Mettre la cybersécurité à l’agenda du COMEX : mission impossible ?

La cybersécurité, encore perçue comme un sujet technique ?

En 2025, les cyberattaques n’épargnent personne : ni les PME, ni les multinationales.

Ces phrases, vous les avez sûrement entendues (ou prononcées). Mais elles traduisent une réalité inquiétante : les enjeux numériques sont mal compris au sommet des entreprises.

Dans bien des PME, la cybersécurité reste encore cantonnée au service TI. Pourtant, en 2025, les cybermenaces ne sont plus uniquement techniques. Elles ont des conséquences financières, juridiques, réputationnelles et stratégiques. Autrement dit, elles concernent directement le COMEX.

La question n’est plus de savoir si la cybersécurité est un sujet prioritaire, mais comment faire en sorte qu’elle soit traitée comme telle au plus haut niveau de gouvernance de l’entreprise.

Trop souvent, les dirigeants perçoivent la cybersécurité comme un univers opaque, technique, régi par des termes complexes et des réalités opérationnelles loin de leurs préoccupations stratégiques. Ce décalage empêche une vraie prise de décision, un alignement budgétaire, ou une vision à moyen terme. Or, face à la recrudescence des attaques ciblant les PME et à l’application de la Loi 25, ce manque de dialogue est devenu un risque en soi.

Mettre la cybersécurité à l’agenda du COMEX, ce n’est pas parler de firewalls et de configurations serveur. C’est parler de continuité d’activité, de protection de la marque, de confiance client, d’avantage concurrentiel, de conformité réglementaire. Il s’agit de repositionner la cybersécurité comme un sujet business, à la fois transversal et stratégique.

Concrètement, cela suppose que les CISO et responsables sécurité adaptent leur discours. Il faut traduire les risques techniques en impacts financiers, illustrer les priorités de sécurité par des scénarios concrets, montrer la valeur créée par une approche proactive : baisse du risque de panne, réduction des primes d’assurance cyber, conformité contractuelle, accès à de nouveaux marchés.

Pour les CEO et membres du COMEX, il est temps de se poser les bonnes questions : quel est notre niveau de maturité cyber ? Sommes-nous capables de réagir en cas de cyberattaque dans les 48h ? Nos investissements sont-ils alignés avec les risques ? Avons-nous les bons partenaires pour nous accompagner ?

Quelques actions concrètes permettent d’initier ce changement de posture :

• Intégrer un point cybersécurité régulier dans les comités de direction

• Faire réaliser un audit de maturité pour objectiver la situation

• Désigner un référent cybersécurité présent dans les discussions stratégiques

• Traduire les indicateurs cyber en KPIs compréhensibles par le COMEX

Loin d’être une mission impossible, faire monter la cybersécurité à bord du COMEX est une évolution nécessaire. Elle permet aux entreprises de passer d’une posture défensive à une posture proactive, d’assumer leur responsabilité en matière de gouvernance numérique, et de mieux préparer leur avenir dans un environnement où les risques ne cessent de se transformer.

En 2025, les entreprises qui performeront ne seront pas seulement celles qui innovent, mais celles qui auront su faire de la cybersécurité un réflexe de direction.