KPIs cyber pour dirigeants : piloter le risque sans être technicien

KPIs cyber pour dirigeants : piloter le risque sans être technicien

Introduction

La cybersécurité est souvent perçue comme un sujet technique. Pourtant, le risque cyber est avant tout un risque d’entreprise.

L’Office fédéral de la cybersécurité souligne que les incidents touchent des organisations de toutes tailles en Suisse (OFCS, Rapport semestriel, https://www.ncsc.admin.ch). Pour un dirigeant de PME, la question n’est pas de comprendre le code ou les architectures réseau, mais de disposer d’indicateurs simples pour piloter le risque.

Objectif : identifier des KPIs cyber dirigeants directement utiles pour la gouvernance, la décision budgétaire et l’assurabilité.

1. Pourquoi des KPIs cyber au niveau direction ?

1.1 Un risque stratégique, pas uniquement technique

Une attaque peut entraîner :

• Interruption d’activité

• Atteinte à la réputation

• Notification obligatoire en cas de violation de données

La loi fédérale sur la protection des données impose la notification au Préposé fédéral en cas de violation présentant un risque élevé (art. 24 nLPD, Fedlex, https://www.fedlex.admin.ch). Le risque cyber engage donc la responsabilité de la direction.

1.2 Lien direct avec l’assurabilité

Les assureurs cyber évaluent la maturité IT via des questionnaires structurés. Le niveau de contrôle interne influence :

• L’acceptation du risque

• Les conditions de couverture

• Les franchises

• Les exclusions

Suivre des indicateurs concrets permet d’aligner gouvernance et assurabilité.

2. Les 5 KPIs cyber essentiels pour dirigeants

2.1 Taux de déploiement du MFA

Indicateur : proportion des comptes critiques protégés par authentification multi-facteurs.

Pourquoi c’est stratégique :

Le MFA est largement reconnu comme mesure efficace pour réduire le risque de compromission de comptes (ENISA, Guidelines on MFA, https://www.enisa.europa.eu).

Lecture dirigeant :

• Tous les accès distants sont-ils couverts ?

• Les comptes administrateurs sont-ils protégés ?

Un taux partiel signale un angle mort.

2.2 Taux de réussite des tests de restauration

Indicateur : fréquence et succès des tests de restauration des sauvegardes.

L’OFCS recommande de tester régulièrement les sauvegardes pour garantir leur exploitabilité en cas d’attaque (OFCS, recommandations ransomware, https://www.ncsc.admin.ch).

Lecture dirigeant :

• Les sauvegardes sont-elles testées ?

• Le délai de restauration est-il compatible avec la continuité d’activité ?

Un backup non testé n’est pas un backup.

2.3 Délai moyen de déploiement des correctifs

Indicateur : délai entre publication d’un correctif critique et son déploiement.

Les vulnérabilités connues sont fréquemment exploitées par les attaquants (ENISA, Threat Landscape, https://www.enisa.europa.eu).

Lecture dirigeant :

• Existe-t-il un processus formalisé ?

• Les correctifs critiques sont-ils traités prioritairement ?

Un délai excessif accroît l’exposition.

2.4 Phishing rate interne

Indicateur : taux de collaborateurs ayant cliqué lors de simulations de phishing.

La sensibilisation est une composante essentielle des mesures organisationnelles (PFPDT, mesures techniques et organisationnelles, https://www.edoeb.admin.ch).

Lecture dirigeant :

• Les campagnes sont-elles régulières ?

• Le taux diminue-t-il dans le temps ?

Un indicateur élevé appelle un renforcement de la formation.

2.5 Temps de détection d’un incident

Indicateur : délai moyen entre compromission et détection.

Plus la détection est rapide, plus l’impact peut être limité.

Lecture dirigeant :

• Dispose-t-on d’alertes centralisées ?

• Qui analyse ces alertes ?

Un délai long augmente le risque d’exfiltration de données.

Mini-cas pratique 1

Une PME suit un indicateur simple : 100 % des comptes administrateurs doivent être protégés par MFA. Lors d’un audit interne, deux comptes historiques ne le sont pas. La correction immédiate évite une exposition majeure. Ce KPI a servi de filet de sécurité.

3. Construire un tableau de bord lisible

3.1 Pas plus de 6 indicateurs

Un tableau de bord dirigeant doit être :

• Synthétique

• Stable dans le temps

• Comparable d’un trimestre à l’autre

3.2 Exemple de structure

KPI Objectif cible Tendance Commentaire direction

Taux MFA Couverture complète comptes critiques En progression Priorité trimestre

Tests restauration Test documenté périodiquement Stable OK

Délai patch critique Processus formalisé À améliorer Budget IT

Phishing rate En baisse continue En amélioration Formation ciblée

Temps détection Réduction progressive Stable Étude EDR

Aucun chiffre générique n’est proposé ici : chaque PME doit définir ses propres seuils en fonction de son profil de risque.

4. Lien direct entre KPIs et assurance cyber

4.1 Questionnaire assureur

Les assureurs interrogent typiquement sur :

• MFA

• Sauvegardes

• Plan de réponse incident

• Sensibilisation

Des KPIs suivis et documentés facilitent la déclaration.

4.2 Négociation des conditions

Une gouvernance démontrable peut soutenir :

• Une meilleure appréciation du risque

• Une discussion argumentée sur franchises et plafonds

Le pilotage régulier renforce la crédibilité face à l’assureur.

Mini-cas pratique 2

Deux entreprises similaires demandent une offre. La première fournit un tableau de bord cyber trimestriel documenté. La seconde répond de manière approximative au questionnaire. L’analyse qualitative du risque diffère nettement.

Encadré – Ce qu’il faut documenter

• Politique de sécurité validée par la direction

• Procédure de patch management

• Rapports de tests de restauration

• Résultats des simulations de phishing

• Compte-rendu annuel au conseil d’administration

Repères et check-list actionnable

• Désigner un sponsor direction pour le risque cyber

• Définir 5 KPIs maximum

• Fixer des objectifs clairs

• Exiger un reporting trimestriel

• Intégrer les indicateurs dans le dialogue assureur

Erreurs fréquentes et comment les éviter

1. Multiplier les indicateurs illisibles.

2. Confondre métriques techniques détaillées et KPIs stratégiques.

3. Ne pas documenter les progrès.

4. Présenter un tableau de bord uniquement après un incident.

5. Dissocier pilotage cyber et stratégie d’assurance.

Questions à poser à son assureur/courtier

1. Quels indicateurs influencent le plus l’assurabilité ?

2. Le MFA est-il exigé sur tous les accès distants ?

3. Les tests de restauration sont-ils vérifiés lors du renouvellement ?

4. Le phishing rate est-il évalué ?

5. Un plan de réponse incident formalisé est-il requis ?

6. Comment les améliorations sont-elles prises en compte au renouvellement ?

7. Existe-t-il des exigences minimales non négociables ?

8. Les sous-limites sont-elles liées à la maturité IT ?

9. Un audit préalable est-il recommandé ?

10. Comment articuler KPIs cyber et gouvernance D&O ?

Conclusion

Les KPIs cyber dirigeants permettent de transformer un risque technique en sujet de gouvernance mesurable.

Quelques indicateurs simples, suivis dans le temps, suffisent pour piloter l’exposition, dialoguer avec l’assureur et renforcer l’assurabilité.

La prochaine étape consiste à formaliser un tableau de bord trimestriel aligné avec votre profil de risque et votre stratégie d’assurance.