{"id":20974,"date":"2026-06-27T11:00:00","date_gmt":"2026-06-27T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20974"},"modified":"2026-07-12T21:30:51","modified_gmt":"2026-07-12T21:30:51","slug":"rapport-de-tableau-de-bord-kpi-conseil-de-surveillance","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/06\/27\/rapport-de-tableau-de-bord-kpi-conseil-de-surveillance\/","title":{"rendered":"Cinq indicateurs cl\u00e9s que le conseil de surveillance comprend vraiment"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lecture<\/p>\n<p><strong>Un sc\u00e9nario typique d\u2019une r\u00e9union du conseil de surveillance : quarante slides, un million d\u2019attaques bloqu\u00e9es dans un diagramme \u00e0 barres, un tableau de bord de conformit\u00e9 vert. Le conseil hoche la t\u00eate et ne pose aucune question. Trois mois plus tard, un processus critique tombe en panne pendant deux jours. Les m\u00eames membres du conseil demandent pourquoi personne n\u2019avait vu le risque arriver. Le probl\u00e8me n\u2019\u00e9tait pas un manque de rapports, mais un mauvais rapport. Compter les attaques bloqu\u00e9es, c\u2019est fournir de l\u2019activit\u00e9. Rendre visible le risque strat\u00e9gique, c\u2019est fournir une base de d\u00e9cision. Cette diff\u00e9rence d\u00e9termine si un CISO est pris au s\u00e9rieux.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Les points cl\u00e9s en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">Le BSIG lie la direction, pas le conseil :<\/strong> Le paragraphe 38 oblige la direction \u00e0 mettre en \u0153uvre les mesures de gestion des risques et \u00e0 surveiller leur mise en \u0153uvre. Un canal de reporting direct du CISO au conseil de surveillance n\u2019y est pas pr\u00e9vu.<\/li>\n<li><strong style=\"color:#69d8ed;\">Le besoin d\u2019information provient du droit des soci\u00e9t\u00e9s :<\/strong> Le conseil de surveillance supervise la direction selon le paragraphe 111 AktG, la direction rend compte au moins tous les trimestres de la situation de la soci\u00e9t\u00e9. Le cyber-risque fait partie de cette situation.<\/li>\n<li><strong style=\"color:#69d8ed;\">Cinq indicateurs suffisent :<\/strong> Efficacit\u00e9 des contr\u00f4les, capacit\u00e9 de r\u00e9tablissement, statut des tiers, maturit\u00e9 de r\u00e9action et une situation de menace prospective. Quatre montrent une tendance, la cinqui\u00e8me est une cartographie prospective. Chacune a un lien clair avec l\u2019activit\u00e9.<\/li>\n<li><strong style=\"color:#69d8ed;\">Les m\u00e9triques de volume n\u2019ont pas leur place au conseil :<\/strong> Les attaques bloqu\u00e9es, les alarmes de pare-feu et les coches vertes cr\u00e9ent une illusion de s\u00e9curit\u00e9 sans valeur pour une d\u00e9cision strat\u00e9gique.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Associ\u00e9 :<\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"color:#333;text-decoration:underline;\">Quels droits de d\u00e9cision du CISO doivent \u00eatre stipul\u00e9s par \u00e9crit<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/24\/ciso-a-temps-partiel-ce-qui-peut-etre-externalise-ce-qui-doit-rester-interne\/\" style=\"color:#333;text-decoration:underline;\">CISO \u00e0 temps partiel : ce qui peut \u00eatre externalis\u00e9, ce qui doit rester interne<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u2019est-ce qui doit figurer dans le reporting cyber au conseil de surveillance ?<\/h2>\n<p><strong>Qu\u2019est\u2011ce que le reporting au conseil dans le contexte de la cybers\u00e9curit\u00e9 ?<\/strong> Le reporting au conseil est le rapport condens\u00e9 et orient\u00e9 d\u00e9cision sur la situation des cyber-risques \u00e0 destination de l\u2019organe de surveillance ou de contr\u00f4le. Il traduit l\u2019\u00e9tat de s\u00e9curit\u00e9 technique en quelques indicateurs strat\u00e9giques avec une tendance et un lien avec l\u2019activit\u00e9, afin que l\u2019organe puisse \u00e9valuer l\u2019efficacit\u00e9 des mesures de s\u00e9curit\u00e9 sans tomber dans des statistiques op\u00e9rationnelles de comptage.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Pourquoi la direction engage sa responsabilit\u00e9 et pourquoi le conseil de surveillance a malgr\u00e9 tout besoin de chiffres<\/h2>\n<p>La situation juridique est souvent simplifi\u00e9e \u00e0 l&rsquo;exc\u00e8s. L&rsquo;article 38 de la loi BSIG, entr\u00e9 en vigueur le 6 d\u00e9cembre 2025, oblige la direction des entit\u00e9s d&rsquo;importance vitale et importante \u00e0 mettre en \u0153uvre les mesures de gestion des risques pr\u00e9vues \u00e0 l&rsquo;article 30 et \u00e0 en superviser l&rsquo;application. Le paragraphe 3 exige en outre que les membres de la direction participent r\u00e9guli\u00e8rement \u00e0 des formations. Toutefois, la loi BSIG ne pr\u00e9voit pas de canal de signalement direct du RSSI au conseil de surveillance.<\/p>\n<p>Le droit \u00e0 l&rsquo;information de cet organe na\u00eet \u00e0 un autre niveau. Le conseil de surveillance contr\u00f4le la gestion conform\u00e9ment \u00e0 l&rsquo;article 111 de la loi sur les soci\u00e9t\u00e9s par actions ; pour les SARL dot\u00e9es d&rsquo;un conseil de surveillance, l&rsquo;article 52 de la loi sur les soci\u00e9t\u00e9s \u00e0 responsabilit\u00e9 limit\u00e9e s&rsquo;applique par analogie. Dans une soci\u00e9t\u00e9 par actions, le directoire fait rapport au conseil de surveillance, en vertu de l&rsquo;article 90 de la loi sur les soci\u00e9t\u00e9s par actions, au moins tous les trimestres sur la marche des affaires et la situation de la soci\u00e9t\u00e9. Pour une SARL avec un conseil de surveillance facultatif, la fr\u00e9quence d\u00e9coule du droit d&rsquo;information de l&rsquo;organe et du r\u00e8glement d&rsquo;information, dans la pratique le plus souvent \u00e9galement sur une base trimestrielle. Un risque cybern\u00e9tique mena\u00e7ant la disponibilit\u00e9, l&rsquo;int\u00e9grit\u00e9 ou la confidentialit\u00e9 des services critiques pour l&rsquo;entreprise fait partie int\u00e9grante de cette situation. Il en d\u00e9coule un besoin d&rsquo;information structur\u00e9, et non une loi distincte sur le reporting au conseil.<\/p>\n<p>Pour le RSSI, cela a une cons\u00e9quence pratique. Son rapport s&rsquo;adresse formellement \u00e0 la direction, qui en a besoin pour s&rsquo;acquitter de son obligation de surveillance en vertu de l&rsquo;article 38 et pour r\u00e9pondre aux questions du conseil de surveillance. Un reporting de qualit\u00e9 permet \u00e0 la direction de rendre des comptes en toute comp\u00e9tence. C&rsquo;est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side le levier que de nombreux responsables de la s\u00e9curit\u00e9 sous-estiment.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Cinq indicateurs cl\u00e9s pour fonder une d\u00e9cision<\/h2>\n<p>Les cinq indicateurs suivants couvrent le besoin strat\u00e9gique en informations. Il ne s&rsquo;agit pas d&rsquo;une liste impos\u00e9e par la loi. Ils d\u00e9coulent des mesures minimales pr\u00e9vues \u00e0 l&rsquo;article 30, paragraphe 2 du BSIG et les traduisent dans un langage qu&rsquo;un organe de contr\u00f4le issu d&rsquo;autres domaines de risque reconna\u00eet.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:640px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Indicateur<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">\u00c0 quoi cela r\u00e9pond-il ?<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Remplace le th\u00e9\u00e2tre de<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">R\u00e9f\u00e9rence BSIG<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Efficacit\u00e9 du contr\u00f4le<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Ce que nous avons d\u00e9cid\u00e9 fonctionne-t-il ?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Coche de conformit\u00e9 verte, pellicule de certificat<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Article 30 al. 2 n\u00b0 6 (\u00e9valuation de l&rsquo;efficacit\u00e9)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>R\u00e9silience<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00c0 quelle vitesse les processus cl\u00e9s reprennent-ils apr\u00e8s une panne ?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">\u00ab\u00a0Les sauvegardes tournent\u00a0\u00bb sans preuve de r\u00e9cup\u00e9ration<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Article 30 al. 2 n\u00b0 3 (exploitation, sauvegarde, gestion de crise)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Statut des tiers<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Quelles d\u00e9pendances critiques restent non v\u00e9rifi\u00e9es ?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Nombre total de contrats SaaS actifs<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Article 30 al. 2 n\u00b0 4 (s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Maturit\u00e9 de r\u00e9action<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Sommes-nous capables d&rsquo;agir sous pression ?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Nombre d&rsquo;attaques bloqu\u00e9es, volume d&rsquo;alertes<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Article 30 al. 2 n\u00b0 2 (gestion des incidents)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Situation des menaces (Forward-Look)<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Quel projet modifie notre risque ?<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Matrice de risque statique, liste CVE sans lien<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Article 30 al. 2 n\u00b0 1 (analyse des risques)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p><strong>Efficacit\u00e9 du contr\u00f4le.<\/strong> La part des contr\u00f4les critiques pour l&rsquo;activit\u00e9 qui atteignent un seuil d&rsquo;efficacit\u00e9 d\u00e9fini, pr\u00e9sent\u00e9e avec la variation par rapport au trimestre pr\u00e9c\u00e9dent et les trois plus grandes lacunes ouvertes ainsi que la date pr\u00e9vue de leur fermeture. Les exemples incluent la couverture par l&rsquo;authentification multifacteur pour les comptes privil\u00e9gi\u00e9s, le respect des d\u00e9lais de correctifs pour les syst\u00e8mes expos\u00e9s \u00e0 Internet ou la couverture des logs. L&rsquo;organe y reconna\u00eet le m\u00eame sch\u00e9ma d&rsquo;audit que celui utilis\u00e9 pour les contr\u00f4les internes dans le domaine financier. Le feu tricolore est secondaire, la tendance est l&rsquo;\u00e9l\u00e9ment d\u00e9claratif.<\/p>\n<p><strong>R\u00e9silience.<\/strong> Pour les processus m\u00e9tier critiques d\u00e9finis, le temps de reprise atteint lors d&rsquo;exercices ou de pannes r\u00e9elles et la perte de donn\u00e9es maximale tol\u00e9r\u00e9e, accompagn\u00e9s de la date du dernier exercice de restauration r\u00e9ussi. Cet indicateur traduit la r\u00e9silience technique en temps d&rsquo;arr\u00eat op\u00e9rationnel, une grandeur que chaque conseil d&rsquo;administration conna\u00eet dans la production ou la logistique. Le nombre de sauvegardes r\u00e9ussies, en revanche, ne dit rien tant que la restauration n&rsquo;a jamais \u00e9t\u00e9 test\u00e9e.<\/p>\n<p><strong>Statut des tiers.<\/strong> La part des fournisseurs critiques disposant d&rsquo;une \u00e9valuation des risques \u00e0 jour, les findings de haut risque ouverts et une indication de concentration lorsqu&rsquo;un seul fournisseur assure plusieurs fonctions cl\u00e9s. Les prestataires tiers sont des d\u00e9pendances strat\u00e9giques. La d\u00e9pendance est un langage qu&rsquo;un organe de contr\u00f4le comprend. Comment un risque de cha\u00eene d&rsquo;approvisionnement devient un programme ma\u00eetrisable, je l&rsquo;ai d\u00e9crit plus en d\u00e9tail ailleurs.<\/p>\n<p><strong>Maturit\u00e9 de r\u00e9action.<\/strong> Pour les incidents pertinents et les exercices, pas les alarmes quotidiennes, trois \u00e9l\u00e9ments comptent : le temps jusqu&rsquo;\u00e0 la containment, si les voies d&rsquo;escalade ont \u00e9t\u00e9 suivies et l&rsquo;\u00e9tat d&rsquo;avancement des mesures issues des analyses post\u00e9rieures. En tant qu&rsquo;indicateur de gouvernance, on peut compl\u00e9ter le statut des obligations de d\u00e9claration selon l&rsquo;article 32 du BSIG. La question centrale apr\u00e8s un cas r\u00e9el n&rsquo;est pas de savoir combien d&rsquo;attaques ont rebondi. Elle est de savoir si l&rsquo;\u00e9quipe a pu g\u00e9rer celle qui est pass\u00e9e \u00e0 travers les mailles du filet.<\/p>\n<p><strong>Situation des menaces comme Forward-Look.<\/strong> La seule grandeur prospective de l&rsquo;ensemble, et en m\u00eame temps la plus importante. C&rsquo;est moins un chiffre qu&rsquo;une image structur\u00e9e de la situation. Quelles initiatives commerciales en cours modifient la situation des risques, par exemple une migration cloud, un d\u00e9ploiement d&rsquo;IA ou un changement de ERP ? Quels nouveaux sc\u00e9narios de menace touchent le secteur cl\u00e9 ? Pour chaque entr\u00e9e, l&rsquo;impact attendu, la mesure corrective pr\u00e9vue et le point o\u00f9 l&rsquo;organe d\u00e9cide sur l&rsquo;app\u00e9tence au risque, le budget ou une r\u00e9serve d&rsquo;approbation. Dans de nombreuses r\u00e9unions, le r\u00e9trospectif sur les programmes achev\u00e9s domine. Le Forward-Look doit donc \u00eatre pr\u00e9par\u00e9 consciemment, sinon il fait d\u00e9faut. C&rsquo;est pr\u00e9cis\u00e9ment cette lacune qu&rsquo;un bon CISO comble activement.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Ce qui n\u2019a pas sa place dans le comit\u00e9<\/h2>\n<p>Aussi importante que la s\u00e9lection des cinq indicateurs cl\u00e9s est la discipline de laisser le reste de c\u00f4t\u00e9. Les m\u00e9triques op\u00e9rationnelles appartiennent au rapport du CISO \u00e0 la direction g\u00e9n\u00e9rale, \u00e0 l\u2019\u00e9quipe de s\u00e9curit\u00e9 et \u00e0 la vue d\u2019ensemble de la situation op\u00e9rationnelle. Dans le organe de surveillance, elles causent des d\u00e9g\u00e2ts car elles captent l\u2019attention sans permettre de prise de d\u00e9cision.<\/p>\n<p>Les attaques bloqu\u00e9es et les alertes pare-feu ne sont que des chiffres de volume. Ils augmentent avec la taille de l\u2019entreprise et ne disent rien sur l\u2019efficacit\u00e9. Les chiffres de correctifs sans r\u00e9f\u00e9rence \u00e0 un d\u00e9lai convenu constituent une activit\u00e9 sans \u00e9talon. Un tableau de bord de conformit\u00e9 vert ou un certificat frais attestent qu\u2019un processus a \u00e9t\u00e9 v\u00e9rifi\u00e9 une fois, pas qu\u2019un contr\u00f4le est actif aujourd\u2019hui. Celui qui pr\u00e9sente ces indicateurs cr\u00e9e une impression de s\u00e9curit\u00e9 qui s\u2019effondre lors du premier incident r\u00e9el.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Le rythme : \u00e9tat des lieux trimestriel, exception imm\u00e9diate<\/h2>\n<p>Le BSIG n\u2019impose aucune fr\u00e9quence de rapport au comit\u00e9. Le calendrier d\u00e9coule du droit des soci\u00e9t\u00e9s. Pour une soci\u00e9t\u00e9 anonyme (AG), le directoire rend compte conform\u00e9ment \u00e0 l\u2019article 90 de l\u2019AktG au moins trimestriellement de la situation ; pour une SARL (GmbH), un rythme comparable d\u00e9coule du droit d\u2019information et du r\u00e8glement d\u2019information. Le reporting cyber suit cette orientation. Le rapport trimestriel pr\u00e9sente la valeur actuelle et la tendance par indicateur cl\u00e9, tandis que le rapport annuel compl\u00e8te la maturit\u00e9 strat\u00e9gique du programme. En cas d\u2019incident majeur ou de d\u00e9cision IT importante, la proc\u00e9dure ad hoc s\u2019applique, ouverte par l\u2019article 90 de l\u2019AktG via le pr\u00e9sident du conseil de surveillance.<\/p>\n<p>Un mot sur le secteur financier. Pour les entreprises relevant de DORA, ce r\u00e8glement constitue le droit sp\u00e9cifique. L\u2019organe de direction d\u00e9finit, approuve et supervise le cadre de gestion des risques des technologies de l\u2019information et de la communication. Ses membres sont soumis, conform\u00e9ment \u00e0 l\u2019article 5 paragraphe 4 de DORA, \u00e0 une obligation propre de formation continue. DORA renforce ainsi principalement la gouvernance et les flux d\u2019information vers l\u2019organe de direction. Les cinq indicateurs cl\u00e9s restent pertinents, le rythme envers le conseil de surveillance demeure r\u00e9gi par le droit des soci\u00e9t\u00e9s et est compl\u00e9t\u00e9 par les attentes de l\u2019autorit\u00e9 de surveillance financi\u00e8re.<\/p>\n<p>En fin de compte, un bon reporting de board est un exercice de traduction. Peu de grandeurs, chacune avec une tendance ou une vue d\u2019ensemble et une phrase sur l\u2019activit\u00e9, chacune avec une recommandation claire. Cela repr\u00e9sente moins de mat\u00e9riel que les quarante diapositives habituelles et bien plus d\u2019impact. La condensation cr\u00e9e de l\u2019espace pour les questions pertinentes. Et de bonnes questions sont ce qu\u2019un CISO souhaite retirer d\u2019une r\u00e9union du conseil de surveillance.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Foire aux questions<\/h2>\n<p class=\"st-faq-hint\">Chaque question est verrouill\u00e9e. Un appui d\u00e9verrouille la r\u00e9ponse.<\/p>\n<details>\n<summary><strong>Quels indicateurs un conseil de surveillance attend-il du CISO ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">La loi ne mentionne pas de liste fixe. En pratique, cinq indicateurs strat\u00e9giques sont d\u00e9terminants : l&rsquo;efficacit\u00e9 des contr\u00f4les critiques, la capacit\u00e9 de reprise des processus m\u00e9tier critiques, l&rsquo;\u00e9tat de risque des fournisseurs tiers critiques, la maturit\u00e9 de r\u00e9action aux incidents et une veille proactive des menaces et des \u00e9volutions. Chacun doit montrer une tendance et un lien avec l&rsquo;activit\u00e9.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00c0 quelle fr\u00e9quence le risque cyber doit-il \u00eatre trait\u00e9 au conseil de surveillance ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le BSIG 2025 n&rsquo;impose pas de fr\u00e9quence \u00e0 l&rsquo;organe. Dans la soci\u00e9t\u00e9 par actions, le directoire rend compte au conseil de surveillance conform\u00e9ment au \u00a7 90 AktG au moins trimestriellement de la situation de la soci\u00e9t\u00e9 ; dans la GmbH avec conseil de surveillance, un rythme comparable d\u00e9coule du droit d&rsquo;information et du r\u00e8glement d&rsquo;information. Les rapports cyber s&rsquo;alignent sur cela : trimestriellement pour la situation et les tendances, imm\u00e9diatement en cas d&rsquo;incidents majeurs ou de d\u00e9cisions IT strat\u00e9giques.<\/p>\n<\/details>\n<details>\n<summary><strong>Qu&rsquo;exige le \u00a7 38 BSIG de la direction ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le \u00a7 38 oblige la direction des \u00e9tablissements particuli\u00e8rement importants et importants \u00e0 mettre en \u0153uvre les mesures de gestion des risques conform\u00e9ment au \u00a7 30 et \u00e0 superviser leur mise en \u0153uvre. De plus, les membres de la direction doivent participer r\u00e9guli\u00e8rement \u00e0 des formations conform\u00e9ment au paragraphe 3. Le BSIG ne pr\u00e9voit pas de voie de reporting directe du CISO vers le conseil de surveillance. Le CISO rend compte \u00e0 la direction. Le conseil de surveillance re\u00e7oit ses informations via leur obligation de reporting en vertu du droit des soci\u00e9t\u00e9s.<\/p>\n<\/details>\n<details>\n<summary><strong>Quels indicateurs sont inadapt\u00e9s pour le reporting au conseil ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Sont inadapt\u00e9es les m\u00e9triques op\u00e9rationnelles bas\u00e9es sur le volume sans lien avec l&rsquo;activit\u00e9 : attaques bloqu\u00e9es, alarmes de pare-feu, nombres de correctifs sans contexte de d\u00e9lai, ainsi que les simples cases \u00e0 cocher de conformit\u00e9 ou attestations de certification sans preuve d&rsquo;efficacit\u00e9. Elles donnent l&rsquo;impression d&rsquo;activit\u00e9, mais ne fournissent pas \u00e0 l&rsquo;organe de base pour une d\u00e9cision strat\u00e9gique sur les risques.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=de--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les recommandations de lecture de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/23\/quels-droits-de-decision-du-ciso-doivent-etre-reglementes-par-ecrit\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-mandat-entscheidungsrechte-eskalation-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Conseil de lecture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quels pouvoirs d\u00e9cisionnels du CISO doivent \u00eatre formalis\u00e9s par \u00e9crit<\/span><\/span><\/a><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/security-stack-konsolidierung-controls-nis2-paragraf-30-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Conseil de lecture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quels contr\u00f4les ne doivent pas \u00eatre abandonn\u00e9s lors de la rationalisation des outils<\/span><\/span><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/06\/16\/nis2-apres-lecheance-cest-maintenant-que-commence-la-supervision-de-la-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-aufsichtsphase-bsi-pflichten-deutschland-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Conseil de lecture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 apr\u00e8s l&rsquo;\u00e9ch\u00e9ance : la supervision par le BSI commence d\u00e9sormais<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus sur le r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/geopolitik-datacenter-roadmap-lieferketten-capex-cio\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">La g\u00e9opolitique rencontre la roadmap des datacenters : ce que les CIO doivent s\u00e9curiser maintenant<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/eu-ai-act-2026-kennzeichnungspflichten-mittelstand\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">EU AI Act : ce que les PME doivent \u00e9tiqueter<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/2026\/06\/16\/xfs4iot-cloud-geldautomat-plattform-synaforce\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT rencontre le Cloud : le distributeur automatique devient plateforme<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Quelles cinq indicateurs qu&rsquo;un CISO devrait communiquer au conseil d&rsquo;administration et pourquoi les attaques bloqu\u00e9es ne renseignent pas sur la situation\u2026","protected":false},"author":50,"featured_media":18201,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Rapports du CISO","_yoast_wpseo_title":"Cinq indicateurs cl\u00e9s que le conseil de surveillance comprend vraiment","_yoast_wpseo_metadesc":"5 indicateurs cl\u00e9s qu\u2019un DSI doit pr\u00e9senter au conseil d\u2019administration et pourquoi les attaques bloqu\u00e9es ne refl\u00e8tent pas la vraie menace cyber.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-board-reporting-kennzahlen-aufsichtsrat-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/ciso-board-reporting-kennzahlen-aufsichtsrat-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":13,"wpml_language":"fr","wpml_translation_of":18200,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20974"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20974\/revisions"}],"predecessor-version":[{"id":22053,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20974\/revisions\/22053"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/18201"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}