Ce faux sentiment de préparation qui expose encore les dirigeants
Ce faux sentiment de préparation qui expose encore les dirigeants
Beaucoup de dirigeants ont traversé la crise du COVID avec lucidité, courage et capacité d’adaptation. Ils ont pris des décisions rapides, maintenu l’activité et protégé leur organisation dans un contexte profondément incertain. Cette expérience constitue une force réelle. Pourtant, elle peut aussi nourrir une conviction silencieuse : « Nous avons déjà géré une crise. Nous saurons faire face à la suivante. »
Or, toutes les crises ne se ressemblent pas. Et lorsqu’une crise cyber frappe, ce qui avait permis de tenir peut précisément devenir ce qui manque.
« Nous avons déjà prouvé que nous savions gérer une crise »
Cette phrase, je l’entends régulièrement auprès de dirigeants de PME et d’ETI.
Et, très sincèrement, je comprends d’où elle vient.
Pendant la crise sanitaire, beaucoup d’organisations ont fait preuve d’une remarquable agilité. En quelques jours, elles ont réorganisé leurs équipes, basculé vers le télétravail, sécurisé leur trésorerie et maintenu le lien avec leurs clients. Dans bien des cas, elles en sont même sorties plus solides, plus structurées et parfois plus confiantes dans leur capacité à affronter l’incertitude.
Cette fierté est légitime. En effet, l’expérience vécue a forgé des réflexes précieux : décider vite, arbitrer sous contrainte, communiquer dans l’urgence et tenir malgré la pression.
Cependant, lorsqu’on prend le temps de creuser, un angle mort apparaît souvent.
Pendant le COVID, le numérique était votre allié
Au cœur de cette crise, un facteur a joué un rôle décisif : les outils numériques sont restés disponibles.
Messagerie, visioconférence, cloud, ERP, outils collaboratifs, téléphonie… Globalement, l’infrastructure numérique a tenu. Mieux encore, elle a permis à l’organisation de continuer à fonctionner.
Le numérique n’était pas le problème.
Au contraire, il constituait la solution.
Or, c’est précisément là que se situe le basculement.
Car, dans une crise cyber majeure, ce socle peut disparaître brutalement.
Votre messagerie peut être compromise.
>Votre ERP peut être indisponible.
>Votre prestataire cloud peut subir une interruption prolongée.
Vos données peuvent devenir douteuses, incomplètes ou inutilisables.
Dès lors, ce qui vous permettait hier de coordonner, décider et piloter n’est plus accessible.
Une crise d’une autre nature
C’est ici qu’une confusion s’installe parfois : croire que l’expérience d’une crise prépare automatiquement à toutes les crises.
Pourtant, une crise cyber ne mobilise ni les mêmes repères, ni les mêmes leviers.
Pendant le COVID :
- les outils fonctionnaient ;
- l’information circulait ;
- les équipes pouvaient communiquer ;
- les données restaient globalement fiables ;
- la coordination, bien que sous tension, restait possible.
En revanche, lors d’une crise cyber :
- les circuits de communication peuvent être coupés ;
- l’information devient fragmentée ou incertaine ;
- les dépendances numériques apparaissent brutalement ;
- la capacité à décider se dégrade rapidement.
Autrement dit, le cadre même de la décision change.
Un dirigeant me confiait récemment :
« Nous pensions être préparés. Puis nous avons réalisé qu’en mode dégradé, nos circuits de décision étaient flous, voire inexistants. »
Cette prise de conscience est souvent immédiate dès qu’on teste réellement l’organisation.
Le véritable angle mort : la dépendance invisible
Le faux sentiment de préparation ne vient pas d’un excès de confiance.
Au fond, il vient d’une dépendance au numérique que beaucoup d’organisations sous-estiment.
Cette dépendance touche désormais presque tout :
- la production ;
- la relation client ;
- la finance ;
- la logistique ;
- les achats ;
- les ressources humaines ;
- la communication ;
- et, surtout, la prise de décision.
Tant que tout fonctionne, cette dépendance reste silencieuse.
En revanche, lorsqu’elle est rompue, elle devient centrale.
C’est alors qu’émerge une autre forme de lucidité :
« Je comprends maintenant l’impact direct sur mon activité. Et je vois clairement que nous n’avons pas de véritable plan B. »
Cette phrase, lorsqu’elle est prononcée, marque souvent un basculement profond dans la compréhension du risque cyber.
Ce qui change pour les dirigeants
Le risque cyber n’est plus seulement une affaire de sécurité informatique.
Désormais, il touche directement :
- la continuité d’activité ;
- la capacité de décision ;
- la coordination entre direction et métiers ;
- la gestion des priorités sous contrainte ;
- la confiance des clients et partenaires ;
- et la résilience globale de l’organisation.
Par conséquent, ce sujet ne peut plus reposer uniquement sur le RSSI, la DSI ou les équipes techniques.
Il devient un enjeu de gouvernance.
Un enjeu de leadership.
Un enjeu collectif.
Se préparer autrement
Se préparer ne consiste pas uniquement à renforcer les protections techniques.
Il s’agit aussi de préparer l’organisation à fonctionner lorsque certains repères disparaissent.
Concrètement, cela implique :
Clarifier les circuits de décision
Qui décide ? Avec quelles informations ? Selon quelles priorités ?
Tester les dépendances critiques
Que se passe-t-il si la messagerie tombe ? Si l’ERP devient inaccessible ? Si les données sont douteuses ?
Impliquer réellement les métiers
Car ce sont eux qui vivent l’impact opérationnel direct.
Construire des réflexes collectifs
Car, en situation dégradée, la coordination fait souvent la différence entre blocage et adaptation.
Ainsi, la préparation ne devient plus un exercice théorique.
Elle devient une capacité collective d’action.
Conclusion
Avoir traversé le COVID est une force.
Indéniablement, cette expérience a forgé des réflexes utiles et une confiance légitime.
Mais, elle peut aussi créer une illusion : celle que toutes les crises sollicitent les mêmes ressources.
Or, la crise cyber suit une logique différente.
Elle ne teste pas seulement votre capacité d’adaptation.
Elle met à l’épreuve vos dépendances invisibles.
Et pose une question simple, mais redoutablement concrète :
Si demain vos outils numériques deviennent indisponibles, qui décide, avec quoi… et comment ?
FAQ
1. Pourquoi avoir traversé le COVID ne prépare-t-il pas à une crise cyber ?
Parce que la crise sanitaire s’est appuyée sur des outils numériques disponibles, alors qu’une crise cyber peut précisément les rendre indisponibles.
2. Quel est le principal angle mort des dirigeants face au risque cyber ?
La sous-estimation de leur dépendance opérationnelle au numérique et l’absence de préparation à décider en mode dégradé.
3. Comment une direction générale peut-elle mieux se préparer ?
En testant ses circuits de décision, en impliquant les métiers et en préparant la coordination collective en situation dégradée.
Anne Doré — Fondatrice de ADHEL
J’aide dirigeants, COMEX et métiers à transformer leur compréhension du risque cyber en capacité collective d’action.
Aligner · Mobiliser · Préparer · Renforcer
Quand le risque cyber reste le sujet du RSSI, l’organisation reste vulnérable
Quand le risque cyber reste le sujet du RSSI, l’organisation reste vulnérable
Dans de nombreuses organisations, le risque cyber en entreprise reste encore insuffisamment porté collectivement. Certes, la prise de conscience progresse au sein des directions générales et des comités exécutifs. Pourtant, dans les faits, le sujet demeure trop souvent concentré autour du RSSI, alors même qu’il touche directement la gouvernance, les métiers, la continuité d’activité et, plus largement, la capacité de l’organisation à tenir debout lorsqu’elle est secouée.
« Peut-être qu’il faudrait une vraie crise pour que les dirigeants s’en occupent enfin. »
Cette phrase, confiée récemment par un RSSI, n’avait rien d’une provocation. Au contraire, elle traduisait une fatigue lucide : celle de professionnels qui alertent, expliquent, traduisent le risque et tentent, dans la durée, d’embarquer leur organisation sur un sujet qui dépasse largement leur seul périmètre.
Pourquoi le risque cyber en entreprise reste encore trop isolé
Sous l’effet de la multiplication des attaques, des recommandations de l’ANSSI, de la directive NIS2 et du règlement DORA, peu de dirigeants considèrent encore sincèrement la cybersécurité comme un sujet secondaire.
Le sujet est désormais présent dans les comités de direction. Il figure dans les cartographies des risques. De plus, il s’invite dans les échanges avec les régulateurs, les clients et les partenaires stratégiques.
Pour autant, visibilité n’est pas appropriation.
En effet, comprendre qu’un risque existe n’implique pas nécessairement que l’organisation sache comment elle fonctionnerait si ce risque se matérialisait brutalement. Or, c’est précisément là qu’apparaît souvent le premier angle mort.
« J’avais une vision trop technique du risque cyber. Je mesure aujourd’hui ses conséquences directes sur notre activité. »
Lorsque cette prise de conscience survient, elle transforme profondément la lecture du sujet.
Gouvernance du risque cyber : le piège du faux sentiment de préparation
Dans beaucoup d’entreprises, le sentiment de préparation repose sur des éléments bien réels : politiques de sécurité renforcées, audits réguliers, dispositifs techniques solides, PCA documentés ou encore plans de réponse formalisés.
Ces fondations sont indispensables.
Cependant, la vraie question est ailleurs.
Qui arbitre lorsque plusieurs activités critiques sont touchées simultanément ?
Quels métiers savent fonctionner en mode dégradé ?
Quelles dépendances numériques sont réellement vitales ?
Quels circuits de décision subsistent si les canaux habituels deviennent indisponibles ?
Qui décide, avec quelle information, sous quelle pression ?
À ce stade, le risque cyber en entreprise révèle souvent des fragilités organisationnelles bien avant de révéler des failles techniques.
« En situation dégradée, nos circuits de décision sont plus flous que nous l’imaginions. »
Autrement dit, le véritable angle mort se situe fréquemment dans la coordination collective.
Quand le risque cyber repose encore presque seul sur le RSSI
Dans de nombreuses organisations, le RSSI reste celui qui alerte, structure, sensibilise, prépare la crise, traduit les impacts, porte la gouvernance du sujet et, parfois même, rassure l’ensemble de l’organisation.
Cette centralité témoigne de sa valeur.
Néanmoins, elle révèle aussi une fragilité collective.
Car la résilience ne peut pas durablement reposer sur une seule fonction, aussi compétente soit-elle.
Concrètement, le risque cyber concerne la direction générale dans ses arbitrages, les métiers dans leur capacité à opérer, la communication dans la gestion de la confiance, le juridique dans ses obligations, les achats dans la dépendance fournisseur et la continuité d’activité dans sa réalité opérationnelle.
En d’autres termes, le risque cyber en entreprise est systémique.
Dès lors, le porter seul devient impossible.
Transformer le risque cyber en entreprise en capacité collective d’action
Le véritable basculement ne vient pas d’un document supplémentaire, ni d’une politique interne de plus. Il intervient lorsque dirigeants, métiers et fonctions clés comprennent ensemble ce qui pourrait s’arrêter, ce qui pourrait durer, ce qu’il faudrait arbitrer et ce qu’il faudrait maintenir coûte que coûte.
C’est souvent à ce moment-là que la préparation devient concrète.
Quand un dirigeant réalise :
« Nous n’avons pas de plan B crédible sur cette activité critique. »
Puis, lorsqu’un métier constate :
« Nous dépendons d’outils que nous pensions secondaires. »
Enfin, quand une fonction support découvre :
« Nos circuits de coordination supposent justement les moyens qui pourraient tomber. »
À cet instant, le sujet change de nature.
Il devient tangible. Par conséquent, il devient mobilisateur.
Et c’est précisément là que commence la vraie préparation.
Conclusion
Le vrai électrochoc n’est pas la crise.
Le vrai électrochoc est la prise de conscience collective avant la crise.
Lorsque le risque cyber en entreprise cesse d’être perçu comme le sujet du RSSI pour devenir un sujet de gouvernance, de métiers et de continuité d’activité, l’organisation change profondément de posture.
Elle ne subit plus.
Au contraire, elle se prépare.
Et, finalement, elle devient plus forte.
FAQ — Risque cyber et gouvernance
Pourquoi le risque cyber ne doit-il plus reposer uniquement sur le RSSI ?
Parce qu’une crise cyber dépasse largement le cadre technique. Elle impacte directement la gouvernance, les métiers, la continuité d’activité, la communication et les obligations réglementaires. Par conséquent, sans appropriation collective, la préparation reste incomplète.
Comment impliquer concrètement dirigeants et métiers ?
Il faut traduire le sujet cyber en impacts business : interruption d’activité, arbitrages sous contrainte, dépendances critiques, fonctionnement en mode dégradé et coordination de crise. Ainsi, le risque devient concret et mobilisateur.
Quelle différence entre cybersécurité et cyber-résilience ?
La cybersécurité vise à protéger. En revanche, la cyber-résilience prépare l’organisation à continuer à décider, coordonner et agir malgré une situation dégradée.
À propos d’ADHEL
Quand le risque cyber cesse de reposer sur une seule fonction, l’organisation devient plus forte.
C’est précisément là qu’ADHEL intervient.
ADHEL aide les RSSI / CISO à ne plus porter seuls le sujet cyber, en mobilisant dirigeants, COMEX, métiers et fonctions clés autour d’une compréhension partagée des impacts et d’une préparation concrète à l’action collective.
Comprendre ensemble. Se préparer concrètement. Agir collectivement.
Résilience cyber : pourquoi imprimer vos plans de crise selon le gouvernement britannique
Résilience cyber : pourquoi imprimer vos plans de crise selon le gouvernement britannique
En cas de cyberattaque, la résilience cyber commence… par un stylo !
Ce n’est pas une métaphore, mais une recommandation officielle du gouvernement britannique, adressée récemment à tous les dirigeants d’entreprise du pays.
👉 Leur conseil : imprimez vos plans de crise.
À première vue, cela peut sembler absurde à l’ère du cloud et de l’intelligence artificielle. Pourtant, lorsqu’une attaque bloque tout — mails, serveurs, outils de communication interne —, votre plan de continuité numérique devient soudain inutilisable.
🧩 L’objectif n’est plus seulement de “protéger” les systèmes, mais d’assurer la continuité d’activité sans dépendance à l’IT.
C’est exactement ce que le NCSC appelle la résilience cyber : anticiper, absorber le choc, se relever et s’adapter.
Dans cette logique, le papier redevient un véritable outil de gouvernance.
💡 Ce n’est donc pas un retour en arrière, mais bien un signe de maturité.
Les entreprises les plus prêtes ne sont pas celles qui disposent des meilleurs firewalls, mais celles qui ont des plans de continuité réalistes, testés et opérationnels.
La résilience cyber repose avant tout sur des réflexes humains, une coordination efficace et une vision claire du risque métier.
En somme, la résilience cyber n’est pas un concept technique : c’est un pilier de la gouvernance moderne.
S’y préparer, c’est protéger la capacité de l’entreprise à continuer d’exister, quelles que soient les circonstances.
➡️ Lire l’article complet : BBC News – “Government tells firms to prepare for cyber-attacks with pen and paper”
📎 Découvrez aussi notre article sur la gouvernance cyber.