La cybersécurité, entre réalité et bullshit la frontière est vraiment mince. Je ne vais pas forcément me faire des amis avec cette posture 😁
La cybersécurité est devenue un terrain de jeu idéal pour vendre des solutions et prestations ces derniers temps. Entre des promesses exagérées et des pratiques parfois douteuses, il est facile de se laisser emporter clairement par le bullshit.
De quelle efficacité parlon-nous ❓
Il suffit de se rappeler l’hécatombe de cet été 2025, qui semble d’ailleurs se poursuivre. Avec la cybersécurité à toutes les sauces, pourquoi continuons-nous à être régulièrement poutrés ❓
La France est le second pays le plus attaqué si je me réfère au rapport de l’ENISA (European Network and Information Security Agency).
Mais qu’est-ce qui se cache derrière cette surenchère autour de la cybersécurité ❓
… la cybersécurité
La sécurité est un domaine complexe. Les équipes techniques le savent bien.
La cybersécurité est un branche spécialisée de la sécurité qui concerne spécifiquement la protection des systèmes d’informations, des réseaux et des données contre les attaques.
Parfois, cette complexité est accentuée pour justifier des actions et rendre l’inaccessible encore plus mystérieux 😬
Plus que jamais, il faut éviter de tomber dans la culture de la peur, où chaque menace devient une catastrophe imminente.
Cette approche alarmiste sert souvent d’argument pour vendre des solutions coûteuses, parfois inefficaces, ou pour défendre une position, une carte de visite.
Cependant, dans le domaine de la cybersécurité, la réalité est bien plus nuancée et complexe.
En effet, la cybersécurité nécessite une technicité approfondie et un pragmatisme à toute épreuve. Il ne s’agit pas simplement de réagir à chaque alerte, mais de comprendre et d’analyser les risques de manière stratégique. Il faut tenir compte des spécificités de l’environnement concerné. Cela implique d’avoir une expertise réelle, basée sur la connaissance des systèmes, des vulnérabilités et des menaces, tout en étant capable d’adopter des solutions adaptées et efficaces.
L’apparence ne fait pas le spécialiste, tout comme un titre ne fait pas l’expertise.
Un expert en cybersécurité doit savoir allier compétences techniques et capacités à proposer des solutions réalistes.Idem pour les responsables.
Il faut être en phase avec les besoins et les moyens de l’entreprise. C’est cette capacité à faire preuve de discernement, à trouver un équilibre entre prévention, gestion des risques et efficacité opérationnelle.
Une bonne stratégie fait toujours la vraie différence.
La lourdeur des normes
Entre les normes et les autres acronymes qui envahissent les rapports de sécurité, on finit souvent par perdre de vue l’objectif principal 👉 il est de protéger l’entreprise et être réellement efficace.
Les certifications sont importantes, mais elles deviennent plus une case à cocher qu’une démarche véritablement orientée vers la sécurité sur le terrain (sic).
Cette tendance crée l’illusion d’une sécurité solide, alors qu’elle repose souvent sur des process ultralourds ainsi que des socles assez discutables.
Forcer un audit par un tiers sans expérience technique réelle sur le terrai par exemple n’a aucun sens.
Cela ne contribue en rien au renforcement de la sécurité de l’infrastructure. Donc, auditer pour auditer n’a pas de sens.
Le mythe
L’un des plus grands mythes ? Le parefeu ultime, l’antivirus ou l’edr magique qui suffira à tout résoudre 🤣.
Ces solutions citées à titre d’exemple, bien qu’indispensables, ne sont que des outils.
Le véritable danger réside souvent ailleurs : dans les compétences humaines, comportements humains, les erreurs et les failles. Ces failles peuvent être à la fois techniques et liées à la communication.
Il est crucial de ne pas se laisser séduire par des solutions « clé en main » qui font plus de bruit que de réelle différence.
Réinventer la roue est insensé et contre-productif. La personne qui a suggéré d’utiliser un DC (contrôleur de domaine) Active Directory dormant pour assurer un PRA devrait sérieusement envisager de changer de métier. Je le pense sérieusement quand il s’agit d’un environnement avec une hybridation de la messagerie exchange. La sagesse conseille de se taire lorsque l’on ne maîtrise pas pleinement un sujet 👈
Assurer la sécurité, c’est protéger, par exemple, ses identités en priorité, et cela, en toutes circonstances. Quelle est la stratégie derrière un DC dormant, un concept inexistant ❓🤡
Le mythe ne contribue en rien à une sécurité efficace ; au contraire, il détourne l’attention des véritables enjeux et crée une fausse impression de protection.
Le contrôle et l’illusion
Les responsables portent une lourde charge, ce qui peut les amener à vouloir imposer les décisions techniques des experts. À mes yeux, c’est avant tout un signe de faiblesse.
Quand il n’y a ni stratégie ni gouvernance claire à l’échelle globale, cela conduit souvent à l’instauration d’un semblant de sécurité.
Finalement, dans ce genre de cas, le contrôle n’est qu’illusion puisqu’en réalité lesdits responsables s’enlisent. Ils s’engagent dans une guerre de clocher sans fin, perdant ainsi toute direction menant vers la véritable cible.
Des tactiques excessivement restrictives, des mesures superflues et des actions intrusives compromettent l’efficacité globale 😔
La cybersécurité ne doit pas devenir un fardeau mais un atout pour l’entreprise. Chaque élément est important dans toutes les strates.
La clé
Elle repose sur une infrastructure intelligente, flexible, collaborative et pragmatique.
Cela permet d’optimiser les ressources tout en garantissant une protection optimale. En effet, il ne s’agit pas de dépenser pour des solutions complexes et coûteuses, mais bien d’adopter une stratégie de sécurité claire, réaliste et protectrice.
Donc, la stratégie prend en compte les enjeux réels de l’entreprise ainsi que des moyens.
Ainsi, cette stratégie doit s’adapter aux besoins spécifiques de l’entreprise, tout en veillant à former chaque acteur à ses responsabilités et à ses rôles dans le processus de sécurisation. Quand la Production dicte les règles de sécurité à la place de la GRC (Gouvernance, Risques et Conformité), c’est que tout est à l’envers 😆
Par ailleurs, la sécurité ne doit pas être simplement une vitrine destinée à donner une illusion de contrôle, mais plutôt un moteur de résultats concrets, orienté vers la prévention et la gestion des risques de manière durable et efficace 👈
Synthèse
De ma fenêtre, la sécurité / cybersécurité est bien plus que des outils ou des rapports qui impressionnent. La stratégie, la posture et la gouvernance au global sont importantes.
C’est une question de culture, de collaboration et de compréhension des véritables risques, les enjeux au jour le jour et à long terme aussi. Il est important de ne pas faire tout et n’importe quoi. Par conséquent, dès la phase de conception, la sécurité doit occuper une place centrale
L’objectif commun est à la fois simple et unique : adopter une approche honnête et pragmatique pour éviter les discours vides, alias bullshit, et protéger réellement l’entreprise.
Pour cela, une vision globale et une cohérence stratégique sont indispensables.