top of page

Mémo COMEX : les 10 questions qui évitent la “surprise cyber” en 2026

  • il y a 23 heures
  • 4 min de lecture

En 2026, la plupart des incidents majeurs ne commencent pas par une alerte spectaculaire. Ils commencent par quelque chose de banal : une connexion, un accès tiers trop large, un “urgent” crédible… puis une chaîne de décisions business sous pression.


C’est ça, la réalité moderne : la cyber n’est plus un sujet “IT”. C’est un sujet continuité d’affaires, fraude, données, conformité et réputation. Et quand ça frappe, ce n’est pas le nombre d’outils qui fait la différence : c’est la capacité à répondre à trois questions simples — Qu’est-ce qui est critique ? À quelle vitesse on reprend ? Et comment on prouve que ça marche ?


Ce billet vous donne un cadre très concret : 10 questions non techniques que le COMEX doit poser. Elles sont faites pour obtenir de la clarté, forcer les priorités, et transformer un discours rassurant en preuves mesurables.



Les 10 questions à poser (et ce qu’elles révèlent)



1) Quel est notre Top 3 des scénarios cyber (impact business) ?


Pourquoi c’est clé : si vous ne pouvez pas nommer vos 3 scénarios les plus probables et les plus coûteux, vous ne pilotez pas le risque — vous pilotez des projets.

Ce que vous voulez : 3 scénarios reliés à vos processus critiques (production, expédition, ventes, finance, RH) + estimation d’impact.

Red flag : une liste d’outils ou de chantiers, sans lien clair avec l’impact.



2) Combien de temps peut-on fonctionner si un système critique tombe ?


Pourquoi c’est clé : la question n’est pas “peut-on restaurer ?” mais “peut-on restaurer assez vite pour éviter un dommage majeur ?”.

Ce que vous voulez : RTO/RPO réalistes par fonction vitale + ordre de priorité de reprise.

Red flag : “on verra” ou “ça dépend” sans chiffres.



3) A-t-on testé une restauration complète sur un scénario réaliste (ransomware + exfiltration) ?


Pourquoi c’est clé : avoir des sauvegardes n’est pas une preuve. La preuve, c’est un test réussi, documenté, reproductible.

Ce que vous voulez : restauration bout-en-bout (systèmes + dépendances + validation métier) + temps mesuré + actions correctives.

Red flag : tests partiels, rares, ou jamais sur les systèmes critiques.



4) Si un dirigeant reçoit une demande urgente (virement / changement bancaire / accès), que se passe-t-il ?


Pourquoi c’est clé : avec l’IA, la fraude est plus crédible. La meilleure défense est un process métier non contournable.

Ce que vous voulez : call-back, double approbation, validation hors bande, seuils clairs.

Red flag : “on fait confiance au jugement”.



5) L’identité est-elle réellement protégée sur les comptes sensibles ?


Pourquoi c’est clé : beaucoup d’attaques modernes ne “forcent” pas l’entrée : elles se connectent.

Ce que vous voulez : MFA résistante au phishing sur comptes à privilèges/sensibles + réduction des privilèges permanents.

Red flag : MFA “partout”… sauf sur les admins, tiers, comptes de service, exceptions.



6) Surveille-t-on l’usage anormal des identités (sessions, tokens, consentements) ?

Pourquoi c’est clé : si un token est volé, l’attaque peut ressembler à une activité normale sauf si vous surveillez les anomalies.

Ce que vous voulez : détection + playbooks + alertes testées.

Red flag : monitoring faible côté identité, ou alertes non testées.



7) Quel est notre délai réel pour corriger une vulnérabilité exploitable sur un actif exposé ?


Pourquoi c’est clé : le “temps entre patch disponible et patch appliqué” est une fenêtre d’attaque.

Ce que vous voulez : délai sur actifs internet-facing + priorisation exploitabilité/exposition/criticité business (pas juste CVSS).

Red flag : pilotage par conformité, sans lecture menace.



8) Sommes-nous capables de détecter une intrusion silencieuse (sans malware) et de la contenir vite ?


Pourquoi c’est clé : certaines intrusions modernes utilisent des outils légitimes et des sessions valides.

Ce que vous voulez : MTTD (détection) + MTTR (containment) + un exemple réel géré de bout en bout.

Red flag : aucune métrique ou métriques sans preuve terrain.



9) Qui a accès à quoi (tiers inclus) — et combien d’accès expirent automatiquement ?


Pourquoi c’est clé : la “dette d’accès” est l’un des plus gros accélérateurs d’incidents.

Ce que vous voulez : accès nominatif, limité dans le temps, journalisé, révocable vite + revues d’accès.

Red flag : comptes partagés, accès permanents, révocation lente.



10) Quels sont nos “minimums non négociables” — et qu’est-ce qu’on arrête pour les financer ?


Pourquoi c’est clé : la maturité, c’est choisir et exécuter. Pas empiler des projets.

Ce que vous voulez : 3–5 priorités incontournables (identité, restauration, segmentation, monitoring, tiers) + jalons trimestriels + responsables + arbitrages.

Red flag : roadmap “catalogue” sans trade-offs ni résultats.



KPIs COMEX (suivi mensuel / trimestriel)

  • Résilience : % tests de restauration réussis + temps réel de reprise sur systèmes critiques

  • Identité : % comptes privilégiés sous MFA résistante au phishing + nombre de privilèges permanents

  • Détection/Réponse : MTTD / MTTR sur incidents majeurs + couverture logs identité/accès

  • Vulnérabilités : délai de correction sur actifs exposés + nombre de vulnérabilités “exploitées” ouvertes

  • Tiers : % accès tiers nominatif & expirant + temps de révocation d’accès



Conclusion : le COMEX ne doit pas “comprendre la cyber” il doit exiger des preuves


Le bon indicateur de maturité n’est pas “nous avons des outils”.Le bon indicateur, c’est : nous savons ce qui est critique, nous savons reprendre vite, et nous pouvons le prouver.


En 2026, les organisations qui s’en sortent le mieux ne sont pas celles qui évitent tous les incidents. Ce sont celles qui réduisent l’impact, décident vite, restaurent vite, et gardent la maîtrise de la situation.

 
 
 

Posts récents

Voir tout

Commentaires

bottom of page