8 mai 2025

Comment convaincre son codir ?

Cette question, récemment posée à notre consultant Thibaut Fontaine par un RSSI du secteur de l’enseignement supérieur et de la recherche, résonne probablement chez beaucoup d’entre vous. Convaincre la direction de l’importance stratégique (et pas seulement technique) de la cybersécurité est un défi constant, mais essentiel.

Alors, comment transformer la perception de la cybersécurité, souvent vue comme un centre de coût, en un investissement indispensable et un levier de confiance ?

« Thibaut, comment faire pour embarquer mon comité de direction sur l’importance de sécuriser notre architecture et d’améliorer nos processus avec une approche ‘security by design’ ? » 

Trois clés pour convaincre : Expliquer, Impliquer, Prouver

  • Expliquer (La Pédagogie) : Il faut sortir du jargon technique. Expliquez les risques avec des termes clairs, des exemples concrets et des analogies parlantes pour la direction. Montrez l’impact potentiel d’un incident non pas seulement en termes techniques, mais surtout en termes métier : interruption d’activité, perte financière, atteinte à la réputation, conséquences réglementaires…
  • Impliquer (La Responsabilisation) : La cybersécurité n’est pas que l’affaire du RSSI ou de l’IT. C’est une responsabilité partagée à tous les niveaux de l’organisation, y compris au niveau de la direction. Soulignez leur rôle dans la gouvernance du risque cyber.
  • Prouver (Les Éléments Factuels) : Appuyez votre argumentation sur des données concrètes : statistiques sur les attaques ciblant votre secteur, résultats d’audits internes ou externes, exemples d’incidents récents chez des pairs, coûts estimés d’une cyberattaque pour une structure similaire à la vôtre.

Le Paysage a Changé : De "Si ?" à "Quand et Comment ?"

Il est crucial de faire comprendre à votre direction que le contexte a évolué. Les cyberattaques, particulièrement dans des secteurs riches en données comme l’enseignement et la recherche, ne sont plus une hypothèse lointaine. La vraie question n’est plus si vous serez ciblés, mais quand, et surtout :

Sommes-nous réellement préparés à garantir la confidentialité, l’intégrité et la disponibilité de nos systèmes et de nos données (recherche, étudiants, personnel) face à une attaque ?

Si la réponse penche vers le « non » ou « pas entièrement » – ce qui est souvent le cas – c’est là que le rôle du RSSI devient crucial : proposer une vision et un plan d’action.

Structurer l'Action : Les 4 Piliers de la Cyber-Résilience

Pour être crédible et efficace, ce plan doit s'articuler autour des fondamentaux de la cybersécurité moderne :

  • 🔑 Gouvernance : Qui est responsable de quoi ? Comment les décisions sont-elles prises ? Comment le risque cyber est-il intégré dans la stratégie globale ?
  • 🛡️ Protection : Quelles sont les mesures techniques (pare-feu, EDR, MFA, chiffrement...) et organisationnelles (politiques, procédures, contrôles d'accès...) en place pour prévenir les incidents ?
  • 🚨 Détection/Défense : Comment surveillons-nous nos systèmes ? Sommes-nous capables de détecter une intrusion rapidement et d'y réagir efficacement ?
  • 🔄 Résilience : Que se passe-t-il après une attaque ? Comment assurons-nous la continuité ou la reprise rapide de nos activités critiques ? 

NIS2 : Plus qu'une Contrainte, un Levier Stratégique

C’est ici que des cadres réglementaires comme la directive NIS2 prennent tout leur sens. Loin d’être une simple case à cocher, NIS2 fournit une structure et une impulsion pour renforcer la maturité des organisations sur ces quatre piliers essentiels. Elle incite à une meilleure gouvernance, à une gestion des risques plus formalisée, à la sécurisation de la chaîne d’approvisionnement et à une meilleure préparation à la gestion des incidents.

Utilisez NIS2 comme un levier auprès de votre direction. Ce n’est pas votre demande, c’est une exigence externe qui nécessite une action structurée et des ressources dédiées, et qui, in fine, renforcera la protection globale de l’organisation.

Un Effort Collectif

Le message clé à faire passer à votre comité de direction est simple : la cybersécurité n'est pas un projet ponctuel, mais un processus continu. Elle nécessite :

  • Leur soutien actif et visible.
  • La collaboration de toutes les équipes (IT, métiers, RH, juridique...).
  • Des ressources (humaines et financières) adéquates et pérennes.

Comme le dit l'expert Bruce Schneier : "La sécurité n'est pas un produit, mais un processus." C'est un engagement constant, une transformation culturelle, et un effort collectif indispensable à la survie et au développement de toute organisation aujourd'hui.