● Silicon.fr Télécom 📅 23/04/2026 à 15:50

Cybersécurité 👤 Damien Gbiorczyk*

🏷️ Tags : vulnérabilités anthropic cert rag rte

La cybersécurité est entrée dans une ère de maturité… sans avoir résolu l’essentiel. Jamais les organisations n’ont autant investi, jamais les menaces n’ont été aussi documentées, jamais les discours n’ont été aussi structurés. Et pourtant, le sentiment d’insécurité demeure, voire s’amplifie. Chaque semaine apporte son lot d’incidents médiatisés : une entreprise à l’arrêt, des données exposées, une administration fragilisée. Ces événements alimentent une dynamique désormais bien connue : prise de conscience, urgence, réaction. Puis, jusqu’au prochain incident, un relatif retour à la normale. Ce cycle n’est pas un accident. Il est le produit d’un modèle dans lequel la peur est devenue le principal moteur. Un langage commun à l’ensemble de l’écosystème ( fournisseurs, RSSI, dirigeants ) et dont il devient difficile de s’extraire. En France, l’ANSSI observe une hausse continue des incidents significatifs, tandis que les grandes entreprises comme les ETI font désormais face à des tentatives d’intrusion régulières, voire quotidiennes. Dans ce contexte, la cybersécurité s’impose comme un sujet stratégique, discuté au plus haut niveau des organisations. Une industrie incapable de prouver sa valeur autrement que par le risque Dans la plupart des fonctions de l’entreprise, la valeur se mesure et se raconte aisément. Les ventes s’appuient sur le chiffre d’affaires, le marketing sur les conversions, les opérations sur l’efficacité. La cybersécurité, elle, se retrouve à démontrer… l’absence d’incident. Ce paradoxe crée un vide. Les organisations disposent de peu de preuves tangibles que leurs investissements fonctionnent réellement, tant qu’aucune attaque majeure ne vient tester les dispositifs en place. Les exercices de type red team deviennent ainsi l’une des rares démonstrations possibles : simuler une catastrophe pour prouver que l’on pourrait y survivre. Cette difficulté structurelle se reflète aussi dans la manière dont la cybersécurité communique. Les succès mis en avant restent systématiquement liés à des événements négatifs : une attaque stoppée, un rançongiciel contenu, une menace neutralisée. Même les progrès réels, parfois considérables, peinent à émerger dans le débat public dès lors qu’ils ne s’inscrivent pas dans un récit de crise. Une boucle systémique entretenue par tous les acteurs Il serait réducteur d’attribuer cette situation aux seuls fournisseurs. La peur n’est pas uniquement un levier commercial ; elle est devenue un mécanisme systémique. Les responsables de la sécurité eux-mêmes y ont recours, souvent contraints par les dynamiques internes. Dans de nombreuses organisations, l’obtention de budgets reste plus facile à la suite d’une violation médiatisée que dans le cadre d’une stratégie anticipée. La peur devient alors un outil d’alignement organisationnel. Les conseils d’administration participent également à cette dynamique. Face à une feuille de route de résilience sur plusieurs années, la réaction est souvent mesurée. En revanche, la présentation d’un incident récent touchant un acteur comparable déclenche une attention immédiate. La peur simplifie la décision, là où la stratégie implique une prise de responsabilité. Les acheteurs, enfin, s’inscrivent dans cette logique en validant des projets structurants principalement après des incidents. L’alignement ne se crée pas en amont, mais sous la pression d’un événement critique. L’émergence de l’intelligence artificielle n’a pas atténué cette dépendance à la peur ; elle l’a amplifiée à un niveau inédit. L’IA est devenue le nouveau catalyseur du discours anxiogène, avec deux récits dominants : celui d’attaquants augmentés par des capacités quasi illimitées, et celui d’organisations condamnées à suivre une course technologique permanente sous peine d’être dépassées. Les récentes actualités autour du modèle Mythos, développé par Anthropic, illustrent parfaitement cette dynamique. Présenté comme une rupture technologique, ce modèle est capable d’identifier et d’exploiter des vulnérabilités à une vitesse et une échelle inédites, au point d’avoir détecté des milliers de failles critiques, dont certaines restées invisibles pendant des décennies. Lors de tests, il a même démontré sa capacité à enchaîner plusieurs vulnérabilités pour construire des exploits complexes de manière autonome . Mais au-delà des capacités réelles, c’est la mise en récit qui interroge. Mythos est présenté comme un « super-hacker » capable de surpasser les experts humains, alimentant une perception d’accélération incontrôlable de la menace. Le paradoxe est frappant : alors même que ces technologies pourraient améliorer significativement la détection, la remédiation et la résilience, elles sont d’abord perçues et présentées comme des facteurs de risque. L’IA ne transforme pas seulement la menace ; elle amplifie la manière dont celle-ci est racontée, contribuant à renforcer une économie de la peur déjà profondément ancrée dans le secteur. Pendant ce temps, les fondamentaux n’ont pas changé. L’exploitation de vulnérabilités connues, les erreurs de configuration ou les défauts d’hygiène restent les points d’entrée privilégiés des attaquants. Mais ces sujets, moins spectaculaires, peinent à rivaliser avec la puissance narrative d’une intelligence artificielle capable, en quelques minutes, de découvrir et exploiter des failles à grande échelle. Sortir du réflexe de la peur pour construire une cybersécurité durable Briser cette boucle ne suppose pas d’éliminer toute forme de peur, qui conserve une part de rationalité. L’enjeu consiste plutôt à la rééquilibrer par une meilleure capacité à exprimer la valeur. Cela passe d’abord par une transformation du récit. La cybersécurité ne se limite pas à prévenir des incidents ; elle rend possible la transformation des organisations, sécurise l’innovation, accélère les projets et fluidifie les opérations. Ces dimensions positives doivent devenir visibles et compréhensibles. Cela implique également de faire évoluer les indicateurs. Tant que les tableaux de bord resteront saturés de menaces et de détections, ils continueront à alimenter une vision anxiogène. À l’inverse, la mesure de la résilience, de la continuité d’activité, des temps de confinement ou des progrès architecturaux permet de valoriser des dynamiques de long terme. Enfin, il devient nécessaire de réhabiliter le travail de fond. La segmentation, le moindre privilège, la modernisation des architectures ou encore l’hygiène de sécurité constituent des efforts peu visibles, mais déterminants. Leur reconnaissance reste insuffisante dans un environnement dominé par l’urgence. Changer de langage pour changer de trajectoire La cybersécurité est devenue un marché structuré par la peur, au point que celle-ci en constitue désormais le langage commun. Si elle permet de créer de l’urgence, elle ne construit pas la résilience. Elle oriente les investissements vers des réponses immédiates, souvent au détriment des transformations structurelles. Le résultat est une sécurité perçue comme active, mais dont l’efficacité réelle reste difficile à évaluer. L’apparence prime sur la profondeur. L’enjeu n’est donc pas de nier l’efficacité économique de la peur, mais de s’interroger sur la dépendance qu’elle a créée. Tant que la valeur de la cybersécurité ne pourra être exprimée autrement que par la catastrophe évitée, l’industrie restera enfermée dans ses propres cycles. La véritable rupture viendra le jour où la confiance, la maîtrise et la capacité d’action sauront mobiliser autant que la peur. *Damien Gbiorczyk est expert en cyber-résilience chez Illumio

🔗 Lire l'article original 👁️ 0 lecture