– par Guillaume FAURE et Grégory ROURES, membre du CRSI Occitanie
Dans un paysage numérique en constante mutation, la sécurité des systèmes d’information n’est plus une simple variable technique relevant des directions informatiques : elle s’impose désormais comme un choix stratégique majeur, indispensable à la pérennité de toute organisation.
Les données récentes confirment l’ampleur de la menace. En 2024, le nombre de cyberattaques est estimé à environ 385 000, touchant de plein fouet les structures les plus fragiles, au premier rang desquelles les TPE, PME et ETI, qui représentent 37 % des victimes. Cette pression constante s’exerce également sur les collectivités territoriales et les établissements de santé, illustrant une délinquance numérique sans frontière sectorielle.
L’analyse de l’état de la menace montre que la vulnérabilité n’est pas seulement technologique, mais avant tout humaine. Le phishing, ou hameçonnage, demeure le mode opératoire privilégié dans 73 % des attaques, exploitant avec efficacité la confiance, la distraction ou l’inattention des agents. Qu’il s’agisse de l’arnaque au président, qui frappe près de 6 000 entreprises chaque mois, ou de formes plus sophistiquées d’ingénierie sociale, les attaquants s’appuient systématiquement sur le facteur humain, considéré comme le maillon faible de la chaîne de sécurité.
L’émergence du Cybercrime as a Service (CaaS) a d’ailleurs industrialisé ces pratiques. Des acteurs malveillants peuvent désormais louer sur le dark web des outils d’attaque sophistiqués, ce qui multiplie les campagnes d’extorsion par rançongiciel et abaisse fortement le niveau d’expertise requis pour lancer une offensive cyber.
Face à ce constat, le coût de l’inaction devient prohibitif. L’impact financier moyen d’un incident cyber est aujourd’hui évalué à plus de 58 000 euros, tandis qu’une violation de données majeure peut atteindre plusieurs millions d’euros, parfois bien au-delà de 3,8 millions selon la nature de l’incident et la taille de l’organisation. Au-delà de la perte immédiate, c’est parfois la survie même de l’entité qui est en jeu : 60 % des PME victimes d’une attaque d’envergure déposeraient le bilan dans les dix-huit mois qui suivent.
À l’échelle mondiale, la cybercriminalité génère des revenus annuels vertigineux de 1 280 milliards de dollars, s’imposant comme l’une des économies les plus lucratives du monde numérique. Pourtant, la réponse judiciaire reste confrontée à d’immenses difficultés, avec une probabilité de traduction des auteurs en justice estimée à seulement 0,05 %.
Dès lors, la cybersécurité doit être abordée sous l’angle de la GRC : Gouvernance, Risques et Conformité. Il ne s’agit plus de considérer la sécurité informatique comme une dépense, mais comme un investissement indispensable à la résilience de l’organisation.
Cette approche suppose une implication réelle et constante des comités de direction. La gouvernance doit fixer une orientation stratégique alignée sur les objectifs métiers, tandis que le management de la sécurité de l’information, souvent appuyé par des standards comme l’ISO 27001, assure la mise en œuvre de politiques de prévention, de contrôle et d’évaluation des risques. Cela implique de passer d’une posture réactive à une culture de la vigilance, dans laquelle chaque collaborateur devient un acteur de la défense collective.
L’émergence de l’intelligence artificielle bouleverse aujourd’hui cet équilibre, en apportant à la fois des opportunités inédites et des risques nouveaux. Si 77 % des entreprises ont déjà intégré l’IA générative dans leur arsenal de cyberdéfense afin d’améliorer leur rapidité opérationnelle, les attaquants exploitent eux aussi ces technologies pour concevoir des malwares polymorphes et des campagnes de phishing hyper-personnalisées à grande échelle.
Le phénomène du Shadow AI, où 18 % des employés admettent saisir des données confidentielles dans des IA publiques sans autorisation, crée de nouvelles brèches de sécurité qu’il devient urgent de combler. La route vers la résilience en 2026 passe donc par une sécurisation stricte des usages de l’IA, ainsi que par le maintien impératif de “l’humain dans la boucle” afin de limiter les biais, les erreurs et les hallucinations des systèmes automatisés.
La maturité cyber d’une organisation ne s’acquiert pas par l’accumulation d’outils technologiques, mais par une amélioration continue de l’hygiène informatique et par une sensibilisation constante des équipes. À ce titre, le recours aux dispositifs proposés par l’ANSSI pour évaluer son niveau de préparation constitue une étape cruciale pour identifier ses vulnérabilités et hiérarchiser ses priorités de protection.
En pratique, cette démarche doit s’accompagner de mesures concrètes : authentification multifacteur, mises à jour régulières, gestion rigoureuse des accès, sauvegardes isolées, plan de réponse à incident, exercices de crise et campagnes de sensibilisation au phishing. C’est en combinant gouvernance, prévention et réaction que l’organisation peut réellement renforcer sa capacité de résistance face aux attaques.
En définitive, la sécurité est un processus dynamique qui exige du temps, des moyens et un engagement durable. En renforçant la confiance par la protection des données et en instaurant une culture de la vigilance face aux sollicitations numériques, l’entreprise ne protège pas seulement ses actifs : elle garantit aussi sa crédibilité, sa continuité d’activité et sa place dans une économie numérique mondiale où la sécurité est devenue le socle de toute relation durable.
La Gendarmerie nationale, à travers ses sections opérationnelles de lutte contre les cybermenaces, accompagne ce mouvement de sécurisation et rappelle que, dans ce combat pour la souveraineté numérique, nous sommes tous, par nécessité, acteurs.
En conclusion, la cybersécurité ne peut plus être reléguée au rang de simple défi technique : elle s’impose comme un pilier stratégique de la pérennité des organisations face à une menace massive, industrialisée et en constante évolution. Alors que l’humain demeure le maillon faible privilégié par les attaquants, l’émergence de l’intelligence artificielle complexifie encore l’équation en automatisant et en personnalisant les offensives.
Pour survivre dans cet écosystème hostile où l’inaction devient financièrement fatale, les organisations doivent impérativement adopter une gouvernance proactive fondée sur la culture de la vigilance, la conformité et l’hygiène informatique. En transformant la sécurité en investissement résilient plutôt qu’en simple dépense, elles protègent non seulement leurs actifs, mais préservent aussi leur souveraineté, leur continuité et leur crédibilité.
Lexique de cybersécurité
- ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information – organisme français chargé de la cybersécurité.
- CaaS (Cybercrime as a Service) : modèle commercial où des cybercriminels louent des outils ou services d’attaque à d’autres acteurs malveillants.
- Chiffres clés : statistiques ou données utilisées pour illustrer l’ampleur des cyberattaques (ex : 385 000 attaques estimées en 2024).
- GRC (Gouvernance, Risques, Conformité) : approche stratégique intégrant la gouvernance de la sécurité, l’identification des risques et le respect des normes réglementaires.
- Hygiène informatique : ensemble des pratiques visant à réduire les vulnérabilités informatiques (mises à jour, sauvegardes, gestion des accès…).
- Hameçonnage / Phishing : technique de fraude visant à obtenir des informations confidentielles en se faisant passer pour une entité légitime.
- IA (Intelligence Artificielle) : systèmes informatiques capables de simuler des capacités cognitives humaines, y compris l’apprentissage automatique.
- IA générative : type d’IA capable de créer du contenu nouveau (texte, image, code, etc.).
- Shadow AI : usage d’IA non autorisé par les services IT ou la direction, souvent via des services publics accessibles en ligne.
- Ingénierie sociale : techniques manipulant les comportements humains pour obtenir des informations confidentielles.
- ISO 27001 : norme internationale définissant les exigences pour un système de management de la sécurité de l’information.
- Rançongiciel / Ransomware : logiciel malveillant bloquant l’accès aux données et demandant une rançon pour les restituer.
- Arnaque au président / CEO fraud : type de phishing ciblant la direction d’une entreprise pour détourner des fonds.
- Maillon faible : élément vulnérable dans un système de sécurité, souvent le facteur humain.
- Plan de réponse à incident (PRI) : procédure permettant de gérer efficacement les incidents de sécurité.
- Plan de continuité / reprise d’activité (PCA/PRA) : dispositif garantissant le fonctionnement ou le redémarrage d’une organisation après un incident majeur.
