Quand le risque cyber reste le sujet du RSSI, l’organisation reste vulnérable
Quand le risque cyber reste le sujet du RSSI, l’organisation reste vulnérable
Dans de nombreuses organisations, le risque cyber en entreprise reste encore insuffisamment porté collectivement. Certes, la prise de conscience progresse au sein des directions générales et des comités exécutifs. Pourtant, dans les faits, le sujet demeure trop souvent concentré autour du RSSI, alors même qu’il touche directement la gouvernance, les métiers, la continuité d’activité et, plus largement, la capacité de l’organisation à tenir debout lorsqu’elle est secouée.
« Peut-être qu’il faudrait une vraie crise pour que les dirigeants s’en occupent enfin. »
Cette phrase, confiée récemment par un RSSI, n’avait rien d’une provocation. Au contraire, elle traduisait une fatigue lucide : celle de professionnels qui alertent, expliquent, traduisent le risque et tentent, dans la durée, d’embarquer leur organisation sur un sujet qui dépasse largement leur seul périmètre.
Pourquoi le risque cyber en entreprise reste encore trop isolé
Sous l’effet de la multiplication des attaques, des recommandations de l’ANSSI, de la directive NIS2 et du règlement DORA, peu de dirigeants considèrent encore sincèrement la cybersécurité comme un sujet secondaire.
Le sujet est désormais présent dans les comités de direction. Il figure dans les cartographies des risques. De plus, il s’invite dans les échanges avec les régulateurs, les clients et les partenaires stratégiques.
Pour autant, visibilité n’est pas appropriation.
En effet, comprendre qu’un risque existe n’implique pas nécessairement que l’organisation sache comment elle fonctionnerait si ce risque se matérialisait brutalement. Or, c’est précisément là qu’apparaît souvent le premier angle mort.
« J’avais une vision trop technique du risque cyber. Je mesure aujourd’hui ses conséquences directes sur notre activité. »
Lorsque cette prise de conscience survient, elle transforme profondément la lecture du sujet.
Gouvernance du risque cyber : le piège du faux sentiment de préparation
Dans beaucoup d’entreprises, le sentiment de préparation repose sur des éléments bien réels : politiques de sécurité renforcées, audits réguliers, dispositifs techniques solides, PCA documentés ou encore plans de réponse formalisés.
Ces fondations sont indispensables.
Cependant, la vraie question est ailleurs.
Qui arbitre lorsque plusieurs activités critiques sont touchées simultanément ?
Quels métiers savent fonctionner en mode dégradé ?
Quelles dépendances numériques sont réellement vitales ?
Quels circuits de décision subsistent si les canaux habituels deviennent indisponibles ?
Qui décide, avec quelle information, sous quelle pression ?
À ce stade, le risque cyber en entreprise révèle souvent des fragilités organisationnelles bien avant de révéler des failles techniques.
« En situation dégradée, nos circuits de décision sont plus flous que nous l’imaginions. »
Autrement dit, le véritable angle mort se situe fréquemment dans la coordination collective.
Quand le risque cyber repose encore presque seul sur le RSSI
Dans de nombreuses organisations, le RSSI reste celui qui alerte, structure, sensibilise, prépare la crise, traduit les impacts, porte la gouvernance du sujet et, parfois même, rassure l’ensemble de l’organisation.
Cette centralité témoigne de sa valeur.
Néanmoins, elle révèle aussi une fragilité collective.
Car la résilience ne peut pas durablement reposer sur une seule fonction, aussi compétente soit-elle.
Concrètement, le risque cyber concerne la direction générale dans ses arbitrages, les métiers dans leur capacité à opérer, la communication dans la gestion de la confiance, le juridique dans ses obligations, les achats dans la dépendance fournisseur et la continuité d’activité dans sa réalité opérationnelle.
En d’autres termes, le risque cyber en entreprise est systémique.
Dès lors, le porter seul devient impossible.
Transformer le risque cyber en entreprise en capacité collective d’action
Le véritable basculement ne vient pas d’un document supplémentaire, ni d’une politique interne de plus. Il intervient lorsque dirigeants, métiers et fonctions clés comprennent ensemble ce qui pourrait s’arrêter, ce qui pourrait durer, ce qu’il faudrait arbitrer et ce qu’il faudrait maintenir coûte que coûte.
C’est souvent à ce moment-là que la préparation devient concrète.
Quand un dirigeant réalise :
« Nous n’avons pas de plan B crédible sur cette activité critique. »
Puis, lorsqu’un métier constate :
« Nous dépendons d’outils que nous pensions secondaires. »
Enfin, quand une fonction support découvre :
« Nos circuits de coordination supposent justement les moyens qui pourraient tomber. »
À cet instant, le sujet change de nature.
Il devient tangible. Par conséquent, il devient mobilisateur.
Et c’est précisément là que commence la vraie préparation.
Conclusion
Le vrai électrochoc n’est pas la crise.
Le vrai électrochoc est la prise de conscience collective avant la crise.
Lorsque le risque cyber en entreprise cesse d’être perçu comme le sujet du RSSI pour devenir un sujet de gouvernance, de métiers et de continuité d’activité, l’organisation change profondément de posture.
Elle ne subit plus.
Au contraire, elle se prépare.
Et, finalement, elle devient plus forte.
FAQ — Risque cyber et gouvernance
Pourquoi le risque cyber ne doit-il plus reposer uniquement sur le RSSI ?
Parce qu’une crise cyber dépasse largement le cadre technique. Elle impacte directement la gouvernance, les métiers, la continuité d’activité, la communication et les obligations réglementaires. Par conséquent, sans appropriation collective, la préparation reste incomplète.
Comment impliquer concrètement dirigeants et métiers ?
Il faut traduire le sujet cyber en impacts business : interruption d’activité, arbitrages sous contrainte, dépendances critiques, fonctionnement en mode dégradé et coordination de crise. Ainsi, le risque devient concret et mobilisateur.
Quelle différence entre cybersécurité et cyber-résilience ?
La cybersécurité vise à protéger. En revanche, la cyber-résilience prépare l’organisation à continuer à décider, coordonner et agir malgré une situation dégradée.
À propos d’ADHEL
Quand le risque cyber cesse de reposer sur une seule fonction, l’organisation devient plus forte.
C’est précisément là qu’ADHEL intervient.
ADHEL aide les RSSI / CISO à ne plus porter seuls le sujet cyber, en mobilisant dirigeants, COMEX, métiers et fonctions clés autour d’une compréhension partagée des impacts et d’une préparation concrète à l’action collective.
Comprendre ensemble. Se préparer concrètement. Agir collectivement.
Risque cyber : l’angle mort du COMEX quand tout s’accélère
Risque cyber : l’angle mort du COMEX quand tout s’accélère
La scène est devenue banale. Une salle de réunion, des enjeux lourds, des décisions à prendre vite. Le COMEX parle géopolitique, climat, énergie, supply chain, finance. Bref, il parle risques stratégiques.
Puis vient la cyber. Et, souvent, elle change de planète : un slide “IT”, une liste de vulnérabilités, un point “patching”. On écoute poliment… puis on revient au business.
Pourtant, le risque cyber stratégique n’est plus un sujet “à côté”. Aujourd’hui, il amplifie les autres crises. Et quand on le traite à part, on prend des décisions avec une partie du risque invisible.
Géopolitique, climat, supply chain : pourquoi la cyber est devenue le facteur X
Les risques majeurs ne s’additionnent plus. Ils se combinent.
-
Une crise géopolitique peut exposer des filiales, des pays, des prestataires, ou des chaînes logistiques à des attaques opportunistes.
-
Une tension sur la supply chain augmente la dépendance à des partenaires, parfois moins matures, qui deviennent un point d’entrée.
-
Un épisode climatique (inondation, canicule, tempête, tension énergétique) fragilise l’exploitation : procédures dégradées, urgences opérationnelles, contournements… donc une surface d’attaque plus simple.
Autrement dit : la cyber accélère la crise au lieu de rester un risque isolé.
Le vrai problème : on parle cyber “technique” au lieu de parler cyber “business”
Le COMEX sait arbitrer. Il sait gérer l’incertitude. Il sait prioriser.
Mais il décide mieux quand le sujet est exprimé en langage de pilotage :
-
impacts opérationnels (arrêt de production, indisponibilité SI, rupture service),
-
impacts financiers (perte de CA, pénalités, coûts de remédiation),
-
impacts juridiques et réputationnels,
-
impacts sur la stratégie (acquisition, expansion, dépendances, partenaires).
Quand la cyber arrive sous forme “technique”, elle devient un sujet secondaire. Non pas parce qu’elle n’est pas importante, mais parce qu’elle n’est pas traduisible en arbitrage.
Ce que vous risquez si la cyber ne siège pas au même niveau que les autres risques
Quand la cyber n’est pas intégrée à la gouvernance, l’organisation accepte (souvent sans le dire) trois choses :
-
Des décisions stratégiques prises avec une vision partielle du risque numérique
Par exemple : externalisation, croissance internationale, nouveaux partenaires, nouvelles plateformes… sans cartographier les dépendances et scénarios cyber associés. -
Une responsabilité dirigeante engagée, mais non préparée
En cas de crise, les questions arrivent vite : qui décide ? selon quels seuils ? quelle priorité : continuité, sécurité, communication, conformité ? -
Un RSSI exposé, attendu, mais sans mandat clair
On lui demande d’être “garant”, tout en le laissant hors des arbitrages clés. Résultat : tension, incompréhension, et décisions tardives.
À l’inverse : à quoi ressemble une gouvernance qui intègre le risque cyber stratégique
La bascule est simple à décrire : le COMEX ne “fait pas de cyber”. Il pilote un risque au même niveau que les autres.
Concrètement :
-
On parle scénarios plutôt que “vulnérabilités”.
-
On parle business impact plutôt que “patch management”.
-
On arbitre selon des seuils : arrêt tolérable, pertes acceptables, délais de reprise, priorités métier.
-
On prépare la crise comme un réflexe : rôles, décisions, communications, exercices.
Ensuite, la technique retrouve sa place : elle sert la stratégie, au lieu de l’encombrer.
3 leviers concrets pour mettre la cyber à la table du COMEX
1) Relier chaque risque stratégique à un scénario cyber
Exemples de questions qui parlent au COMEX :
-
“Si un partenaire critique est compromis, quel est notre impact à J+1, J+3, J+7 ?”
-
“Si une filiale devient la cible d’une attaque opportuniste, que coupe-t-on ? que maintient-on ?”
-
“Si nos opérations passent en mode dégradé (climat/énergie), quel est le plan cyber de continuité ?”
2) Mettre en place un format d’arbitrage lisible en 10 minutes
Un bon format COMEX tient sur peu de pages :
-
Top 3 scénarios (simples, réalistes, business),
-
Impacts + seuils + décisions attendues,
-
Dépendances critiques (fournisseurs, cloud, outils clés),
-
Plan d’actions priorisé (ce qui réduit vraiment le risque).
3) Passer d’un “projet crise” à un entraînement régulier
La crise cyber n’arrive jamais “quand c’est prêt”. Donc il faut créer de la mémoire organisationnelle :
-
exercices courts (45–60 min) orientés décisions,
-
simulations “métier” (production, logistique, finance, communication),
-
debrief immédiat : 3 décisions à améliorer, 3 actions à lancer.
Checklist rapide : votre COMEX est-il prêt sur le risque cyber stratégique ?
Cochez mentalement :
-
Le COMEX suit des scénarios cyber avec impacts business.
-
Les seuils de décision sont connus (arrêt, coupure, reprise, communication).
-
Les dépendances critiques (fournisseurs / cloud / partenaires) sont gouvernées.
-
Un exercice de crise cyber a eu lieu au cours des 12 derniers mois.
-
Le RSSI participe aux arbitrages stratégiques qui créent du risque.
Si vous cochez 0–2, la cyber est probablement encore “en bout de couloir”.
Conclusion : la cyber n’est plus un sujet à part
Le COMEX parle déjà de risques systémiques : géopolitique, climat, supply chain, finance. La question n’est plus “faut-il parler cyber ?”. La question est :
est-ce que votre gouvernance voit la cyber comme un risque stratégique… ou comme un sujet IT ?
Question directe (pour engager)
Aujourd’hui, dans votre organisation, le risque cyber siège-t-il vraiment à la même table que les autres risques… ou reste-t-il encore en bout de couloir ?
Géopolitique, climat, supply chain et risque cyber : pourquoi votre COMEX doit tout relier
Géopolitique, climat, supply chain et risque cyber : pourquoi votre COMEX doit tout relier
Quand un COMEX se réunit, il parle déjà de risques.
Il discute tensions géopolitiques, ruptures de la chaîne d’approvisionnement, aléas climatiques et risques financiers ou commerciaux.
Ces sujets entrent directement dans les revues de risques, les plans stratégiques et les arbitrages budgétaires.
Ils menacent clairement le business, la croissance et la réputation de l’entreprise.
En revanche, le risque cyber arrive souvent à part.
On le cantonne à un rapport RSSI, à une slide IT ou à un comité technique.
Pourtant, Géopolitique, climat, supply chain et risque cyber forment aujourd’hui un système de risques complètement connecté.
Si vous les séparez dans la gouvernance, vous acceptez une vision partielle du risque global.
Pourquoi le risque cyber reste encore à part
Dans beaucoup d’organisations, le risque cyber garde une image :
-
trop technique, réservée aux équipes IT ou sécurité ;
-
trop complexe, avec un vocabulaire difficile à suivre ;
-
trop éloignée des décisions de terrain et des scénarios business.
Ainsi, le sujet remonte dans des comités dédiés, loin du COMEX.
On le réduit à des projets de conformité, des mises à jour ou des outils techniques.
De ce fait, le COMEX voit surtout la cyber comme un centre de coûts, rarement comme un levier de résilience.
C’est un problème, car Géopolitique, climat, supply chain et risque cyber obéissent à la même logique : ce sont des risques stratégiques capables de :
-
interrompre l’activité,
-
dégrader la confiance des clients,
-
engager la responsabilité des dirigeants.
COMEX et cybersécuritéGéopolitique, climat, supply chain et risque cyber : un système de risques connectés
Le risque cyber ne vit plus en silo. Au contraire, il accélère ou amplifie les autres crises.
1. Géopolitique et risque cyber
Dans un contexte de tension géopolitique :
-
le profil de vos filiales à l’étranger attire davantage l’attention ;
-
certains secteurs d’activité deviennent des cibles pour des raisons économiques ou politiques ;
-
des fournisseurs situés dans des zones sensibles se retrouvent en première ligne.
Des attaquants exploitent ce contexte pour lancer des actions de :
-
sabotage (arrêt de production, indisponibilité de services) ;
-
pression (ransomware pour bloquer vos opérations) ;
-
décrédibilisation (vol ou exposition de données).
Ainsi, ignorer le lien entre géopolitique et risque cyber revient à sous-estimer une partie essentielle du risque global.
2. Climat, énergie et vulnérabilité des systèmes
Les épisodes climatiques majeurs et les tensions sur l’énergie perturbent aussi le numérique :
-
certains sites physiques deviennent inaccessibles ;
-
des systèmes d’information passent en mode dégradé ou en urgence ;
-
la disponibilité des équipes techniques baisse fortement.
Dans ces conditions, des systèmes fragilisés, des équipes sous pression et des procédures mal maîtrisées ouvrent une surface d’attaque idéale.
Un acteur malveillant peut alors profiter de cette situation.
Ainsi, Géopolitique, climat, supply chain et risque cyber se rejoignent : une crise climatique ou énergétique peut devenir plus grave lorsqu’une attaque cyber la suit ou l’exploite.
3. Supply chain : vos partenaires comme point d’entrée
La supply chain concentre désormais une part importante du risque cyber :
-
un prestataire d’infogérance peu mature en sécurité ;
-
un éditeur de logiciel compromis ;
-
un partenaire logistique qui subit une cyberattaque.
Dans ces cas, l’attaquant s’appuie sur un maillon plus faible pour remonter progressivement vers votre système d’information.
Lorsque la supply chain se tend, le risque augmente encore : moins d’alternatives, plus de dépendances et davantage de pression sur les délais.
Ne pas intégrer le risque cyber dans les réflexions supply chain revient donc à piloter la continuité d’activité avec une carte incomplète des vulnérabilités.
Ce qui se passe quand le risque cyber reste en bout de couloir
Quand le COMEX traite encore le cyber à distance, plusieurs dérives apparaissent.
1. Des décisions stratégiques prises avec une vision partielle du risque
Le COMEX prend des décisions majeures sur la base de :
-
analyses géopolitiques structurées ;
-
cartographies climatiques et énergétiques ;
-
modélisations financières détaillées.
Pourtant, le risque numérique associé reste parfois flou, voire implicite.
Concrètement, cela conduit à :
-
lancer des projets structurants avec un niveau d’exposition cyber sous-estimé ;
-
signer des contrats critiques sans exigences minimales de cybersécurité pour les partenaires ;
-
faire des choix technologiques qui créent des dépendances difficiles à gérer en cas de crise.
2. Une responsabilité des dirigeants engagée, mais peu anticipée
Un incident cyber majeur :
-
peut arrêter l’activité pendant plusieurs jours ou semaines ;
-
peut exposer des données sensibles (clients, salariés, partenaires, R&D) ;
-
peut déclencher des sanctions, des enquêtes ou des contentieux.
Les dirigeants se trouvent attendus sur la préparation, la détection, la réaction et la communication.
Si Géopolitique, climat, supply chain et risque cyber ne sont pas pensés ensemble, la question surgit très vite en cas de crise :
“Pourquoi ce scénario n’avait-il pas été anticipé au niveau de la gouvernance ?”
3. Un RSSI exposé, mais sans réel support
Dans ce contexte, le RSSI :
-
porte seul une partie du risque ;
-
reste en première ligne lors des incidents ;
-
peine à faire passer certains arbitrages : budgets, priorisation de projets, exigences vis-à-vis des partenaires.
Le fossé se creuse alors entre :
-
ce que le COMEX croit avoir couvert,
-
et ce que les équipes opérationnelles perçoivent comme réellement exposé.
Quand le risque cyber atteint le même niveau que les autres risques stratégiques
La bonne nouvelle, c’est que cette situation peut évoluer.
Vous n’avez pas besoin de transformer le COMEX en comité technique pour y parvenir.
1. Le COMEX parle “business impact”, pas “patch management”
Lorsque le risque cyber rejoint le niveau des autres risques stratégiques, le discours change.
Le RSSI présente alors :
-
des scénarios concrets : arrêt de production, impossibilité de facturer, blocage logistique, atteinte à la réputation ;
-
des impacts chiffrés : jours d’arrêt, pertes de revenus, pénalités contractuelles, coût de remédiation.
Ainsi, la discussion ne tourne plus autour du “niveau de sécurité”, mais autour de la capacité de l’entreprise à encaisser un choc numérique dans un contexte déjà tendu, qu’il soit géopolitique, climatique ou lié à la supply chain.
2. Les arbitrages intègrent enfin le cyber risk management
Progressivement, les décisions d’investissement, de transformation ou de partenariat :
-
intègrent une analyse conjointe : Géopolitique, climat, supply chain et risque cyber ;
-
incluent des critères de cybersécurité pour les partenaires critiques ;
-
s’accompagnent de plans d’actions pour ramener le risque à un niveau acceptable.
La cybersécurité devient alors une variable stratégique, et non plus seulement une ligne de coût à optimiser.
3. La préparation à la crise devient un réflexe, pas un projet ponctuel
Les organisations les plus matures :
-
organisent régulièrement des exercices de crise cyber avec le COMEX ;
-
testent des scénarios combinant géopolitique, climat, supply chain et risque cyber ;
-
clarifient à l’avance qui décide quoi, dans quel délai et sur la base de quelles informations.
Cette préparation crée un véritable réflexe de gouvernance : les crises ne se gèrent plus en silos, mais comme un ensemble de risques interconnectés.
Comment faire évoluer concrètement votre gouvernance ?
Pour passer à l’action, vous pouvez engager plusieurs chantiers très concrets :
-
Intégrer le cyber au registre des risques stratégiques, au même niveau que les risques géopolitiques, climatiques et supply chain.
-
Demander au RSSI une présentation orientée “business impact” plutôt que “liste de projets techniques”.
-
Inscrire à l’ordre du jour du COMEX un point dédié : “Géopolitique, climat, supply chain et risque cyber : cartographie croisée des risques”.
-
Lancer un premier exercice de crise cyber croisant au moins deux dimensions (par exemple, crise géopolitique + attaque sur un fournisseur).
-
Renforcer les exigences vis-à-vis des partenaires et fournisseurs, en intégrant des clauses cyber dans les contrats et appels d’offres.
Et maintenant : où siège vraiment le risque cyber chez vous ?
En résumé, Géopolitique, climat, supply chain et risque cyber ne forment plus quatre dossiers séparés.
Ils constituent les pièces d’un même puzzle : celui de la résilience globale de votre organisation.
Alors, une question simple, mais directe :
Aujourd’hui, dans votre gouvernance, le risque cyber siège vraiment à la même table que les autres risques…
ou reste-t-il toujours en bout de couloir, dans un comité à part ?
Du jargon technique au langage financier : comment parler au Comex
Du jargon technique au langage financier : comment parler au Comex
À chaque présentation au Comex, le scénario est le même :
le RSSI déroule son rapport cyber… et les visages restent polis, mais détachés mais manque d'intégrer le langage financier pour parler cybersécurité au Comex.
Pourquoi ? Parce que le Comex ne pense pas technique, il pense risque, impact et rentabilité.
Tant que les chiffres cyber ne sont pas traduits en langage financier, ils restent abstraits.
Un taux de conformité à 85 %, un backlog de 200 vulnérabilités ou un patch non appliqué ne disent rien du risque business. Il est crucial de mettre en avant le langage financier Comex cybersécurité.
Alors, comment capter l’attention du Comex ?
Voici la méthode 👇
1. Partir du risque métier, pas du système d’information
Un dirigeant ne veut pas savoir si le pare-feu est bien configuré.
Il veut comprendre le coût d’une indisponibilité du CRM pendant 48 heures.
Traduire une faille en perte potentielle de chiffre d’affaires, c’est déjà parler le langage du Comex.
C’est replacer la cybersécurité dans le contexte du risque opérationnel et financier, favorable à l'utilisation du langage financier Comex cybersécurité.
2. Relier chaque mesure de cybersécurité à un levier économique
Une action cyber n’est pas une dépense :
c’est une assurance contre un risque financier majeur.
💡 Un euro investi dans la résilience, c’est plusieurs milliers économisés en cas de crise.
Présenter les projets cyber comme des investissements de protection d’actifs modifie profondément la perception du Comex.
Vous ne parlez plus de budget, mais de rendement du risque.
3. Valider les chiffres avec les métiers
Avant chaque présentation, préparez vos données clés avec la DAF, les opérations ou la production.
Un chiffre contesté en plein Comex détruit la crédibilité du RSSI.
En revanche, une donnée validée par les métiers crée un effet inverse :
vous gagnez en légitimité et en alignement stratégique. L'intégration du langage financier Comex cybersécurité améliore cette perception.
La confiance du Comex se construit sur la cohérence entre les chiffres cyber et les indicateurs business, en utilisant adéquatement le langage financier Comex cybersécurité.
Visualiser l’exposition au risque cyber
Cartographiez les risques cyber comme les risques financiers ou opérationnels :
probabilité, impact, niveau d’exposition.
Présentez-les dans un format visuel, synthétique et comparable aux autres tableaux de bord de gestion.
Cette approche transforme un rapport technique en outil de décision stratégique.
5. Faire de la cybersécurité un sujet de gouvernance
Le véritable enjeu n’est pas de vulgariser la cybersécurité.
C’est de l’aligner sur la logique de pilotage du Comex : performance, continuité, retour sur investissement.
À ce prix, la cybersécurité cesse d’être un centre de coûts pour devenir un levier de résilience et de gouvernance.
Les jeunes adultes, hyperconnectés mais vulnérables face au risque cyber
Les jeunes adultes, hyperconnectés mais vulnérables face au risque cyber
📊 Le rapport annuel publié le 11 septembre 2025 par Cybermalveillance.gouv.fr souligne un constat préoccupant. La population générale progresse dans la prise de conscience cyber. Pourtant, les jeunes adultes (18-34 ans) restent beaucoup plus vulnérables. Hyperconnectés, ils sont devenus la cible privilégiée des cyberattaques.
Pourquoi ? Parce qu’ils sous-estiment encore le risque cyber. Beaucoup adoptent des comportements dangereux : mots de passe faibles, mises à jour oubliées, clics trop rapides sur des liens suspects. Paradoxalement, cette génération, pourtant très familière avec le numérique, reste moins préparée que ses aînés à une évaluation du risque cyber ou à un cyber crisis management.
👉 La raison est simple. Ces jeunes constituent la première génération massivement exposée à Internet dès l’enfance. Mais ils n’ont pas bénéficié d’une véritable formation cybersécurité.
⚠️ Ce constat est alarmant. Car ces jeunes sont – ou seront bientôt – les collaborateurs de demain. Leur manque de préparation fragilise déjà la résilience cyber des entreprises.
Deux leviers doivent donc être activés sans attendre :
1️⃣ En entreprise : déployer des actions de sensibilisation adaptées à leurs usages. Ateliers pratiques, cas concrets et tabletop exercise renforcent la culture cyber.
2️⃣ Dans les écoles et universités : introduire des modules obligatoires des modules de sensibilisation et formation. Pas des cours longs, mais des sessions qui éveillent la conscience, instaurent les bons réflexes et ouvrent la voie vers les métiers de la cyber.
✅ Former cette génération, c’est investir dans la cyber sécurité et surtout préparer un avenir numérique plus sûr.
🛑 Vous dormez avec votre téléphone allumé.
Responsabilité des dirigeants en cybersécurité : pourquoi votre DG doit s’impliquer
🛑 Vous dormez avec votre téléphone allumé. Cette habitude peut paraître anodine, mais cela soulève des questions sur la responsabilité des dirigeants en cybersécurité : pourquoi votre DG doit s’impliquer.
📱 Prêt à bondir à 3h du matin en cas d’alerte. Pendant ce temps, votre DG dort profondément. Et surtout, il ne se demande pas : “Et si ça tombait cette nuit ?” Peut-être pensez-vous que 🛑 vous dormez avec votre téléphone allumé par nécessité.
Le poids du risque cyber repose encore sur les seuls RSSI
En effet, vous anticipez, vous couvrez et vous absorbez les risques. Pourtant, 🛑 vous dormez avec votre téléphone allumé et vous êtes souvent seul. Car il pense encore que la cybersécurité est uniquement “un sujet d’IT”. Par conséquent, il ne voit pas ce que vous voyez. Et c’est pourquoi il doit s’impliquer tant pour la responsabilité en cybersécurité des dirigeants.
🔁 Le risque, celui d’avoir une organisation hors d’état de fonctionner, c’est vous qui le portez. Et lorsque vous proposez de le sensibiliser ? Les réponses tombent aussitôt :
-
“Pas le temps.”
-
“Pas le budget.”
-
“Pas son rôle.”
Ce n’est pas un manque de volonté, mais un manque de message adapté
Or, la réalité est différente. Ce n’est pas qu’il refuse de comprendre. Au contraire, comme je le constate chaque semaine lors de mes formations en cybersécurité pour dirigeants, il n’a simplement jamais reçu de message pensé pour lui. Autrement dit, il n’a jamais eu les clés concrètes de ce que l’on attend d’un DG en matière de gouvernance et de cybersécurité.
✅ Pourtant, il n’a pas besoin d’être un expert technique. Au contraire, il a besoin d’une session claire, adaptée à ses enjeux business et traduite en langage de risque, de conformité et de résilience. En effet, la question de la responsabilité des dirigeants en cybersécurité est primordiale, surtout quand 🛑 vous dormez avec votre téléphone allumé.
Un kit simple et actionnable pour les DG de PME et ETI
C’est pourquoi j’ai conçu un kit spécifique. Simple. Clair. Direct. Actionnable. Ainsi, chaque dirigeant peut enfin comprendre sa responsabilité en cas de crise cyber et jouer son rôle dans la gouvernance.
🎁 Si vous souhaitez l’obtenir, il vous suffit d’écrire “PME” en commentaire ou en message privé. Je vous l’enverrai avec plaisir.
🎧 Enfin, si vous découvrez mon contenu avec ce post, sachez que je forme et implique les dirigeants sur les enjeux cyber. Pensez-y la prochaine fois que 🛑 vous dormez avec votre téléphone allumé. Pour aller plus loin, découvrez aussi :
PME cybersecurité cyber4leaders DGs
💣 "Le cyber, ce n’est pas qu’un sujet IT. C’est une bombe à retardement financière."
💣 Le cyber risque n’est pas qu’un sujet IT. C’est une véritable bombe à retardement financière.
En 2021, son coût mondial était estimé à 6 000 milliards de dollars. Or, il progresse de 15 % par an.
➡️ D’ici 2025, il pourrait atteindre 10 500 milliards.
Pourtant, beaucoup d’entreprises continuent à provisionner « au doigt mouillé ». Elles se disent : « On verra si ça arrive ». Mais en réalité, cela arrive déjà, et les exemples sont nombreux.
📍 Saint-Gobain : 250 millions d’euros de pertes après une attaque.
📍 Pour une PME : 50 000 euros, c’est le coût médian d’une cyberattaque.
En effet, les conséquences dépassent largement le seul domaine technique :
🔥 Gestion de crise et remédiation
🔥 Pertes de chiffre d’affaires
🔥 Amendes réglementaires
🔥 Réputation durablement entachée
👉 C’est pourquoi un DAF, un dirigeant ou un administrateur ne peut plus ignorer le cyber risk management. Ainsi, protéger le résultat net suppose de prévenir, mesurer et couvrir le cyber risque.
De plus, la cybersécurité n’est plus seulement un enjeu technique. Au contraire, elle est désormais stratégique, économique, assurantielle et réputationnelle. Elle s’inscrit directement dans la gouvernance et engage la responsabilité légale des dirigeants.
🎯 Par conséquent, la question n’est plus “si” une attaque aura lieu, mais bien “quand”. La préparation ne doit pas être une option : elle conditionne la continuité d’activité et la confiance des clients et partenaires.
👉 Découvrez nos formations cybersécurité pour dirigeants et notre article sur la gouvernance cyber.
Pour aller plus loin, consultez le site de l’ANSSI ou le rapport ENISA 2024
Décision gestion de crise : savoir décider dans l’incertitude
Décision gestion de crise : savoir décider dans l’incertitude
Introduction
La décision gestion de crise est l’un des plus grands défis d’un dirigeant. Lorsqu’une crise cyber ou géopolitique survient, il ne s’agit plus de gérer des risques prévisibles. Il faut prendre des décisions impossibles, souvent dans l’urgence et l’incertitude. Dans ces moments critiques, le leadership se révèle.
Décider en crise : arbitrer les pertes
Lors de #AppelCyberJuin 2025, une conférence dédiée à la prise de décision en situation de crise, un enseignement majeur a émergé. En effet, quand tout s’effondre, la gestion du risque laisse place à l’arbitrage des pertes.
La question n’est plus : « Quel risque suis-je prêt à prendre ? »
Mais : « Qu’est-ce que je suis prêt à perdre pour préserver l’essentiel ? »
Prendre une décision gestion de crise, c’est assumer ce choix. Il faut l’expliquer et lui donner du sens, même dans le doute.
Les valeurs comme boussole
Un plan de continuité ou un contrôle absolu ne suffisent pas toujours. La véritable clé réside dans les valeurs. Ce sont elles qui orientent les choix, maintiennent la cohésion et inspirent confiance.
En période de cyber crisis management, les dirigeants ne cherchent plus seulement à performer. Au contraire, ils cherchent à :
✔️ coopérer,
✔️ dialoguer,
✔️ inventer des solutions inédites.
Du contrôle au collectif
Une crise modifie la gouvernance. Ainsi, la décision gestion de crise conduit à passer :
➡️ du contrôle au consentement,
➡️ du probable au possible,
➡️ de l’intérêt individuel au sens collectif.
De ce fait, le leadership ne se mesure plus uniquement à la technique. Il s’évalue surtout à la capacité à fédérer et à renforcer la résilience collective.
Conclusion
Décider en crise, c’est accepter de perdre quelque chose pour protéger ce qui compte vraiment : la confiance, la continuité et la réputation. Pour aller plus loin, consultez le guide officiel de l’ANSSI sur la gestion de crise cyber(lien externe).
👉 Découvrez nos formations gestion de crise
Culture cyber : chaque collaborateur est concerné
Culture cyber : chaque collaborateur est concerné
🔐 La culture cyber n’est pas un sujet réservé aux experts informatiques. En effet, dans un monde où 80 % des incidents de cybersécurité impliquent un facteur humain, la protection numérique doit être perçue comme une responsabilité collective. En d'autres termes, en matière de culture cyber, chaque collaborateur est concerné.
La cybersécurité, une responsabilité partagée
Souvent, les collaborateurs pensent que la sécurité informatique dépend uniquement du service IT. Pourtant, chacun joue un rôle déterminant dans la cyber résilience. Ainsi, la culture cyber doit s’ancrer à tous les niveaux : dirigeants, COMEX et équipes métiers.
Exemple concret : quand l’humain devient le maillon faible
Dans un train, un collaborateur travaille sur des documents sensibles, visibles de tous. Lorsqu’un collègue l’avertit du danger, il répond :
👉 « Peut-être… mais chez nous, c’est l’informatique qui gère. »
Cet exemple montre un malentendu fréquent : croire que la cybersécurité n’est pas son rôle. Pourtant, ignorer de simples précautions expose directement l’entreprise à des risques majeurs.
Bonnes pratiques en mobilité
Pour développer une culture cyber, chacun peut appliquer des gestes simples et efficaces :
-
D’abord, utiliser un filtre écran pour protéger les données confidentielles.
-
Ensuite, éviter les connexions Wi-Fi publiques non sécurisées.
-
De plus, verrouiller son poste dès qu’on s’absente.
-
En complément, employer un VPN pour sécuriser les accès à distance.
-
Enfin, rester attentif à ce que l’on affiche ou partage dans les lieux publics.
La culture cyber, un pilier de gouvernance et de résilience
La cybersécurité ne se limite pas à un réflexe ponctuel. Au contraire, elle représente un risque métier à anticiper. En conséquence, développer une culture cyber revient à protéger la valeur, les données et la réputation de l’entreprise. C’est pourquoi elle constitue une brique essentielle de la gouvernance, de la responsabilité et de la résilience.
➡️ À lire aussi : Cybersécurité et gouvernance : un enjeu stratégique
➡️ Pour aller plus loin : ANSSI – Guide des bonnes pratiques numériques
En 2024 (et encore plus en 2025), la cybersécurité change de visage.
Cybersécurité et polycrises : un nouveau visage en 2024-2025
En 2024 (et encore plus en 2025), la cybersécurité et polycrises sont devenues indissociables. La menace reste bien réelle. Cependant, le contexte a profondément changé : la cybersécurité n’est plus seulement technique, elle est désormais un enjeu de gouvernance, de souveraineté et de résilience business.
Le Future Risks Report 2024 d’AXA (lien en commentaire 👇) le confirme. En effet, nous sommes entrés dans une ère où les risques ne se succèdent plus… ils s’empilent.
Ainsi, les 5 préoccupations majeures des experts sont claires :
-
Le changement climatique 🌍
-
L’instabilité géopolitique
-
La cybersécurité 💻
-
L’intelligence artificielle 🤖
-
La désinformation 🌀
Or, la désinformation apparaît pour la première fois dans ce classement avec autant de force. Elle nourrit les tensions sociales, fragilise la stabilité économique et s’infiltre dans toutes les autres crises. De plus, elle est amplifiée par les algorithmes, déformée par l’IA et rendue virale par les plateformes. Dès lors, c’est toute une chaîne de confiance qui se retrouve menacée.
Face à ces défis, la cyber risk governance devient centrale. Trois questions clés émergent :
-
Comment évaluer son risque cyber de manière stratégique ?
-
Qui porte la responsabilité des dirigeants en cybersécurité lors d’une crise ?
-
Enfin, comment tester son cyber crisis management grâce à des exercices type tabletop ?
La réponse ne peut pas être uniquement technique. En revanche, il est essentiel de renforcer la culture cyber, de sensibiliser les équipes et d’encourager la responsabilisation du Comex. Par conséquent, la cybersécurité devient un levier de cyber risk management, de confiance et de performance durable.
👉 Dirigeants, RSSI, COMEX : êtes-vous prêts à affronter les polycrises et à intégrer la cybersécurité au cœur de vos décisions stratégiques ?
Source photo: https://www.axa.com/fr/actualites/2024-future-risks-report