Skip to content

Le conseil d'administration demande : « Sommes-nous sécurisés ? » Comment un RSSI doit-il répondre ?

Réponse courte

« Sécurisé » n'est pas binaire ; un RSSI communique dans le langage du risque métier : les risques les plus importants, la manière dont les contrôles actuels les réduisent par rapport à l'appétit pour le risque du conseil, les investissements prévus et le risque résiduel accepté. Un « oui » absolu est une fausse assurance qui s'effondre dès le premier incident. « Non, nous ne serons jamais sécurisés » est techniquement vrai mais inutile et trahit un manque de maîtrise. Une liste d'achats de pare-feu et d'outils traduit une dépense, pas un risque ni un résultat que le conseil puisse gouverner.

Lorsqu'un conseil demande « Sommes-nous sécurisés ? », il demande en réalité « Gérons-nous le cyber-risque de façon responsable, et devrions-nous nous inquiéter ? » La question teste la capacité du RSSI à traduire la réalité technique en langage de gouvernance sur lequel le conseil peut agir.

Pourquoi formuler en termes de risque est la bonne réponse

La sécurité n'est pas un état que l'on atteint ; c'est un processus continu de réduction du risque à un niveau que la direction a accepté. La bonne réponse nomme les principaux risques matériels (rançongiciel sur les opérations, exposition aux tiers, perte de données personnelles réglementées), précise la posture actuelle face à chacun, la compare à l'appétit pour le risque du conseil, identifie où vont les investissements et explicite le risque résiduel que l'entreprise accepte. Le conseil dispose alors de quelque chose à gouverner : financer, reporter ou accepter en connaissance de cause.

Pourquoi les autres options échouent

  • « Oui, nous sommes totalement sécurisés. » C'est une fausse assurance. Aucune organisation n'est totalement sécurisée, et l'affirmation détruit votre crédibilité le jour d'un incident — le conseil se souviendra que vous l'avez dit.
  • « Non, nous ne serons jamais sécurisés. » Techniquement défendable mais inutile. Cela n'offre aucune direction, aucune priorité, et trahit un manque de maîtrise du tableau de risque.
  • Une liste de pare-feu et d'outils. Cela confond les moyens et les résultats. La dépense en produits ne dit rien au conseil sur la baisse du risque ou la pertinence des investissements. Le conseil gouverne le risque et les résultats, pas les achats.

Ce que l'examinateur cherche

Il veut voir que vous comprenez que le RSSI est un responsable du risque métier, pas un chef de la plomberie informatique. Le réflexe d'un candidat faible est de chercher à rassurer (« oui ») ou à dresser un inventaire technique — deux postures qui ressemblent à des réponses mais n'aident pas le conseil à décider. La maturité se voit dans le lien entre contrôles, risque, appétit et investissement, tout en restant honnête sur ce qui reste non traité.

Questions de suivi probables

  • Comment exprimeriez-vous l'appétit pour le risque de l'organisation à un conseil non technique ?
  • Quel indicateur unique mettriez-vous sur la première diapositive d'un point sécurité au conseil, et pourquoi ?
  • Comment évitez-vous de donner une fausse assurance au conseil tout en restant crédible ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.