Cyber pour dirigeants Mis à jour : Juin 2026

Les cyberattaques ne touchent plus seulement les grandes entreprises. En 2024, 60% des cyberattaques ciblaient des PME de moins de 250 employés. Pour un dirigeant, la cybersécurité n'est plus une question technique — c'est une question de survie de l'entreprise.

Au-delà de la rançon ou du coût de reconstruction, une cyberattaque génère : interruption d'activité (en moyenne 22 jours), perte de clients, amendes réglementaires, atteinte à la réputation, coûts juridiques. Une PME de 50 employés peut subir une perte totale de 300 000$ à 2M$, dont seulement une partie couverte par l'assurance.

Le CA n'a pas besoin de comprendre la technique — il doit comprendre le risque. Utilisez le langage des affaires : RTO (objectif de reprise), RPO (perte de données acceptable), probabilité × impact, scénarios de crise. Structurez la présentation en 3 parties : état actuel, scénarios de risque, plan d'investissement.

Comment calculer le retour sur investissement d'une mesure de sécurité : Annualized Loss Expectancy (ALE) = Probabilité × Impact. Si un ransomware a 20% de chance de coûter 500 000$, l'ALE est 100 000$/an. Une protection à 30 000$/an est rentable. Présenter en ces termes permet de décider rationnellement.

Sous la Loi 25 au Québec, les dirigeants peuvent être personnellement responsables des manquements à la protection des données. La CAI peut imposer des amendes jusqu'à 25M$ ou 4% du chiffre d'affaires mondial. En cas de violation, le dirigeant doit démontrer qu'il avait mis en place des mesures raisonnables.

Les KRI cyber à surveiller en direction : nb d'incidents par mois, délai moyen de détection, taux de couverture des sauvegardes, score de phishing (simulations), nb de systèmes non mis à jour. Un tableau de bord cyber de direction se lit en 5 minutes, pas en 50 slides.