Si tu es impatient(e) d’accéder, comme promis, à nos ressources sur DORA, c’est juste en dessous.

🧠 Cette semaine, la sécurité des télécoms françaises a failli être sacrifiée

Un amendement du gouvernement a tenté de forcer l’accès aux messageries chiffrées, au nom de la lutte contre le narcotrafic et le terrorisme.

➡️ Heureusement, face à la mobilisation de la communauté tech et à l’embarras de certains parlementaires… il a été retiré.

Mais ce court épisode a suffi pour exposer un décalage abyssal entre nos dirigeants et la réalité technologique.

📣 Des arguments fallacieux en séance

Dans l’hémicycle, plusieurs députés ont affiché une incompréhension profonde des enjeux techniques :

Le ministre de l’Intérieur a même affirmé que cette mesure aurait permis de raccourcir la cavale du narcotrafiquant Amra de moitié, tout en assurant que la nouvelle version de l’amendement “préservait le chiffrement”.

🧩 Ces déclarations témoignent d’une grande confusion entre faisabilité technique, faisabilité juridique, et efficacité opérationnelle.

Tout en oubliant la large gamme des outils à disposition des forces de l’ordre, autant que ceux des narcotrafficants…

🎩 Le vrai problème : nos dirigeants pensent savoir.

Nombre d’entre eux refusent d’être “formés”, persuadés que la cybersécurité est “déjà prise en compte”. Ou qu’ils n’y comprendront rien.

Mais sans compréhension technique, leurs décisions deviennent non seulement inapplicables, mais aussi dangereuses.

Marx, Durkheim et Weber sont un bagage culturel essentiel à Sciences-Po.

Mais ils n’aident pas à comprendre la cryptographie, les chaînes d’approvisionnement logicielles ou les architectures cloud.

La culture tech et cybersécurité est devenue vitale à tous les niveaux de décision. Elle est loin d’être assez développée.

⚖️ DORA & NIS2 : la fin du pilotage aveugle

Les textes européens récents changent la donne.

📌 NIS2 (Directive)

Les dirigeants doivent :

1. Assumer la responsabilité ultime de la conformité cybersécurité

2. Suivre des formations régulières sur les risques cyber, leur impact, et leurs responsabilités

3. Superviser activement la mise en œuvre des mesures cyber

📌 DORA (Règlement)

Le règlement impose aux organes de direction des sociétés de la finance de :

1. Prendre en charge la gouvernance des risques TIC

2. Approuver les politiques clés (sécurité, continuité, gestion des incidents…)

3. Garantir la traçabilité et l’imputabilité dans la gestion des risques

4. Mettre en place des mécanismes de contrôle pour détecter les non-conformités

5. Acquérir ou maintenir une connaissance suffisante des risques TIC

DORA n’attend plus des dirigeants qu’ils “écoutent les RSSI” :

Elle exige qu’ils comprennent, arbitrent et agissent.

C’est d’ailleurs ce qu’explique très bien un rapport paru en 2024.

Voici les quatre points attendus d’un dirigeant selon le rapport The CEO Report on Cyber Resilience de l’université d’Oxford et d’Istari.

1. Être co-responsable, pas seulement responsable

➤ Le CEO ne doit pas se contenter d’être le visage de la crise après coup. Il doit s’impliquer activement dans la préparation avec le CISO, assumer un rôle continu dans la cybersécurité, et agir en amont.

2. Passer d’une confiance aveugle à une confiance éclairée

➤ Il est nécessaire que les CEOs développent leur propre compréhension des enjeux cyber pour ne pas dépendre uniquement des experts techniques, et ainsi prendre des décisions plus informées.

3. Accepter le paradoxe de la préparation

➤ Plus une organisation se sent préparée, plus elle risque en réalité d’être vulnérable par excès de confiance. Il faut considérer la préparation comme un processus continu, sans jamais se croire “prêt”.

4. Adapter son style de communication pour gérer la pression des parties prenantes

➤ Le CEO doit naviguer entre quatre rôles : transmetteur, filtre, amortisseur et amplificateur, selon les parties prenantes (conseil d’administration, équipes, clients, régulateurs). Il doit savoir doser les messages, rassurer, mais aussi provoquer une prise de conscience proactive.

🧑‍💼 Et les experts cyber ?

Ils doivent savoir traduire leurs analyses en langage décisionnel.

Pas de jargon. Pas de panique non plus.

Quel est le moyen de communication privilégié des dirigeants ? Une note de synthèse claire, structurée, orientée décision.

C’est ce qui fait la différence entre un expert et un leader de la cybersécurité.

🚧 Alors, que faire maintenant ?

❌ Arrêter la sensibilisation “cosmétique”

Les dirigeants doivent vivre la réalité cyber, pas la survoler. Vivre plusieurs heures avec des analystes CSIRT, pas uniquement rêver de “hackers”. Demander à leurs équipes métier de financer et de porter les efforts de remédiation et de préparation.

🧪 Former réellement les futurs ingénieurs comme les futurs managers

Même en école, la culture opérationnelle et éthique cyber est encore trop faible. Tout comme la culture scientifique, indispensable aux tests et à la vérification de l’information.

👾 Initier les enfants au code, à l’IA, au hacking

C’est un enjeu d’intérêt général, pas juste un “plus”.

🎓 Masterclass Gratuite — Décode la conformité DORA

🗓 Jeudi 27 mars — 12h15 à 13h00 (en ligne)

DORA repose sur 5 piliers… utiles pour les régulateurs, mais imprécis pour les entreprises qui doivent opérer.

👉 En 45 minutes, tu vas :

• Découvrir les 12 vraies capacités cyber à structurer

• Comprendre les interdépendances entre les chantiers

• Apprendre à aligner conformité & opérations IT/cyber

Je partagerai mes méthodes de CISO & directeur de programmes cyber dans les secteurs bancaire et fintech.

📦 9 ressources DORA 100% gratuites

Tu veux passer à l’action dès maintenant ? Voici un pack de 9 ressources concrètes pour avancer sur 3 piliers essentiels :

• Gouvernance des TIC

• Sécurité des données

• Gestion des risques des tiers

📂 Pour chaque thème, tu reçois :

• Une fiche de référence

• Un guide détaillé (15 à 25 pages)

• Une checklist d’auto-évaluation

🔎 Ces posts que tu as peut-être manqué ces 15 derniers jours

🔎 Resources de la semaine

Seulement pour les abonnés StratOps

Le dernier guide pour accélérer la conformité DORA : 👉 Security Operations Requirements

Take-away de la semaine :

👉 La sécurité numérique ne peut plus être pilotée par des dirigeants qui ne comprennent pas la technologie.

Les réglementations comme DORA et NIS2 rendent désormais leur compétence cyber obligatoire — pas optionnelle.

C’est le moment que les citoyens exigent, de former, de traduire… et ne plus laisser l’ignorance gouverner la cybersécurité.

Cette newsletter est réalisée par Sylvan Ravinet. Connectons-nous sur LinkedIn ou collaborons ensemble.

Laisse un commentaire ou transfère-la à un·e collègue qui devrait la lire.

Avec amour depuis Paris,

Sylvan