Votre forum ne se soucie pas de vos mises à jour de statut technique ; Si vous ne parvenez pas à traduire les cybermenaces en coûts opérationnels importants et concrets, votre budget disparaîtra.
Les conseils d’administration de tous les secteurs comprennent désormais que les cyberattaques peuvent être coûteuses. Mais ce qui leur manque souvent, c’est une vision claire des risques qui constituent la plus grande menace pour leur entreprise et des raisons pour lesquelles certains investissements doivent être privilégiés. De nombreux responsables de la sécurité perdent alors du terrain. Le défi consiste moins à tirer la sonnette d’alarme qu’à traduire le risque en éléments opérationnels concrets.
Les équipes de sécurité passent leur temps à identifier les menaces, à évaluer les contrôles et à mesurer l’exposition, tandis que les conseils d’administration se concentrent sur différents ensembles de questions, en se concentrant sur l’impact, les compromis et les prochaines étapes. Ils veulent comprendre où l’entreprise est exposée, ce qui pourrait perturber les opérations ou entraîner des conséquences financières et réglementaires et quelles décisions nécessitent une attention immédiate. Lorsque les cyber-risques sont présentés comme un briefing technique plutôt que comme une décision commerciale, même les problèmes urgents peuvent sembler plus faciles à reporter. C’est pourquoi les responsables de la sécurité doivent s’aligner sur les normes auxquelles les dirigeants s’attendent lorsqu’ils abordent les discussions sur les risques dans la salle de conseil.
Cette déconnexion est d’autant plus importante aujourd’hui que le coût de l’échec reste élevé, tandis que la lutte pour les ressources ne fait que s’intensifier. Le rapport 2025 d’IBM sur le coût d’une violation de données révèle que le coût moyen mondial d’une violation atteint 4,44 millions de dollars, soit une hausse de 10 % par rapport à l’année précédente. Ce même rapport indique que les organisations confrontées à des niveaux élevés de pénurie de compétences en matière de sécurité ont vu des coûts moyens de violation beaucoup plus élevés, tandis que les organisations qui ont utilisé l’IA et l’automatisation de la sécurité ont considérablement réduit leurs coûts de violation de 3,65 millions de dollars en moyenne.
Ces chiffres contribuent à expliquer les enjeux financiers du risque, mais ils ne se traduisent pas automatiquement par le soutien du conseil d’administration. Les responsables de la sécurité doivent encore montrer pourquoi des risques spécifiques méritent une attention particulière, quels sont les enjeux pour l’entreprise et où une action est la plus nécessaire. Sans ce lien, même les menaces graves peuvent rester trop abstraites pour orienter les décisions.
Pourquoi les discussions au sein du conseil d’administration sont toujours au point mort
De nombreuses mises à jour des conseils d’administration sur les risques sont insuffisantes car elles se concentrent sur le reporting plutôt que sur la prise de décision.
Les conseils d’administration peuvent entendre parler de tentatives d’attaque, de vulnérabilités ouvertes, de lacunes de contrôle ou de conclusions d’audit, mais ces détails à eux seuls ne leur indiquent pas quelle décision est nécessaire. Une longue liste de risques ne crée pas d’urgence si les administrateurs ne peuvent pas déterminer quelles expositions ont le plus grand impact sur l’entreprise, ce qui est susceptible de se produire si ces problèmes ne sont pas résolus et quels sont les domaines dans lesquels la direction estime qu’il faut agir en premier.
Les conseils d’administration ne disposent pas de la bande passante nécessaire pour un briefing dense sur les risques. Ils ne disposent souvent que du temps nécessaire pour formuler clairement une poignée de décisions. Les dirigeants qui considèrent le temps passé au sein du conseil d’administration comme une occasion de prouver leurs connaissances techniques négligent souvent l’objectif plus large qui consiste à aider les dirigeants à comprendre l’exposition aux risques d’une manière qui favorise l’action.
Arrêtez de signaler les risques sous forme de mise à jour de l’état technique
Les dirigeants n’ont pas besoin d’un cours magistral en modélisation des menaces. Ils doivent savoir ce que l’entreprise risque de perdre.
Le risque doit être défini dans les termes que les conseils d’administration utilisent déjà pour peser d’autres décisions d’entreprise : risque financier, perturbation opérationnelle, conséquences en matière de conformité, risque juridique et coût du retard. Les responsables de la sécurité ont souvent du mal à traduire le risque technique en urgence commerciale, même si les dirigeants comprennent déjà que les violations sont néfastes. Ce dont ils ont besoin, c’est d’une image plus claire des coûts probables de ces violations, pannes et pannes.
C’est également là que la communication au sein du conseil d’administration commence à s’améliorer. Prendre en charge le risque devient plus facile lorsqu’il n’est plus abstrait. Un conseil d’administration ne peut pas s’engager dans une démarche concernant la maturité du contrôle. Il est beaucoup plus probable qu’elle s’engage dans une brève explication selon laquelle une lacune connue pourrait perturber une fonction génératrice de revenus, retarder une initiative stratégique ou accroître l’exposition réglementaire au-delà de la tolérance au risque déclarée de l’organisation.
Les dirigeants les plus influents en matière de sécurité n’édulcorent pas le message. Ils le rendent lisible en évitant le jargon, en identifiant les quelques problèmes les plus importants et en expliquant clairement les compromis.
Expliquer clairement le coût du sous-investissement
Les responsables de la sécurité ne se battent pas uniquement pour le budget. Ils rivalisent pour la confiance.
Cela rend essentielle une priorisation disciplinée. Les conseils d’administration sont beaucoup plus susceptibles de soutenir les dépenses lorsqu’ils peuvent déterminer quels risques ont le plus grand impact sur l’entreprise, comment ces risques ont été classés et où des ressources supplémentaires réduiraient l’exposition de manière significative. Ils sont moins susceptibles de réagir lorsque chaque problème est présenté comme étant tout aussi urgent ou lorsque la direction ne peut pas expliquer pourquoi un investissement est plus important qu’un autre.
Les données budgétaires actuelles mettent en évidence la pression. En août 2025, l’IANS et l’Artico ont signalé que la croissance moyenne du budget de sécurité a ralenti à 4 %, contre 8 % en 2024, le taux le plus bas depuis cinq ans. Seuls 47 % des RSSI ont signalé une augmentation de leur budget en 2025, contre 62 % l’année précédente.
Dans cette situation, davantage de rapports à eux seuls n’aident pas. Les conseils d’administration ont besoin de preuves démontrant que la direction est capable d’identifier les risques les plus coûteux, d’attribuer des responsabilités et d’orienter les ressources là où elles auront le plus grand effet.
GRC devrait soutenir les décisions, pas seulement la documentation
La gouvernance, les risques et la conformité (GRC) ne constituent pas un exercice de reporting. C’est un moyen de transformer des problèmes de risques dispersés en priorités commerciales.
Cela signifie aider les dirigeants à répondre à des questions pratiques, telles que « Quelles expositions sont les plus susceptibles de créer un préjudice mesurable pour les entreprises ? » « Quelles lacunes sont déjà comblées et lesquelles ne le sont pas ? « Où l’organisation accepte-t-elle sciemment le risque, et où l’action est-elle simplement au point mort ? « Quelles demandes sont liées à une réduction mesurable des pertes, des perturbations ou de la pression de conformité ? »
Lorsque ces liens sont clairs, la cybersécurité ne ressemble plus à une équipe technique demandant plus d’argent. Il semble que la direction fasse ce qu’elle est censée faire, c’est-à-dire identifier les risques de l’entreprise, classer les priorités et présenter des arguments disciplinés en faveur de l’action.
À quoi ressemble une meilleure communication au sein du conseil d’administration
Une meilleure communication au sein du conseil d’administration est généralement plus courte et non plus longue.
Cela commence par le risque, l’impact commercial probable, les conséquences de l’inaction et la décision que la direction demande au conseil d’administration de soutenir ou de comprendre. Les détails techniques sont toujours importants, mais ils doivent venir après l’analyse de rentabilisation et non à sa place.
Cela demande également de la franchise. Si une pénurie de personnel retarde les progrès, dites-le. Si les outils ont amélioré la visibilité mais que l’équipe n’a pas la capacité d’agir en fonction de ce qu’elle voit, indiquez-le clairement. Si certains risques demeurent ouverts parce que l’entreprise a choisi de les accepter, documentez-le clairement. Les conseils d’administration sont plus susceptibles de soutenir avec discipline les dirigeants qui présentent des risques que ceux qui considèrent chaque trimestre comme une nouvelle urgence.
Au fil du temps, cette cohérence renforce la confiance. Les dirigeants cessent de considérer les mises à jour des RSSI comme une liste de préoccupations non résolues et commencent à les considérer comme faisant partie d’un processus de gestion plus large qui relie l’exposition, la responsabilité et les décisions en matière de ressources.
L’adhésion n’est pas seulement un budget plus important
Une véritable adhésion au niveau du conseil d’administration signifie que le conseil d’administration comprend quels risques sont les plus importants, s’accorde sur pourquoi ils sont importants et est convaincu que les ressources sont allouées de manière disciplinée. Le cyber-risque est traité dans le cadre de la résilience et de la gouvernance des entreprises, et non comme un problème technique cloisonné. Le leadership en matière de sécurité peut clairement expliquer pourquoi un investissement est prioritaire sur un autre et ce que l’organisation a à gagner en agissant maintenant plutôt que plus tard.
La GRC est précieuse au niveau de la direction car elle éloigne la conversation des préoccupations généralisées et la dirige vers une prise de décision éclairée. En fin de compte, les conseils d’administration sont plus susceptibles de soutenir les responsables de la sécurité qui peuvent expliquer les risques en termes commerciaux, les hiérarchiser clairement et montrer où les ressources seront les plus importantes.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
