
Ces dérives ne sont pas des exceptions.
👉 Elles doivent être testées, mesurées, surveillées.
Sinon, elles deviennent… des incidents.
6. Préparer une crise liée à l’IA
Une fuite via un prompt.
Une mauvaise décision automatisée.
Un usage non maîtrisé.
Ces situations arrivent plus vite qu’on ne le pense.
Il faut donc :
- un playbook dédié
- des scénarios concrets
- des exercices de gestion de crise
👉 L’IA doit entrer dans les dispositifs de crise cyber.
7. Former les décideurs, pas seulement les équipes
Quand un incident survient, tout s’accélère.
Les équipes techniques proposent.
Les métiers évaluent.
Mais ce sont les dirigeants qui arbitrent.
👉 Sans compréhension des enjeux IA + cyber,
la décision devient fragile.
Former le Comex, ce n’est pas du confort.
C’est un levier de maîtrise du risque.
En clair : piloter l’IA comme un risque stratégique
L’IA ne doit pas être traitée comme :
- une expérimentation isolée
- un sujet uniquement métier
Mais comme :
👉 un enjeu de gouvernance IA et cybersécurité
👉 un levier de résilience globale
Sinon, le risque n’est pas technique.
C’est une erreur de gouvernance.
Future of Work et cybersécurité : une vision d’entreprise (pas un projet IT)
Début d’année, les organisations fixent leurs priorités : croissance, performance, transformation.
Mais une question reste souvent absente : quel objectif protège tous les autres ?
👉 En réalité, la réponse est simple — et encore sous-estimée : la cybersécurité.
Dans un contexte de Future of Work, elle ne peut plus être traitée comme un sujet technique.
Au contraire, elle devient un levier de gouvernance, au cœur du fonctionnement de l’entreprise.
Des utilisateurs acteurs de la cybersécurité
Longtemps, les entreprises ont “sensibilisé” leurs collaborateurs.
Cependant, cela ne suffit plus.
Dans le Future of Work, les utilisateurs deviennent acteurs et responsables :
- D’abord, ils comprennent les risques concrets (fraude, arrêt d’activité, fuite de données)
- Ensuite, ils connaissent leurs droits et devoirs numériques
- Enfin, ils adoptent les bons réflexes, non par contrainte, mais par compréhension
👉 Ainsi, l’enjeu n’est plus de cocher une case, mais de faire monter en compétence durablement.
Une cybersécurité intégrée aux usages métiers
Une cybersécurité efficace ne doit pas ralentir le travail.
Au contraire, elle doit s’intégrer naturellement dans les gestes du quotidien.
Pour cela :
- Par exemple, les outils doivent être alignés avec les pratiques terrain
- De plus, les règles doivent rester simples et applicables
- Enfin, les arbitrages doivent tenir compte des contraintes opérationnelles
👉 En pratique, dans les organisations résilientes, le bon usage est le plus simple.
Sinon, il est contourné.
Une organisation prête à gérer une crise cyber
Le Future of Work implique une réalité souvent évitée : les crises cyber ne sont plus une exception.
Dès lors, les entreprises doivent être prêtes à :
- détecter rapidement une attaque
- puis contenir les impacts
- ensuite maintenir l’activité
- et enfin communiquer efficacement
Cela suppose :
- D’une part, des dirigeants formés aux spécificités du risque cyber
- D’autre part, une gouvernance claire : qui décide, qui arbitre, qui communique
- Enfin, des scénarios de crise testés régulièrement
👉 Au final, la cybersécurité devient un sujet de résilience opérationnelle.
Une IA maîtrisée et responsable
L’IA transforme déjà le travail.
Toutefois, sans cadre, elle devient un risque.
Par exemple :
- fuite de données sensibles
- décisions automatisées mal comprises
- responsabilité floue
Ainsi, dans une approche mature :
- les usages sont définis
- les données sont protégées
- les responsabilités sont clarifiées
👉 Autrement dit, l’IA n’est pas seulement un outil, mais un nouveau périmètre de gouvernance cyber.
RH, SI et métiers : une gouvernance alignée
Le Future of Work n’est pas un sujet technologique.
En réalité, c’est un sujet culturel, organisationnel et stratégique.
Les organisations les plus avancées partagent un point commun :
RH, SI et métiers travaillent ensemble.
De plus, ce cadre est porté par le COMEX.
👉 Sans alignement, la cybersécurité reste fragmentée.
👉 À l’inverse, avec alignement, elle devient un levier de transformation.
Cybersécurité et Future of Work : un enjeu de gouvernance
En définitive, le Future of Work pose une question simple :
travaille-t-on différemment… ou gouverne-t-on différemment ?
Car cybersécurité et IA sont désormais indissociables.
Par conséquent, elles façonnent :
- les modes de travail
- les décisions
- la performance
- la confiance
💬 Et dans votre organisation ?
Aujourd’hui, le Future of Work est-il :
👉 un sujet de gouvernance
👉 ou un sujet d’outils ?
Prenez un instant pour y répondre.
👉 La réponse dit beaucoup de votre maturité cyber.
Les 7 résolutions cyber pour piloter le risque en 2026
1. Faire du RSSI un partenaire stratégique
Le RSSI ne peut plus être uniquement sollicité en bout de chaîne. Les résolutions cyber DG doivent désormais s'inscrire dans la stratégie globale de l'entreprise. Les résolutions cyber DG structurent donc une nouvelle vision de la gouvernance.
Il doit être intégré au pilotage régulier de l’entreprise, avec un rôle clair :
- éclairer les décisions
- objectiver les risques
- proposer des arbitrages
Un point structuré entre DG et RSSI permet de transformer la cyber en levier de décision, et non en contrainte technique. D'ailleurs, toute démarche de résilience inclut aujourd'hui les résolutions cyber DG comme axes majeurs d'action.
2. Parler cyber en enjeux métier
La cybersécurité ne se pilote pas avec des indicateurs techniques seuls.
Elle doit être traduite en impacts concrets :
- arrêt de production
- perte de chiffre d’affaires
- atteinte à la réputation
- risques réglementaires (NIS2, DORA, RGPD)
Ce changement de langage est clé pour embarquer le COMEX et aligner les priorités.
3. Piloter la cyber comme un enjeu de résilience
La bonne question n’est plus : “Sommes-nous protégés ?”
Mais plutôt :
- Combien de temps pour détecter une attaque ?
- Combien de temps pour la contenir ?
- Combien de temps pour redémarrer ?
La cybersécurité devient une capacité à encaisser un choc et à continuer à opérer.
4. Ancrer la cyber dans la continuité d’activité
Toutes les activités ne se valent pas.
Il est essentiel d’identifier :
- les fonctions critiques
- les priorités de redémarrage
- les dépendances clés
La cybersécurité doit être intégrée aux plans de continuité et de reprise d’activité, avec des scénarios réalistes. Ainsi, intégrer les résolutions cyber DG au sein du plan d'action global garantit une meilleure anticipation des risques.
5. Former les dirigeants à la gestion de crise cyber
En situation de crise, les décisions ne sont pas techniques.
Elles sont stratégiques, humaines et parfois politiques :
- faut-il arrêter une activité ?
- que dire aux clients ?
- quand communiquer ?
Sans préparation, même les meilleures équipes peuvent être déstabilisées.
Former les dirigeants, c’est renforcer la capacité de l’entreprise à tenir dans la tempête.
6. Développer une culture cyber dans toute l’entreprise
La cybersécurité ne repose pas uniquement sur des experts. Par conséquent, les résolutions cyber DG participent activement à l'évolution de cette culture de sécurité partagée.
Elle dépend du comportement de chacun :
- vigilance face aux emails
- gestion des accès
- respect des bonnes pratiques
Pour être efficace, cette culture doit être :
- simple
- concrète
- répétée dans le temps
L’objectif n’est pas de culpabiliser, mais de responsabiliser.
7. Encadrer l’IA avec une gouvernance cyber
L’IA accélère les usages… mais aussi les risques.
Sans cadre clair, elle peut exposer :
- des données sensibles
- des accès critiques
- des dépendances fournisseurs
Avant d’accélérer, il est essentiel de définir :
- les règles d’usage
- les niveaux d’accès
- les contrôles associés
L’IA doit être pensée comme un levier maîtrisé, pas comme un risque subi.
Installer la cybersécurité dans la durée
Il ne s’agit pas de tout transformer en une fois.
Mais de :
- commencer, même imparfaitement
- intégrer la cyber dans les instances de gouvernance
- revisiter régulièrement les priorités
La cybersécurité n’est pas un projet ponctuel.
C’est une discipline de pilotage dans la durée. Pour assurer cette continuité, suivre les résolutions cyber DG offre un cadre pertinent et structurant.
Conclusion
Les entreprises ne pourront pas éviter toutes les crises cyber.
Mais elles peuvent :
- en réduire fortement la probabilité
- en limiter l’impact
- et surtout, mieux les traverser
En 2026, la vraie différence ne se fera pas sur les outils.
Elle se fera sur la capacité des dirigeants à piloter le risque cyber comme un enjeu business à part entière.
Pour en savoir consulter cet article Le DG et le CISO : une alliance à construire (de toute urgence)
Recrutement et cybersécurité : un risque sous-estimé
Un message arrive tôt le matin :
« Peux-tu ouvrir le dossier du candidat avant 10h ? » Cette demande illustre à quel point recrutement et cybersécurité deviennent étroitement liés aujourd’hui.
À première vue, tout semble normal. Le canal paraît légitime. Le contexte est crédible. La demande semble urgente, mais cohérente avec le quotidien d’un recrutement. Bref, rien ne choque.
Et pourtant, c’est souvent exactement dans ce type de moment que le risque s’installe.
Le sujet du recrutement et cybersécurité reste encore trop peu traité dans les organisations. On parle beaucoup de phishing, de ransomware ou de crise cyber. En revanche, on oublie souvent qu’un processus RH peut devenir une porte d’entrée idéale pour un attaquant.
Or, ce n’est pas un détail. C’est un angle mort.
Pourquoi le recrutement est un moment de vulnérabilité
Une attaque liée au recrutement ne repose pas forcément sur une faille technique complexe. Bien souvent, elle s’appuie sur un mécanisme beaucoup plus simple : la confiance.
Dans un contexte de recrutement, plusieurs éléments favorisent cette baisse de vigilance :
- les échanges sont fréquents et rapides ;
- les pièces jointes sont attendues ;
- les interlocuteurs sont parfois inconnus ;
- l’urgence paraît normale ;
- le recruteur ou le manager pense traiter un dossier de travail.
Autrement dit, le contexte lui-même rend la demande crédible.
C’est précisément pour cela que le lien entre recrutement et cybersécurité mérite d’être traité comme un vrai sujet de risque métier, et non comme une simple question technique.
Les attaquants exploitent un réflexe humain, pas seulement un système
Ce type de scénario fonctionne parce qu’il active un réflexe courant : répondre vite pour ne pas bloquer le process.
L’attaquant peut alors :
- se faire passer pour un candidat ;
- usurper l’identité d’un recruteur ;
- envoyer un faux CV ou un faux dossier ;
- utiliser un lien ou un document qui semble parfaitement légitime ;
- profiter de la pression opérationnelle pour obtenir une action rapide.
En réalité, l’efficacité de l’attaque repose moins sur la sophistication du piège que sur le bon moment choisi.
Et ce bon moment, c’est souvent celui où tout le monde veut avancer.
RH, managers et recruteurs : un rôle clé dans la prévention
Quand on parle de recrutement et cybersécurité, il est essentiel de sortir d’une vision trop étroite. Les RH ne doivent pas devenir des experts sécurité. Ce n’est pas leur rôle.
En revanche, ils ont une responsabilité stratégique : structurer un cadre de confiance qui limite les contournements.
C’est là que leur impact est décisif.
Les équipes RH, les recruteurs et les managers peuvent contribuer à la prévention en posant des règles simples et compréhensibles par tous. Par exemple, il est utile de définir clairement :
- quels canaux sont autorisés pour envoyer un dossier ;
- quels formats sont acceptés ;
- à quel moment un lien externe doit éveiller l’attention ;
- comment signaler une demande inhabituelle sans ralentir tout le processus.
Ainsi, l’enjeu n’est pas de compliquer le recrutement. L’enjeu est de le rendre fiable.
Intégrer le recrutement dans la gestion du risque cyber
Dans beaucoup d’entreprises, la cybersécurité est encore perçue comme un sujet réservé à la DSI ou au RSSI. Pourtant, le recrutement et cybersécurité se rejoignent directement dès lors qu’on parle de confiance, de processus et de continuité d’activité.
Un recrutement mal cadré peut créer :
- une exposition inutile à des contenus malveillants ;
- une habitude de contournement des règles ;
- une banalisation de l’urgence ;
- une rupture entre les fonctions RH, métiers et sécurité.
À l’inverse, un recrutement bien structuré renforce la maturité de l’entreprise.
Il envoie un message clair : même dans un moment de pression, l’organisation ne dit pas “oui” à l’aveugle.
Ce que les RH peuvent mettre en place, sans jargon technique
Bonne nouvelle : il n’est pas nécessaire de transformer les recruteurs en analystes cyber.
En revanche, trois leviers sont particulièrement efficaces.
1. Clarifier les règles du jeu
Le premier réflexe consiste à formaliser un cadre simple : qui envoie quoi, par quel canal, et selon quelles règles.
Plus le cadre est clair, moins il laisse de place à l’improvisation.
2. Former aux signaux faibles
Il est ensuite utile de sensibiliser recruteurs et managers à quelques signaux concrets :
- une urgence inhabituelle ;
- une demande de contournement ;
- un changement soudain de canal ;
- un document inattendu ;
- une pression discrète pour agir vite.
Ces signaux sont simples à comprendre. En revanche, ils doivent être travaillés dans des cas réels, proches du terrain.
3. Travailler avec le RSSI sur un process fluide
Enfin, le meilleur résultat vient souvent d’une coopération étroite entre RH et sécurité.
L’objectif n’est pas de ralentir le recrutement. Au contraire, il s’agit de construire un processus fluide, crédible et robuste.
Autrement dit, un processus qui fonctionne même quand les équipes sont pressées.
La vraie question pour les dirigeants
Au fond, le sujet n’est pas seulement :
“Nos équipes savent-elles repérer une attaque ?”
La vraie question est plutôt :
“Dans quels moments notre organisation dit-elle oui trop vite ?”
C’est cette question qui permet d’élever la discussion au niveau de la direction générale.
Parce qu’à ce niveau, on ne parle plus seulement d’outil ou de menace. On parle de gouvernance, de maîtrise du risque et de continuité de l’entreprise.
C’est aussi pour cela que le recrutement et cybersécurité constitue un excellent point d’entrée pour embarquer les dirigeants.
Ce que cela change pour un CISO ou un RSSI
Pour un CISO ou un RSSI, ce sujet est précieux. Il permet de créer un dialogue concret avec la DRH, les managers et le COMEX à partir d’une situation que tout le monde comprend.
Le recrutement parle à toute l’entreprise. Il touche à l’image, à l’efficacité opérationnelle, à la confiance et à l’organisation.
C’est donc un terrain particulièrement utile pour faire avancer la culture cyber sans passer par un discours trop technique.
👉 Pour aller plus loin, vous pouvez aussi lire notre article sur la sensibilisation des dirigeants à la cybersécurité.
👉 Et pour en savoir plus sur le lien entre la cybersécurité et les RH, consulter le site de l'ANDRH
Conclusion
Le recrutement n’est pas seulement un processus RH. C’est aussi un moment où l’entreprise ouvre une porte, accorde sa confiance et accepte de traiter vite des informations venues de l’extérieur.
C’est précisément pour cela que le lien entre recrutement et cybersécurité ne doit plus être ignoré.
Quand une organisation apprend à mieux cadrer ces moments-là, elle ne protège pas seulement ses recruteurs. Elle renforce sa capacité collective à décider avec discernement, même sous pression.
Et c’est souvent là que commence une vraie maturité cyber.
Renforcer la relation cybersécurité / métiers : retour sur la 1ère masterclass Cybercoach (Le Monde Informatique)
Renforcer la relation cybersécurité / métiers : retour sur la 1ère masterclass Cybercoach (Le Monde Informatique)
La cybersécurité ne se gagne pas uniquement avec des outils. Elle se gagne surtout avec une relation de confiance, tout comme la relation cybersécurité / métiers peut renforcer la sécurité globale.
Et c’est exactement ce qui m’a marqué lors de la 1ère édition de la masterclass #Cybercoach / Le Monde Informatique, centrée sur une question simple… mais décisive : comment améliorer la relation cybersécurité / métiers au sein des organisations ?
Quels leviers d’actions pour renforcer la relation Cyber / Métiers (et Cyber / Comex) ?
Cette question — Quels leviers d’actions pour renforcer la relation Cyber / Métiers (et Cyber / Comex) ? — amène à repenser la relation cybersécurité / métiers, au-delà des outils, des processus et des exigences de conformité.
Parce que dans la réalité du terrain, la sécurité progresse vraiment quand la cybersécurité et les métiers arrivent à :
-
mieux se comprendre,
-
mieux s’aligner sur les priorités,
-
et construire une confiance durable dans les décisions.
Une masterclass opérationnelle, animée par Olivier Corrédo
Anne Doré a eu le plaisir d’y participer, dans un format vivant et très opérationnel, animé par Olivier Corrédo. D’ailleurs, la relation cybersécurité / métiers a été au cœur de nombreux échanges tout au long de cet événement.
Ce type de session montre à quel point le sujet n’est pas “technique” : il est avant tout humain, organisationnel et stratégique, car il concerne directement la manière dont les organisations arbitrent, décident et avancent… sans s’exposer inutilement.
.
Qui tient vraiment le volant de la sécurité de l’IA en entreprise ?
Cybersécurité des projets IA : qui tient vraiment le volant ?
La cybersécurité des projets IA se joue dès le premier cadrage, pas à la fin du déploiement. Autrement dit, si personne ne peut dire stop au bon moment, l’entreprise accepte un risque sans le décider.
D’abord, l’IA élargit la surface d’attaque : données, prompts, modèles, agents, connecteurs. Ensuite, elle accélère les offensives : fraude, phishing, deepfakes et automatisation à grande échelle. Enfin, elle complique l’attribution et la maîtrise : un usage “innovant” peut devenir un point d’entrée, même si l’intention initiale reste positive.
Pourquoi la cybersécurité des projets IA échappe souvent à la gouvernance ?
Souvent, les métiers veulent aller vite. Ensuite, les équipes data optimisent la performance. Pendant ce temps, la sécurité arrive trop tard, quand l’architecture et le fournisseur verrouillent déjà les choix. Résultat : personne ne tranche clairement sur la tolérance au risque, alors que le projet engage la responsabilité de l’organisation.
Mettre une gouvernance simple et actionnable
Pour piloter, vous pouvez structurer la cybersécurité des projets IA autour de 5 blocs :
-
Données : classification, traçabilité, droits, et limitation des fuites.
-
Modèles : tests de dérive, évaluation d’exposition, et mesures contre prompt injection / empoisonnement.
-
Usages : règles d’emploi, validation humaine quand nécessaire, et documentation des décisions.
-
Fournisseurs : clauses, responsabilités, auditabilité, et réversibilité.
-
Supervision : observabilité, alertes, et exercices de réponse à incident orientés IA.
La question qui change tout : qui peut dire “stop” ?
Au final, la bonne gouvernance ne dépend pas d’un titre. Elle dépend d’un mandat clair : qui porte l’accountability et qui arbitre quand le business pousse ?
Et chez vous : qui a le pouvoir explicite de freiner un projet IA trop risqué, même s’il est déjà “sponsorisé” ?
Cybersécurité : quand elle devient un levier de décision stratégique
Cybersécurité : quand elle devient un levier de décision stratégique
Salle de réunion. À ce moment précis où le Directeur Général fait glisser le plan stratégique 2026–2030 au centre : objectifs de croissance, priorités, acquisitions possibles… puis le plan d’investissements associé.
Et, au milieu de tout ça — sans être invité — le risque cyber.
Ce n’est pas une annexe, ni un “sujet IT”.
Au contraire, c’est une variable qui change la discussion : ce qu’on finance, ce qu’on reporte, ce qu’on accepte comme risque… et ce qu’on refuse.
Aujourd’hui, la cybersécurité est un levier stratégique. Elle pèse sur la trajectoire, la réputation, la continuité d’activité et, surtout, la capacité d’une entreprise à tenir debout quand le réel frappe.
La vraie bascule : passer de “éviter l’attaque” à “tenir la crise”
Pendant longtemps, la question implicite était simple :
“Comment fait-on pour ne pas se faire attaquer ?”
Bien sûr, cette question reste importante.
Cependant, celle que les dirigeants doivent désormais porter est plus mature (et plus inconfortable) :
“Que se passe-t-il si ça arrive demain matin ?”
Car une crise cyber n’est pas seulement un incident technique.
En pratique, c’est une crise de fonctionnement : production, ventes, logistique, RH, finance, relation client… tout le monde est concerné.
La cyber-résilience, ce n’est donc pas une promesse magique. C’est, au contraire, une capacité très concrète à :
-
anticiper la crise avant qu’elle ne frappe,
-
prévoir comment l’entreprise fonctionne en mode dégradé,
-
décider ce qu’on protège en priorité,
-
organiser qui décide quoi, à quel moment, avec quelles informations.
Ainsi, on touche au cœur du sujet : la décision.
Le test des 72 heures : “On tient comment, sans panique ?”
Un exercice simple met souvent tout le monde d’accord :
“De quoi avons-nous besoin pour tenir 72 heures en mode dégradé ?”
Or 72 heures, ce n’est pas un chiffre au hasard. C’est fréquemment le temps nécessaire pour absorber le choc : sans certitude, avec des informations partielles, sous pression client (et parfois médiatique), et avec des systèmes indisponibles.
Pour être prête, une organisation résiliente a déjà travaillé, avant la crise :
-
des scénarios alignés sur les risques métiers,
-
un plan clair pour continuer à servir les clients, même sans certaines briques IT,
-
une gouvernance de crise simple : qui parle, qui arbitre, qui tranche.
Autrement dit : pas un classeur “PCA” qui rassure sur une étagère.
Mais un dispositif vivant, compris, approprié… et surtout testable.
Le rôle du CISO / RSSI : pas “faire peur”, faire projeter
Dans ce cadre, le rôle du CISO / RSSI change profondément.
Il ne s’agit pas d’alarmer, ni de jouer au messager de l’apocalypse.
Au contraire, il s’agit d’aider le COMEX à se projeter — et à projeter l’entreprise en conditions dégradées.
Les bonnes questions ne sont donc pas techniques. Elles sont opérationnelles et décisionnelles :
-
“Quels processus doivent survivre, quoi qu’il arrive ?”
-
“Qu’est-ce qu’on accepte d’arrêter… et pendant combien de temps ?”
-
“Qui décide, quand on manque d’informations fiables ?”
-
“Qu’est-ce qu’on dit aux clients, aux équipes, aux partenaires ?”
En clair : ce n’est pas un sujet d’IT.
C’est un sujet de leadership.
“Les grands groupes sont mieux préparés”… vraiment ?
On entend souvent :
“Les grands groupes, eux, savent faire.”
Parfois oui. Pourtant, souvent non.
Parce que la taille n’achète pas automatiquement :
-
l’alignement métiers,
-
la clarté de la gouvernance,
-
la répétition des réflexes,
-
la capacité à décider vite… sans se contredire.
Et surtout, dans beaucoup d’organisations (grandes ou non), il reste un angle mort :
les fonctions transverses et les métiers.
DAF, DRH, achats, opérations, communication, juridique…
Ont-ils réellement travaillé leur rôle en crise cyber ?
Pas “en théorie”.
Mais, concrètement : décisions, arbitrages, priorités, messages, modes de fonctionnement.
C’est là que se joue la différence entre une crise gérée… et une crise subie.
La question que les dirigeants doivent pouvoir trancher
Sans entrer dans des détails sensibles, un point mérite d’être posé clairement :
La question n’est pas “Sommes-nous protégés ?”
La question est “Sommes-nous prêts ?”
Être prêt, c’est continuer à délivrer une partie de la valeur, même abîmés.
C’est aussi trancher, malgré l’incertitude.
Enfin, c’est coordonner, même sous stress.
Alors, si vous posiez aujourd’hui ces questions autour de la table :
-
“Si nos systèmes critiques s’arrêtent demain matin, on fait quoi, heure par heure ?”
-
“Qui prend les décisions difficiles… et sur quelles priorités ?”
-
“Qu’est-ce qu’on protège en premier : facturation, production, relation client… et pourquoi ?”
S’il y a du silence, des regards fuyants ou des réponses vagues, ce n’est pas un échec.
Au contraire, c’est un signal.
Car la cybersécurité devient un levier stratégique exactement à cet endroit : quand l’entreprise sait décider vite, ensemble, et tenir en mode dégradé.
Pour aller plus loin sur votre site - consulter nos formations
Liens externes (sources de référence)
Gouvernance cyber IA : quand le risque cyber devient un risque de décision
Gouvernance cyber IA : quand le risque cyber devient un risque de décision
Le message arrive un lundi matin :
« C’est moi. Urgent. Fais le virement maintenant. »
La voix est parfaite. Le ton est celui du dirigeant.
Et pendant quelques secondes, tout le monde y croit.
C’est ça, le basculement : avec l’IA, la cyber n’est plus seulement un sujet “IT”.
C’est un risque de gouvernance, parce qu’il touche directement :
-
la qualité des décisions,
-
la confiance,
-
la réputation,
-
et la continuité du business.
Pourquoi l’IA change la gouvernance du risque cyber
L’IA rend les attaques plus crédibles, plus rapides et plus difficiles à vérifier.
Les deepfakes et voix clonées peuvent reproduire un dirigeant.
Les contenus synthétiques peuvent manipuler une situation (preuves, documents, échanges).
Et certains usages IA peuvent exposer des informations sensibles sans intention malveillante : un prompt, un copier-coller, un partage trop large.
Résultat : une entreprise peut être “bien équipée” côté technique… et se retrouver vulnérable à cause d’un élément humain : une décision prise sous pression, sur une information fausse.
Ce que la gouvernance doit changer (sans transformer la cyber en usine à gaz)
1) IA et cyber ne doivent plus être traitées comme deux sujets séparés
L’IA n’est pas juste un sujet d’innovation.
La cyber n’est pas juste un sujet informatique.
Les deux convergent : on parle de risque métier, avec des impacts concrets sur la stratégie, l’opérationnel et la confiance.
2) Les dirigeants doivent piloter les usages, pas seulement les outils
La question clé n’est pas : “Avons-nous une bonne solution ?”
C’est : “Où l’IA intervient-elle dans nos processus critiques ?”
Parce que c’est là que le risque se matérialise :
-
quand l’IA touche des données sensibles,
-
quand l’IA influence une décision (finance, RH, achats, juridique, production),
-
quand l’IA ouvre une dépendance à un fournisseur ou à une API.
3) La responsabilité doit être claire
Dans beaucoup d’organisations, le risque est dilué :
“C’est un sujet IT.” / “C’est un sujet innovation.” / “C’est un sujet métier.”
La gouvernance évite ça en posant une règle simple :
-
les métiers portent l’usage et la valeur,
-
le RSSI/CISO porte l’évaluation et les contrôles de sécurité,
-
la direction arbitre et assume l’appétence au risque.
La vraie question à mettre sur la table en CA / COMEX / CODIR
Pas : “Êtes-vous prêts à déployer l’IA ?”
Mais :
“Sommes-nous prêts à décider et agir dans un monde où le vrai peut être falsifié, et où l’IA peut multiplier nos surfaces d’attaque ?”
Parce qu’à ce niveau, ce n’est plus un sujet technique.
C’est un sujet de leadership.