Forum InCyber — Épisode 2 : « Être ou ne pas être poutré, telle n’est plus la question »

Au Forum InCyber 2026, IT for Business a consacré sa deuxième émission en direct à la cyber résilience. Détection, confinement, supply chain, facteur humain, fuites de données, IA, service public d’assistance : les invités ont détaillé ce qu’il faut désormais préparer pour encaisser une attaque et repartir vite.

Dès l’ouverture de la séquence, le ton est donné. Avec Yvan Rogissard, Sales Engineer Director Southern Europe chez Zscaler, et Damien Gbiorczyk, Regional Sales Director SEMEA chez Illumio, la résilience n’est pas abordée comme un slogan de plus, mais comme un révélateur des limites actuelles des entreprises.

Premier enseignement partagé par les deux invités : il y a bien une prise de conscience. Yvan Rogissard rappelle ainsi que, dans l’étude portée par Zscaler, « plus de 90 % des sondés » disent avoir développé une stratégie autour de la cyber-résilience. Même constat chez Illumio, où Damien Gbiorczyk évoque une « prise de conscience réelle aujourd’hui des enjeux de cyber-résilience », dans un contexte où celle-ci pourrait même devenir « un atout majeur et compétitif pour les sociétés dans le futur ».

La bonne nouvelle, donc, c’est que le sujet est enfin sur la table. La mauvaise, c’est que cette prise de conscience reste encore très incomplète dans ses effets. Les entreprises semblent progresser sur la visibilité, mais beaucoup moins sur la capacité à agir. C’est le cœur de la démonstration portée par Illumio : « 95 % des sondés en France nous disent être confiants dans la manière qu’ils ont de pouvoir détecter une attaque, mais seulement 45 % nous disent être en compétence rapide sur comment contenir cette attaque », souligne Damien Gbiorczyk. En clair : voir venir n’est pas encore savoir encaisser.

La cyber-résilience sort enfin du château fort

Ce premier échange a aussi le mérite de sortir la résilience d’une lecture strictement interne. Chez Zscaler, l’un des signaux intéressants est que les organisations regardent davantage au-delà de leurs murs. Yvan Rogissard insiste sur ce point : « Je peux opérer de façon parfaite en interne ; si tous mes fournisseurs sont morts, je ne peux plus opérer ». Voilà résumé en une phrase la fin du vieux périmètre rassurant.

Dans cette logique, la supply chain et l’écosystème élargi deviennent des objets directs de résilience. L’étude évoquée par Zscaler montre ainsi que « plus de 66 % des sondés » considèrent le risque supply chain comme majeur dans l’évaluation du risque cyber. Une façon de rappeler qu’une entreprise ne tient jamais seule debout, même lorsqu’elle croit avoir verrouillé son propre SI.

Le grand écart entre visibilité et maîtrise

L’un des points les plus justes de cet échange tient dans le diagnostic posé sur les entreprises : elles confondent encore trop souvent visibilité et maîtrise. Damien Gbiorczyk le formule à sa manière, avec une image simple : « C’est comme si quelqu’un rentre chez vous et est en train de cambrioler votre maison. Le détecter, ce n’est pas si compliqué. Comment vous allez être en mesure de l’enfermer dans une seule pièce ? »

Derrière l’analogie, le chiffre est brutal : « Seulement 8 % des sociétés sont capables de détecter en temps réel une charge de travail et de la confiner. » C’est peu. Et c’est surtout révélateur d’un biais d’investissement assez classique : on a beaucoup mis sur l’outillage de détection, moins sur la capacité de confinement et de reprise. La supervision est nécessaire, convient Yvan Rogissard, mais « elle n’est pas suffisante ». Il faut aussi « des moyens basés sur une architecture résiliente », « évaluée et testée régulièrement ».

Il faut assumer qu’on sera compromis

L’idée centrale de cette première grande interview est là : la vraie maturité cyber commence le jour où l’on arrête de croire que l’on échappera à l’impact. « Poutré ou ne pas être poutré, ce n’est plus la question », reprend à son compte Damien Gbiorczyk. Formule provocante, mais juste. Les deux intervenants convergent : la résilience suppose désormais d’assumer la compromission possible, et de savoir redémarrer.

Yvan Rogissard le dit autrement : « Il faut avoir une résilience by design ». Damien Gbiorczyk complète : « Il faut être prêt à remonter son système d’information, opérer de façon différente… » Et de rappeler que la résilience ne se réduit pas à la bascule d’un système à un autre. Elle suppose aussi de savoir « redémarrer à froid une fois que l’irréparable a été commis ».

L’IA et le quantique creusent déjà un nouveau retard

Autre point fort de l’échange : la résilience n’est plus pensée uniquement à l’aune des menaces connues. L’IA générative, les usages sauvages des LLM et, plus loin encore, l’horizon quantique, ouvrent déjà un nouveau front. Damien Gbiorczyk note ainsi que « seulement 21 % des décideurs considèrent le shadow LLM comme un risque ». C’est peu, beaucoup trop peu même, au regard des usages réels.

Même alerte chez Zscaler, où Yvan Rogissard estime qu’il existe encore un vrai « gap » d’awareness. « Seulement 50 % des gens considèrent qu’ils ont inclus l’AI et/ou le quantique dans leur politique de cyber-résilience. » Or le sujet n’est pas hypothétique : fuites de données causées par des IA non contrôlées, informations chiffrées aujourd’hui, mais potentiellement déchiffrables demain, et accumulation de dettes de sécurité autour de technologies déjà en place. Là encore, la résilience risque de courir après le réel.

Le risque tiers ne s’arrête pas au prestataire visible

Avec Renaud Feil, CEO et cofondateur de Synacktiv, la discussion s’est déplacée vers un autre angle mort : le risque tiers. Et le mérite de son intervention est d’en élargir immédiatement le périmètre. Le risque tiers, ce n’est pas seulement le prestataire identifié dans un contrat. Ce sont aussi les bibliothèques open source, les chaînes CI/CD, les modules DevOps, les briques de code intégrées partout dans les logiciels.

Son constat est sans ambiguïté : « Aujourd’hui, en simplifiant, quasiment toutes vos données sont chez des tiers ou assimilés. » Là où, il y a vingt-cinq ans, les entreprises opéraient encore beaucoup en interne, elles gèrent désormais leur IT « avec des partenaires et avec des systèmes externalisés ». Dès lors, une question se pose : « Comment contrôler ce qui n’est plus chez vous ? »

Les questionnaires ne font pas une preuve de sécurité

Cette interrogation débouche logiquement sur celle de l’évaluation des fournisseurs. Et sur ce point, Renaud Feil se montre assez clair. Les questionnaires, certifications et auto-déclarations ont certes eu leur utilité, mais ils ne suffisent plus. « Le questionnaire, encore une fois, c’est mieux que rien », concède-t-il. Mais il ajoute aussitôt que le temps passé à remplir cette paperasse représente souvent « du temps et du budget en moins pour faire de la sécurité dans les systèmes au quotidien ».

L’intérêt de son retour d’expérience est justement de montrer que certaines grandes organisations commencent à aller plus loin. Il cite notamment TotalEnergies, qui a intégré ses principaux fournisseurs dans le périmètre de ses tests offensifs. « Si vous êtes fournisseur de TotalEnergies, vous êtes englobé dans le périmètre… les prestataires d’intrusion de TotalEnergies ont le droit de venir vous attaquer. » Mieux : ces fournisseurs « rentrent dans le jeu » et y voient parfois une opportunité de renforcer leur propre sécurité. En matière de résilience, le réalisme technique finit donc par reprendre ses droits.

Le grand retour des fondamentaux mal fermés

Autre enseignement frappant de l’intervention de Synacktiv : malgré tous les discours sur les attaques sophistiquées et l’IA, les points d’entrée restent souvent d’une banalité désarmante. « On revient à des attaques qu’on qualifierait pas de basiques… mais c’est des applications exposées, des mots de passe faibles qui se retrouvent dans des leaks de données », observe Renaud Feil.

La remarque est précieuse, parce qu’elle rappelle une vérité ingrate : les progrès faits sur certains vecteurs — le phishing, par exemple — ne suppriment pas les angles morts plus anciens. Ils les redéplacent. Les portes les plus visibles se ferment un peu mieux ; les attaquants reviennent alors à d’autres ouvertures, parfois plus anciennes, mais toujours efficaces.

Le facteur humain ne doit plus être traité comme un maillon faible

Avec Jean-Baptiste Artignan, cofondateur de Blue Secure, la séquence revient à ce que beaucoup continuent encore d’appeler, parfois un peu vite, le « facteur humain ». Son propos a le mérite de corriger d’emblée une vieille habitude. Non, l’utilisateur ne doit plus être décrit comme le maillon faible. « Il faut faire de l’utilisateur le maillon fort », affirme-t-il. Mieux : « le premier et le dernier rempart de défense ».

C’est une inflexion importante. Pendant des années, les politiques de sensibilisation ont souvent oscillé entre infantilisation, culpabilisation et répétition mécanique de campagnes de phishing. Or, explique-t-il, cela peut devenir contre-productif. « Le but, c’est de les responsabiliser », pas de les accabler. D’où l’intérêt, selon Blue Secure, d’approches plus interactives, plus gamifiées, qui favorisent les bons comportements et récompensent les signalements plutôt que de pointer seulement les erreurs.

Le phishing IA change d’échelle, pas seulement de forme

Là encore, l’IA change la donne, mais de façon très concrète. Jean-Baptiste Artignan décrit un basculement : les deepfakes rendent les attaques plus crédibles, les e-mails générés par IA suppriment les signes grossiers qui permettaient autrefois de flairer l’arnaque, et surtout la personnalisation devient industrielle. « Ce qui a changé ces derniers mois, c’est la personnalisation et le passage à une échelle supérieure », résume-t-il.

Le spear phishing existait déjà. Mais là où il mobilisait hier du temps humain, il peut désormais être automatisé. « Maintenant, l’agent IA est capable de collecter automatiquement les infos, de rédiger les mails automatiquement et finalement chaque individu va recevoir un e-mail personnalisé. » La formule qu’il emploie frappe juste : « Avant, on parlait de fermes à trolls… maintenant, c’est des fermes à agents. »

Pour les DSI et les RSSI, la conséquence est immédiate : la sensibilisation ne peut plus se contenter de rappeler quelques règles d’hygiène génériques. Elle doit intégrer la charge cognitive, le contexte métier, les habitudes de travail et les logiques de précipitation qui rendent les collaborateurs vulnérables.

Cybermalveillance veut devenir le réflexe cyber du quotidien

Avec Jérôme Notin, directeur général du GIP ACYMA et visage de cybermalveillance.gouv.fr, la discussion a pris une autre ampleur, celle du service public en construction. Il rappelle d’abord ce que recouvre désormais le dispositif : cybermalveillance.gouv.fr, mais aussi depuis décembre 2024 le « 17 cyber », qui permet aux victimes d’échanger 24h/24 et 7j/7 avec un policier ou un gendarme.

Le projet présenté par le gouvernement va plus loin encore avec un futur portail national de la cybersécurité du quotidien. L’ambition est claire : faire de cette entrée un réflexe universel. « Quel que soit son besoin, on devra à terme pouvoir trouver toute l’information cyber », résume Jérôme Notin. Qu’il s’agisse d’assistance, de prévention, d’orientation pour les étudiants ou de visibilité sur les aides disponibles pour les entreprises, le portail doit recentrer une offre aujourd’hui éclatée entre trop de sites et de plateformes.

Des fuites de données au passage à l’acte physique

Son intervention valait aussi pour les chiffres. Plus de 504 000 demandes d’assistance, 5,1 millions de visiteurs : la plateforme continue de monter en puissance. Est-ce le signe d’une menace plus forte ou d’une meilleure connaissance du service ? « Sûrement un peu des deux », répond-il.

Mais le passage le plus marquant concerne les effets des fuites de données. Pour Jérôme Notin, un seuil a été franchi. Les fuites ne sont plus seulement des incidents numériques avec des conséquences financières ou réputationnelles. Elles peuvent désormais produire des effets physiques. Il cite les cas liés à la Fédération française de tir ou aux crypto-actifs, avec des cambriolages, des enlèvements, voire des actes de torture. « On a basculé de ce monde numérique, où on était vraiment embêtés dans le numérique, à des actions physiques. »

Le constat est rude, mais il change profondément le cadrage de la résilience. La cybersécurité n’est plus un sujet confiné à l’écran. Elle déborde dans la vie matérielle des victimes. Et cette évolution donne d’autant plus de poids à la dernière question posée sur le plateau : est-on en train de bâtir un véritable service public de cyber-résilience ? « J’espère. C’est surtout l’objectif », répond Jérôme Notin.

Le général Watin-Augouard replace la question au niveau politique

Pour conclure cette deuxième émission, le général Marc Watin-Augouard, fondateur du Forum InCyber, a élargi le champ. Et son intervention a surtout eu le mérite de rappeler que les dépendances, la résilience et l’IA ne relèvent plus seulement d’une conversation technique. « Ce Forum InCyber… s’inscrit dans un tournant, un changement complet de paradigme », affirme-t-il.

Le constat est simple : l’intelligence artificielle est partout dans le salon, mais surtout partout dans les chaînes de dépendance. « L’IA est en train de renforcer nos dépendances au lieu d’essayer de nous en libérer ? C’est là la vraie question. » Et pour lui, cette question n’est ni technique ni juridique. « C’est une question politique. »

Son propos rejoint celui de Guillaume Tissier, mais en le durcissant encore : la souveraineté est un état à atteindre, mais elle se travaille « par le bas », en corrigeant domaine par domaine les dépendances réelles. « On ne va pas attaquer les choses par le haut en disant souveraineté, souveraineté, souveraineté, mais par le bas en disant : là, j’ai un problème, comment je vais le résoudre ? »

Pas de résilience sans maîtrise des dépendances

L’une des phrases les plus fortes de cette fin d’émission est sans doute celle-ci : « Comment voulez-vous être cyber-résilient si vous êtes dépendant ? » Pour le général Watin-Augouard, la résilience n’est pas un concept isolé. Elle est « une conséquence de la souveraineté », ou, plus précisément, « une conséquence de la maîtrise des dépendances ». Sans cette maîtrise, l’idée même d’absorber le choc et de repartir relève du vœu pieux.

Il pousse aussi plus loin la réflexion, en évoquant une « métamorphose cybernétique » déjà enclenchée, sous l’effet du quantique, de l’IA et de l’Internet des objets. Selon lui, le monde politique et administratif continue trop souvent de raisonner avec les logiciels du siècle passé. Or l’urgence est déjà là. Sa mise en garde finale porte moins sur l’attaque visible que sur l’attaque cognitive : « Il y a un système de traitement automatisé de données qui est le plus extraordinaire, mais qui est le moins protégé, c’est notre cerveau. »

Et c’est peut-être là que cette émission a trouvé sa chute la plus forte. Au-delà des systèmes, des plateformes, des outils et des dépendances industrielles, la prochaine grande bataille de la résilience sera aussi celle du libre arbitre.

Pour les DSI, la résilience devient une discipline de reprise

De cette deuxième séquence, les DSI peuvent tirer une leçon simple, mais exigeante. La résilience n’est plus un discours de principe, ni un appendice de la cybersécurité. Elle devient une discipline de reprise. Cela implique au moins cinq chantiers.

Le premier consiste à sortir d’une vision purement défensive : la détection n’a de valeur que si elle débouche sur du confinement rapide et des scénarios testés. Le deuxième impose de traiter la supply chain comme une composante directe du SI, et non comme une périphérie contractuelle. Le troisième oblige à réévaluer le risque humain, non plus en culpabilisant les collaborateurs, mais en les armant face à des attaques de plus en plus personnalisées. Le quatrième suppose de prendre au sérieux les nouveaux angles morts — shadow LLM, quantique, fuites de données recoupées, manipulation cognitive. Le cinquième, enfin, consiste à préparer le redémarrage avant l’impact, parce que l’enjeu n’est plus seulement d’éviter le coup, mais de savoir repartir vite, proprement et lucidement.

Au fond, cette émission l’a dit de plusieurs façons, techniques ou politiques, sobres ou plus rugueuses. La question n’est plus de savoir si l’on sera touché. La question est de savoir ce qui restera debout quand cela arrivera.

---

À LIRE AUSSI :

Secu

Forum InCyber — Épisode 1 : « Le vrai sujet, c’est l’excès de dépendance », selon Guillaume Tissier

Alessandro Ciolek

31 Mar