Phylapp
Pilotage et cartographie des risques numériques

Les indicateurs pour piloter la maîtrise des risques

Piloter la maîtrise des risques numériques suppose des indicateurs lisibles par la direction : KPI de performance sécurité et KRI d'exposition résiduelle, confrontés régulièrement aux incidents réels.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Les indicateurs de maîtrise des risques numériques doivent être lisibles pour la direction : pas de métriques techniques, mais des indicateurs d'exposition et de progression.
  • Distinguer les indicateurs de performance sécurité (KPI) des indicateurs de risque résiduel (KRI) est essentiel pour piloter à la fois l'activité et l'exposition.
  • Un tableau de bord cyber pertinent répond à une seule question : sommes-nous plus ou moins exposés qu'il y a trois mois, et pourquoi ?
  • Les indicateurs doivent être régulièrement confrontés aux incidents réels pour vérifier qu'ils mesurent effectivement ce qu'ils prétendent mesurer.
Cas US Morgan Stanley (2016-2019) — La destruction de serveurs contenant des données de 60 000 clients sans effacement préalable, lors du démantèlement de centres de données, a révélé l'absence d'indicateurs de suivi sur la gestion des supports physiques en fin de vie. Des processus de décommissionnement non monitorsés avaient permis cette exposition pendant plusieurs années. L'organisation a payé 60 millions de dollars en règlement avec le régulateur américain.

Pourquoi les tableaux de bord techniques ne parlent pas à la direction

Les tableaux de bord produits par les équipes de sécurité pour la direction sont souvent composés d'indicateurs techniques : nombre de vulnérabilités détectées, taux de patching, nombre d'alertes générées. Ces métriques, utiles pour piloter l'activité opérationnelle des équipes, ne répondent pas aux questions stratégiques de la direction. La direction a besoin de savoir si l'organisation est davantage exposée qu'au trimestre précédent, si les risques prioritaires sont en cours de traitement, et si les ressources allouées à la sécurité produisent des effets mesurables. Ce sont des questions de risque résiduel, pas de volume d'activité.

KPI et KRI : deux niveaux de pilotage distincts

Le pilotage de la maîtrise des risques numériques repose sur deux catégories d'indicateurs complémentaires. Les indicateurs de performance (KPI) mesurent l'efficacité des processus de sécurité : délai moyen de correction des vulnérabilités critiques, taux de couverture des formations de sensibilisation, pourcentage de systèmes sauvegardés et testés. Les indicateurs de risque résiduel (KRI) mesurent l'exposition persistante malgré les contrôles : nombre de systèmes critiques présentant des vulnérabilités non corrigées depuis plus de 90 jours, pourcentage de prestataires tiers n'ayant pas fait l'objet d'une évaluation récente, nombre de processus critiques sans plan de continuité validé. Les deux catégories sont nécessaires, mais pour des publics et des usages différents.

Ce qu'un tableau de bord stratégique doit contenir

Un tableau de bord cyber destiné à la direction doit répondre à quelques questions essentielles dans un format concis. L'exposition globale de l'organisation : sommes-nous plus ou moins exposés qu'au trimestre précédent ? Le statut des risques prioritaires : les risques identifiés comme critiques font-ils l'objet d'actions de traitement avancées ? L'efficacité des investissements : les ressources allouées à la sécurité produisent-elles les réductions d'exposition attendues ? La préparation à la crise : nos plans de réponse ont-ils été testés récemment ? Ce tableau de bord n'a pas vocation à être exhaustif — il doit permettre une discussion stratégique de qualité en 15 minutes.

Cas EU Maersk (2017) — Après l'attaque NotPetya, le géant du transport maritime a dû réinstaller 45 000 postes de travail et 4 000 serveurs en l'espace de dix jours, une prouesse logistique rendue possible par une organisation de crise efficace. L'incident a conduit l'entreprise à développer un système de pilotage cyber avec des indicateurs de résilience — temps de restauration, couverture des sauvegardes, inventaire des dépendances critiques — devenus des standards de référence dans le secteur.

La confrontation des indicateurs aux incidents réels

Un indicateur n'a de valeur que s'il mesure effectivement ce qu'il prétend mesurer. Cette vérification ne peut se faire qu'en confrontant les indicateurs aux incidents réels survenus. Si un incident majeur se produit sur un vecteur que les indicateurs signalaient comme maîtrisé, c'est que les indicateurs sont mal conçus, mal renseignés ou qu'ils mesurent une forme de conformité plutôt qu'une réalité de protection. Cette confrontation suppose une culture de l'honnêteté intellectuelle dans les reportings : ne pas fabriquer de vert dans un tableau de bord dont on sait qu'il ne reflète pas la réalité.

Mettre en place un rythme de pilotage adapté

Le pilotage de la maîtrise des risques numériques nécessite un rythme défini et tenu. Un reporting mensuel sur les indicateurs opérationnels pour les équipes de sécurité. Un tableau de bord trimestriel pour la direction, avec analyse des tendances et mise en perspective des évolutions. Une revue annuelle complète de la cartographie des risques, intégrant les incidents de l'année, les évolutions du contexte et les changements organisationnels. Ce rythme doit être institutionnalisé — inscrit dans les calendriers de gouvernance — pour ne pas dépendre de la disponibilité ou de la motivation des parties prenantes.

Cas Asie Cathay Pacific (2018) — La compromission des données de 9,4 millions de passagers n'a été détectée que 14 mois après les premiers accès non autorisés. L'absence d'indicateurs de surveillance comportementale sur les accès aux bases de données de passagers a permis à l'intrusion de se prolonger sans déclenchement d'alerte. Le cas illustre comment des indicateurs bien conçus — et notamment des seuils d'alerte sur des comportements anormaux — auraient pu réduire considérablement la durée de l'exposition.

Articles similaires

Les liens entre sécurité, continuité et résilience

Sécurité, continuité et résilience sont trois dimensions complémentaires. Traitées en silos, elles créent des lacunes critiques à leurs interfaces. Une gouvernance intégrée est nécessaire.

24 mai 2026 7 min

Comment structurer un dispositif d’analyse de risques durable

Un dispositif d'analyse de risques durable combine une organisation, une méthode adaptée et un rythme défini. Il articule systématiquement identification des risques et décisions de traitement documentées.

24 mai 2026 7 min

L’importance de la mise à jour continue des cartographies

Une cartographie des risques non mise à jour donne une fausse confiance. La mise à jour continue repose sur des événements déclencheurs définis et l'intégration des retours d'incidents réels.

24 mai 2026 7 min
WhatsApp