Pourquoi les managers doivent être formés à la cybersécurité

« Souvent, on présente la cybersécurité comme un sujet informatique, alors que c'est un sujet qui est totalement transverse à l'organisation », résume Anne Doré, fondatrice de l’Adhel, un organisme de conseil et de formation cyber à destination des managers.

Et de développer : « la cybersécurité une dimension organisationnelle, RH, réglementaire, juridique. Il faut que les dirigeants, pour piloter et gouverner le risque cyber, apportent cette transversalité. Le RSSI, aussi bon soit-il, de par son périmètre d'intervention, n'a pas cette transversalité. Donc, il a besoin de relais, il a besoin de sponsors dans l’organisation ».

Lors d’un webinaire organisé par Anne Doré sur ce thème de la formation des ComEx au risque cyber, Aurélie Bauer, cheffe du centre de formation (CFSSI) de l’Agence nationale de la sécurité des systèmes d'information (Anssi) pointait la sous-estimation de ce risque par bon nombre de dirigeants de PME : « beaucoup de dirigeants de PME et de TPE estiment qu’ils ne se feront pas attaquer car leur entreprise ne détient pas de secrets. Ils se trompent. Tout le monde est visé par les cyberattaquants ».

Aurélie Bauer relève ainsi que les TPE, PME et ETI constituent 35 % des entités victimes de cyberattaque en 2025 qui ont été portées à la connaissance de l'Agence. Ce qui en fait les plus attaquées, devant les collectivités et les grands comptes.

Si les premiers bénéficiaires de l’action de l’Anssi, ce sont les ministères, les OIV, les collectivités territoriales, Aurélie Bauer pousse en faveur de l’essor de formations cyber spécifiquement pensées pour les managers des entreprises privées : « les formations conçue pour les dirigeants sont généralement des formats courts qui ne mobilisent pas les responsables toute la journée. Généralement, ce sont des demi-journées avec une heure sur la mise en place d’une cellule de crise. Le but est de faire court, être efficace pour s’adapter aux contraintes des dirigeants ».

L’agence a créé le label SecNumedu-FC et appose son visa sur les formations qui abordent une liste des sujets et un squelette défini par l’agence. Sur la quarantaine de formations labellisées par l’Anssi, plusieurs se destinent aux managers et aux référents cyber des PME/TPE.

Ce squelette de formation a notamment été élaboré avec le Campus cyber Nouvelle-Aquitaine, dont le directeur, Guy Flament, évoque la genèse : « la demande vient des dirigeants eux-mêmes. Ils nous confient qu’ils savent bien que la cybersécurité est un sujet, mais ils ne savent pas comment le prendre ; c’est très technique. On leur parle de conformité, mais être conforme suffit-il à être en sécurité ? Ils avaient vraiment besoin d’être éclairés. Le but de la formation est de comprendre de quoi on parle, comprendre les mécanismes des attaques, les impacts business, juridiques, humains et réputationnels ».

Face à des chefs d’entreprise et des membres du ComEx qui ont bien d’autres dossiers à traiter sur leur bureau, les convaincre de se former à la cybersécurité peut sembler une mission impossible.

« On prend une heure pour les placer dans une simulation de crise d’origine cyber et à la suite de cela, ils trouvent sans mal 4 heures dans leur agenda pour être formés ! » s’amuse Guy Flament qui ajoute : « c’est en se mettant en situation d’attaque que l’on comprend le mieux que c’est un sujet pour le ComEx. On comprend aussi qu’on n’est pas prêt. Même les organisations très matures doivent continuer à s’entraîner, car c’est un ensemble de compétences qui s’érodent avec le temps et il faut maintenir en continu ».

La formation aborde la problématique du chiffrage du risque cyber, notamment pour que les dirigeants prennent conscience de l’importance du risque : « c’est un sujet que l’on aborde très tôt dans la formation. On demande aux membres du ComEx ou du CoDir dans une PME, de travailler sur le sujet. Dès le début du deuxième module de formation, ceux qui se sont livrés à cet exercice reviennent avec des montants qu’ils jugent énormes et généralement ils ne se trompent pas. Généralement, ils ne conçoivent pas qu’un incident lié à leur système d’information puisse avoir un impact aussi fort et rapide sur la valeur créée par leur entreprise ».

Si, à l’issue d’une telle formation, un décideur n’est pas un expert cyber, il est capable de piloter ce risque, de dialoguer avec son DSI et de créer une culture de responsabilité au sein de son entreprise. Guy Flament estime dès lors qu’une telle formation doit sortir du cadre technique et placer la cyber au niveau des dirigeants. Une fois la cyber considérée comme un risque stratégique, le dirigeant doit pouvoir arbitrer ces choix sereinement et ne plus avoir à réagir dans l’urgence en cas d’attaque.

Gervaise Van Hille, présidente de Linkt, opérateur télécom appartenant au groupe Altitude a choisi de suivre une telle formation : « je ne suis pas une experte en cybersécurité, mais c’est un sujet qui m’interpelle et qui est au cœur de nos échanges avec le directeur général et le comité de direction. La cyber n’est pas un sujet technique, mais un facteur de continuité et de valeur pour l’entreprise. Une cyberattaque peut arrêter l’activité d’une entreprise du jour au lendemain, mettre en danger la trésorerie, entraîner une dégradation de la confiance de nos clients et partenaires et engager la responsabilité des dirigeants. Les impacts sont financiers, juridiques, réputationnels et humains. Or, tous ces sujets relèvent du pilotage stratégique de l’entreprise et pas du seul périmètre IT ».

Pour la chef d’entreprise, la cybersécurité doit donc être considérée comme un risque métier à part entière et qui doit être traité au niveau de la direction générale : elle estime qu’une stratégie qui l'ignore est une stratégie extrêmement fragile. De même, c’est un sujet de confiance pour les partenaires de l’entreprise : « on est responsable de son propre niveau de sécurité, mais aussi de celui de son écosystème ».

Anne Doré ajoute qu’il appartient au dirigeant de définir ce qui est important pour l’entreprise : « il doit désigner les processus métiers qui doivent continuer quoi qu’il arrive, quels sont les actifs, les données qui sont les plus importants pour l’entreprise, car le DSI ou le RSSI n’ont pas forcément cette vision et ne vont pas nécessairement placer le curseur au bon endroit ».

Aurélie Bauer pointe la transposition attendue de NIS 2 et de ses obligations pour de nombreuses entreprises : « beaucoup d’entreprises vont devoir déclarer leurs incidents de sécurité auprès de l’Anssi, avec à terme, de potentielles sanctions si ces déclarations ne sont pas faites dans les délais fixés. Il faut donc savoir reconnaître un incident de sécurité, évaluer sa portée, sa gravité et savoir comment le déclarer. Sans entrer dans la technique, il faut connaître le fonctionnement de ce dispositif, et c’est de la responsabilité du dirigeant de savoir répondre à ces questions ».