Phylapp
Pilotage et cartographie des risques numériques

Les indicateurs clés pour suivre l’évolution du risque numérique

Les indicateurs de risque numérique doivent mesurer l'exposition réelle, pas l'activité. Choisir un petit nombre d'indicateurs bien calibrés et les présenter honnêtement à la direction est plus efficace qu'un tableau exhaustif.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 21 lectures

Points clés

  • Les indicateurs de suivi du risque numérique doivent mesurer l'évolution de l'exposition réelle, pas seulement l'activité des équipes de sécurité.
  • Un indicateur pertinent répond à la question : sommes-nous plus ou moins exposés qu'il y a un trimestre, et pour quelle raison ?
  • La sélection d'un petit nombre d'indicateurs bien choisis est plus efficace qu'un tableau de bord exhaustif mais illisible.
  • Les indicateurs doivent être régulièrement recalibrés pour s'assurer qu'ils mesurent ce qu'ils prétendent mesurer — et non une approximation confortable.
Cas US Morgan Stanley (2016-2019) — Les processus de décommissionnement des équipements ne disposaient pas d'indicateurs de suivi permettant de vérifier que les supports avaient été correctement effacés avant leur destruction. L'absence d'un indicateur aussi simple que "pourcentage des équipements décommissionnés dont l'effacement a été certifié" avait permis que des données clients résiduelles persistent sur des équipements hors service, conduisant à une amende de 60 millions de dollars.

Les deux catégories d'indicateurs : performance et risque résiduel

Le pilotage du risque numérique nécessite deux catégories d'indicateurs complémentaires mais distinctes. Les indicateurs de performance (KPI) mesurent l'efficacité des activités de sécurité : taux de couverture des formations, délai moyen de correction des vulnérabilités critiques, pourcentage de systèmes sauvegardés et testés. Ces indicateurs signalent si les processus de sécurité fonctionnent correctement. Les indicateurs de risque résiduel (KRI) mesurent ce qui reste exposé malgré les contrôles : nombre de systèmes critiques avec des vulnérabilités non corrigées depuis plus de 90 jours, pourcentage de prestataires tiers sans évaluation récente, proportion des processus critiques sans plan de continuité validé. Ces indicateurs signalent le niveau d'exposition persistante.

Pourquoi le volume d'activité n'est pas un indicateur de risque

L'une des erreurs les plus fréquentes dans la conception des tableaux de bord de risques est de confondre le volume d'activité avec la réduction de l'exposition. "Nombre de vulnérabilités corrigées ce mois" mesure l'activité — pas le risque résiduel sur les vulnérabilités non corrigées. "Nombre de formations réalisées" mesure la conformité — pas la réduction de la probabilité d'un incident de phishing réussi. Un tableau de bord rempli d'indicateurs d'activité peut donner l'impression d'une gestion active des risques tout en masquant une exposition résiduelle significative. Les vrais indicateurs de risque mesurent ce qui reste exposé, pas ce qui a été fait.

Choisir un petit nombre d'indicateurs significatifs

La tentation d'un tableau de bord exhaustif — plusieurs dizaines d'indicateurs couvrant toutes les dimensions de la sécurité — produit généralement un outil illisible qui n'est ni compris ni utilisé par la direction. Une sélection rigoureuse de cinq à dix indicateurs bien choisis, présentés avec leur tendance sur les derniers trimestres et leurs valeurs cibles, est beaucoup plus efficace pour informer les décisions stratégiques. Le critère de sélection doit être simple : est-ce que cet indicateur, s'il se dégrade, signifie que l'organisation est plus exposée à un incident significatif ? Si la réponse est oui, il mérite une place dans le tableau de bord stratégique.

Cas EU Maersk (2017) — La reconstruction post-attaque NotPetya a conduit l'entreprise à définir des indicateurs de résilience opérationnelle : délai de restauration des systèmes critiques, couverture des sauvegardes, temps de basculement sur les sites de secours. Ces indicateurs, issus directement de l'expérience de l'incident, mesuraient ce qui s'était avéré critique lors de la crise réelle. Ils illustrent le principe que les meilleurs indicateurs de risque sont souvent ceux qui découlent d'une réflexion sur les scénarios les plus redoutés.

Recalibrer régulièrement les indicateurs

Un indicateur qui n'est jamais remis en question peut progressivement perdre sa pertinence sans que personne ne s'en aperçoive. L'environnement évolue, les menaces changent, les processus sont modifiés — et l'indicateur continue à mesurer une réalité qui n'est plus celle d'aujourd'hui. Le recalibrage régulier des indicateurs — idéalement annuel, ou déclenché par une évolution majeure du contexte — suppose de se poser trois questions : cet indicateur mesure-t-il encore ce qu'il est supposé mesurer ? Existe-t-il un incident survenu dans l'organisation ou dans le secteur qui n'aurait pas été capté par cet indicateur ? Y a-t-il de nouvelles dimensions de risque émergentes qui ne sont pas couvertes par les indicateurs actuels ?

Présenter les indicateurs pour éclairer, pas pour rassurer

La présentation des indicateurs à la direction doit servir à informer des décisions, pas à rassurer sur un état de maîtrise supposé. Cela suppose d'afficher les tendances défavorables avec la même clarté que les tendances positives. De contextualiser les valeurs — est-ce que ce niveau est bon ou mauvais par rapport aux standards du secteur ? D'identifier explicitement les zones où l'exposition a augmenté, avec les raisons et les mesures prévues. Une présentation honnête des indicateurs, même quand ils montrent une dégradation, est ce qui permet à la direction de prendre des décisions adaptées à la réalité — et non des décisions confortées par une image embellie.

Cas Asie Cathay Pacific (2018) — Les systèmes de surveillance en place au moment de l'intrusion ne disposaient pas d'indicateurs de comportement anormal sur les accès aux bases de données de passagers. La définition d'un indicateur aussi simple que "nombre d'accès atypiques aux bases de données passagers par heure" aurait généré une alerte bien avant les 14 mois qui se sont écoulés entre les premiers accès non autorisés et la détection officielle. L'absence de l'indicateur adéquat avait rendu la surveillance aveugle au scénario qui s'est effectivement produit.

Articles similaires

Les liens entre sécurité, continuité et résilience

Sécurité, continuité et résilience sont trois dimensions complémentaires. Traitées en silos, elles créent des lacunes critiques à leurs interfaces. Une gouvernance intégrée est nécessaire.

24 mai 2026 7 min

Comment structurer un dispositif d’analyse de risques durable

Un dispositif d'analyse de risques durable combine une organisation, une méthode adaptée et un rythme défini. Il articule systématiquement identification des risques et décisions de traitement documentées.

24 mai 2026 7 min

L’importance de la mise à jour continue des cartographies

Une cartographie des risques non mise à jour donne une fausse confiance. La mise à jour continue repose sur des événements déclencheurs définis et l'intégration des retours d'incidents réels.

24 mai 2026 7 min
WhatsApp