Spoiler : ce n’est pas un hacker russe en hoodie dans une cave, c’est probablement Bernard de la compta. Et il est en train de cliquer sur un lien « Colissimo suspendu » pendant que vous lisez ces lignes.
Selon IBM, 95% des incidents de cybersécurité sont dus à une erreur humaine. Oui, 95%. Ça veut dire que les firewalls, l’antivirus, les audits ISO 27001, le SIEM rutilant… n’y changent rien si Bernard, Julie, Kevin et toute la clique font n’importe quoi.
Le facteur humain : plus dangereux qu’un ransomware
Le plus grand risque cyber en entreprise ? C’est l’humain.
Et pas besoin d’un génie malveillant. Un simple clic suffit.
- Bernard ouvre une pièce jointe
"facture_urgent.exe", sans se demander pourquoi EDF lui écrit en Comic Sans. - Julie de la communication télécharge une « charte graphique » envoyée par un faux partenaire presse. ZIP piégé, fichier vérolé.
- Kevin, développeur full-stack, laisse sa clé API de production dans un
.envpublic sur GitHub. Bravo l’artiste.
Et tout ça parce qu’on n’a pas formé, pas sensibilisé, ou pire : parce qu’on a fait une sensibilisation e-learning de 7 minutes, avec des slides de 2007.
Le palmarès des responsables (spoiler : c’est tout le monde)
🧮 Bernard de la compta
Mot de passe : bernard123. Enregistré dans Chrome. Depuis 2015. Sur un poste Windows 7 « parce qu’il marche bien ».
💻 Kevin le dev
Push sur GitHub avec une config .env.production. Utilise ChatGPT pour générer des scripts sans vérifier ce qu’il fait.
🎨 Julie de la com
Stocke tous ses fichiers sur un Google Drive perso non chiffré. A autorisé un plugin IA douteux pour « gagner du temps sur les posts LinkedIn ».
🧠 RH
Transmet des fichiers Excel contenant des données sensibles (salaires, maladies, arrêts) non chiffrés, par mail, en clair, à un prestataire externe. En .xls, évidemment.
🧑💼 La direction
« On n’a pas de budget pour former les salariés, mais on veut être ISO 27001 avant la fin du trimestre. »
Priorités, vous avez dit ?
📡 Réseau
Segmenter le VLAN ? « Trop compliqué. » Tout le SI est en 192.168.1.X, du NAS au système de badgeuse.
🧙 Admin sys
N’a jamais supprimé les comptes de stagiaires partis il y a 6 mois. Tous ont encore accès au VPN. Et il utilise le même mot de passe root pour tous les serveurs.
Exemples concrets : le cyberflop en entreprise, c’est ici et maintenant
- MGM Resorts (2023) : une attaque par simple appel téléphonique. « Bonjour, je suis du support, donnez-moi vos accès. » Et ils ont donné. Résultat : 10 jours d’arrêt, pertes estimées à 100 millions de dollars.
- Uber (2022) : hacké via… Slack. Un ado social engineer a obtenu les identifiants. Ils étaient stockés en clair. Dans un script.
- Hôpital de Corbeil-Essonnes (2022) : ransomware. Données bloquées, rançon exigée. Retour aux dossiers papier pendant plusieurs semaines.
Ce n’est pas de la science-fiction. C’est l’actualité.
La défense périmée qu’on entend encore trop souvent
« Mais on a un antivirus. »
→ Oui, et tu mets une serrure sur une porte grande ouverte.
« On a des sauvegardes. »
→ Elles sont sur le même serveur ? Bravo, elles ont été chiffrées aussi.
« On a fait une sensibilisation l’an dernier. »
→ Oui, avec un quiz où 3 bonnes réponses sur 10 suffisaient à valider. Super.
La vraie stratégie : penser le risque comme une fatalité
Ce n’est pas « si » ça va arriver. C’est « quand ».
Un bon RSSI, ce n’est pas celui qui empêche tout. C’est celui qui limite la casse quand Bernard clique sur le lien maudit. Et pour ça :
- Former intelligemment (avec des vrais scénarios, pas des PowerPoint tristes).
- Tester régulièrement (phishing, Shadow IT, audits internes).
- Implémenter une hygiène numérique minimale : segmentation, MFA, politique de mots de passe, gestion des droits.
- Mettre en place un plan de réponse à incident. Pas juste une adresse mail « support ».
Et l’IA dans tout ça ?
ChatGPT, Notion AI, Copy.ai… Bien utilisés, ce sont des outils puissants.
Mal utilisés ? Ce sont des chevaux de Troie à la cool.
Certains collaborateurs balancent des infos sensibles dans des prompts. D’autres utilisent des plugins IA qui transfèrent les données sur des serveurs inconnus.
L’IA, c’est comme la cuisine moléculaire : c’est génial, mais pas entre deux cafés sans lire la notice.
En résumé : la cybersécurité est une culture d’entreprise
Et dans cette culture, il n’y a pas de passager, tout le monde est membre d’équipage.
La cybersécurité, ce n’est pas la responsabilité du RSSI seul. C’est celle de tous, de Bernard à la DSI, en passant par Kevin, Julie, et même le stagiaire café.
