Malgré des discours de plus en plus structurés, malgré une médiatisation accrue des incidents et malgré une prise de conscience réelle au sein des organisations, la cybersécurité continue souvent d’être perçue comme un centre de coûts. Une dépense nécessaire, parfois contrainte, rarement envisagée comme un investissement stratégique à part entière. Ce décalage interroge, surtout lorsqu’on constate à quel point le numérique est devenu central dans la création de valeur.

Ce paradoxe ne tient pas uniquement à un manque de sensibilisation ou à une résistance au changement. Il révèle plutôt une difficulté plus profonde à relier la cybersécurité aux mécanismes classiques de la décision stratégique. Tant que la sécurité reste exprimée en termes de vulnérabilités, de contrôles ou de conformité, elle peine à entrer dans le langage naturel des décideurs. Elle est perçue comme un sujet à part, important mais périphérique.

L’un des premiers obstacles réside dans la nature même du risque cyber. Contrairement à un investissement commercial ou industriel, ses bénéfices sont souvent invisibles. Une attaque évitée ne se voit pas. Une indisponibilité qui n’a pas eu lieu ne se mesure pas facilement. Cette absence de matérialité rend la valeur de la cybersécurité difficile à démontrer, surtout dans des contextes où les arbitrages budgétaires sont tendus.

À cela s’ajoute une confusion fréquente entre conformité et stratégie. La cybersécurité est encore trop souvent abordée sous l’angle des obligations réglementaires ou des audits. Ces dimensions sont nécessaires, mais elles ne suffisent pas à construire une vision stratégique. Lorsqu’un investissement est motivé principalement par la conformité, il est rarement perçu comme créateur de valeur. Il devient une réponse à une contrainte, non un levier de différenciation ou de résilience.

Le rôle du RSSI est ici déterminant. Tant que la cybersécurité est présentée comme une accumulation de mesures techniques, elle reste difficile à intégrer dans une réflexion stratégique globale. En revanche, lorsqu’elle est exprimée en termes de continuité d’activité, de protection de la réputation, de confiance des partenaires ou de capacité à absorber des chocs, elle change de nature. Elle rejoint alors des préoccupations déjà familières aux comités de direction.

Cette évolution suppose un changement de posture. Il ne s’agit plus seulement de démontrer que le risque existe, mais de montrer comment il est géré, arbitré et assumé. La cybersécurité devient alors un indicateur de maturité organisationnelle. Une organisation capable de parler sereinement de ses risques cyber, de ses choix et de ses priorités envoie un signal fort, en interne comme en externe.

Les cadres de gouvernance, portés par des organismes comme le ISACA ou le NIST, insistent d’ailleurs sur ce point. La sécurité de l’information n’est pas une finalité isolée, mais une composante de la stratégie globale. Elle contribue à la capacité de l’organisation à atteindre ses objectifs, à innover de manière maîtrisée et à maintenir la confiance de son écosystème.

Un autre facteur explicatif tient à la temporalité. Les investissements en cybersécurité produisent leurs effets sur le long terme, alors que les cycles de décision sont souvent plus courts. Cette tension est difficile à résoudre, mais elle peut être atténuée par une approche progressive, fondée sur des trajectoires claires et des indicateurs lisibles. Là encore, la gouvernance joue un rôle clé.

Pour un DSI/RSSI, notamment lorsqu’il porte une double casquette, l’enjeu est d’articuler ces différentes dimensions sans les opposer. Il s’agit de montrer que la cybersécurité n’est ni un luxe ni un frein, mais un facteur de stabilité et de crédibilité. Une organisation qui maîtrise ses risques numériques est une organisation plus prévisible, plus fiable et, in fine, plus performante.

Si la cybersécurité peine encore à être perçue comme un investissement stratégique, ce n’est donc pas faute d’arguments. C’est souvent faute de traduction, de mise en perspective et de continuité dans le discours. Combler cet écart est l’une des responsabilités majeures du RSSI aujourd’hui. Une responsabilité exigeante, mais structurante, qui dépasse largement le périmètre de la technique.

C’est dans cette optique que s’inscrit l’ensemble des réflexions proposées dans ce blog. Gouvernance, certifications, intelligence artificielle, posture DSI/RSSI : tous ces sujets convergent vers une même ambition. Faire de la cybersécurité un sujet compris, assumé et intégré au cœur de la décision.