Le déploiement d'un programme de sensibilisation sous NIS2 n'est que la première étape. L'enjeu critique pour le CISO en 2026 est de satisfaire à l'obligation de surveillance de la mise en œuvre dictée par l'Article 20 de la directive NIS2. Pour y parvenir, le reporting doit s'extraire de la technique pour parler le langage de la direction : celui de la résilience opérationnelle et de la protection de la valeur.
1. Dépasser le Taux de Complétion : La Donnée "Morte" vs la Donnée "Active"
Le taux de complétion (le pourcentage d'employés ayant suivi une formation) est une donnée nécessaire mais insuffisante. Pour un administrateur, elle ne prouve pas la réduction réelle du risque.
Un reporting mature doit se concentrer sur le Phish-prone™ Percentage (PPP). C’est la métrique de référence qui permet de quantifier la vulnérabilité comportementale. Selon le Phishing By Industry Benchmarking Report 2025 de KnowBe4, une organisation qui ne sollicite ses équipes qu'une fois par an maintient un PPP moyen supérieur à 30 %. Le Board doit pouvoir visualiser la trajectoire de descente de ce score vers un objectif de maturité situé autour de 5 % après 12 mois de formation continue.
2. Corréler la Maturité Humaine à la Valeur Économique
Pour capter l'attention du Board, le risque humain doit être traduit en enjeux financiers. En s’appuyant sur des modèles de valorisation des risques cyber, un point de baisse du Phish-prone™ Percentage peut représenter plusieurs dizaines de milliers d’euros de risques évités, en fonction de la taille de l’organisation et de la criticité des actifs.
Cette approche permet au CISO d'intégrer deux dimensions clés au "Business Case" cyber :
- La Valeur à Risque Évitée : Illustrer la valeur économique de la montée en maturité humaine en montrant comment la réduction de la vulnérabilité protège les actifs critiques contre les interruptions d'activité et les frais juridiques.
- Le Coût de l'Inaction : Présenter les risques de sanctions et les coûts liés aux violations de données, en s'appuyant sur les données 2025/2026 de la CNIL concernant les notifications de violations et les défauts de sécurité.
3. Les Trois Piliers du Dashboard de Gouvernance
Un reporting efficace pour le COMEX doit articuler trois dimensions stratégiques :
- La Posture de Vigilance : Évolution du taux de clic sur les simulations vs taux de signalement réel via PhishER. Un taux de signalement en hausse est le meilleur indicateur d'une cyberculture active.
- La Segmentation par Criticité : Présenter les scores de risque par département. Si l'équipe Finance ou les Administrateurs Systèmes présentent un PPP élevé, le Board doit pouvoir valider une remédiation prioritaire.
- Le Benchmarking Sectoriel : Situer l'organisation par rapport à ses pairs. Sous NIS2, être en retard sur la moyenne de son secteur peut être interprété comme un défaut de diligence.
4. L'automatisation au Service de la Preuve Documentaire
L'Article 23 de NIS2 octroie aux autorités nationales des pouvoirs d'inspection et de contrôle accrus. Le reporting devient alors une "pièce à conviction" lors d'un audit.
L'utilisation de plateformes automatisées garantit l'intégrité des données. Le CISO doit pouvoir extraire un historique démontrant que les mesures de sensibilisation ont été ajustées en fonction des menaces émergentes documentées dans le rapport annuel de l'ANSSI sur les menaces et l'ingénierie sociale (deepfakes, vishing assisté par IA, etc.).
Conclusion
Le reporting au Board est une preuve de gouvernance. En connectant le risque humain aux indicateurs de résilience opérationnelle et de valeur de l'entreprise, le CISO protège non seulement l'organisation, mais aussi la responsabilité personnelle de ses dirigeants.
Sources & Références
KnowBe4 (2025) : Phishing By Industry Benchmarking Report.
Comment le Board Prend-il des Décisions à Partir de vos Métriques Humaines ?
Le déploiement d'un programme de sensibilisation sous NIS2 n'est que la première étape. L'enjeu critique pour le CISO en 2026 est de satisfaire à l'obligation de surveillance de la mise en œuvre dictée par l'Article 20 de la directive NIS2. Pour y parvenir, le reporting doit s'extraire de la technique pour parler le langage de la direction : celui de la résilience opérationnelle et de la protection de la valeur.
1. Dépasser le Taux de Complétion : La Donnée "Morte" vs la Donnée "Active"
Le taux de complétion (le pourcentage d'employés ayant suivi une formation) est une donnée nécessaire mais insuffisante. Pour un administrateur, elle ne prouve pas la réduction réelle du risque.
Un reporting mature doit se concentrer sur le Phish-prone™ Percentage (PPP). C’est la métrique de référence qui permet de quantifier la vulnérabilité comportementale. Selon le Phishing By Industry Benchmarking Report 2025 de KnowBe4, une organisation qui ne sollicite ses équipes qu'une fois par an maintient un PPP moyen supérieur à 30 %. Le Board doit pouvoir visualiser la trajectoire de descente de ce score vers un objectif de maturité situé autour de 5 % après 12 mois de formation continue.
2. Corréler la Maturité Humaine à la Valeur Économique
Pour capter l'attention du Board, le risque humain doit être traduit en enjeux financiers. En s’appuyant sur des modèles de valorisation des risques cyber, un point de baisse du Phish-prone™ Percentage peut représenter plusieurs dizaines de milliers d’euros de risques évités, en fonction de la taille de l’organisation et de la criticité des actifs.
Cette approche permet au CISO d'intégrer deux dimensions clés au "Business Case" cyber :
3. Les Trois Piliers du Dashboard de Gouvernance
Un reporting efficace pour le COMEX doit articuler trois dimensions stratégiques :
4. L'automatisation au Service de la Preuve Documentaire
L'Article 23 de NIS2 octroie aux autorités nationales des pouvoirs d'inspection et de contrôle accrus. Le reporting devient alors une "pièce à conviction" lors d'un audit.
L'utilisation de plateformes automatisées garantit l'intégrité des données. Le CISO doit pouvoir extraire un historique démontrant que les mesures de sensibilisation ont été ajustées en fonction des menaces émergentes documentées dans le rapport annuel de l'ANSSI sur les menaces et l'ingénierie sociale (deepfakes, vishing assisté par IA, etc.).
Conclusion
Le reporting au Board est une preuve de gouvernance. En connectant le risque humain aux indicateurs de résilience opérationnelle et de valeur de l'entreprise, le CISO protège non seulement l'organisation, mais aussi la responsabilité personnelle de ses dirigeants.
Sources & Références
KnowBe4 (2025) : Phishing By Industry Benchmarking Report.
FAQ : Optimiser son Reporting Board
À quelle fréquence faut-il présenter ces indicateurs au Board ?
Le Board doit-il être informé des scores individuels ?
Comment justifier le budget d'une plateforme par rapport au ROI présenté ?
Le reporting est-il différent pour DORA et NIS2 ?
Les indicateurs de base restent les mêmes, mais pour DORA (Article 13), le reporting doit insister davantage sur les tests de résilience opérationnelle numérique et la capacité de détection-réponse.
Découvrez la Plateforme HRM+ de KnowBe4 en action
Demander une démonstration en direct du produit