BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Stratégie & Gouvernance

Cinq indicateurs clés que le conseil de surveillance comprend vraiment

Par Benedikt Langer · 27 juin 2026 · 13 min de lecture

Un scénario typique d’une réunion du conseil de surveillance : quarante slides, un million d’attaques bloquées dans un diagramme à barres, un tableau de bord de conformité vert. Le conseil hoche la tête et ne pose aucune question. Trois mois plus tard, un processus critique tombe en panne pendant deux jours. Les mêmes membres du conseil demandent pourquoi personne n’avait vu le risque arriver. Le problème n’était pas un manque de rapports, mais un mauvais rapport. Compter les attaques bloquées, c’est fournir de l’activité. Rendre visible le risque stratégique, c’est fournir une base de décision. Cette différence détermine si un CISO est pris au sérieux.

Les points clés en bref

  • Le BSIG lie la direction, pas le conseil : Le paragraphe 38 oblige la direction à mettre en œuvre les mesures de gestion des risques et à surveiller leur mise en œuvre. Un canal de reporting direct du CISO au conseil de surveillance n’y est pas prévu.
  • Le besoin d’information provient du droit des sociétés : Le conseil de surveillance supervise la direction selon le paragraphe 111 AktG, la direction rend compte au moins tous les trimestres de la situation de la société. Le cyber-risque fait partie de cette situation.
  • Cinq indicateurs suffisent : Efficacité des contrôles, capacité de rétablissement, statut des tiers, maturité de réaction et une situation de menace prospective. Quatre montrent une tendance, la cinquième est une cartographie prospective. Chacune a un lien clair avec l’activité.
  • Les métriques de volume n’ont pas leur place au conseil : Les attaques bloquées, les alarmes de pare-feu et les coches vertes créent une illusion de sécurité sans valeur pour une décision stratégique.

Associé :Quels droits de décision du CISO doivent être stipulés par écrit  /  CISO à temps partiel : ce qui peut être externalisé, ce qui doit rester interne

Qu’est-ce qui doit figurer dans le reporting cyber au conseil de surveillance ?

Qu’est‑ce que le reporting au conseil dans le contexte de la cybersécurité ? Le reporting au conseil est le rapport condensé et orienté décision sur la situation des cyber-risques à destination de l’organe de surveillance ou de contrôle. Il traduit l’état de sécurité technique en quelques indicateurs stratégiques avec une tendance et un lien avec l’activité, afin que l’organe puisse évaluer l’efficacité des mesures de sécurité sans tomber dans des statistiques opérationnelles de comptage.

Pourquoi la direction engage sa responsabilité et pourquoi le conseil de surveillance a malgré tout besoin de chiffres

La situation juridique est souvent simplifiée à l’excès. L’article 38 de la loi BSIG, entré en vigueur le 6 décembre 2025, oblige la direction des entités d’importance vitale et importante à mettre en œuvre les mesures de gestion des risques prévues à l’article 30 et à en superviser l’application. Le paragraphe 3 exige en outre que les membres de la direction participent régulièrement à des formations. Toutefois, la loi BSIG ne prévoit pas de canal de signalement direct du RSSI au conseil de surveillance.

Le droit à l’information de cet organe naît à un autre niveau. Le conseil de surveillance contrôle la gestion conformément à l’article 111 de la loi sur les sociétés par actions ; pour les SARL dotées d’un conseil de surveillance, l’article 52 de la loi sur les sociétés à responsabilité limitée s’applique par analogie. Dans une société par actions, le directoire fait rapport au conseil de surveillance, en vertu de l’article 90 de la loi sur les sociétés par actions, au moins tous les trimestres sur la marche des affaires et la situation de la société. Pour une SARL avec un conseil de surveillance facultatif, la fréquence découle du droit d’information de l’organe et du règlement d’information, dans la pratique le plus souvent également sur une base trimestrielle. Un risque cybernétique menaçant la disponibilité, l’intégrité ou la confidentialité des services critiques pour l’entreprise fait partie intégrante de cette situation. Il en découle un besoin d’information structuré, et non une loi distincte sur le reporting au conseil.

Pour le RSSI, cela a une conséquence pratique. Son rapport s’adresse formellement à la direction, qui en a besoin pour s’acquitter de son obligation de surveillance en vertu de l’article 38 et pour répondre aux questions du conseil de surveillance. Un reporting de qualité permet à la direction de rendre des comptes en toute compétence. C’est précisément là que réside le levier que de nombreux responsables de la sécurité sous-estiment.

Cinq indicateurs clés pour fonder une décision

Les cinq indicateurs suivants couvrent le besoin stratégique en informations. Il ne s’agit pas d’une liste imposée par la loi. Ils découlent des mesures minimales prévues à l’article 30, paragraphe 2 du BSIG et les traduisent dans un langage qu’un organe de contrôle issu d’autres domaines de risque reconnaît.

Indicateur À quoi cela répond-il ? Remplace le théâtre de Référence BSIG
Efficacité du contrôle Ce que nous avons décidé fonctionne-t-il ? Coche de conformité verte, pellicule de certificat Article 30 al. 2 n° 6 (évaluation de l’efficacité)
Résilience À quelle vitesse les processus clés reprennent-ils après une panne ? « Les sauvegardes tournent » sans preuve de récupération Article 30 al. 2 n° 3 (exploitation, sauvegarde, gestion de crise)
Statut des tiers Quelles dépendances critiques restent non vérifiées ? Nombre total de contrats SaaS actifs Article 30 al. 2 n° 4 (sécurité de la chaîne d’approvisionnement)
Maturité de réaction Sommes-nous capables d’agir sous pression ? Nombre d’attaques bloquées, volume d’alertes Article 30 al. 2 n° 2 (gestion des incidents)
Situation des menaces (Forward-Look) Quel projet modifie notre risque ? Matrice de risque statique, liste CVE sans lien Article 30 al. 2 n° 1 (analyse des risques)

Efficacité du contrôle. La part des contrôles critiques pour l’activité qui atteignent un seuil d’efficacité défini, présentée avec la variation par rapport au trimestre précédent et les trois plus grandes lacunes ouvertes ainsi que la date prévue de leur fermeture. Les exemples incluent la couverture par l’authentification multifacteur pour les comptes privilégiés, le respect des délais de correctifs pour les systèmes exposés à Internet ou la couverture des logs. L’organe y reconnaît le même schéma d’audit que celui utilisé pour les contrôles internes dans le domaine financier. Le feu tricolore est secondaire, la tendance est l’élément déclaratif.

Résilience. Pour les processus métier critiques définis, le temps de reprise atteint lors d’exercices ou de pannes réelles et la perte de données maximale tolérée, accompagnés de la date du dernier exercice de restauration réussi. Cet indicateur traduit la résilience technique en temps d’arrêt opérationnel, une grandeur que chaque conseil d’administration connaît dans la production ou la logistique. Le nombre de sauvegardes réussies, en revanche, ne dit rien tant que la restauration n’a jamais été testée.

Statut des tiers. La part des fournisseurs critiques disposant d’une évaluation des risques à jour, les findings de haut risque ouverts et une indication de concentration lorsqu’un seul fournisseur assure plusieurs fonctions clés. Les prestataires tiers sont des dépendances stratégiques. La dépendance est un langage qu’un organe de contrôle comprend. Comment un risque de chaîne d’approvisionnement devient un programme maîtrisable, je l’ai décrit plus en détail ailleurs.

Maturité de réaction. Pour les incidents pertinents et les exercices, pas les alarmes quotidiennes, trois éléments comptent : le temps jusqu’à la containment, si les voies d’escalade ont été suivies et l’état d’avancement des mesures issues des analyses postérieures. En tant qu’indicateur de gouvernance, on peut compléter le statut des obligations de déclaration selon l’article 32 du BSIG. La question centrale après un cas réel n’est pas de savoir combien d’attaques ont rebondi. Elle est de savoir si l’équipe a pu gérer celle qui est passée à travers les mailles du filet.

Situation des menaces comme Forward-Look. La seule grandeur prospective de l’ensemble, et en même temps la plus importante. C’est moins un chiffre qu’une image structurée de la situation. Quelles initiatives commerciales en cours modifient la situation des risques, par exemple une migration cloud, un déploiement d’IA ou un changement de ERP ? Quels nouveaux scénarios de menace touchent le secteur clé ? Pour chaque entrée, l’impact attendu, la mesure corrective prévue et le point où l’organe décide sur l’appétence au risque, le budget ou une réserve d’approbation. Dans de nombreuses réunions, le rétrospectif sur les programmes achevés domine. Le Forward-Look doit donc être préparé consciemment, sinon il fait défaut. C’est précisément cette lacune qu’un bon CISO comble activement.

Ce qui n’a pas sa place dans le comité

Aussi importante que la sélection des cinq indicateurs clés est la discipline de laisser le reste de côté. Les métriques opérationnelles appartiennent au rapport du CISO à la direction générale, à l’équipe de sécurité et à la vue d’ensemble de la situation opérationnelle. Dans le organe de surveillance, elles causent des dégâts car elles captent l’attention sans permettre de prise de décision.

Les attaques bloquées et les alertes pare-feu ne sont que des chiffres de volume. Ils augmentent avec la taille de l’entreprise et ne disent rien sur l’efficacité. Les chiffres de correctifs sans référence à un délai convenu constituent une activité sans étalon. Un tableau de bord de conformité vert ou un certificat frais attestent qu’un processus a été vérifié une fois, pas qu’un contrôle est actif aujourd’hui. Celui qui présente ces indicateurs crée une impression de sécurité qui s’effondre lors du premier incident réel.

Le rythme : état des lieux trimestriel, exception immédiate

Le BSIG n’impose aucune fréquence de rapport au comité. Le calendrier découle du droit des sociétés. Pour une société anonyme (AG), le directoire rend compte conformément à l’article 90 de l’AktG au moins trimestriellement de la situation ; pour une SARL (GmbH), un rythme comparable découle du droit d’information et du règlement d’information. Le reporting cyber suit cette orientation. Le rapport trimestriel présente la valeur actuelle et la tendance par indicateur clé, tandis que le rapport annuel complète la maturité stratégique du programme. En cas d’incident majeur ou de décision IT importante, la procédure ad hoc s’applique, ouverte par l’article 90 de l’AktG via le président du conseil de surveillance.

Un mot sur le secteur financier. Pour les entreprises relevant de DORA, ce règlement constitue le droit spécifique. L’organe de direction définit, approuve et supervise le cadre de gestion des risques des technologies de l’information et de la communication. Ses membres sont soumis, conformément à l’article 5 paragraphe 4 de DORA, à une obligation propre de formation continue. DORA renforce ainsi principalement la gouvernance et les flux d’information vers l’organe de direction. Les cinq indicateurs clés restent pertinents, le rythme envers le conseil de surveillance demeure régi par le droit des sociétés et est complété par les attentes de l’autorité de surveillance financière.

En fin de compte, un bon reporting de board est un exercice de traduction. Peu de grandeurs, chacune avec une tendance ou une vue d’ensemble et une phrase sur l’activité, chacune avec une recommandation claire. Cela représente moins de matériel que les quarante diapositives habituelles et bien plus d’impact. La condensation crée de l’espace pour les questions pertinentes. Et de bonnes questions sont ce qu’un CISO souhaite retirer d’une réunion du conseil de surveillance.

Foire aux questions

Chaque question est verrouillée. Un appui déverrouille la réponse.

Quels indicateurs un conseil de surveillance attend-il du CISO ?

La loi ne mentionne pas de liste fixe. En pratique, cinq indicateurs stratégiques sont déterminants : l’efficacité des contrôles critiques, la capacité de reprise des processus métier critiques, l’état de risque des fournisseurs tiers critiques, la maturité de réaction aux incidents et une veille proactive des menaces et des évolutions. Chacun doit montrer une tendance et un lien avec l’activité.

À quelle fréquence le risque cyber doit-il être traité au conseil de surveillance ?

Le BSIG 2025 n’impose pas de fréquence à l’organe. Dans la société par actions, le directoire rend compte au conseil de surveillance conformément au § 90 AktG au moins trimestriellement de la situation de la société ; dans la GmbH avec conseil de surveillance, un rythme comparable découle du droit d’information et du règlement d’information. Les rapports cyber s’alignent sur cela : trimestriellement pour la situation et les tendances, immédiatement en cas d’incidents majeurs ou de décisions IT stratégiques.

Qu’exige le § 38 BSIG de la direction ?

Le § 38 oblige la direction des établissements particulièrement importants et importants à mettre en œuvre les mesures de gestion des risques conformément au § 30 et à superviser leur mise en œuvre. De plus, les membres de la direction doivent participer régulièrement à des formations conformément au paragraphe 3. Le BSIG ne prévoit pas de voie de reporting directe du CISO vers le conseil de surveillance. Le CISO rend compte à la direction. Le conseil de surveillance reçoit ses informations via leur obligation de reporting en vertu du droit des sociétés.

Quels indicateurs sont inadaptés pour le reporting au conseil ?

Sont inadaptées les métriques opérationnelles basées sur le volume sans lien avec l’activité : attaques bloquées, alarmes de pare-feu, nombres de correctifs sans contexte de délai, ainsi que les simples cases à cocher de conformité ou attestations de certification sans preuve d’efficacité. Elles donnent l’impression d’activité, mais ne fournissent pas à l’organe de base pour une décision stratégique sur les risques.

Les recommandations de lecture de la rédaction

Conseil de lectureQuels pouvoirs décisionnels du CISO doivent être formalisés par écritConseil de lectureQuels contrôles ne doivent pas être abandonnés lors de la rationalisation des outilsConseil de lectureNIS2 après l’échéance : la supervision par le BSI commence désormais

Plus sur le réseau MBF Media

Digital ChiefsLa géopolitique rencontre la roadmap des datacenters : ce que les CIO doivent sécuriser maintenantMyBusinessFutureEU AI Act : ce que les PME doivent étiquetercloudmagazinXFS4IoT rencontre le Cloud : le distributeur automatique devient plateforme

Pour aller plus loin

Un magazine d'Evernine Media GmbH