Cybersecurity
Décider sans certitude : comment les leaders naviguent sous pression
Laurent Urien, RSSI groupe chez Clariane
Imaginons la scène : il est 17h, le directeur financier reçoit un appel. La voix au bout du fil ressemble à s’y méprendre à celle du PDG. Le message est simple, urgent : un virement doit être effectué avant la fermeture des marchés. La pression est maximale, le doute minimal. Et pourtant, c’est une attaque. Ce scénario n’est plus une hypothèse. C’est le quotidien pour lequel Laurent Urien, responsable sécurité des systèmes d’information (RSSI) chez Clariane, prépare son organisation. Tandis que les menaces exploitent autant la technologie que la psychologie humaine, comment un RSSI peut-il décider vite, décider juste et embarquer toute une direction avec lui ?
La réalité des menaces : le Comex en première ligne
Il fut un temps où les cyberattaques ciblaient en priorité les systèmes d’information, les serveurs mal configurés ou les collaborateurs peu vigilants. Cette époque est révolue. Aujourd’hui, ce sont les membres du Comité exécutif eux-mêmes qui constituent des cibles.
Les attaques de type fraude au président, les tentatives de phishing ciblant les profils VIP et l’usage de deepfakes audio ou vidéo pour usurper l’identité de dirigeants se multiplient à une vitesse préoccupante. Les criminels exploitent les biais cognitifs les plus ancrés : l’autorité hiérarchique, l’urgence perçue, la peur des conséquences. Une personne sous pression, convaincue d’agir dans l’intérêt de l’entreprise, devient involontairement un vecteur d’intrusion.
Ce contexte impose une pression considérable sur les équipes de sécurité. Le RSSI doit garantir une protection sans faille tout en maintenant la fluidité des opérations quotidiennes. Il doit trancher, souvent sans disposer de toutes les informations, et toujours dans un délai contraint.
Ce que l’intelligence artificielle générative a changé, c’est l’accessibilité de ces attaques. Il n’est plus nécessaire d’être un hacker expérimenté pour générer un message vocal convaincant ou créer une vidéo deepfake d’un dirigeant. La surface d’attaque s’élargit pendant que la fenêtre de détection se réduit.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
Naviguer dans l’incertitude : parler le langage du Comex
Face à cette réalité, Laurent Urien pose une règle cardinale : arrêter de traiter la cybersécurité comme un problème informatique isolé. Le RSSI qui se présente en Comex armé de schémas d’architecture réseau et de listes de vulnérabilités a déjà perdu la bataille. Les dirigeants parlent finance, risque et réglementation. C’est avec ce vocabulaire que doit s’exprimer la cybersécurité.
Être un véritable partenaire business, c’est comprendre les priorités stratégiques de l’organisation et les traduire en termes de risques cyber concrets.
Chez Clariane, groupe spécialisé dans les soins et services à la personne, cela signifie par exemple raisonner en termes d’impact sur la continuité des soins, de responsabilité vis-à-vis des données de santé des patients ou d’exposition aux sanctions réglementaires. Ce repositionnement change fondamentalement la nature des échanges avec la direction générale.
L’actualité réglementaire devient alors un allié précieux. Laurent Urien note que sa direction générale lui demande désormais d’elle-même ce que tel incident public signifie pour Clariane. Ce renversement de la dynamique – de la demande de budget vers la demande d’analyse – est le signe que le positionnement de partenaire business fonctionne.
« Je prends toute l’actualité et maintenant c’est même pas moi qui propose, c’est eux qui me demandent. »
Décider sans réponse parfaite : une méthode en trois temps
La grande illusion du management de la cybersécurité, c’est de croire qu’il existe une réponse parfaite. Dans un environnement par nature incertain, la question n’est pas « comment éliminer le risque » mais « comment aider la direction à arbitrer en connaissance de cause ».
Sa méthode repose sur trois principes fondamentaux. Le premier : rendre le risque tangible. Plutôt que d’énumérer des menaces abstraites, il s’agit de s’appuyer sur des incidents récents, des simulations de crise ou des analyses sectorielles pour ancrer la discussion dans des scénarios crédibles et compréhensibles par des non-spécialistes.
Le deuxième principe : présenter les solutions, pas les lignes budgétaires. Un RSSI qui demande un budget supplémentaire sans contextualiser sa demande se positionne comme un centre de coûts. Celui qui expose clairement le scénario de risque, les solutions disponibles, leur coût respectif et le risque résiduel de chaque option se positionne comme un conseiller stratégique.
Le troisième principe est peut-être le plus contre-intuitif : laisser la décision au Comex. Ce n’est pas le rôle du RSSI d’arbitrer entre investissement cyber et autres priorités business. C’est le rôle des dirigeants. En leur présentant les options et en les laissant assumer l’arbitrage final – y compris le risque résiduel de leur décision – le RSSI transforme la cybersécurité en sujet de gouvernance d’entreprise.
« On ne commande pas un budget en fait, on ne demande pas une ligne budgétaire pour traiter le risque humain. En fait, on soumet ça à leur arbitrage, c’est leur décision.»
La cybersécurité ressemble moins à un dispositif technique qu’à une discipline de leadership. C’est la réalité du RSSI moderne : non plus gardien des systèmes, mais architecte de la résilience organisationnelle.










