Formation cybersécurité des dirigeants : pourquoi le COMEX doit s’impliquer

Romain Fessard
27/06/2026
Facteur humain, Gouvernance des SI

Formation cybersécurité des dirigeants : pourquoi le COMEX doit s’impliquer

La cybersécurité n’est plus un sujet technique réservé à la DSI. Avec NIS 2, les dirigeants peuvent être tenus personnellement responsables en cas de manquement aux obligations de sécurité. Mais au-delà de la contrainte réglementaire, un COMEX formé prend de meilleures décisions d’investissement et de gestion des risques.

L’illusion de la délégation totale

Trop de dirigeants considèrent encore que la cybersécurité est « l’affaire de la DSI ». C’est comme dire que la gestion financière est l’affaire du comptable. Le DSI ou le RSSI sont des experts techniques, mais les décisions stratégiques — budget, acceptation des risques, priorités — relèvent de la direction générale.

Quand un dirigeant ne comprend pas les enjeux cyber, il sous-investit en prévention et surréagit en crise. Les deux coûtent cher à l’entreprise.

Ce que chaque dirigeant doit comprendre

Le risque financier. Le coût moyen d’une violation de données en France est de 4,2 millions d’euros (IBM, 2025). Pour une PME, un ransomware peut signifier plusieurs semaines d’arrêt d’activité et menacer la survie même de l’entreprise.

La responsabilité juridique. Avec le RGPD, NIS 2 et DORA, les dirigeants engagent leur responsabilité personnelle. Les sanctions incluent des amendes, mais aussi l’interdiction temporaire d’exercer des fonctions de direction.

Les questions clés à poser. Un dirigeant formé sait demander : « Quel est notre temps de récupération en cas de ransomware ? », « Nos sauvegardes sont-elles testées ? », « Quel pourcentage de nos collaborateurs a été formé cette année ? », « Combien d’incidents avons-nous détectés le mois dernier ? ».

Des formats adaptés aux dirigeants

Un dirigeant n’a pas besoin de savoir configurer un pare-feu. Il a besoin de comprendre les risques, les impacts business et les leviers d’action. Des formats courts et concrets fonctionnent mieux : briefings trimestriels de 30 minutes, ateliers de gestion de crise de 2 heures, tableaux de bord visuels avec des indicateurs clés.

Chez RM3A, nous proposons des sessions de sensibilisation spécifiquement conçues pour les COMEX, avec des études de cas réelles et des exercices de prise de décision en situation de crise. Parce que la première faille de sécurité, c’est nous — à tous les niveaux de l’organisation.