Lors de notre webinaire co-animé avec notre partenaire D&A Trust, Quentin Aguesse (cofondateur de D&A Trust) et Aurélie Demeusy (Head of Marketing chez Tenacy) sont revenus sur ce sujet qui donne chaque année du fil à retordre à de nombreux RSSI et Directeurs de la cybersécurité. Dans cet article, nous en avons tiré l'essentiel : la méthode, les trois piliers d'un pilotage efficace, les erreurs à éviter et les indicateurs qu'il faut présenter à une direction générale.
Pourquoi la roadmap cyber est un exercice complexe en 2026 ?
Le contexte actuel tient dans un paradoxe : les cybermenaces gagnent en fréquence et en complexité, portées notamment par l'IA alors qu'en parallèle, les budgets stagnent voire reculent, comme l'a souligné le baromètre 2026 du CESIN en début d'année.
« On observe quelque chose d'assez paradoxal. Les cybermenaces ne font que croître, et de l'autre côté, les budgets cyber ont tendance à se contracter. Autrement dit : il faut faire mieux avec autant, voire moins. »
Quentin Aguesse, cofondateur de D&A Trust
Les budgets cyber se maintiennent généralement autour de 6,4 à 6,5 % du budget IT, mais l'IA capte une large part des arbitrages du top management, avec des promesses de gains de productivité très visibles. Résultat: chaque euro dépensé en sécurité doit désormais être justifié.
À cette pression s'ajoute l'empilement réglementaire : NIS2, DORA, ISO 27001, NIST CSF, ISO 22301, PCI DSS… la liste s'allonge, et elle varie selon les zones géographiques. Le cloud, lui, n'a pas tenu sa promesse d'économies : il a surtout déplacé les coûts, avec de nouveaux outils à intégrer (CSPM, CNAPP, et bien d'autres) pour maintenir un même niveau de sécurité.
Dans ce contexte, beaucoup de roadmaps cyber vivent encore sur un fichier Excel. Souvent, le point de départ est un plan de remédiation d'audit, plus ou moins consolidé avec d'autres exigences. Le problème n'est pas Excel en tant que tel, mais ses limites :
- Pas de vision consolidée,
- Un suivi budgétaire approximatif,
- Des problèmes de versions et de synchronisation dès que le fichier circule.
Autant de frictions qui pèsent sur le pilotage au quotidien.
Construire sa roadmap cyber : la méthode de l'entonnoir
Le défi: consolider des sources multiples sans méthode de priorisation
Une roadmap cyber agrège des exigences qui viennent de multiples sources : réglementations, normes, exigences contractuelles, résultats d'analyse de risques, recommandations d'audit. Sans grille de lecture, vous obtenez un plan d'action géant, illisible, impossible à arbitrer. Le défi consiste à transformer cette masse en une trajectoire priorisée sur plusieurs années.
→ La méthode de l'entonnoir répond exactement à ce besoin.

Méthode de l'entonnoir : les leviers à activer
N°1 : poser le socle non négociable
Commencez par ce qui ne se discute pas : les exigences réglementaires, normatives et contractuelles. C'est le socle de base de votre roadmap. DORA, par exemple, introduit des contrôles plus poussés et des audits auxquelles les entreprises du secteur financier (banques, assurances et leurs prestataires IT critiques) doivent se soumettre.
Les mesures et exigences auxquelles votre organisation est soumise sont donc un excellent point de départ et doivent impérativement se retrouver dans votre roadmap cybersécurité pour, d'une part, sécuriser vos systèmes d'informations et vous conformer, et d'autre part, éviter les sanctions financières et réputationnelles qui font frémir les dirigeants.
N°2 : mettre à jour l'analyse de risques
Faire de la sécurité, c'est chercher à couvrir des risques et à éviter que les événements redoutés ne se produisent. Une analyse de risques à jour oriente la roadmap vers ce qui protège réellement l'activité.
Ebios RM ou ISO 27005, peu importe la méthode : choisissez la plus adaptée à vos besoins et classez vos risques dans une matrice d'évaluation, complétée par une analyse DICP. Cela vous permettra de définir vos priorités en termes de risques, puis de faire le lien avec les exigences et mesures précédemment identifiées qui ont un impact sur ces mêmes risques. La conformité contribuant à la sécurité, l'application de celles-ci devrait réduire la probabilité et/ou l'impact de certains risques.
N°3 : évaluer sa maturité cyber
Évaluez votre organisation face à un référentiel, réglementaire ou normatif, ou à un ensemble de bonnes pratiques. Cette photographie révèle les écarts à combler et vous aide à identifier ce que vous n'aviez peut être pas vu au départ.
ISO 27001 est souvent utilisée pour la réalisation d'un Gap Analysis de conformité, puisque cette norme internationale tend à devenir un standard de sécurité dans la contractualisation de nouveaux business.
Vous comparer à cette norme, bien que potentiellement pas encore obligatoire dans votre cas, vous permettra d'identifier quelques mesures de sécurité supplémentaires utiles à pour votre roadmap, vos projets et vos objectifs.
Sans outil dédié, cette étape peut s'avérer chronophage mais nous vous montrons plus loin comment obtenir un Gap Analysis en 5 minutes.
N°4 : appliquer les filtres de priorisation
Enfin, le cœur de la méthode. Sur le plan d'action consolidé, appliquez successivement plusieurs filtres :
- Le budget disponible,
- Les compétences techniques mobilisables en interne ou en externe,
- Les délais et les plannings (avec tout le jeu des interdépendances, certaines mesures étant des prérequis à d'autres),
- Et enfin les outils déjà en place.
Une tendance de fond simplifie d'ailleurs ces arbitrages : le "one stop shop", cette volonté de rationaliser le nombre de fournisseurs cyber pour peser dans la négociation et faciliter la montée en compétences des équipes.
À la sortie de l'entonnoir, vous obtenez une roadmap priorisée selon la couverture des risques et des exigences réglementaires, tenant compte de vos contraintes réelles.
Pilier n°1 : la planification budgétaire
Le défi: défendre un investissement qui évite des pertes plutôt qu'il n'en génère
La sécurité souffre d'un désavantage structurel dans les arbitrages. Elle ne rapporte pas d'argent : elle empêche d'en perdre. Face à des projets business plus séduisants qui affichent des gains potentiels, c'est un argumentaire plus difficile à tenir devant un COMEX.
Les leviers à activer
1/ Arbitrer avec des données factuelles
Un budget cybersécurité entreprise ne se défend pas à l'intuition. Reliez chaque projet sécurité à une enveloppe financière et en temps-homme, et suivez la consommation réelle de ces ressources. C'est ce qui permet de passer d'une discussion de principe à un arbitrage documenté.
Les directions sont particulièrement sensibles aux présentations de roadmap chiffrées, précises et factuelles. En annonçant et en justifiant les ressources financières et humaines nécessaires, vous ancrez un montant dans leur esprit et renforcez votre crédibilité.
2/ Suivre la consommation en continu
Une roadmap définie sur trois ans bougera, c'est une certitude. Mais en suivant votre dépense quasiment en temps réel, vous savez ce qu'il vous reste et vous pouvez réorienter le cap face aux nouvelles contraintes. Ce niveau de finesse dans le pilotage fait la différence entre une roadmap qui tient et une roadmap qui dérive.
En ayant ce niveau précis de suivi sous les yeux en permanence, vous serez davantage légitime à demander du budget supplémentaire en prouvant par A+B que les ressources provisionnées ne suffisent pas ou, au contraire, que vous avez atteint vos objectifs avec moins de dépenses que prévu.
Pilier n°2 : embarquer les externes et les métiers
Le défi: sortir la cybersécurité du seul périmètre du RSSI
La cybersécurité n'est plus seulement l'affaire du RSSI. Elle mobilise des prestataires, des auditeurs, mais aussi des directions internes dont ce n'est pas le cœur de métier. Le problème, c'est la dispersion : quand tout s'échange par mail, la bonne preuve n'est jamais là où il faut. Mauvaise version, personne en congé, information introuvable au moment de l'audit.
→ Centraliser l'information devient alors une condition de survie du pilotage.
Les leviers à activer
1/ Centraliser et historiser
Regrouper les preuves, les échanges et les décisions au même endroit évite les pertes de traçabilité. Pouvoir démontrer à un auditeur que vous suivez les non-conformités du dernier audit, avec un reporting à jour, envoie un signal de sérieux fort. L'historisation permet aussi de documenter les choix : pourquoi telle mesure a été traitée de cette façon plutôt qu'une autre, qui est intervenu dans ce projet, qui a réalisé les dernières modifications, etc.
2/ Adapter le suivi à chaque contributeur
Exemple : prenons les RH, souvent en charge de la sensibilisation : relances, quiz, contractualisation auprès de prestataires. Leur donner une vue ciblée sur l'évolution de la conformité qui les concerne crée un effet fédérateur et responsabilisant. Chacun voit sa contribution, les parties prenantes gagnent en autonomie et la roadmap se déroule dans de meilleures conditions.
Pilier n°3 : suivre l'avancement avec des indicateurs fiables
Le défi: donner un instantané fiable de sa conformité
Une roadmap se pilote sur son avancement, mais aussi sur sa conformité par rapport à un référentiel visé. La question est simple : au 17 juin, où en êtes-vous sur votre conformité ISO 27001 ? Sans réponse fiable et datée, impossible de rassurer ou de prioriser.
Les leviers à activer
1/ Piloter sur des indicateurs pertinents
Un instantané de l'avancement par rapport à une certification visée permet de piloter efficacement et de rassurer les parties prenantes. C'est un repère commun, partagé entre l'équipe sécurité et la direction. Mais il faut veiller à utiliser les bons indicateurs pour la bonne audience : les équipes opérationnelles seront sensibles aux indicateurs techniques, tandis que la direction sera sensibles à des indicateurs plus macro sur les risques ou la conformité.
2/ Sécuriser la performance dans le temps
Implémenter une mesure ne suffit pas. Encore faut-il vérifier qu'elle reste performante, à travers des contrôles réguliers. C'est la différence entre installer une politique et s'assurer qu'elle produit ses effets sur la durée. Un suivi régulier dans le temps vous assure davantage de sérénité lors d'audits, et vous protège davantage des risques en vous aidant à maintenir votre niveau de sécurité global.
Le rôle d'une plateforme GRC pour cadrer et piloter sa roadmap
Les trois piliers précédents partagent un point commun : ils deviennent difficiles à tenir sur un tableur. Et les inconvénients sont nombreux :
- Nombreux fichiers statiques et éparpillés,
- Maintien à jour chornophage,
- Risque accru d'erreurs,
- Manque de traçabilité et d'historique,
- Et bien d'autres.
Une plateforme GRC apporte justement la structure qui rend le pilotage réellement opérationnel. Pour voir comment s'utilise Tenacy pour construire et piloter une roadmap cyber, nous vous invitons à voir le replay de notre webinaire, où Julian Fernandez (Pre-Sales chez Tenacy) en fait la démonstration.
Modéliser son organisation avant de piloter

Tout part d'une représentation fidèle de votre organisation : entités, sites, filiales. À chaque brique, vous associez ses objectifs de sécurité, ses exigences réglementaires, ses utilisateurs et ses risques.
Cette double approche par la conformité et par les risques permet ensuite de consolider les scores à l'échelle d'une zone géographique ou de l'organisation entière. Vous obtenez une visibilité consolidée, du site local jusqu'au niveau groupe.
C'est le prérequis de la méthode de l'entonnoir : impossible de poser le socle réglementaire, puis d'appliquer vos filtres de priorisation, sans avoir d'abord cartographié le périmètre sur lequel ils s'appliquent.
Faire converger les référentiels plutôt que de les traiter en silo
C'est là que l'écart avec Excel se creuse vraiment. Les référentiels partagent énormément d'exigences communes : gestion des accès, gestion des risques, continuité d'activité, sensibilisation, gestion des incidents. Sur un tableur, maintenir la correspondance entre ces exigences relève du casse-tête.
.png)
« À partir du moment où je déclare avoir implémenté un processus de sensibilisation, je couvre l'exigence 7.3 de l'ISO 27001, mais aussi l'intégralité des exigences de tous les référentiels qui me demandent de faire de la sensibilisation. »
Julian Fernandez, Pre-Sales chez Tenacy
Une plateforme GRC relie les exigences entre elles en amont, et c'est justement cette liaison intelligente des exigences est ce qui vous permet d'obtenir des Gap Analysis en quelques minutes seulement. Vous renseignez une mesure une fois, et la maturité se met à jour sur tous les référentiels concernés. Ce travail de convergence, déjà réalisé, représente un gain de temps considérable.
Concrètement, cette fonctionnalité industrialise la première étape de l'entonnoir (poser le socle réglementaire et normatif) là où un tableur vous obligeait à maintenir à la main un fastidieux système de correspondances. C'est aussi la réponse directe à l'une des limites d'Excel évoquées plus haut : l'absence de vision consolidée dès que les exigences se recoupent.
Transformer les écarts en plan d'action collaboratif
À partir d'une évaluation, vous identifiez vos non-conformités et générez automatiquement un plan d'action cybersécurité : les mesures liées aux exigences non couvertes deviennent des chantiers concrets. Chaque chantier se découpe en tâches, avec un responsable, un coût et une charge planifiés puis dépensés, et une preuve à déposer. Les responsables reçoivent des relances automatiques à l'approche des échéances. Vous pilotez l'avancement en vue Gantt ou Kanban, et vous suivez le coût réel par catégorie de contributeur. Vous n'avez plus à relancer manuellement les uns et les autres.
Cette fonctionnalité adresse les piliers n°1 et n°2. Le suivi du coût planifié face au coût dépensé, c'est exactement la donnée factuelle qui permet d'arbitrer votre budget et de suivre la consommation en continu. L'attribution des tâches à des contributeurs internes ou externes, avec leurs relances automatiques, c'est le levier qui vous permet d'embarquer les métiers sans relancer chacun par mail. Enfin, le dépôt de preuve à chaque tâche assure la centralisation et l'historisation que réclamait le pilier n°2.

Sécuriser la performance dans la durée
Au-delà du déploiement, une plateforme GRC assure le maintien en condition opérationnelle. Des plans de contrôle vérifient que les processus restent performants : tenir un comité de sécurité tous les trois mois, réaliser la revue des habilitations, et ainsi de suite. Chaque contrôle réalisé porte sa preuve, immédiatement disponible en cas d'audit.
C'est la concrétisation du pilier n°3 : suivre l'avancement ne suffit pas, il faut sécuriser la performance dans le temps. Là où le pilier posait le principe « installer une politique ne garantit pas qu'elle produise ses effets », les plans de contrôle en font une mécanique de suivi outillée.
« La puissance de l'outil, ce n'est pas seulement de mesurer le build, mais aussi le run : s'assurer que les mesures perdurent dans le temps et que les contrôles restent efficaces. »
Julian Fernandez, Pre-Sales chez Tenacy
Adapter l'information à chaque audience
Un profil administrateur pilote l'ensemble. Un profil contributeur, interne ou externe, ne voit que les actions et contrôles qui lui sont assignés, dans un cockpit dédié. Les tableaux de bord se génèrent automatiquement, adaptés à chaque audience. La direction obtient une vue exécutive synthétique, les métiers une vue opérationnelle.
Ce dashboarding ciblé prolonge le pilier n°2, qui est de donner à chaque contributeur une vue sur ce qui le concerne (effet fédérateur à l'appui) et il désamorce par avance l'une des erreurs détaillée plus bas : noyer le management dans le détail technique au lieu de lui offrir une vision globale.
Reste la question de la confiance : confier ses données stratégiques à une plateforme SaaS. Elle se traite par l'hébergement (hébergeurs souverains, offre SecNumCloud, etc) qui garantit où sont stockées vos données et qui y accède. Une plateforme SaaS certifiée ISO27001 comme Tenacy représente également la preuve d'un système d'information managé.
Les erreurs qui fragilisent une roadmap cyber
Trois erreurs reviennent régulièrement sur le terrain. Les connaître, c'est déjà les éviter.
Erreur n°1 : se contenter d'une mise à jour annuelle
Mettre à jour sa roadmap une fois par an, avant l'audit, ne permet pas d'épouser les évolutions technologiques et réglementaires. Une révision continue, au minimum trimestrielle, colle beaucoup mieux à la réalité.
Erreur n°2 : lister des projets sans coût ni ressource
Une roadmap réduite à une liste de projets, sans budget ni responsable, ne permet ni d'argumenter pour obtenir des ressources, ni d'instaurer un climat de confiance. Une roadmap se pilote sur l'ensemble de ses indicateurs : avancement, coût, planning, risque.
Erreur n°3 : rentrer trop vite dans le détail technique
Se perdre dans les blocages techniques d'un projet sans passer par la vision globale a tendance à tuer les roadmaps. Le management ne perçoit alors que du négatif et perd le fil. Mieux vaut une vue exécutive claire, complétée de vues métiers adaptées à chaque audience.
Quels indicateurs présenter au COMEX ?
Le choix des indicateurs cybersécurité COMEX conditionne votre capacité à obtenir des arbitrages. Voici les repères les plus parlants.
- Le taux d'avancement de la roadmap sur la période en cours donne une première indication solide : réalisation des projets, complétée d'un suivi budgétaire qui rassure ou alerte.
- L'état de conformité mérite réflexion sur le référentiel à présenter. Le NIST CSF, avec ses six fonctions (Govern, Identify, Protect, Detect, Respond, Recover), se révèle souvent plus lisible pour une direction que les quatre grands thèmes de l'ISO 27001. En revanche, dans une logique de certification ISO 27001, présentez évidemment l'état de conformité à cette norme.
- L'indicateur de risque se prête bien à une heatmap. Montrer l'évolution entre un risque brut et un risque net démontre visuellement que le plan de traitement avance. Si les risques sont nombreux, un top 5 suffit souvent.
- Les incidents majeurs intéressent toujours une direction : ils permettent de relancer les discussions sur des projets dépriorisés à tort. Dans une logique RGPD, des indicateurs comme le taux de complétude du registre des traitements, les analyses d'impact réalisées ou les manquements identifiés ont toute leur place (le RGPD peut vite coûter cher).
Pour les COMEX plus technophiles, il est possible d'aller plus loin : scoring d'exposition et surface d'attaque, identification des groupes d'attaquants susceptibles de cibler votre secteur, couverture SOC ou MITRE, etc... Peu de référentiels vont jusque-là, mais l'approche parle à certaines directions.
Conclusion : d'un fichier statique à un pilotage vivant
Construire une roadmap cybersécurité cohérente, pérenne et mesurable ne tient pas à un exercice ponctuel. Cela suppose une méthode de priorisation claire, un pilotage sur l'ensemble des indicateurs (avancement, coût, planning, risque) et une communication adaptée à chaque audience. C'est précisément là qu'un tableur atteint ses limites et qu'une plateforme GRC prend le relais : convergence des référentiels, plans d'action collaboratifs, maintien en condition opérationnelle et tableaux de bord sur mesure.
.png)
.png)
