Field notes

Comment amener les dirigeants à s'intéresser vraiment au risque

Comment amener les dirigeants à s'intéresser vraiment au risque ; et à agir en conséquence.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
How to Get Executives to Care About Risk

Les dirigeants n'ignorent pas le risque parce qu'ils sont négligents.Ils l'ignorent parce qu'on le leur présente généralement d'une manière qui ne leur parle pas.Si vous voulez que les décideurs s'y intéressent, vous devez changer votre façon de parler, pas le volume de votre voix.

La plupart des discussions sur le risque échouent avant même de commencer.Vous entrez dans une salle avec une heatmap, quelques cases « High/Medium/Low » et un vocabulaire qui semble avoir été inventé par des auditeurs un après-midi pluvieux.Les dirigeants décrochent instantanément ; non pas parce qu'ils s'en moquent, mais parce qu'ils ne peuvent pas relier votre message à leur réalité.

Réalité du terrain :Les dirigeants ne s'intéressent pas aux « risques ».Ils s'intéressent à l'argent, la réputation, les opérations, la croissance, les clients et la responsabilité juridique.

Si vous ne pouvez pas rattacher le risque à l'un de ces éléments, vous les perdrez à chaque fois.

Voyons ce qui fonctionne vraiment sur le terrain.

1. Traduisez le risque en langage métier, pas en jargon

Si votre phrase contient les mots « threat actor », « likelihood » ou « control deficiency », vous avez déjà perdu la moitié de la salle.Les dirigeants ne raisonnent pas en termes de contrôles ; ils raisonnent en termes de conséquences.

Anecdote :Lors d'une réunion de Conseil, j'ai remplacé une explication du risque en 6 diapositives par une seule phrase :« Si cela se produit, nos clients seront hors ligne pendant 72 heures et nous perdons 2,1 M en chiffre d'affaires. »Le CFO s'est immédiatement penché en avant. La conversation était lancée.

Les dirigeants réagissent à :

  • l'exposition financière
  • l'impact des interruptions
  • les conséquences juridiques ou réglementaires
  • la confiance des clients
  • les freins stratégiques

Pas aux référentiels. Pas aux couleurs d'une heatmap.

2. Arrêtez de parler de probabilité ; parlez d'exposition

La plupart des matrices de risque sont une fiction. Tout le monde le sait, personne ne le dit.

Les dirigeants ne vous demandent pas de prédire l'avenir.Ils veulent que vous leur montriez ce qui se passe si l'avenir tourne mal.

Exemple :Au lieu de « Medium likelihood, High impact », dites :« Si ce problème survient au mauvais moment, nous perdons trois systèmes métier critiques pendant des heures, voire des jours. »

Les dirigeants s'intéressent à la fragilité, pas à la spéculation.Montrez-leur où l'organisation est exposée ; et ce que cette exposition bloque.

3. Commencez par la décision que vous attendez d'eux

Les dirigeants n'ont pas besoin d'un contexte de 20 minutes.Ils veulent savoir quelle décision vous leur demandez de prendre.

Commencez chaque discussion par :« Voici la décision que nous devons prendre aujourd'hui, et voici pourquoi elle est importante. »

Exemple terrain :Lors d'une revue de roadmap, au lieu de présenter 12 diapositives, j'ai ouvert avec :« Nous avons deux options. Option A : patcher maintenant, interruption mineure. Option B : attendre, risque de panne totale. Nous recommandons l'option A. Voici le contexte en bref. »La réunion s'est terminée en 8 minutes, avec un alignement complet.

Les dirigeants s'engagent quand vous réduisez la charge cognitive, pas quand vous les noyez dans les détails.

4. Utilisez des chiffres ; mais uniquement les bons

Certains consultants pensent qu'ils doivent montrer un tableur pour asseoir leur crédibilité.Erreur. Il vous suffit de 3 à 4 chiffres qui frappent fort.

Concentrez-vous sur les chiffres qui comptent :

  • coût d'une interruption
  • coût de l'inaction
  • coût de la remédiation
  • amendes réglementaires
  • coût comparatif (« Cela coûte moins qu'un mois d'interruption »)

Les dirigeants aiment les chiffres.Ils détestent simplement ceux qui ne les concernent pas.

5. Créez des visuels qui ont du sens

Les dirigeants n'ont pas besoin de belles diapositives.Ils ont besoin de clarté.

La plupart des visuels de risque sont surchargés, cryptiques ou purement décoratifs.Remplacez-les par quelque chose qui raconte une histoire immédiatement.

Trois visuels qui fonctionnent toujours :

  1. Un graphique en barres simple montrant l'exposition financière
  2. Une frise chronologique « état actuel → événement à risque → conséquence »
  3. Un scénario avant/après avec comparaison des coûts

Un bon visuel n'explique pas un risque ; il le fait ressentir à la salle.

6. Reliez les risques à leur responsabilité personnelle

Les dirigeants agissent quand c'est leur risque, pas « le risque du CISO ».

Si vous voulez que le leadership s'engage, montrez comment le risque touche leur domaine :

  • CFO → exposition financière, assurances, amendes
  • COO → interruptions opérationnelles
  • CEO → atteinte à la marque, perte de clients
  • CMO → perte de visibilité ou des opérations marketing
  • CHRO → scénarios internes, problèmes de personnel

Exemple :Lors d'un exercice de simulation ransomware, le CEO a demandé : « Pourquoi c'est mon problème et pas le vôtre ? »Nous avons répondu : « Parce que vous êtes légalement responsable de déclarer la faillite si les opérations ne peuvent pas reprendre. »Il n'a plus jamais manqué une réunion sur le risque.

Quand vous faites du risque une responsabilité de direction, cela cesse d'être un problème de cybersécurité.

7. Montrez la voie, pas le problème

Les dirigeants ne craignent pas les risques ; ils craignent l'incertitude.

Un risque sans solution ressemble à un trou noir.Un risque assorti d'un plan clair paraît gérable.

Toute présentation de risque doit donc inclure :

  • l'exposition
  • notre recommandation
  • l'effort nécessaire
  • le coût
  • le calendrier
  • l'amélioration attendue

Les dirigeants n'agissent pas par peur.Ils agissent par clarté.

8. Utilisez le storytelling pour rendre le risque concret

Les dirigeants se souviennent des exemples bien plus que des explications.

L'astuce consiste à utiliser des histoires courtes, précises et identifiables ; pas des scénarios catastrophe dramatiques.

Exemple :Au lieu de « Une violation pourrait survenir », dites :« Le mois dernier, un concurrent de votre taille a dû appeler tous ses clients pour expliquer pourquoi leur portail était hors ligne pendant trois jours. Ils ont perdu deux contrats. Le déclencheur était la même faiblesse que nous avions signalée le trimestre précédent. »

Les dirigeants ne s'identifient pas à des scénarios abstraits.Ils s'identifient à des histoires qui ressemblent à leur entreprise.

Réflexion finale

Amener les dirigeants à s'intéresser au risque, ce n'est pas leur faire peur.C'est rendre les risques réels, concrets et connectés à l'activité dont ils sont responsables.

Cessez de vouloir les impressionner avec des référentiels.Aidez-les à prendre de bonnes décisions grâce à la clarté, la pertinence et le courage.

Quand les dirigeants voient enfin le risque à travers leur propre prisme, et non le vôtre, tout change.

Si vous voulez maîtriser l'art de transformer le risque en décisions, et non en PowerPoints, c'est précisément ce que nous enseignons au sein du Cyber Academy Risk Leadership Program.Rejoignez la prochaine session et apprenez à parler le seul langage que les dirigeants comprennent vraiment.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.