Cybersécurité : quand l’investissement massif ne suffit plus !
À lire la presse spécialisée, un paradoxe s’impose avec une régularité inquiétante : les cyberattaques réussies se multiplient, alors même que les entreprises, les administrations et les acteurs publics n’ont jamais autant investi dans des solutions de cybersécurité. Des millions, parfois des dizaines de millions d’euros, sont engloutis chaque année dans des pare-feu de nouvelle génération, des outils de détection sophistiqués, des plateformes de supervision ou des services de réponse aux incidents. Et pourtant, les failles persistent, les intrusions réussissent, les données fuient.
Pour expliquer cet échec apparent, un argument revient fréquemment dans les discours officiels : la responsabilité d’attaques menées par des États. Face à des acteurs disposant de moyens quasi illimités, de compétences de très haut niveau et d’un temps long pour préparer leurs offensives, les organisations victimes se présentent comme désarmées. L’argument peut sembler recevable. Il est pourtant largement insuffisant. États ou non, les conséquences sont identiques : des systèmes compromis, des activités paralysées, une perte de confiance durable. Et surtout, les faiblesses exploitées restent, elles, tristement banales.
Car une attaque sophistiquée ne fait que révéler ce qui existait déjà : une surface d’attaque trop large, des systèmes mal maîtrisés, des processus de sécurité figés dans le temps. L’excuse de l’adversaire « trop puissant » ne peut en aucun cas exonérer de la responsabilité des conséquences. Elle masque parfois une réalité plus inconfortable : celle d’une approche de la cybersécurité devenue excessivement technocentrée, voire dogmatique.
L’illusion de la forteresse numérique
Depuis des années, la cybersécurité est pensée comme une course à l’armement. À chaque nouvelle menace correspond une nouvelle solution, à chaque incident un nouvel outil. Cette logique accumulative donne l’illusion d’une forteresse numérique toujours plus épaisse, mais aussi toujours plus complexe. Or, plus un système est complexe, plus il devient difficile à comprendre, à auditer et à maintenir efficacement.
Dans ce contexte, l’audit de sécurité est longtemps apparu comme la boussole indispensable. Audit organisationnel, audit technique, audit de conformité : autant d’exercices censés dresser une photographie fidèle du niveau de sécurité d’une organisation. Le problème n’est pas l’audit en lui-même, mais son décalage croissant avec la réalité des environnements numériques actuels.
Aujourd’hui, les systèmes d’information évoluent à une vitesse telle qu’un audit, aussi rigoureux soit-il, devient obsolète presque dès sa restitution. Nouvelles applications, mises à jour logicielles, services cloud ajoutés en urgence, interconnexions avec des partenaires : l’écosystème numérique se transforme en permanence. L’audit, lui, reste figé dans le temps. Il photographie un instant qui n’existe déjà plus.
Des audits de moins en moins pertinents ?
Faut-il pour autant renoncer aux audits de sécurité ? Certainement pas. Mais il est légitime de s’interroger sur leur forme, leur fréquence et leur finalité. Un audit lourd, coûteux et ponctuel peut produire un rapport exhaustif, mais il laisse souvent les équipes démunies face à l’évolution quotidienne des risques. Pire encore, il peut donner un faux sentiment de sécurité : « nous avons été audités, donc nous sommes protégés ».
Or la cybersécurité n’est pas un état, mais un processus. Elle ne se décrète pas une fois par an à travers un rapport, elle se construit dans la durée, par une compréhension fine et partagée des vulnérabilités réelles. C’est ici qu’émerge l’idée d’une approche différente : celle d’un audit plus léger, mais permanent.
Un audit continu, intégré au fonctionnement quotidien des systèmes, permettrait de suivre les évolutions, d’identifier rapidement les nouvelles failles et de corriger avant qu’elles ne soient exploitées. Il ne s’agirait plus de juger ex post, mais d’accompagner en temps réel. Cette logique suppose un changement culturel profond : accepter que la sécurité soit imparfaite, mais perfectible en permanence.
Changer de paradigme : comprendre plutôt que surprotéger
La question centrale n’est peut-être pas de savoir combien investir encore dans des solutions de protection, mais comment mieux comprendre ce que l’on protège. Trop souvent, les organisations empilent des technologies sans maîtriser pleinement leurs usages, leurs interactions et leurs limites. La sécurité devient alors une couche supplémentaire, opaque, déconnectée des réalités opérationnelles.
Un audit léger et permanent pourrait justement contribuer à réconcilier sécurité et compréhension. En mettant l’accent sur les vulnérabilités concrètes, sur les usages réels des systèmes et sur les comportements humains, il ouvrirait l’horizon à une cybersécurité plus pragmatique. Une cybersécurité qui accepte l’incertitude, mais qui s’y prépare.
Cela implique également de redonner une place centrale aux compétences internes. Aucune solution, aussi coûteuse soit-elle, ne remplacera une équipe capable d’analyser, de questionner et d’anticiper. La technologie est un outil, pas une réponse en soi.
Vers une cybersécurité plus humble et plus efficace
Les cyberattaques ne disparaîtront pas. Elles continueront à évoluer, portées par des motivations multiples : économiques, politiques, idéologiques. Face à cette réalité, persister dans une logique exclusivement défensive et budgétaire revient à courir après une chimère.
Peut-être est-il temps d’adopter une approche plus humble, mais plus lucide. Reconnaître que la sécurité absolue n’existe pas. Accepter que les audits doivent évoluer aussi vite que les systèmes qu’ils évaluent. Et surtout, comprendre que la meilleure défense ne réside pas uniquement dans la multiplication des outils, mais dans la capacité à voir, à comprendre et à agir en continu.
Dans un monde numérique en mouvement perpétuel, la cybersécurité ne peut plus être un événement. Elle doit devenir un état d’esprit.