Cybersécurité 2025 : l'éternelle quête du Graal de la cyber-résilience

Secu

Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

Par François Jeanne, publié le 24 novembre 2025

Des attaques qui se multiplient, des surfaces d’exposition qui s’élargissent, et une IA qui renforce l’arsenal des hackers… Ils pourraient baisser les bras, mais les RSSI ne lâchent rien. C’est en utilisant la pression réglementaire comme un catalyseur, en diffusant la culture cyber dans l’entreprise et en rebâtissant inlassablement de nouvelles défenses, qu’ils espèrent et peuvent reprendre la main.

L’été sera chaud, disait le chanteur. L’année prochaine, sûrement. Mais dès cette année, et comme la précédente, elle fut déjà brûlante sur le front des attaques cyber. Impossible de dresser ici la liste de toutes les entreprises qui ont subi des vols de données, d’autant qu’il y a fort à parier qu’elles ne les ont pas toutes déclarés à la CNIL.

De quoi décourager les Comex, qui ont pourtant fini ces dernières années par accepter le coût de la sécurité des systèmes d’information, et souvent accueilli les RSSI en leur sein ? Sans doute et heureusement pas. Car même si certaines organisations, comme France Travail ou Auchan, ont dû reconnaître de nouvelles attaques réussies, quelques mois après une première intrusion, « cela ne signifie pas que leurs RSSI n’ont pas travaillé depuis le premier événement, analyse Emmanuel Cheriet, DG d’Intelcia ITS. C’est juste que la surface d’attaque à protéger n’en finit plus de s’élargir devant eux. »

Pas de tout repos

Pas au point de baisser les bras tout de même. Mais la lecture de notre dossier confirme à l’envi que les professionnels de la cybersécurité n’ont pas une vie de tout repos. Les menaces arrivent de toutes parts, en particulier au travers des supply chain et des API, ou encore via des briques open source de plus en plus souvent présentes au sein des systèmes d’information ; sans oublier les failles ouvertes par des utilisateurs négligents et/ou mal informés. Elles changent aussi de nature ou, pour être plus précis, d’intensité, à cause de l’irruption de l’intelligence artificielle dans l’arsenal des hackers.

Face à cela, les réponses techniques des RSSI et des DSI, leurs alliés naturels dans l’entreprise – le rapprochement est récent ! – se sont également étoffées. Les XDR, la plateformisation des solutions ou encore le recours à l’IA pour analyser les codes suspects et prévoir des comportements agressifs leur permettent de faire bonne figure, à défaut de pouvoir se dire totalement sereins.

Emmanuel Cheriet

DG d’Intelcia ITS

« L’ambiance est en passe de changer dans les entreprises. Les nouveaux business à lancer font aujourd’hui l’objet d’analyse des risques cyber associés, à la fois en termes de coûts, mais aussi d’image. »

À la recherche des facteurs X

La situation semblerait presque figée, avec un jeu d’attaque/défense, une lutte éternelle entre les gendarmes et les voleurs, les bons et les méchants. Heureusement, des éléments nouveaux laissent espérer des évolutions en profondeur. À commencer par les progrès de la règlementation (si si !), qui dessine des chemins certes de plus en plus exigeants, mais aussi de plus en plus clairs pour les responsables des entreprises. Difficile désormais pour un Comex de refuser à un RSSI les moyens de se mettre en conformité si la sanction pécuniaire prévue devient élevée, ou pire, si comme c’est le cas avec Dora par exemple, le non-respect d’un règlement peut entraîner une inscription de l’entreprise en liste noire, avec une interdiction d’opérer sur les marchés.

Autre tendance, encore ténue mais majeure, la religion du business first est enfin remise en question. Elle a conduit ces dernières années à des mises en place de solutions trop rapidement, voire à l’émergence d’une shadow IT bien difficile à contrôler. Il était alors compliqué pour un RSSI ou un DSI de s’opposer aux demandes et aux initiatives des métiers, systématiquement privilégiés en Comex. « Mais l’ambiance est en passe de changer, estime Emmanuel Cheriet. Les nouveaux business à lancer font aujourd’hui l’objet d’analyse des risques cyber associés, à la fois en termes de coûts mais aussi d’image. Et j’ai même vu des directions métiers qui se faisaient taper sur les doigts pour leur imprudence. »

De là à voir le RSSI comme une star écoutée des dirigeants, et la cybersécurité qu’il incarne comme une science exacte et respectée comme telle ? Sans doute pas, surtout tant que des attaques réussies et des vols de données feront régulièrement la une des journaux. Emmanuel Cheriet trouve le procès injuste, lui qui propose avec Intelcia ITS des solutions pour protéger, détecter, anticiper certes, mais pas de schémas directeurs : « On est encore essentiellement en réaction dans les entreprises, pas encore dans la diffusion d’une culture de la cybersécurité qui permettrait de combattre les risques au plus tôt de leur origine. »
Un peu comme des pompiers qui n’ont pas forcément le temps d’inspecter les lieux sous leurs responsabilités en amont des incendies, et se « contentent » de les éteindre, alors que ces sinistres sont pourtant prévisibles…

Anticiper bien sûr, et aussi innover

Pourtant, et comme le rappellent les experts, il y aurait beaucoup à faire par anticipation. En identifiant les risques, notamment les failles qui sont restées non traitées dans le SI. Puis en établissant des priorités de traitement, en fonction de leurs coûts mais aussi du rapport entre ces coûts et les améliorations attendues. Il ne faudrait pas non plus oublier de préparer la réaction, car comme le dit l’adage désormais bien intégré, ce n’est pas la question du si qu’il faut poser, mais celle du quand.

Pour toutes ces démarches, il existe des méthodes et des appuis, à chercher du côté de l’ANSSI, des normes, voire sur les guides d’audit associés aux nouvelles réglementations. Les RSSI sont au travail bien entendu, et à leurs côtés, les DSI sont conscients que c’est en renforçant leurs pratiques en amont du développement, avec DevSecOps notamment, que les nouvelles failles pourront être limitées.

Limitées mais certainement pas éliminées totalement. « La sécurité à 100 % n’existera jamais », rappelle Emmanuel Cheriet. Un constat qui ne doit pas empêcher de traiter le sujet, à commencer par la prise en compte du principal risque, à savoir le comportement des utilisateurs, « responsables de 70 % des failles. Mais il ne faut pas les braquer, ni les directions métiers ».

Comme nous le verrons tout au long de ce dossier publier épisode par épisode, les entreprises ne sont pas sans ressource et de nombreux acteurs français innovent pour apporter des solutions pratiques, modernes et originales.. Ainsi, Thierry Happe et son Predictive Cyberlab – qui nous a accordé un grand entretien que nous publierons Vendredi – misent sur une approche innovante, avec un story telling qui doit impliquer différemment les collaborateurs et leur faire prendre conscience que la cyber n’est pas une affaire de techniciens exclusivement.

D’autres vont beaucoup plus loin et méritent l’attention de ceux pour qui le positionnement du RSSI est intenable, notamment psychologiquement. À ceux-là, qui cherchent une issue à cette énième représentation du mythe de Sisyphe, suggérons la lecture de l’ouvrage Antifragile, les bienfaits du désordre de l’essayiste et scientifique Nassim Nicholas Taleb, qui revisite le mythe de l’Hydre de Lerne pour explorer les capacités de résilience et d’amélioration de systèmes – d’information – soumis au stress. Un auteur dont un précédent ouvrage traitait des « cygnes noirs ». N’est-ce pas un signe effectivement ?

LES COMMANDEMENTS DU RSSI EN 2025

  • Protéger en particulier l’organisation contre les nouvelles menaces basées sur l’IA
  • Sécuriser aussi l’IA, au niveau des usages mais aussi face aux menaces spécifiques qui la concernent
  • Maintenir l’excellence opérationnelle des processus de cybersécurité déjà en place
  • Agir sans nuire à l’agilité de l’entreprise et à ses prises d’initiatives business Auditer et sécuriser la chaîne d’approvisionnement en logiciels tiers et open source
  • Tenir compte des réglementations en cours de déploiement, et de celles à venir
  • Se protéger personnellement sur le plan juridique, par exemple au travers d’une assurance responsabilité civile des administrateurs et des dirigeants
  • Obtenir les ressources adaptées aux besoins du moment, qu’il s’agisse de compétences ou de budget
  • Défendre au plus haut niveau la place et le statut de la sécurité dans l’entreprise, donc celle du RSSI
  • Ne rien lâcher sur le front de la sensibilisation et de la formation des utilisateurs

AU SOMMAIRE DU DOSSIER SPECIAL CYBERSECURITE 2025

  • Anticiper et innover pour ne plus subir, le Graal de la cybersécurité
  • Move to cloud et essor de l’IA : la plateformisation de la cyber s’accélère (à découvrir le 25/11)
  • La convergence IT/OT bute à la porte du SOC (à venir…)
  • NIS 2, le chantier n°1 des RSSI pour 2026 (à venir…)
  • Entretien avec Thierry Happe, Président et Fondateur du Predictive Cyberlab (à venir…)
  • IA en cybersécurité : qui mène vraiment le jeu ? (à venir…)
  • Des outils et des services pour détecter les failles avant les hackers (à venir…)
  • Certificats TLS plus courts : industrialiser pour survivre (à venir…)
  • L’Europe, géant réglementaire aux pieds d’argile (à venir…)
  • Appuis publics à la cybersécurité des entreprises, une cartographie complexe (à venir…)
  • Cybersécurité de nos hôpitaux, une mission de l’État ? (à venir…)
  • DSI et RSSI ont appris à jouer en équipe (à venir…)
  • La cyber doit élargir son vivier de compétences (à venir…)
  • Les MSSP, une solution pour pallier la pénurie de talents cyber (à venir…)
  • Le stress des RSSI, une réalité avec laquelle composer (à venir…)
  • Dette de sécurité logicielle : un risque croissant à l’ère de l’IA (à venir…)
  • Réinventer la sensibilisation des collaborateurs à la cyber (à venir…)


À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights