01
Qui nous attaque en ce moment ?
Pas qui pourrait nous attaquer. Qui essaie, maintenant, sur des systèmes réels.
Persona · Direction · Conseil d'administration · CEO
Le cyber n'est pas un coût IT.
C'est de la gouvernance.
Depuis 2024, NIS2 attribue une responsabilité personnelle aux dirigeants pour une posture cyber inadéquate. Les polices d'assurance exigent des preuves techniques pour payer. La question n'est plus si on s'en occupera — c'est comment et quand.
10 M€Sanction max NIS2
2%Chiffre d'affaires · entités essentielles
72hNotification CSIRT obligatoire
4×Rapports au CA par an
§ 01 · 10 questions au CISO
Les questions que le Conseil devrait déjà poser.
Si le CISO n'a pas de réponses concrètes à ces questions, le problème n'est pas le CISO : c'est l'exposition informationnelle du Conseil d'administration. Nous accompagnons les entreprises dans la construction d'un dialogue technico-stratégique en langage du risque.
02
Combien de temps durerait un arrêt ransomware ?
En heures de production, en chiffre d'affaires, en clients perdus. Des chiffres, pas des impressions.
03
Sommes-nous dans le périmètre NIS2 ? Entité essentielle ou importante ?
NIS2 attribue une responsabilité personnelle aux dirigeants. Savez-vous où vous vous situez ?
04
Nos sauvegardes tiendraient-elles vraiment ?
Quand a eu lieu le dernier test de restauration complet ? Pas simulé — exécuté.
05
Avons-nous une police cyber ? Que couvre-t-elle vraiment ?
Les polices signées avant 2024 excluent souvent le ransomware ou exigent une posture minimum non garantie aujourd'hui.
06
Qui répond si ça arrive à 3h du matin ?
Numéro de téléphone, personne, langue, fuseau horaire. Concret.
07
Combien investissons-nous en cyber par rapport au secteur ?
Médiane sectorielle : 2-4 % du budget IT pour la banque/finance, 1-2 % pour l'industrie. Et vous ?
08
Nos fournisseurs critiques sont-ils défendus ?
La supply chain est la principale surface d'attaque moderne. NIS2 impose de la superviser.
09
Qu'est-ce qui a changé depuis la dernière réunion cyber au CA ?
Paysage des menaces, réglementation, posture interne. Si la réponse est 'rien', le monitoring est inactif.
10
Que dirions-nous à la presse demain ?
Communication de crise préparée avant, pas improvisée pendant l'incident.
Vous voulez un worksheet imprimable ? Nous vous l'envoyons par e-mail →
§ 02 · Comparaison
SOC interne vs MDR externe.
Comparaison qualitative sur une entreprise mid-market (200-500 endpoints, 1-2 sites). Un SOC interne nécessite du personnel, un stack technologique, de l'intelligence, du detection engineering, de la continuité, des formations. Le modèle MDR Fortgale agrège tout dans un service managé, avec un investissement relatif nettement inférieur.
| Composant | SOC interne | Fortgale MDR |
|---|---|---|
| Personnel SOC senior · 24/7 | Ressources dédiées temps plein | Inclus · Pas de RH |
| Stack EDR · SIEM · TIP | À acheter et exploiter | Inclus · multi-vendor |
| Feeds / abonnements threat intel | Abonnements supplémentaires | Inclus · CTI propriétaire |
| Detection engineering | Équipe interne ou conseil | Inclus · règles peer-reviewed |
| Tabletops, formations, certifications | Budget séparé | Inclus (Silver+) |
| Continuité · congés · turnover | 30 % d'imprévus | Mitigé · équipe rotative |
| Délai avant valeur | 12-18 mois | 30 jours |
| Investissement relatif | €€€€€ | €€ |
Le ratio €€€€€ : €€ représente l'investissement relatif moyen observé sur le mid-market européen. Vous souhaitez une comparaison sur votre cas spécifique ? Parlez avec nos analystes.
§ 03 · NIS2 accountability
Sanctions économiques et personnelles.
La transposition de NIS2 dans les États membres de l'UE introduit des sanctions significatives pour l'entreprise et pour les dirigeants à titre individuel. La différence avec le RGPD : ici il y a aussi la suspension de fonctions.
| Sujet / violation | Montant | Note |
|---|---|---|
| Entités essentielles | jusqu'à 10 M€ ou 2 % du CA mondial | La valeur la plus élevée s'applique |
| Entités importantes | jusqu'à 7 M€ ou 1,4 % du CA mondial | La valeur la plus élevée s'applique |
| Dirigeants | personnelle responsabilité | Suspension de fonctions en cas de violations graves répétées |
| Notification CSIRT manquée | sanctions supplémentaires | Jusqu'à 1 M€ supplémentaire pour omission/retard de notification |
Exposition personnelle des dirigeants.
NIS2 oblige la direction à connaître et approuver les mesures cyber. La formule
« je ne savais pas » n'est pas une défense. La couverture D&O standard ne répond pas
toujours aux omissions en matière cyber.
§ 04 · Assurabilité
La police paie seulement si.
Les polices cyber en 2025-2026 ont des conditions de posture technique pour la souscription et le paiement des sinistres. Si la posture est inadéquate, le risque est double : subir l'attaque et ne pas être indemnisé.
Pré-condition
MFA obligatoire
Sans MFA sur les accès privilégiés, la plupart des assureurs ne signent pas. Posture baseline 2026.
Pré-condition
Sauvegarde immuable + test DR
Sauvegardes hors-ligne/immuables testées dans l'année. Sans cela, exclusion ransomware dans les nouvelles polices.
Pré-condition
EDR/MDR sur les endpoints
Endpoints avec détection moderne · monitoring 24/7. Les vendors ne sont pas whitelistés : la valeur est la couverture, pas le logo.
Réduction prime
Tabletop annuel documenté
Les meilleures polices accordent 5-15 % de réduction si un exercice IR annuel documenté avec rapport existe.
Réduction prime
Gestion des risques fournisseurs
Processus structuré d'évaluation des fournisseurs critiques (NIS2 art. 23). Réduit la prime.
Nous travaillons avec les courtiers de votre entreprise pour certifier la posture et réduire la prime. Parlez-nous de votre police.
§ 05 · Ce qui a changé
Les quatre précédents qui redessinent la responsabilité.
De 2022 à 2026, quatre décisions internationales ont déplacé le curseur de la responsabilité cyber de l'équipe technique vers le conseil d'administration. Les connaître n'est pas optionnel : les autorités de contrôle italiennes et européennes les citent désormais comme standard de diligence attendu.
Oct. 2022
USA · Federal Court · Northern District of California
Affaire Joe Sullivan / Uber
L'ancien CSO d'Uber a été condamné pour dissimulation de breach aux autorités fédérales. Premier précédent mondial de responsabilité pénale individuelle d'un dirigeant cyber — pas seulement civile. Cité par l'ENISA comme avertissement aux CISO européens après l'entrée en vigueur de NIS2.
Oct. 2023
USA · SEC · Securities Enforcement
SEC vs SolarWinds & CISO
Pour la première fois, la SEC a directement mis en cause le CISO (Tim Brown) pour déclarations trompeuses aux investisseurs sur la posture cyber avant breach. L'affaire est encore ouverte mais a déjà modifié la due diligence cyber pré-cotation pour toutes les entreprises EU dual-listées.
Jan. 2025
UE · NIS2 art. 20 · transposition italienne D.Lgs. 138/2024 art. 23 (NIS2 art. 20)
Responsabilité des organes de gestion
La NIS2 (transposée en Italie par le D.Lgs. 138/2024) oblige explicitement les organes de gestion à « approuver les mesures de gestion des risques cyber » et à « veiller à leur mise en œuvre ». Non délégable au CISO : la responsabilité juridique reste au conseil d'administration et inclut la suspension de fonctions en cas de violations graves répétées.
Jan. 2025
UE · DORA Règlement 2022/2554 art. 5
DORA · gouvernance ICT
Pour les banques, assureurs et fournisseurs critiques de services ICT, l'art. 5 de DORA attribue à l'organe de gestion la responsabilité ultime du cadre de gestion du risque ICT. Sanctions : jusqu'à 1 % du chiffre d'affaires journalier moyen par jour d'infraction (potentiel annuel : 365 % du CA journalier). Surveillance par les banques centrales, autorités d'assurance et de marchés nationales.
§ 06 · Reporting board-ready
Ce qui appartient à un rapport cyber au conseil.
Un rapport cyber trimestriel pour le conseil doit répondre à cinq questions en langage du risque, pas en technologie. Ci-dessous le template que Fortgale fournit aux clients Advisory — adaptable à votre dashboard interne ou au reporting du SOC.
01
Registre des risques · top 5
Les cinq scénarios de risque les plus impactants avec probabilité × impact par rapport au trimestre précédent. Direction (aggravé/amélioré/stable), owner, mitigation en cours. Une page, cinq lignes. Pas de matrice 5×5 sur l'écran du CA.
02
KPIs de posture · tendance
MTTR, MTTD, couverture MFA, % patching SLA, % endpoints couverts EDR. Uniquement des métriques avec cible approuvée par le CA et comparaison avec les benchmarks sectoriels (Clusit, ENISA). Des chiffres, pas des feux tricolores sans échelle.
03
Incidents du trimestre
Nombre, severity, temps de détection et de confinement, impact opérationnel. Pour chaque incident high/critical : lessons learned + action corrective close ou planifiée. Zéro incident doit aussi être rapporté — c'est une donnée, pas un non-événement.
04
Statut de conformité
NIS2, DORA, RGPD, ISO 27001, régimes de périmètre national (le cas échéant). Points ouverts avec échéance, owner, exposition résiduelle si non clos. Audits/inspections en cours et statut de réponse. Que signerait aujourd'hui le CA ?
05
Investissements · trimestre Q+1
CapEx/OpEx cyber planifiés, business case synthétique (risque réduit · coût · ROI), nouvelles menaces issues de la threat intelligence justifiant un investissement extraordinaire. Décision demandée au CA, avec options et recommandation.
+
Annexe · threat briefing
Profil des 3 acteurs les plus probables contre le secteur de l'entreprise sur le trimestre, avec TTPs observés et couverture de détection existante. Maintient le conseil conscient de l'adversaire, pas uniquement des contrôles. Fiche technique optionnelle pour approfondir.
Vous voulez que nous préparions le premier rapport au conseil sur la posture actuelle de votre entreprise ? Demandez-le ici. Vous le recevrez avant le prochain CA.
Parler avec le centre de défense
Un rendez-vous. Un NDA. Une conversation avec nos analystes.
Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.