• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

La cybersécurité ou l'art de gérer un risque sans recul

Charles Cuvelliez et Jean-Michel Dricot

Publié le 14 novembre 2018 à 09:40 - Mis à jour le 13 décembre 2024 à 00:18

cybersécurité

cybersécurité

Reuters

Le Quotidien Numérique

17 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Uranium, lithium, terres rares : pourquoi la Chine renforce son partenariat stratégique avec la Namibie

  • 2

    Ferroviaire : la Tunisie poursuit la modernisation de son réseau en commandant 18 nouvelles rames

  • 3

    Exportations d’électricité : pourquoi le nouveau record français profite aussi aux consommateurs

  • 4

    « Dès la première course il nous a martyrisés » : Itinéraire de Paul Seixas, l'homme aux « Trois Poumons »

  • 5

    Made in France : « Structurellement déficitaire », cette usine de panneaux solaires ferme ses portes

  • 6

    Et donc, l'action SpaceX passe sous son prix d'introduction en Bourse

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
La mise en place d'une vraie cybersécurité est rendue complexe par les formes multiples du cyber-risque. Il est nécessaire pour les entreprises d'avoir un personnel bien formé, et de l'anticiper. Par Charles Cuvelliez et Jean-Michel Dricot, Ecole Polytechnique de Bruxelles, Université libre de Bruxelles.

Le manque de références et de recul affectera encore longtemps la maturité avec laquelle les entreprises abordent la cybersécurité. De tous les risques qu'une organisation doit gérer, la cybermenace est la plus neuve et la plus changeante. Pour sensibiliser le management  à cette nouvelle forme de risque, il y a peu d'autres moyens pour défendre un budget de cybersécurité que de faire peur, de montrer les titres de journaux qui relatent la dernière cyberattaque qui a affecté un concurrent. L'incertitude, le doute et l'émotion ne sont jamais de bons conseillers en gestion du risque. C'est pourtant ainsi qu'on fait aujourd'hui. Résultat : les budgets de cybersécurité sont vus comme une obligation, une taxe pour sa tranquillité qu'on aurait (pense-t-on) bien mieux dépensé ailleurs.

Equation aux multiples variables

Le cyber-risque est une équation aux multiples variables dont la plupart sont imprévisibles, ce qui complique la tâche de mettre en place une vraie cybersécurité. Sans entrainement, les risk managers ne performent pas mieux que des étudiants à peine formés. C'est en tout cas le résultat d'une expérience avec deux groupes témoins, l'un formé de managers expérimentés, l'autre d'étudiants peu au fait de l'IT. Dans cette expérience, on confrontait les deux groupes à toute une série d'attaques aléatoires. Les étudiants avaient tendance à s'adapter plus facilement à la nouvelle donne tandis que les managers, avec de la bouteille, semblaient essayer de se raccrocher à une situation qu'ils auraient déjà connue. C'est un biais managérial bien connu. On n'aime pas non plus investir de l'argent et des ressources pour prévenir ou résoudre quelque chose qui ne semble pas être vraiment possible. Avant qu'une société n'expérimente sa première vraie attaque, c'est difficile d'estimer la probabilité qu'elle arrive, ce qui change notre perception de sa vraisemblance. Nos cerveaux n'ont pas une bonne intuition lorsqu'il s'agit d'envisager des scénarios ayant une faible probabilité d'arriver mais menant à de graves conséquences. Et puis, un « bon » manager n'investira dans la sécurité de l'information que s'il est assuré d'un retour positif ou, qu'au moins, le coût de l'investissement ne dépasse pas le coût du risque qu'il est censé prévenir.

Mais comment mesurer tout cela ? C'est là que les métriques, les données historiques, la connaissance, le type et l'étendue des incertitudes manquent. On ne sait en fait pas mesurer l'efficacité de la cybersécurité qu'on a mise en place. Ce n'est pas en compulsant des rapports techniques qui relatent à longueur de pages le nombre d'intrusions détectées, les signatures de virus identifiées et l'efficacité des mises à jour sur les appareils des employés qu'un membre du comité de direction peut répondre à la seule question qui compte : suis-je bien protégé. Etre bien protégé n'est d'ailleurs pas tout. Il faut être résilient (être capable de se relever d'une attaque) car il faut partir de l'hypothèse qu'on sera tôt ou tard victime d'une intrusion qui aura réussi. Quand les réseaux IT des entreprises avaient des frontières claires et définies, cela avait du sens de tout mettre sur la prévention. Il y avait ceux dedans et ceux du dehors. Mais aujourd'hui le réseau d'une entreprise est devenu un système aux limites floues sur lequel intervient toute une série d'acteurs : fournisseurs, clients, employés, capteurs, machines gérées à distance chez son client.

Rendre son entreprise résiliente

Pouvoir récupérer des conséquences d'une attaque devient une nécessité. Rendre son entreprise résiliente, ce n'est pas la même chose que de la cyberprotéger : dans ce dernier cas, il s'agit bien de sécurité au sens technique du terme. La résilience, par contre, est un défi d'ordre stratégique et des procédures. Il n'y a pas, en effet, une machine, un appareil sophistique qui tout à coup remettrait votre entreprise en ordre de marche après les dégâts d'une attaque. Organiser des BCP et des DRP impliquera tous les facteurs imaginables d'une entreprise : le côté humain, les process, la communication, la relation commerciale.

Quand on a appréhendé l'importance de rendre son organisation résiliente, on en voit tout de suite les bénéfices car on finit par relâcher le « tout à la prévention » qui a aussi un coût, celui de restreindre l'accès à l'information dans son organisation à force de protéger les accès, de ne les donner qu'à la demande pour les retirer ensuite.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

L'arrivée des clouds dans les organisations ne laissera plus beaucoup le choix : il faudra revoir complètement la conception de la cybersécurité. Avant le cloud, les entreprises construisaient leur IT et leurs opérations autour de montagnes d'infrastructures customisées par les vendeurs pour eux : outils de gestion des RH, CRM, facturation..., chaque process avait son vendeur spécialisé, sa technologie propre et sa sécurité ad hoc. Le personnel IT en était d'autant plus spécialisé et siloté. Avec le cloud, il ne s'agit plus de sécuriser une technologie, une infrastructure dédicacée, de bien comprendre avec les vendeurs comment leur solution fonctionne et où sont les faiblesses et les vulnérabilités. Désormais, il s'agit de protéger les flux d'informations qui circulent entre l'entreprise, le cloud et les clients.

L'évolution technique est tellement rapide que la cybermenace risque de rester pour longtemps un risque dont la gestion, au contraire des autres risques, doit se faire en permanence, sans recul, sans références, avec peu de métrique adaptée à chaque virage technologique.

Pour en savoir plus :

À lire également

  • Face aux "pathologies du Net", Macron lance un appel mondial pour la cybersécurité
  • Offrir la cybersécurité pour tous
  • Cybersécurité : les entreprises du CAC 40 sont à la traîne
  • Il est temps de changer votre façon de consommer la cybersécurité

The Trouble With Cybersecurity Management, Mohammad S. Jalali, MIT Sloan Management Review, October 8

Charles Cuvelliez et Jean-Michel Dricot

Sur le même sujet

Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats
Gabriel Gaspard

OPINION. « Présidentielle 2027 - dette publique : faut-il changer de paradigme ? »

Les signaux de la Cour des comptes sont tous alarmants. Le débat sur l'endettement de la France enflamme la présidentielle. La dette devient-elle hors de contrôle ? Faut-il des solutions douloureuses ou une vraie alternative à nos finances publiques ?

Idées & Débats
agir

OPINION. « Redonner aux jeunes le pouvoir d’agir : quand entreprendre remet en mouvement »

Par les 25 membres du collectif Entr&prends ton Avenir et 13 représentants de l’écosystème associatif de la jeunesse.

Idées & Débats
Julien Chaverou

OPINION. « Pour un pacte de soutien a l’ameublement français et europeen »

La France et l’Europe ont une histoire longue et remarquable dans le secteur de la décoration et de l’ameublement. Les trois dernières décennies ont changé radicalement les méthodes, les moyens et les habitudes. Aujourd’hui, comme dans la mode, il y a ce sentiment étourdissant que, soudain, tout s’écroule.

Idées & Débats
Amaury Goguel

OPINION. « Et si les grilles d’analyse des Institutions Financières Internationales alimentaient les polycrises ? »

La décision est passée presque inaperçue. Pourtant, en septembre 2025, Pékin a provoqué un véritable séisme silencieux dans la gouvernance mondiale en renonçant officiellement à son statut de « pays en développement » à l’Organisation mondiale du commerce.

Idées & Débats
Sarah Bagnon-Szkoda

OPINION. « CSRD : le reporting de durabilité entre dans son âge de raison »

La CSRD a d’abord été perçue comme une contrainte. Une norme de plus, venant s’ajouter à un environnement réglementaire déjà dense. Sa mise en œuvre a souvent été vécue comme un chantier lourd, technique, coûteux, déployé dans des délais serrés par des entreprises déjà saturées par les obligations de reporting.

Idées & Débats
Diane Scemama

OPINION. « Nous ne sauverons pas l'industrie française avec des discours »

Depuis plusieurs décennies, le bulletin météo de l'industrie française ressemble à une succession d'alertes. Tempête sur l'emploi industriel. Avis de grand frais sur les savoir-faire. Dépression persistante sur nos territoires.

Idées & Débats