En cybersécurité, il y a des phrases qui devraient déclencher instantanément une alerte rouge dans n’importe quelle organisation.
Pas une alerte SOC. Une alerte culturelle.
La plus célèbre ?
« Ça va, on n’est pas la NASA. »
Comme si la menace cyber fonctionnait encore selon une logique hollywoodienne : des hackers en sweat à capuche ciblant uniquement des agences spatiales, des banques systémiques ou des centrales nucléaires.
Spoiler : ce n’est plus le monde dans lequel nous vivons.
Aujourd’hui, si vous avez :
- des données
- un système d’information
- une connexion Internet
👉 vous êtes une cible.
Pas potentiellement. Pas théoriquement. Structurellement.
🧾 Cybersécurité : encore trop souvent une case conformité
En France, la cybersécurité reste majoritairement perçue comme :
✔ une obligation réglementaire
âś” une contrainte juridique
✔ un coût imposé
✔ un “projet sécurité” périodique
PlutĂ´t que comme :
❌ un pilier stratégique
❌ un facteur de résilience
❌ un enjeu business critique
❌ une composante essentielle de la confiance client
La discussion budgétaire ressemble encore trop souvent à :
« On doit faire quelque chose, sinon on ne sera pas conforme. »
Et rarement Ă :
« On doit faire quelque chose, sinon on met en danger notre activité. »
La nuance est immense.
Dans un cas, on protège contre l’amende.
Dans l’autre, on protège contre l’arrêt brutal de l’entreprise.
🎯 “On n’est pas une cible intéressante” : l’illusion la plus coûteuse
Les attaquants ne raisonnent pas comme des communicants.
Ils ne se demandent pas :
- si votre marque est prestigieuse
- si vous êtes stratégique
- si vous passez au JT
Ils se demandent :
👉 Êtes-vous vulnérable ?
👉 Êtes-vous monétisable ?
Les groupes comme LockBit ne ciblent pas uniquement des géants.
Ils exploitent des failles, des accès faibles, des mots de passe recyclés, des VPN mal configurés.
Une PME mal segmentée, mal patchée, mal supervisée ?
= parfois plus rentable qu’un grand groupe bardé d’EDR, de SOC et de Red Teams.
Le ransomware moderne est opportuniste, automatisé, industrialisé.
Vous n’êtes pas “trop petit”.
Vous ĂŞtes peut-ĂŞtre simplement plus facile.
🤖 IA + cybercriminalité : accélérateur de catastrophe
L’IA ne crée pas la menace.
Elle la démocratise, accélère et crédibilise.
A lire : PromptLock : quand le ransomware « IA » n’est pas (encore) Skynet
Aujourd’hui :
- Phishing sans fautes, ultra-personnalisé
- Faux appels crédibles (voice cloning)
- Malware mieux obfusqué
- Scripts d’attaque générés en quelques secondes
Ce qui demandait :
- des compétences avancées
- du temps
- une expertise technique solide
devient accessible à des acteurs beaucoup moins qualifiés.
👉 Plus d’attaquants.
👉 Plus d’attaques.
👉 Plus de succès.
Et pendant ce temps, certaines organisations débattent encore de la nécessité d’un MFA “parce que c’est contraignant pour les utilisateurs”.
⚖️ La peur du régulateur : seul moteur efficace ?
Soyons honnêtes : sans contrainte, beaucoup d’organisations ne bougent pas.
Lire : NIS2 en France : pourquoi la transposition tarde (et pourquoi c’est un problème majeur de cybersécurité)
Pas par bĂŞtise.
Par arbitrage.
La cybersécurité souffre d’un paradoxe cruel :
✔ Quand tout va bien → investissement jugé excessif
✔ Quand tout va mal → investissement jugé insuffisant
Le ROI de la sécurité est invisible… jusqu’au jour où il devient dramatiquement mesurable.
C’est précisément le rôle de NIS2 :
- imposer une gouvernance
- responsabiliser les dirigeants
- structurer les pratiques
- transformer la SSI en enjeu stratégique
Tant que la cybersécurité restera perçue comme optionnelle, elle restera sous-financée.
🇪🇺 NIS2 : pas une punition, une mise à niveau
La directive NIS2 n’est pas un caprice bureaucratique.
C’est une tentative (nécessaire) de corriger :
❌ des années de sous-investissement
❌ une gouvernance sécurité fragile
❌ une culture du “ça ira bien”
❌ une dépendance massive au numérique
Elle dit simplement :
👉 La cybersécurité n’est plus un sujet technique.
C’est un sujet de direction.
Ignorer ce message, c’est continuer à piloter une organisation moderne avec une vision des risques digne des années 2000.
💼 RSSI : responsabilités XXL, reconnaissance XS
Autre angle mort français : le métier de RSSI.
Dans de nombreuses structures :
- Responsabilité juridique indirecte
- Pression constante
- Arbitrages impossibles
- Exposition maximale en cas d’incident
Mais :
❌ position hiérarchique ambiguë
❌ autorité parfois limitée
❌ rémunération inférieure à la criticité du rôle
❌ isolement chronique
Le RSSI devient trop souvent :
👉 responsable sans pouvoir réel
👉 exposé sans protection organisationnelle
👉 stratège sans siège à la table des décisions
Et ensuite, on s’étonne :
- des départs
- des burn-out
- du turnover
- du manque d’attractivité
Un RSSI n’est pas un “support IT spécialisé sécurité”.
👉 C’est une fonction exécutive de maîtrise du risque.
Au même titre qu’un DSI pilote la performance et la transformation, le RSSI pilote la résilience et la sécurité.
Opposer les deux est une erreur.
Sous-valoriser l’un est une faute stratégique.
🔥 Le véritable problème : culturel, pas technique
La France ne manque pas :
✔ de compétences
âś” de technologies
✔ d’experts
âś” de solutions
Elle souffre encore trop souvent de :
❌ banalisation du risque
❌ vision court-termiste
❌ sécurité perçue comme frein
❌ croyance “on verra plus tard”
Or en cybersécurité :
👉 Plus tard = souvent trop tard.
🎯 Conclusion : la rĂ©alitĂ© est dĂ©jĂ lĂ
Non, vous n’êtes pas la NASA.
Mais vous avez :
- des données clients
- des données RH
- des données financières
- des accès distants
- des dépendances numériques
Et pour un attaquant, cela suffit largement.
La question n’est plus :
❓ « Sommes-nous une cible ? »
Mais :
❗ « Sommes-nous prêts quand ça arrivera ? »
Parce que dans le paysage actuel :
👉 ce n’est plus une hypothèse.
👉 c’est une échéance statistique.
Et la cybersécurité ne devrait jamais être déclenchée uniquement par :
- la peur du gendarme
- la peur de l’amende
- la peur de l’audit
Mais par une Ă©vidence simple :
Protéger son SI, c’est protéger son activité, ses clients, ses salariés et sa crédibilité.
Tout le reste n’est que littérature… jusqu’au jour où le ransomware s’invite dans votre COMEX/CODIR.
