CapGRC
Retour aux ressources
RisquesArticle

Les 10 indicateurs de risque essentiels pour le tableau de bord de votre RSSI

Un tableau de bord GRC efficace ne se mesure pas au nombre d’indicateurs affichés, mais à leur pertinence pour la prise de décision. Voici les 10 KRI que tout RSSI devrait surveiller et comment les calculer.

7 min de lecture8 février 2026

Les directions générales demandent de plus en plus aux RSSI de justifier leurs budgets et leurs investissements en sécurité avec des données concrètes. Le défi ? Choisir les bons indicateurs parmi les centaines possibles, et les présenter de façon intelligible à des non-techniciens. Un bon tableau de bord GRC raconte une histoire : celle du niveau de risque de votre organisation et de l’efficacité de vos contrôles.

Principe fondamental

Un KRI (Key Risk Indicator) doit être prédictif, pas seulement rétrospectif. Il doit signaler une détérioration avant qu’un incident se produise, pas seulement après. Choisissez des indicateurs qui vous permettent d’agir à temps.

KRI 1 2 : Risque et couverture

  • KRI 1 — Risque résiduel moyen du portefeuille : score moyen des risques après application des contrôles. Cible : stable ou en baisse. Seuil d’alerte : hausse de >10 % sur un trimestre.
  • KRI 2 — Taux de couverture des risques critiques : % de risques critiqués ayant un plan de traitement actif. Cible : 100 %. Seuil d’alerte : tout risque critique sans plan d’action.

KRI 3–5 : Conformité et audits

  • KRI 3 — Taux de conformité global par référentiel : % d’exigences satisfaites (ISO 27001, Loi 25, PCI-DSS). Cible : >90 % pour les référentiels actifs.
  • KRI 4 — Délais de correction des non-conformités : temps moyen entre l’identification et la fermeture d’un écart. Cible : <30 jours pour les écarts majeurs.
  • KRI 5 — Taux de complétion des audits programmés : % d’audits réalisés dans les délais prévus. Cible : >95 %. Un taux bas révèle un sous-financement ou un manque de ressources.

KRI 6–8 : Incidents et réponse

  • KRI 6 — Nombre d’incidents par trimestre (trend) : plus que le nombre absolu, c’est la tendance qui compte. Une hausse soutenue indique une dégradation de la posture.
  • KRI 7 — MTTD et MTTR (Mean Time To Detect / Respond) : délai moyen de détection et de réponse. Cibles sectorielles : MTTD <24h, MTTR <72h pour les incidents significatifs.
  • KRI 8 — Taux d’incidents liés à des tiers : % des incidents où un fournisseur était impliqué. Indicateur de qualité de votre programme de gestion du risque tiers.

KRI 9–10 : Maturité et culture

  • KRI 9 — Score de maturité GRC global (1–5) : évaluation de la maturité de votre programme GRC sur une échelle standardisée. Permet de communiquer la progression à la direction.
  • KRI 10 — Taux de complétion de la formation en cybersécurité : % du personnel ayant complété la formation annuelle obligatoire. Cible : >95 %. Requis par ISO 27001 et fortement recommandé par le CCC.

Articles connexes

CapGRC calcule automatiquement vos KRI

Tableau de bord RSSI en temps réel avec vos 10 indicateurs clés, visualisation des tendances et alertes automatiques.

Demander une démoNous contacter