Une direction générale qui s’inquiète pour sa cybersécurité, c’est déjà un bon début. Mais trop souvent, l’inquiétude s’arrête à une slide. Un score d’audit. Une courbe descendante. Ou une assurance “tout est sous contrôle” venant d’un prestataire invisible.
J’ai été appelé dans une entreprise qui pensait avoir “tout sécurisé”. Deux mois plus tard, 200 000 fichiers RH, commerciaux et techniques se retrouvaient sur le dark web. La direction, sidérée, répétait : “Mais on avait coché toutes les cases.”
C’est le cœur du problème : la cybersécurité se pense souvent en conformité, pas en pilotage. On remplit des tableaux, on passe des audits. Mais on ne sait pas poser les bonnes questions. Celles qui révèlent la réalité du terrain.
Voici les 5 questions concrètes que je propose systématiquement aux dirigeants avec qui je travaille. Elles ne sont pas techniques. Mais elles sont stratégiques. Et les réponses — ou leur absence — disent tout.
1. Qui, aujourd’hui, est responsable de la cybersécurité dans notre organisation ?
Attention : je ne parle pas de l’entreprise qui vend la solution antivirus. Ni du responsable de l’infra. Ni du DSI par défaut. Je parle d’un nom, une fonction, une mission. Quelqu’un qui pilote, arbitre, remonte les alertes, anime la prévention.
Trop souvent, la réponse est floue. “C’est un sujet transversal.” Ou : “On a un prestataire.” En réalité, il n’y a pas de cybersécurité sans pilote désigné. En mission, je propose toujours un référent cybersécurité (interne ou externe) rattaché à la DG ou au COMEX.
2. A-t-on testé notre capacité à réagir en cas d’attaque ?
Je ne parle pas d’un plan imprimé dans un classeur. Je parle d’un test réel. Une simulation de phishing. Un test de restauration. Un scénario de blocage.
Quand je pose la question, j’entends souvent : “On n’a pas eu le temps.” Ou : “Le prestataire nous a dit que c’était bon.” Mais le jour où ça frappe — et ça frappera — ce qui sauve l’entreprise, c’est la préparation.
En mission, je déclenche souvent un test de crise dans les 30 premiers jours. Résultat ? Des failles inattendues. Et un sursaut salutaire.
3. A-t-on une cartographie de nos données critiques ?
Quelles données sont vitales ? Où sont-elles stockées ? Qui y accède ? Quelle est leur durée de conservation ? Peut-on les restaurer ?
Sans réponse claire, impossible de prioriser la protection. J’ai vu des PME investir dans des firewalls complexes, mais laisser les données sensibles exposées sur un Google Drive non maîtrisé.
En mission, je fais toujours un état des lieux simple :
– Données sensibles
– Systèmes critiques
– Risques métiers associés
Ce n’est pas de la technique. C’est de la gestion de patrimoine.
4. Que se passe-t-il si un salarié clique sur un lien piégé demain matin ?
Pas en théorie. En vrai. Quel est le temps de détection ? De réponse ? De confinement ? D’information ? Qui fait quoi ?
Trop souvent, la réponse est : “On verra bien.” Ce flou est dangereux. Parce qu’une attaque réussie ne détruit pas immédiatement. Elle s’installe, se propage, se cache.
Je mets donc en place une matrice claire de réponse : rôles, délais, contacts, procédures. Et je la partage avec les équipes. C’est simple. Mais c’est vital.
5. La cybersécurité est-elle inscrite dans notre stratégie de croissance ?
C’est LA question qui change tout. Parce que la sécurité ne doit pas être un frein. Elle doit être un levier de confiance, un argument business, un gage de maturité.
Si vous ouvrez une filiale, signez un contrat avec un industriel, ou entrez sur un nouveau marché… vos clients vont vous demander : êtes-vous sûrs de vos systèmes ?
Je veille donc à ce que chaque projet stratégique intègre une dimension cybersécurité. Budgetée. Pilotée. Intelligible. Cela rassure les clients, les investisseurs… et les équipes internes.
Quand ces cinq questions trouvent des réponses solides, claires, partagées, alors la cybersécurité cesse d’être une peur floue. Elle devient une posture active.
Et surtout : elle sort de l’ombre du DSI. Elle devient une affaire de direction générale. Parce que la continuité, la réputation, la compétitivité — tout dépend de notre capacité à anticiper, à résister, à rebondir.
Un DSI de transition n’est pas là pour installer un antivirus.
Il est là pour poser les vraies questions. Et construire des réponses robustes, durables et stratégiques.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.