Présenter la sécurité à un COMEX est un exercice de traduction. Le manager sécurité raisonne en menaces, contrôles, vulnérabilités ; le membre du comité exécutif raisonne en risque pour le business, en coût et en réputation. Le tableau de bord est l’objet qui assure cette traduction. Mal construit, il génère des questions techniques qui frustrent l’audience et qui donnent l’impression que la fonction sécurité ne maîtrise pas son sujet. Bien construit, il devient l’outil de décision trimestriel qui structure la relation entre la sécurité et la direction générale. Ce tutoriel déroule pas-à-pas la construction de ce tableau de bord, en allant des principes de mise en forme jusqu’aux KPI à retenir et à la conduite de la séance.
Prérequis
- Programme de sécurité actif avec feuille de route à 3 ans (sortie du tutoriel correspondant)
- Registre de risques opérationnel avec scoring résiduel
- Au moins 6 mois de données collectées sur les indicateurs clés
- Outil de mise en forme : PowerPoint, Keynote ou équivalent
- Validation préalable du comité de sécurité opérationnel sur les indicateurs choisis
- Temps requis pour la construction initiale : 8 à 12 heures
- Niveau attendu : manager sécurité confirmé, en présentation directe au COMEX
Étape 1 — Comprendre ce qu’un COMEX attend
Un membre du COMEX consacre typiquement 20 à 30 minutes au sujet sécurité par trimestre. Sur ces 30 minutes, il intègre rapidement trois questions : sommes-nous en train de gagner ou de perdre, quels sont les sujets qui demandent un arbitrage maintenant, et où va l’argent investi. Toute information qui ne sert pas l’une de ces trois questions est du bruit. La discipline du tableau de bord COMEX est l’élimination du bruit, pas l’exhaustivité.
L’audience du COMEX est multiple : DG attentif aux risques majeurs et à la réputation, Directeur Financier focalisé sur ROI et coûts, Directeur des Risques en lecture transverse, Secrétaire Général aux questions de conformité. Aucun n’est spécialiste sécurité — c’est précisément pourquoi vous êtes invité. Le tableau de bord doit servir tous ces angles sans jargon, sans abréviation inexpliquée, sans dépendance à un schéma technique d’architecture.
Étape 2 — Choisir le format unique : une diapositive ou une page A4
La contrainte qui fait la qualité du tableau de bord est la limite de page. Une seule diapositive en présentation, ou une seule page A4 imprimée pour la version papier. Cette contrainte oblige à hiérarchiser. Les managers sécurité qui livrent un PowerPoint de 30 slides au COMEX commettent une faute fréquente : l’audience décroche à la slide 3 et garde un sentiment d’imprécision malgré la masse d’informations affichée.
Le tableau de bord en une page se construit en quatre zones obligatoires, disposées selon le sens de lecture occidental (haut-gauche puis droite, bas-gauche puis droite). La zone haut-gauche porte la synthèse globale (indicateur unique de santé). La zone haut-droite affiche le top 3 ou top 5 des risques majeurs. La zone bas-gauche montre l’avancement de la feuille de route. La zone bas-droite affiche les arbitrages demandés au COMEX. Ce gabarit fixe permet à un membre du comité de retrouver instantanément l’information attendue d’un trimestre sur l’autre.
+-------------------------------+-------------------------------+ | | | | ZONE 1 — Santé globale | ZONE 2 — Top risques | | Indicateur unique 0-100 | 3 à 5 risques critiques | | Tendance vs trimestre | Code couleur, propriétaire | | | | +-------------------------------+-------------------------------+ | | | | ZONE 3 — Feuille de route | ZONE 4 — Arbitrages | | % d'avancement par chantier | Décisions attendues | | Jalons trimestre suivant | Budget, ressources, scope | | | | +-------------------------------+-------------------------------+
Cette discipline du format unique est ce qui crée la confiance dans le temps. Le COMEX sait quoi attendre, sait où regarder, et finit par lire le tableau de bord en 5 minutes au lieu de 20. Le temps gagné se reporte sur la discussion qui suit — c’est précisément l’objectif.
Étape 3 — Concevoir l’indicateur unique de santé
L’indicateur unique de santé est la promesse de simplification du tableau de bord. Une note globale, généralement sur 100, qui synthétise l’état du programme. Le DG doit pouvoir comprendre en deux secondes si la situation est saine, fragile ou critique. Le calcul de cet indicateur est moins important que sa stabilité dans le temps — il faut qu’il puisse être comparé d’un trimestre à l’autre.
Une formule éprouvée combine trois dimensions pondérées : avancement de la feuille de route (40 %), pourcentage de risques en zone rouge ou orange traités (40 %), maturité moyenne sur les fonctions du référentiel cible (20 %). Cette pondération est ajustable selon le contexte. La clé est d’expliquer la formule en annexe du tableau de bord et de ne pas la modifier en cours d’année — un indicateur dont la définition change perd toute valeur de comparaison.
Score santé sécurité = 0,40 × Score Feuille de route
+ 0,40 × Score Risques traités
+ 0,20 × Score Maturité référentiel
Avec :
Score Feuille de route = % moyen d'avancement des chantiers en cours
Score Risques traités = (1 - risques rouges résiduels / total) × 100
Score Maturité = (maturité moyenne / 5) × 100
Échelle de lecture :
80 à 100 → Vert (programme sain, vigilance normale)
60 à 79 → Jaune (programme à surveiller)
40 à 59 → Orange (programme fragile, arbitrages requis)
0 à 39 → Rouge (programme en difficulté, plan d'action immédiat)
La tendance trimestrielle (flèche haut, stable, bas) accompagne toujours le score. Un score stable à 75 est rassurant ; un score qui baisse de 80 à 70 en un trimestre déclenche une discussion immédiate quel que soit le niveau absolu. C’est cette dynamique qui retient l’attention du COMEX.
Étape 4 — Présenter le top 5 des risques majeurs
La zone des risques majeurs est celle qui suscite le plus de questions. Sa construction demande de la rigueur pour éviter le travers de la liste interminable ou du jargon technique. La règle : 5 risques maximum, chacun décrit en une phrase de moins de 20 mots, avec un propriétaire et une date d’échéance pour le traitement.
| # | Risque | Score résiduel | Pilote | Échéance | Tendance |
|---|---|---|---|---|---|
| 1 | Compromission compte privilégié sans MFA généralisé | 15 | DSI | 2027-Q3 | ↘ |
| 2 | Indisponibilité prolongée sans site de secours actif | 12 | DSI | 2028-Q2 | → |
| 3 | Fuite via prestataire SaaS non audité | 12 | Achats | 2027-Q4 | ↘ |
| 4 | Phishing ciblé déclenchant rançongiciel | 10 | Sécurité | Continu | → |
| 5 | Non-conformité réglementaire sur traitement données | 9 | Juridique | 2027-Q2 | ↗ |
L’erreur classique est de glisser un risque technique imprécis (« vulnérabilité critique non patchée »). Ce libellé ne dit rien au COMEX. La bonne formulation est business : que peut-il arriver, à qui, avec quelle conséquence économique. Préparer cette traduction prend du temps mais constitue 80 % de la valeur du tableau de bord. C’est ce que l’examen CISM teste à plusieurs reprises : la capacité à traduire un risque technique en impact métier.
Étape 5 — Montrer l’avancement de la feuille de route
La zone feuille de route répond à la question « où va l’argent ». Elle reprend les chantiers de l’année en cours, leur pourcentage d’avancement, et les jalons attendus pour le trimestre suivant. Un format de mini-Gantt textuel fonctionne mieux qu’un Gantt graphique chargé : trois colonnes (chantier, statut, prochain jalon) tiennent dans la zone et restent lisibles à distance.
| Chantier | Avancement | Statut | Prochain jalon |
|---|---|---|---|
| C-001 MFA généralisé | 75 % | 🟢 En piste | Bascule populations sales — 2027-Q2 |
| C-002 Déploiement EDR | 40 % | 🟡 Retard 4 sem | Couverture postes Windows finalisée — 2027-Q3 |
| C-003 Logs centralisés | 90 % | 🟢 En piste | Recette finale 2027-Q1 |
| C-004 Sensibilisation | 60 % | 🟢 En piste | Campagne phishing simulé — 2027-Q2 |
Un chantier en jaune ou rouge doit être expliqué oralement pendant la séance — la justification n’a pas à figurer dans le tableau lui-même. Trois feux jaunes ou rouges accumulés trimestre après trimestre sur les mêmes chantiers signalent un programme mal piloté qui appelle un arbitrage de fond. Si plus de 50 % des chantiers sont en retard, le tableau de bord vaut comme constat d’échec — il est honnête de l’afficher plutôt que de lisser.
Étape 6 — Formuler les arbitrages attendus du COMEX
La zone arbitrages est la plus stratégique du tableau de bord. Un COMEX qui sort d’une présentation sécurité sans avoir pris une seule décision n’a pas vu son temps optimisé. La discipline : préparer 1 à 3 demandes d’arbitrage par séance, formulées en une phrase chacune avec les options possibles, leurs coûts et leurs conséquences. Cette discipline transforme le tableau de bord d’un livrable informatif en outil de décision.
Arbitrages demandés au COMEX du 2027-04-15
A1. Budget complémentaire pour SOC externalisé sur le périmètre filiale
Option A : externaliser 100 % auprès d'un MSSP — 180 k€/an, démarrage Q3
Option B : monter une cellule interne de 2 ETP — 240 k€/an, démarrage Q4
Option C : statu quo, accepter le risque de détection tardive — 0 €
Recommandation manager sécurité : option A
A2. Acceptation formelle du risque résiduel R-002 (indisponibilité > 24 h)
Risque : interruption d'activité majeure en cas de panne centre prod
Option A : accepter formellement le risque pour 12 mois avec revue
Option B : lancer le projet de site de secours actif — 450 k€ sur 18 mois
Recommandation manager sécurité : option B avec démarrage Q4
A3. Mandat d'audit fournisseur sur 5 prestataires critiques non couverts
Coût : 35 k€ (cabinet externe) ou 60 jours-homme interne
Délai : 4 mois externe vs 8 mois interne
Recommandation manager sécurité : externalisation
Chaque arbitrage est tracé dans le procès-verbal du comité avec la décision retenue et la date d’effet. Cette traçabilité protège le manager sécurité en cas de retournement ultérieur. Un risque accepté par le COMEX en T1 ne peut pas être reproché au manager sécurité en T3 — la décision est documentée.
Étape 7 — Préparer les questions probables et leurs réponses
Une partie de la qualité de la séance se joue dans la gestion des questions. Les membres du COMEX posent des questions prévisibles à 80 % : pourquoi un chantier est en retard, combien coûte une option alternative, où sont nos concurrents sur ce sujet, quelles sont les conséquences réglementaires d’une décision. Préparer ces réponses en amont fait la différence entre une séance maîtrisée et une séance subie.
- Pour chaque chantier en jaune ou rouge, préparer une explication en 30 secondes et une option de remédiation
- Pour chaque risque majeur, préparer la traduction métier de l’impact en chiffres concrets
- Pour chaque arbitrage, préparer les chiffres précis de chaque option (coût direct, coût total, ROI)
- Disposer d’une donnée comparative sectorielle (benchmark Gartner, Forrester, étude publique récente)
- Anticiper les questions sur l’IA générative, le cloud, la conformité — ces sujets reviennent régulièrement
La discipline qui paie : noter les questions posées par chaque membre du COMEX au fil des séances. Au bout de 4 trimestres, vous saurez précisément ce qui intéresse chaque membre et pourrez préparer des réponses ciblées. Le DG focalise généralement sur réputation et trajectoire ; le DAF sur ROI et alignement budget ; le Directeur des Risques sur articulation avec les autres risques transverses.
Étape 8 — Conduire la séance et noter les décisions
La séance idéale dure 25 à 30 minutes : 5 minutes pour parcourir le tableau de bord, 10 minutes pour répondre aux questions, 10 minutes pour les arbitrages, 5 minutes pour synthétiser les décisions. Au-delà de 30 minutes, l’attention des membres décline et la qualité des décisions baisse. La discipline du temps protège la qualité.
Le compte rendu se rédige le jour même ou au plus tard le lendemain. Il reprend les décisions actées, les responsables nommés, les échéances fixées. Diffusion aux membres présents et au Secrétaire Général pour archivage. Ce compte rendu devient la référence en cas de revue d’audit ou de contestation ultérieure. Un comité dont les décisions ne sont pas tracées n’existe pas, comme on l’a vu pour la gouvernance.
Étape 9 — Vérifier que le tableau de bord remplit son rôle
Trois critères pour valider la maturité du tableau de bord après quatre trimestres de pratique.
- Au moins un membre du COMEX a déjà cité spontanément un risque ou un chantier du tableau de bord en dehors d’une séance sécurité (signe que l’information a infusé).
- Chaque séance trimestrielle aboutit à au moins une décision tracée — pas seulement à un constat passif.
- La séance se conclut avant ou à l’heure prévue — signe de maîtrise du format et de l’animation.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| 30 slides au lieu d’une page | Volonté d’exhaustivité | Discipline du format unique strict |
| Jargon technique non traduit | Habitude opérationnelle | Toujours formuler en impact métier d’abord |
| Pas d’arbitrage demandé | Tableau de bord vu comme reporting passif | 1 à 3 arbitrages par séance, obligatoirement |
| Indicateur unique changé chaque trimestre | Recherche d’optimisation | Stabilité de définition au moins 4 trimestres |
| Liste de 20 risques affichée | Crainte de masquer | Top 5 strict, le reste reste dans le registre détaillé |
| Séance qui déborde régulièrement | Manque de préparation | Time-box ferme à 30 minutes, ce qui n’est pas vu attend |
Tutoriels frères
- Piloter un programme de sécurité : feuille de route, KPI, budget défendable
- Outils GRC pour piloter un programme : Archer, ServiceNow GRC, OneTrust
Pour aller plus loin
- Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
- Cole Nussbaumer Knaflic — Storytelling with Data : référence sur la communication par les données
- Gartner — How to Build Executive Cybersecurity Dashboards (rapport régulièrement mis à jour)
- CISM Review Manual 2026 — chapitre 3, sections sur le reporting et la communication
FAQ
À quelle fréquence présenter le tableau de bord au COMEX ?
Trimestrielle dans la plupart des organisations. Mensuelle dans les secteurs très exposés (banques, opérateurs critiques) ou pendant les périodes de crise (gestion d’incident majeur en cours, transformation digitale intense). Trop fréquent dilue l’attention et finit par lasser ; trop espacé fait perdre la dynamique d’arbitrage.
Faut-il un tableau de bord différent pour le conseil d’administration ?
Oui, plus synthétique encore. Le conseil d’administration intervient une à deux fois par an et ne consacre que 10 à 15 minutes au sujet sécurité. Trois éléments suffisent : indicateur de santé global, top 3 des risques majeurs, niveau de conformité réglementaire. Pas de détail opérationnel — c’est le rôle du COMEX. Le conseil contrôle la stratégie ; le COMEX pilote.
Comment gérer un membre du COMEX très technique qui veut entrer dans le détail ?
Reconnaître son intérêt mais ramener au format. « Je vois que ce sujet vous intéresse, je vous propose une session technique dédiée hors COMEX où nous pourrons creuser » est une formulation qui protège la dynamique de la séance sans froisser l’interlocuteur. Le rappel respectueux du time-box est ensuite mécanique.
Doit-on présenter la liste exhaustive des incidents survenus ?
Non. Seul un incident significatif (N3 ou N4 selon la classification) mérite une mention spécifique. Les incidents de routine peuvent être agrégés sous forme d’un indicateur global (nombre d’incidents N1-N2 par mois, tendance). Cette discipline évite le bruit et concentre l’attention sur ce qui justifie une décision.
Comment intégrer les exigences réglementaires dans le tableau de bord ?
Via un indicateur dédié si la conformité est un enjeu prioritaire : pourcentage d’exigences NIS 2 couvertes, statut de la préparation à un audit ISO 27001, restant à faire pour DORA. Cet indicateur figure soit dans la zone santé globale comme composante, soit dans la zone arbitrage si un chantier conformité est ouvert. Il ne doit pas saturer le tableau de bord — un indicateur de conformité par cadre réglementaire majeur suffit.