Phylapp
Gouvernance du risque numérique et stratégie cyber

Les indicateurs qui permettent à une direction de piloter le risque numérique

Les indicateurs destinés à la direction doivent mesurer le risque résiduel, pas l'activité. Cinq à dix indicateurs bien choisis suffisent. La tendance dans le temps est plus informative que la valeur absolue.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 18 lectures

Points clés

  • Les indicateurs destinés à la direction doivent répondre à une seule question : l'organisation est-elle plus ou moins exposée qu'au trimestre précédent, et pour quelle raison ?
  • Cinq à dix indicateurs bien choisis sont plus utiles qu'un tableau de bord de trente métriques techniques incompréhensibles.
  • Les indicateurs de risque résiduel — ce qui reste exposé malgré les contrôles — sont plus utiles pour la direction que les indicateurs d'activité des équipes de sécurité.
  • La tendance d'un indicateur est plus informative que sa valeur absolue : ce qui compte est l'évolution dans le temps, pas le chiffre instantané.
Cas US Morgan Stanley (2016-2019) — L'absence d'un indicateur aussi simple que "pourcentage des équipements décommissionnés dont l'effacement certifié a été documenté" avait permis que des données clients résiduelles persistent sur des serveurs hors service. Un indicateur de gouvernance basique — orienté vers un risque spécifique et son état de maîtrise — aurait permis une détection avant que le problème ne génère une amende de 60 millions de dollars.

Ce que la direction a besoin de savoir — et pas plus

La direction n'a pas besoin de tous les indicateurs que les équipes de sécurité produisent pour leur propre pilotage. Elle a besoin d'une information synthétique qui lui permette de répondre à quelques questions essentielles : l'organisation est-elle plus exposée qu'avant ? Les risques prioritaires identifiés sont-ils en cours de traitement ? Les ressources allouées à la sécurité produisent-elles les réductions d'exposition attendues ? Y a-t-il des évolutions du contexte externe qui modifient notre niveau d'exposition sans que nous ayons encore réagi ? Ces questions définissent les indicateurs nécessaires — et permettent d'éliminer tout ce qui n'y contribue pas.

La distinction fondamentale : activité versus risque résiduel

La distinction la plus importante dans le choix des indicateurs pour la direction est celle entre les indicateurs d'activité et les indicateurs de risque résiduel. "Nombre de vulnérabilités corrigées ce trimestre" est un indicateur d'activité. "Nombre de vulnérabilités critiques non corrigées depuis plus de 90 jours" est un indicateur de risque résiduel. Le premier rassure — le second informe. "Taux de participation aux formations de sensibilisation" est un indicateur d'activité. "Taux de succès des simulations de phishing" est un indicateur de risque résiduel. Pour la direction, les indicateurs de risque résiduel sont systématiquement plus utiles parce qu'ils mesurent ce qui reste exposé — pas ce qui a été fait.

Les cinq à dix indicateurs essentiels

Une sélection raisonnée d'indicateurs pour le pilotage de la direction pourrait inclure : le délai moyen de correction des vulnérabilités critiques (risque résiduel sur les actifs les plus exposés) ; le pourcentage de systèmes critiques sans sauvegarde testée récemment (risque résiduel sur la continuité) ; le nombre de prestataires critiques sans évaluation de sécurité récente (risque résiduel sur la chaîne d'approvisionnement) ; le taux de succès des simulations de phishing sur les populations les plus ciblées (risque résiduel sur le facteur humain) ; et le nombre de risques prioritaires avec un responsable et un plan de traitement documentés (indicateur de gouvernance). Ces cinq indicateurs couvrent les dimensions principales de l'exposition et de la gouvernance, dans un format lisible.

Cas EU Maersk (2017) — La reconstruction post-attaque NotPetya a conduit l'organisation à définir des indicateurs de résilience opérationnelle qui sont devenus des références dans le secteur : délai de restauration des systèmes critiques, couverture des sauvegardes, disponibilité des plans de continuité. Ces indicateurs, nés directement de l'expérience d'un incident réel, mesurent ce qui avait été difficile lors de l'incident — et constituent donc des mesures de risque résiduel directement pertinentes pour la direction.

Lire les tendances plutôt que les valeurs absolues

Un indicateur isolé a peu de valeur sans son contexte temporel. Ce qui informe réellement la direction est la tendance : cet indicateur s'améliore-t-il, se dégrade-t-il, ou stagne-t-il ? Une organisation dont le délai moyen de correction des vulnérabilités critiques a diminué de 45 à 30 jours au cours des deux derniers trimestres progresse — même si 30 jours reste un délai qui peut paraître long. Une organisation dont ce même indicateur est passé de 10 à 30 jours en un an régresse — même si sa valeur absolue reste inférieure à la moyenne sectorielle. Présenter les indicateurs avec leur tendance sur les huit derniers trimestres est ce qui les transforme en outils d'analyse stratégique plutôt qu'en photos instantanées.

Renouveler et recalibrer les indicateurs

Les indicateurs choisis aujourd'hui doivent être périodiquement remis en question. L'environnement évolue, les menaces changent, les processus se transforment — et les indicateurs qui mesuraient les risques les plus pertinents il y a deux ans peuvent ne plus capter les risques actuellement les plus significatifs. Une révision annuelle des indicateurs — en se demandant si un incident récent dans l'organisation ou dans le secteur aurait été détecté ou anticipé par les indicateurs existants — est la pratique qui permet de maintenir la pertinence du tableau de bord dans la durée, sans le rigidifier autour d'une représentation obsolète des risques.

Cas Asie Cathay Pacific (2018) — L'absence d'un indicateur de comportement anormal sur les accès aux bases de données passagers — par exemple "nombre d'accès en dehors des plages horaires normales" ou "volume de données consultées par un compte technique dépassant le seuil habituel" — avait permis à la compromission de durer 14 mois. Ces indicateurs de risque résiduel spécifiques aux scénarios de compromission les plus probables auraient transformé une surveillance générique en détection précoce.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp