RSSI externalisé

Préparer un comex cyber et IA en 2 heures : slides, chiffres, format

Le DG vous demande un point cyber/IA pour le comex de la semaine. Vous avez 2 heures. Structure de slides, chiffres à sortir, posture à tenir.

Aroua Biri

"On a un comex jeudi à 14h, peux-tu nous préparer un point cyber et IA en 20 minutes ? Tu me sors ça d'ici demain soir." J'ai eu cette demande au moins 30 fois depuis 2023. La première fois, j'ai mis 8 heures et j'ai produit un truc trop technique. À la sixième, j'avais une trame qui se déroule en 2 heures. Voilà cette trame.

L'objectif d'un comex cyber/IA, ce n'est pas de tout dire. C'est de mettre les bons sujets sur la table pour les bonnes décisions. Si le DG sort en sachant ce qui se décide ce trimestre et ce qui se finance, c'est gagné.

La règle qui pose tout : adapter au public, pas au sujet

Trois types de comex, trois trames différentes :

  • Comex orienté finance (DG, DAF, DRH, direction commerciale) : parler coût, ROI, risque chiffré, deal commercial bloqué ou débloqué.
  • Comex orienté produit (DG, CTO, CPO, marketing) : parler vitesse, dépendances techniques, deals enterprise sortis ou perdus.
  • Comex orienté risque (DG, juristes, DPO, audit interne) : parler conformité, amendes, jurisprudence, contrôles à venir.

Si vous ne savez pas lequel est en face : appeler le DG 10 minutes pour confirmer. Ça change la moitié des slides.

La structure de 8 slides qui marche

Slide 1 — État du paysage en 4 chiffres

Quatre chiffres externes qu'un comex doit avoir en tête, sourcés ANSSI, ENISA, ou rapports cyber-assurance récents :

  • Coût moyen d'un incident pour une PME de votre taille.
  • % d'attaques par phishing / ransomware / supply chain dans votre secteur.
  • Pourcentage des dirigeants qui considèrent leur poste exposé personnellement.
  • Un jalon réglementaire récent (CRA, NIS2, AI Act).

Format conseillé : 1 slide, 4 chiffres en gros, sources en bas. Pas de bullet points. C'est l'amorce, 90 secondes max.

Slide 2 — État de votre maturité, en une grille

Six lignes, trois colonnes (état actuel / cible 12 mois / criticité).

| Domaine | Aujourd'hui | Cible 12 mois | Criticité | |---|---|---|---| | Identités et accès | Partiel | Mature | Haute | | Gestion incidents | À renforcer | Solide | Haute | | Conformité (RGPD, NIS2, AI Act) | Partiel | Conforme | Critique | | Sécurité produit (SAST, SCA) | Mature | Mature | Moyenne | | Sensibilisation collaborateurs | À démarrer | Solide | Moyenne | | Continuité d'activité | À tester | Testé annuellement | Haute |

Ça donne en une slide la photo de l'écart à combler. Le DG voit où est le retard.

Slide 3 — Les 3 risques majeurs identifiés

Trois risques, pas plus. Pour chacun :

  • Description courte.
  • Impact estimé (€ ou jours d'indisponibilité ou perte de clients).
  • Probabilité ressentie (faible / moyenne / haute).
  • Mesure correctrice envisagée.

Exemples qu'on retrouve souvent :

  • Compte AWS prod accessible sans MFA pour 4 admins → exfiltration ou rançongiciel.
  • Aucun PSIRT formel pour gérer une vulnérabilité publique sur notre produit → dérapage notification CRA dès 09/2026.
  • Dépendance à un seul fournisseur LLM sans plan B → indisponibilité produit 24-72h si panne provider.

Slide 4 — La carte des obligations réglementaires applicables

Tableau qui croise réglementations et statut :

  • RGPD : conforme / partiel / à risque.
  • NIS2 (si concerné) : analyse à faire / scoping ok / plan d'action / déployé.
  • CRA (si éditeur) : phase 1 / phase 2 / phase 3 / conforme.
  • AI Act (si usage IA) : scoping / classification / dossier technique / surveillance.
  • DORA (si fintech) : selon l'annexe applicable.

Pour chaque ligne : date butoir et personne qui pilote. Un DG ne veut pas tous les détails. Il veut savoir qui s'occupe de quoi et quand.

Slide 5 — Les chantiers en cours (trimestre)

5 à 7 chantiers du trimestre, avec :

  • Owner.
  • Avancement (% ou en route / risqué / en retard).
  • Risque associé si non livré.
  • Décision attendue côté comex (généralement : aucune, ou un arbitrage budget).

Format en cartes ou en kanban. Visuel, pas tabulaire.

Slide 6 — Sujet IA, traité à part

C'est la slide attendue en 2026. Trois zones :

  • Usage IA dans le produit : modèles utilisés, fournisseurs, données traitées, statut AI Act (haut-risque ou pas), prochaines échéances.
  • Usage IA par les collaborateurs : politique, shadow IA détecté, risque de fuite, formation prévue.
  • IA défensive et offensive observée chez les attaquants : 2-3 cas notables récents (deepfake vocal, phishing automatisé, exfiltration via agents) qui montrent que les attaquants se sont armés aussi.

C'est sur cette slide que la majorité des comex prennent leurs décisions IA-cyber.

Slide 7 — Budget et arbitrages demandés

Une slide simple :

  • Budget cyber annuel total (outils + prestations + temps interne).
  • Évolution YoY.
  • Comparaison sectorielle (typiquement 8-12% du budget IT chez les PME EU matures).
  • Arbitrages demandés ce trimestre : 2-3 décisions chiffrées qui nécessitent l'aval du comex.

Sans cette slide, le comex se félicite et ne décide rien.

Slide 8 — Indicateurs et prochaine échéance

5 KPI maximum (vraiment 5, pas 12) :

  • Temps moyen de détection d'incident.
  • Temps moyen de remédiation.
  • Couverture MFA sur comptes admin (%).
  • Délai moyen de patch critique.
  • Score auto-évaluation conformité (CRA, AI Act, etc.).

Plus la date du prochain comex et les 2 décisions structurantes attendues d'ici là.

Les 2 heures de prépa, étape par étape

Heure 1 — Sourcing et chiffres

  • 20 min : récupérer les 4 chiffres externes (rapport ANSSI, ENISA, Allianz Risk Barometer, cyber-assurance France). Liens à garder.
  • 20 min : actualiser la grille de maturité avec les éléments du dernier diagnostic.
  • 20 min : finaliser la liste des 3 risques majeurs avec leur impact chiffré.

Heure 2 — Mise en forme et arbitrages

  • 30 min : faire les 8 slides en respectant un template minimaliste (texte large, peu de bullets, un visuel par slide).
  • 15 min : préparer les 2-3 décisions budget à demander, chiffrées.
  • 15 min : préparer 4-5 questions probables du comex et leur réponse en 30 secondes chacune.

La posture pendant le comex

Parler chiffres, pas peur

Un comex de PME française moyenne décroche à la troisième mention de "vulnérabilité critique" sans coût associé. Toujours coller un € ou un délai à chaque risque cité.

Présenter des décisions, pas des constats

Une slide qui dit "on a un problème de MFA" ne sert à rien. Une slide qui dit "on a un problème de MFA, je propose ce trimestre d'imposer MFA sur les 40 comptes admin pour 3 jours-homme, budget 0 € outils" sert à décider.

Ne pas sur-vendre

C'est tentant de présenter tout comme urgent. Le comex désensibilise vite. Réserver le mot critique à ce qui l'est vraiment. Le reste est important ou à anticiper.

Ne pas sous-vendre non plus

Un "tout va bien" en comex cyber est suspect en 2026. Il y a forcément 2-3 sujets en risque. Les nommer, sans dramatiser, en proposant un plan.

Le contre-exemple instructif

Un comex où le RSSI a présenté 40 slides en 25 minutes. Beaucoup de threat intelligence, beaucoup de schémas d'architecture, aucun chiffre business, aucune décision demandée. Réaction du DG après : "très intéressant" et zéro décision actée. Mois suivant, le budget cyber a été gelé "parce qu'on ne voit pas l'impact business".

La règle : le comex se mesure aux décisions qui sortent, pas aux slides présentées. Si à la fin il n'y a pas 1 à 3 arbitrages actés, la présentation est ratée même si elle était brillante.

Pour la roadmap qui nourrit le contenu, voir Premier mois RSSI externalisé. Pour les chiffres cyber-assurance à citer, voir Cyber-assurance 2026.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ArticleRssi externalise premier mois livrables semaine ArticleCyber assurance 2026 controles assureurs ArticleAi act aout 2026 checklist 30 jours