Risque cyber : l’angle mort du COMEX quand tout s’accélère

La scène est devenue banale. Une salle de réunion, des enjeux lourds, des décisions à prendre vite. Le COMEX parle géopolitique, climat, énergie, supply chain, finance. Bref, il parle risques stratégiques.

Puis vient la cyber. Et, souvent, elle change de planète : un slide “IT”, une liste de vulnérabilités, un point “patching”. On écoute poliment… puis on revient au business.

Pourtant, le risque cyber stratégique n’est plus un sujet “à côté”. Aujourd’hui, il amplifie les autres crises. Et quand on le traite à part, on prend des décisions avec une partie du risque invisible.

Géopolitique, climat, supply chain : pourquoi la cyber est devenue le facteur X

Les risques majeurs ne s’additionnent plus. Ils se combinent.

  • Une crise géopolitique peut exposer des filiales, des pays, des prestataires, ou des chaînes logistiques à des attaques opportunistes.

  • Une tension sur la supply chain augmente la dépendance à des partenaires, parfois moins matures, qui deviennent un point d’entrée.

  • Un épisode climatique (inondation, canicule, tempête, tension énergétique) fragilise l’exploitation : procédures dégradées, urgences opérationnelles, contournements… donc une surface d’attaque plus simple.

Autrement dit : la cyber accélère la crise au lieu de rester un risque isolé.

Le vrai problème : on parle cyber “technique” au lieu de parler cyber “business”

Le COMEX sait arbitrer. Il sait gérer l’incertitude. Il sait prioriser.

Mais il décide mieux quand le sujet est exprimé en langage de pilotage :

  • impacts opérationnels (arrêt de production, indisponibilité SI, rupture service),

  • impacts financiers (perte de CA, pénalités, coûts de remédiation),

  • impacts juridiques et réputationnels,

  • impacts sur la stratégie (acquisition, expansion, dépendances, partenaires).

Quand la cyber arrive sous forme “technique”, elle devient un sujet secondaire. Non pas parce qu’elle n’est pas importante, mais parce qu’elle n’est pas traduisible en arbitrage.

Ce que vous risquez si la cyber ne siège pas au même niveau que les autres risques

Quand la cyber n’est pas intégrée à la gouvernance, l’organisation accepte (souvent sans le dire) trois choses :

  1. Des décisions stratégiques prises avec une vision partielle du risque numérique
    Par exemple : externalisation, croissance internationale, nouveaux partenaires, nouvelles plateformes… sans cartographier les dépendances et scénarios cyber associés.

  2. Une responsabilité dirigeante engagée, mais non préparée
    En cas de crise, les questions arrivent vite : qui décide ? selon quels seuils ? quelle priorité : continuité, sécurité, communication, conformité ?

  3. Un RSSI exposé, attendu, mais sans mandat clair
    On lui demande d’être “garant”, tout en le laissant hors des arbitrages clés. Résultat : tension, incompréhension, et décisions tardives.

À l’inverse : à quoi ressemble une gouvernance qui intègre le risque cyber stratégique

La bascule est simple à décrire : le COMEX ne “fait pas de cyber”. Il pilote un risque au même niveau que les autres.

Concrètement :

  • On parle scénarios plutôt que “vulnérabilités”.

  • On parle business impact plutôt que “patch management”.

  • On arbitre selon des seuils : arrêt tolérable, pertes acceptables, délais de reprise, priorités métier.

  • On prépare la crise comme un réflexe : rôles, décisions, communications, exercices.

Ensuite, la technique retrouve sa place : elle sert la stratégie, au lieu de l’encombrer.

3 leviers concrets pour mettre la cyber à la table du COMEX

1) Relier chaque risque stratégique à un scénario cyber

Exemples de questions qui parlent au COMEX :

  • “Si un partenaire critique est compromis, quel est notre impact à J+1, J+3, J+7 ?”

  • “Si une filiale devient la cible d’une attaque opportuniste, que coupe-t-on ? que maintient-on ?”

  • “Si nos opérations passent en mode dégradé (climat/énergie), quel est le plan cyber de continuité ?”

2) Mettre en place un format d’arbitrage lisible en 10 minutes

Un bon format COMEX tient sur peu de pages :

  • Top 3 scénarios (simples, réalistes, business),

  • Impacts + seuils + décisions attendues,

  • Dépendances critiques (fournisseurs, cloud, outils clés),

  • Plan d’actions priorisé (ce qui réduit vraiment le risque).

3) Passer d’un “projet crise” à un entraînement régulier

La crise cyber n’arrive jamais “quand c’est prêt”. Donc il faut créer de la mémoire organisationnelle :

  • exercices courts (45–60 min) orientés décisions,

  • simulations “métier” (production, logistique, finance, communication),

  • debrief immédiat : 3 décisions à améliorer, 3 actions à lancer.

Checklist rapide : votre COMEX est-il prêt sur le risque cyber stratégique ?

Cochez mentalement :

  • Le COMEX suit des scénarios cyber avec impacts business.

  • Les seuils de décision sont connus (arrêt, coupure, reprise, communication).

  • Les dépendances critiques (fournisseurs / cloud / partenaires) sont gouvernées.

  • Un exercice de crise cyber a eu lieu au cours des 12 derniers mois.

  • Le RSSI participe aux arbitrages stratégiques qui créent du risque.

Si vous cochez 0–2, la cyber est probablement encore “en bout de couloir”.

Conclusion : la cyber n’est plus un sujet à part

Le COMEX parle déjà de risques systémiques : géopolitique, climat, supply chain, finance. La question n’est plus “faut-il parler cyber ?”. La question est :

est-ce que votre gouvernance voit la cyber comme un risque stratégique… ou comme un sujet IT ?

Question directe (pour engager)

Aujourd’hui, dans votre organisation, le risque cyber siège-t-il vraiment à la même table que les autres risques… ou reste-t-il encore en bout de couloir ?