Guide

Convaincre votre COMEX et vos managers de soutenir la sensibilisation cybersécurité

18 septembre 2025

Sans sponsor, pas de budget. Sans managers, pas d’impact.

Vous le savez : la cybersécurité échoue rarement sur la technologie seule. Elle échoue parce qu’un collaborateur clique sur un lien piégé, partage un fichier sensible ou recycle son mot de passe.
Le problème, ce n’est pas de comprendre pourquoi il faut sensibiliser. Le problème, c’est de convaincre ceux qui détiennent les moyens et l’influence de vous suivre : le COMEX et les managers de proximité.

Mais attention : ce qui différencie une démarche perçue comme générique d’un programme crédible, c’est la capacité à prouver qu’il est piloté grâce aux contrôles internes — continus et périodiques — qui révèlent les écarts de comportement sur le terrain et assurent l’alignement avec les obligations réglementaires (NIS2, RGPD, ISO, DORA).

Pourquoi ce défi est critique ?

Convaincre un COMEX n’est pas un exercice de pédagogie technique. C’est un exercice de gestion du risque business.

Trois raisons clés :

Un écart de perception persistant

Les études montrent un décalage net : 66 % des RSSI jugent la menace critique, mais seulement 56 % des autres membres du COMEX partagent ce point de vue (EY 2025). Autrement dit : vos dirigeants ne perçoivent pas la même urgence.

Des budgets fragiles

45 % des dirigeants estiment déjà investir massivement, alors que 67 % des RSSI jugent leur budget insuffisant (EY 2025). L’écart de perception se traduit en euros : ce qui semble « assez » pour le COMEX est vécu comme « trop peu » par le RSSI.

Une faible implication stratégique

Seuls 21 % des RSSI sont intégrés dans la planification budgétaire de leur organisation (PwC 2025). Beaucoup découvrent les arbitrages après coup.

Les conséquences sont immédiates et visibles : des programmes de sensibilisation sont annulés ou drastiquement réduits au premier signe de crise, reléguant la cybersécurité au rang de simple case conformité à cocher. Dans ce contexte, la démarche perd toute portée stratégique et ne mobilise plus les équipes. Les managers eux-mêmes, faute de légitimité et de soutien clair de la direction, se démotivent et cessent de relayer le message. Le résultat est sans appel : l’entreprise se prive d’une protection efficace au moment où elle en a le plus besoin.

👉 Or, un programme de sensibilisation crédible ne peut pas être déconnecté de la gouvernance. Les contrôles internes fournissent la preuve terrain indispensable : ils identifient les écarts concrets (accès, sauvegardes, séparation des tâches) et permettent de démontrer que la sensibilisation répond à des constats mesurés, et pas à un catalogue générique.

Convaincre devient donc la première brique : sans sponsor exécutif, tout programme est condamné à l’échec.

Les erreurs fréquentes à éviter

Convaincre un COMEX, c’est un exercice où beaucoup de RSSI échouent… pour de mauvaises raisons.

Parler technique

Un COMEX n’est pas sensible au langage technique. CVE, IOC ou patchs sont des notions qui rassurent les spécialistes, mais qui font décrocher vos dirigeants en quelques secondes. Ce qu’ils attendent, ce sont des impacts concrets exprimés en argent, en clients ou en conformité.

Exemple : Un RSSI raconte avoir ouvert son comité exécutif par un slide listant « IOC, CVE, zero-day et patch management ». Le COMEX a décroché en moins de 5 minutes, considérant la cybersécurité comme un sujet purement IT.

👉 Avec l’appui des contrôles internes, il devient possible de reformuler vos constats en scénarios business clairs :

  • « 12 % des équipes échouent au contrôle d’accès → risque RGPD immédiat. »

  • « 18 % d’écarts sur la séparation des tâches → exposition à la fraude et non-conformité SOX. »

Arriver sans chiffres

Le COMEX prend rarement de décisions sans chiffres. Un argumentaire basé uniquement sur l’intuition ou sur la peur reste perçu comme abstrait. Sans données concrètes, même un vrai risque ressemble à une hypothèse.

Exemple : Lors d’un audit interne, une RSSI explique au COMEX que « le risque humain est élevé ». Quand on lui demande : « élevé par rapport à quoi ? », elle n’a pas de métrique à opposer. La discussion s’est arrêtée là.

👉 Les données les plus crédibles ne viennent pas seulement d’études externes, mais de vos contrôles internes continus et périodiques :

  • taux d’échec à un contrôle de gestion des accès,

  • écarts répétés sur la sauvegarde des données,

  • évolution du respect des règles dans le temps.

Ces métriques, adossées à des obligations réglementaires (NIS2, ISO, RGPD), transforment votre discours en preuve terrain irréfutable.

Isoler la sécurité

La sensibilisation n’est pas un projet que le RSSI peut porter seul. Si les autres parties prenantes ne sont pas visibles dans la démarche, le COMEX interprète le programme comme un sujet « technique » et non comme une priorité collective.

Exemple : Un manager sécurité présente seul son plan au COMEX. Plus tard, les RH confient qu’ils n’étaient même pas au courant du projet, alors qu’ils gèrent onboarding et communication interne. Le COMEX en a conclu que le programme n’était pas mûr.

👉 Les contrôles internes, par définition, sont transverses (finance, RH, IT, opérations). Les utiliser comme socle de la sensibilisation, c’est montrer que l’approche concerne l’ensemble de l’organisation et pas seulement la sécurité IT.

Proposer un catalogue de formations

La sensibilisation ne peut pas reposer uniquement sur le RSSI. Lorsqu’elle est perçue comme une initiative isolée du service sécurité, elle reste marginale et peine à s’ancrer dans la culture d’entreprise.

Exemple : Un RSSI a présenté au COMEX une liste de 12 modules e-learning, chacun avec durée et coût. Verdict du PDG : « on dirait un catalogue d’éditeur, pas une stratégie ». Budget refusé.

👉 Là encore, les contrôles internes font la différence : ils permettent de justifier pourquoi la sensibilisation doit prioriser certains thèmes plutôt que d’empiler des modules. Exemple : « Les contrôles montrent que la gestion des accès échoue dans 15 % des cas, nous ciblons donc ce thème en priorité. »

Penser “one shot”

La sensibilisation à la cybersécurité n’est pas une campagne ponctuelle, mais un effort permanent. Penser qu’une seule vague d’actions suffira revient à ignorer que les menaces et les comportements évoluent en continu.

Exemple : Une organisation lance un « mois de la cybersécurité » très visible, avec affiches, quiz et challenges. Trois mois plus tard, les comportements n’ont pas changé. Le COMEX demande : « pourquoi continuer si ça n’a pas d’effet durable ? ».

👉 Les contrôles internes, parce qu’ils sont continus ou périodiques, créent un cycle naturel : contrôle → sensibilisation ciblée → nouvelle mesure → ajustement. C’est cette logique itérative qui ancre la cybersécurité dans la culture d’entreprise.

Les clés de réussite pour convaincre COMEX & managers

Après avoir exploré les erreurs les plus fréquentes commises par les RSSI lorsqu’ils cherchent à convaincre leur COMEX, il est essentiel de se projeter sur un cadre positif et reproductible. Car un pitch réussi n’est pas une question de chance ou de charisme : c’est une méthode qui repose sur cinq leviers précis.

Ces clés de réussite sont celles que l’on retrouve systématiquement dans les études internationales (EY, PwC, Proofpoint) mais aussi dans les retours d’expérience de RSSI qui ont obtenu des budgets conséquents. Autrement dit : ce ne sont pas des “bonnes pratiques théoriques”, ce sont des ingrédients qui font la différence dans la vraie vie.

Traduire le risque en langage business

Un COMEX ne se mobilise pas sur un acronyme technique, mais sur une exposition financière, réglementaire ou client. Le rôle du RSSI est de faire le pont entre la menace et son impact concret sur l’activité.

👉 Avec l’appui des contrôles internes, cette traduction est immédiate :

  • “15 % d’échec au contrôle d’accès = risque RGPD + exposition à une sanction CNIL.”

  • “18 % de non-conformité à la séparation des tâches = risque de fraude opérationnelle.”

Arriver avec des preuves tangibles

Les directions générales décident rarement sur la base d’intuitions. Ce qui fait la différence, ce sont des chiffres simples, lisibles et crédibles.

👉 Outre les benchmarks externes (PwC, EY, Proofpoint), les indicateurs issus des contrôles internes sont un atout décisif : ils prouvent que la sensibilisation répond à des écarts concrets observés dans l’entreprise.

Donner de la visibilité dans le temps

Un projet sans échéance est un projet condamné. Pour convaincre un COMEX, vous devez montrer que votre programme de sensibilisation s’inscrit dans une dynamique pilotée et mesurable.

👉 La planification peut être calée sur le rythme des contrôles périodiques :

  • Q1 : contrôle interne accès → sensibilisation ciblée.

  • Q2 : intégration RH (onboarding NIS2) → reporting COMEX.

  • Q3 : activation des managers comme relais.

  • Q4 : mesure d’efficacité via les contrôles périodiques → ROI présenté au COMEX.

Mobiliser vos relais internes

Un RSSI seul face au COMEX envoie un mauvais signal : la cybersécurité apparaît comme une affaire de spécialistes. Pour être crédible, il faut montrer que le sujet est porté collectivement.

👉 Les contrôles internes fournissent ce langage commun transversal : finance, RH, IT, opérations. En les utilisant comme socle, vous démontrez que la cybersécurité est intégrée à la gouvernance globale.

Prouver la valeur créée

Le dernier levier est sans doute le plus décisif : montrer le retour sur investissement. Pas uniquement en coûts évités (ex. amendes, interruptions, ransomwares), mais aussi en bénéfices immatériels : image de marque, climat interne, conformité.

👉 La valeur est encore plus convaincante lorsqu’elle est liée à vos contrôles internes :

  • “En 12 mois, le taux de non-conformité au contrôle accès est passé de 18 % à 6 % grâce à la campagne ciblée.”

Ce lien direct contrôle → sensibilisation → amélioration est ce qui parle le plus à un COMEX.

Conclusion : un cadre reproductible

En résumé, convaincre un COMEX ne se réduit pas à éviter les erreurs. C’est une démarche proactive qui repose sur cinq piliers : parler business, apporter des preuves, donner de la visibilité, mobiliser ses relais et démontrer la valeur.

👉 Mais ce qui fait la différence entre un programme générique et un programme stratégique, c’est la capacité à s’appuyer sur vos contrôles internes continus et périodiques. Ce sont eux qui permettent :

  • d’aligner la sensibilisation sur les obligations réglementaires (NIS2, RGPD, ISO, DORA),

  • de cibler les écarts comportementaux observés sur le terrain,

  • et de démontrer un ROI concret au COMEX.

Convaincre, ce n’est donc pas vendre un catalogue d’e-learning, mais montrer que votre sensibilisation est pilotée comme une brique de gouvernance et de conformité, avec des résultats mesurés et reproductibles.

Michael Fernandez