Récapitulatif
- Les PDG ont besoin de davantage de contexte dans les briefings de cybersécurité. Ils ont besoin d’une clarté décisionnelle sur l’exposition — le « pourquoi est-ce important ? » derrière les indicateurs.
- Une communication cyber efficace traduit les métriques techniques en impact métier : chiffre d’affaires, réputation et gestion du risque réglementaire.
- Les cadres d’appétence au risque ne fonctionnent que lorsqu’ils sont appliqués de manière cohérente, et pas seulement documentés.
La plupart des PDG peuvent réciter leurs objectifs trimestriels et leur chiffre d’affaires à la décimale près, mais interrogez-les sur l’exposition au risque cyber de leur organisation, et les réponses deviennent plus vagues. Ce n’est pas que les PDG d’aujourd’hui ne se préoccupent pas de la sécurité — la cybersécurité figure parmi les principales préoccupations des conseils d’administration et des équipes dirigeantes. Le problème est plus profond : une rupture fondamentale dans la manière dont les risques de sécurité sont expliqués aux dirigeants métier, qui ne tient pas compte de leur impact sur les résultats de l’entreprise.
Le manque de compétences n’est pas la cause de la plupart des problèmes de communication entre RSSI et PDG. Ils découlent d’un problème bien connu : la malédiction du savoir. La malédiction du savoir est un défi courant dans lequel les experts — en l’occurrence les responsables de la sécurité — peuvent supposer que toutes les personnes présentes ont une compréhension de base des informations et de la terminologie techniques. Ils ne prennent donc pas le temps de reformuler les risques complexes en termes simples ni de les replacer dans un contexte concret.
Le Rapport 2026 sur l’état de la cybersécurité d’Ivanti souligne ce décalage. Près de six professionnels de la sécurité sur dix déclarent que leurs équipes ne sont que modérément efficaces pour communiquer l’exposition au risque à la direction exécutive.
Lorsque PDG et RSSI ne parlent pas le même langage, des vulnérabilités métier critiques peuvent être masquées par le jargon technique. Quand la communication se rompt, les organisations perdent du temps et de l’argent dans des investissements mal orientés, tandis que les lacunes de protection passent inaperçues jusqu’à ce qu’une violation impose la discussion.
Alors que le niveau des menaces augmente, les attaques reposant sur l’IA deviennent plus sophistiquées et les violations de données font chaque semaine la une de l’actualité. Les enjeux d’une communication claire entre les RSSI et la direction exécutive n’ont jamais été aussi élevés.
Pour comprendre pourquoi cet écart de communication persiste, nous devons examiner à la fois les défis fondamentaux et les indicateurs utilisés pour mesurer la réussite.
Pourquoi la communication sur le risque cyber échoue : la malédiction du savoir
Ce décalage entre PDG et RSSI n’est pas dû à un manque de données. C’est même l’inverse. Du point de vue du PDG, le problème n’est ni l’attention ni l’intention. Il réside plutôt dans le fait de voir des tableaux de bord, des métriques, des acronymes et des scores de gravité sans comprendre l’impact de ces résultats sur l’ensemble de l’entreprise.
Les responsables de la sécurité doivent partir du principe que de nombreuses personnes dans la salle ne comprennent pas les implications de termes comme les scores CVSS, les surfaces d’attaque et les vulnérabilités zero-day. Les PDG attendent davantage que des tableaux de bord remplis de métriques, d’acronymes et de scores de gravité.
Les briefings de cybersécurité doivent aller plus loin et montrer les implications financières, juridiques et réputationnelles de ces résultats pour l’entreprise. Un RSSI peut indiquer « 587 vulnérabilités critiques détectées ce mois-ci », alors que ce que le PDG doit réellement savoir, c’est : « Lesquelles menacent notre capacité à servir nos clients, et quel est notre plan pour y remédier ? »
Les KPI de cybersécurité qui comptent pour les PDG
Les KPI utiles relient clairement les efforts de gestion des vulnérabilités au risque métier. Toutefois, notre étude sur la cybersécurité montre que les KPI les plus utilisés par les équipes de sécurité ne reflètent pas le contexte du risque.
Aujourd’hui, seule la moitié des entreprises (51 %) suivent des scores d’exposition en cybersécurité ou d’autres indices fondés sur le risque. De nombreuses équipes de sécurité s’appuient encore sur des indicateurs de processus tels que le délai moyen de remédiation (47 %) ou le pourcentage d’expositions corrigées (41 %).
Des métriques comme le MTTR, la vitesse de déploiement des correctifs et le pourcentage de remédiation sont importantes pour les équipes de sécurité, mais elles mesurent l’efficacité opérationnelle, et non l’exposition métier ou l’impact financier potentiel. Pris isolément, ces indicateurs peuvent sembler rassurants tout en masquant la vraie question : gérons-nous efficacement notre risque ?
Ces métriques, axées sur la rapidité et la couverture, peuvent paraître positives en elles-mêmes, mais elles montrent peu si les efforts actuels de remédiation améliorent réellement la posture de risque. Ce qui compte moins, c’est la vitesse à laquelle les vulnérabilités sont corrigées et leur nombre. Ce qui compte davantage, c’est de savoir si les bons problèmes sont traités.
Une compréhension partagée entre les équipes de sécurité, le conseil d’administration et la direction exige d’ancrer des métriques opaques dans des enjeux réels. Pour les PDG, cela signifie s’aligner avec leur RSSI sur les risques les plus importants pour leur organisation spécifique — êtes-vous un établissement financier fréquemment confronté à des schémas de fraude sophistiqués, à des exigences strictes de conformité comme PCI-DSS et SOX, ainsi qu’à la menace constante de ransomwares ciblant les données financières des clients ? Êtes-vous un organisme de santé qui doit sécuriser un réseau croissant de dispositifs médicaux connectés tout en maintenant des normes de conformité rigoureuses pour protéger les données sensibles des patients ?
Illustrons la différence entre un briefing sécurité destiné aux dirigeants qui s’appuie uniquement sur des métriques techniques et un briefing qui ajoute du contexte et l’impact métier.
Ce que dit le RSSI :
- « Nous avons découvert 11 000 vulnérabilités. »
- « Le MTTR est passé de 25 à 15 jours. »
- « Nous avons atteint un taux de remédiation de 88 % sur les CVE critiques. »
Ce que le PDG doit réellement savoir :
- « Nous avons identifié dix vulnérabilités critiques susceptibles d’affecter les systèmes générateurs de revenus. »
- « En cas d’attaque aujourd’hui, nous pouvons rétablir les opérations critiques en six heures, contre 48 heures l’an dernier. »
- « Cette protection nous permet d’envisager une expansion dans l’UE sans risque de conformité supplémentaire. »
Construire un cadre d’appétence au risque au niveau exécutif
La communication avec les dirigeants repose sur des cadres partagés et un point de référence commun pour définir, mesurer et discuter le risque. Pour éliminer les incohérences et la confusion, toutes les parties prenantes doivent participer à la création et à l’application d’un cadre d’appétence au risque.
L’un des principaux objectifs de ces échanges est d’aider les dirigeants métier à comprendre que le but du programme de cybersécurité n’est pas d’être totalement « sans risque » — il est impossible pour une organisation moderne de le devenir. En d’autres termes, les PDG doivent être capables de distinguer leur appétence au risque de leur posture de risque.
1. Appétence au risque : le niveau de risque que leur entreprise est actuellement prête à tolérer pour atteindre ses objectifs globaux.
2. Posture de risque : la réalité de l’exposition actuelle au risque de l’organisation.
La plupart des organisations reconnaissent désormais la nécessité de formaliser le niveau de risque cyber qu’elles sont prêtes à accepter. L’étude d’Ivanti montre que plus de 80 % des organisations disposent d’un cadre d’appétence au risque documenté.
Cependant, moins de la moitié des organisations déclarent que ces cadres sont étroitement suivis dans les opérations quotidiennes. Lorsque les cadres existent sur le papier mais ne guident pas les décisions réelles, il est très probable que l’appétence au risque et la posture de risque de votre organisation ne soient pas alignées.
Comment la gestion de l’exposition comble l’écart de communication
La gestion de l’exposition est une approche fondée sur le risque qui identifie, hiérarchise et valide en continu l’étendue des menaces potentielles sur l’ensemble de la surface d’attaque. La pratique de la gestion de l’exposition aide à fédérer les responsables de la sécurité et les dirigeants autour d’une stratégie unique et complète, qui recentre la cybersécurité sur les risques critiques pour l’entreprise.
Au lieu de considérer toutes les vulnérabilités comme équivalentes, la gestion de l’exposition vise à identifier et à hiérarchiser les risques les plus élevés de l’organisation en se demandant :
- Quelles expositions actuelles les acteurs de la menace exploitent-ils activement ?
- Quels actifs doivent être priorisés en fonction des opérations métier actuelles ?
- Quels actifs, s’ils étaient compromis, auraient le plus grand impact en termes d’atteinte à la réputation, aux clients ou sur le plan juridique ?
Le rapport d’étude d’Ivanti montre que près des deux tiers des organisations investissent désormais dans la gestion de l’exposition, et que la compréhension des dirigeants a progressé d’une année sur l’autre. Mais l’exécution reste en retrait : seule environ une organisation sur quatre juge excellente sa capacité à évaluer l’exposition au risque.
Pour combler cet écart et opérationnaliser efficacement la gestion de l’exposition, les RSSI doivent ancrer la communication avec les dirigeants autour de trois principes
1. Traduire les signaux techniques en contexte métier. Au lieu de rapporter le nombre de vulnérabilités, expliquez quelles expositions affectent les systèmes générateurs de revenus, les données client ou les environnements réglementés.
2. Prioriser les menaces émergentes selon leur impact, et non leur volume. Les dirigeants n’ont pas besoin de suivre chaque nouvelle technique d’attaque. Ils doivent comprendre quelles situations pourraient perturber matériellement l’activité et dans quelle mesure l’organisation est prête à y répondre.
3. Utiliser des scénarios, pas des feuilles de calcul. Des récits qui relient la cause, l’impact et le résultat, étayés par des données, aident les dirigeants à intégrer le risque et à prendre des décisions plus rapidement.
Cette approche fait évoluer votre stratégie d’atténuation des risques d’une défense réactive vers une prise de décision proactive.
La voie à suivre
Lorsque les dirigeants et les responsables de la sécurité parlent le même langage, la malédiction du savoir peut être levée et la cybersécurité devient un levier stratégique qui protège la valeur de l’entreprise, favorise la croissance et transforme la solidité de la sécurité en avantage concurrentiel.
La malédiction du savoir peut être levée — un indicateur traduit, une conversation axée sur le métier et une décision claire à la fois.
FAQ
Qu’est-ce que la « malédiction du savoir » dans la communication en cybersécurité ?
La malédiction du savoir est un biais cognitif par lequel les professionnels de la cybersécurité peuvent supposer que les dirigeants métier comprennent les termes et concepts techniques, ce qui entraîne des problèmes de communication dus à l’utilisation de termes de sécurité et de métriques techniques sans les traduire en contexte métier.
Qu’est-ce qu’un cadre d’appétence au risque ?
Un cadre d’appétence au risque est une politique formelle qui définit le niveau de risque cyber qu’une organisation est prête à accepter dans ses différents départements et activités. Le cadre d’appétence au risque d’une organisation fixe des seuils et des lignes directrices afin que toutes les parties prenantes prennent des décisions de manière cohérente, en conciliant protection et objectifs métier.
