le choix de la sécurité

Par Antoine Legrand business 9 min de lecture
le choix de la sécurité

J’ai vu ce scénario se répéter dans des dizaines de PME et de grands groupes : un directeur technique ou un chef d'entreprise s’assoit devant un catalogue de solutions logicielles, convaincu que le prix le plus élevé ou la marque la plus connue garantira la tranquillité. Ils signent un chèque de 15 000 euros pour une suite logicielle "tout-en-un", passent trois mois à essayer de la configurer, pour finir par se rendre compte que personne dans l'équipe ne sait s'en servir et que les accès critiques restent ouverts aux quatre vents. C'est là que réside le drame : ils ont complètement raté Le Choix de la Sécurité en pensant qu'il s'agissait d'une simple transaction commerciale alors que c'est une décision d'ingénierie humaine. Le résultat ? Une intrusion par un simple mail de phishing six mois plus tard, une rançon de deux Bitcoins demandée, et un système d'alarme coûteux qui n'a même pas sonné parce que la configuration de base n'était pas adaptée au métier réel de la boîte.

Acheter une boîte au lieu de construire une culture de défense

L'erreur la plus fréquente que je croise, c'est de croire qu'on peut déléguer sa responsabilité à un fournisseur tiers. On se dit qu'en achetant la solution X ou Y, on transfère le risque. C'est une illusion totale. Les commerciaux vous vendent des tableaux de bord magnifiques avec des graphiques en temps réel, mais ils oublient de préciser que ces outils demandent une maintenance quotidienne que votre équipe actuelle n'a pas le temps d'assurer. Si vous achetez une Ferrari pour rouler dans un champ de boue, vous n'irez nulle part. Ne ratez pas notre dernier dossier sur cet article connexe.

Au lieu de chercher l'outil miracle, vous devez d'abord cartographier vos flux de données. Qui a accès à quoi ? Pourquoi ce stagiaire en marketing peut-il accéder au serveur de paie ? Si vous ne pouvez pas répondre à ces questions simples, aucun logiciel à 50 000 euros ne vous sauvera. J'ai vu des entreprises dépenser des fortunes pour protéger leur réseau interne alors que tous leurs employés travaillaient depuis des cafés en Wi-Fi public sans VPN. C'est l'équivalent de mettre une porte blindée sur une cabane de jardin dont les fenêtres n'ont pas de vitres. La solution consiste à définir des politiques d'accès strictes (le fameux Zero Trust) avant même de regarder le moindre devis. On commence par le processus, on finit par l'outil.

Le Choix de la Sécurité ne doit pas se faire sur des critères purement techniques

Le piège classique consiste à laisser les ingénieurs décider seuls dans leur coin sans consulter les gens qui utilisent les outils au quotidien. Un système de protection qui empêche les gens de bosser est un système qui sera contourné. Toujours. Si votre double authentification prend trois minutes à chaque connexion, vos employés vont trouver un moyen de laisser leurs sessions ouvertes ou de partager leurs codes. Pour un éclairage différent sur cet événement, lisez la récente mise à jour de BFM Business.

Le coût caché de la complexité inutile

Plus un système est complexe, plus il est fragile. J'ai conseillé une boîte de logistique qui avait mis en place un système de chiffrement tellement lourd que les serveurs plantaient à chaque pic d'activité. Ils ont fini par tout désactiver en urgence un vendredi soir pour honorer leurs commandes, laissant le réseau totalement nu pendant tout le week-end. Le vrai talent dans ce domaine, c'est de choisir la solution la plus simple qui couvre 80 % de vos risques majeurs. Les 20 % restants coûtent souvent dix fois plus cher à couvrir et ne concernent que des attaques d'États-nations qui ne vous visent probablement pas.

L'obsession du périmètre et l'oubli de la détection interne

La plupart des budgets partent dans la "prévention" : des pare-feu de plus en plus sophistiqués pour empêcher les gens d'entrer. C'est une stratégie qui date des années 90. Aujourd'hui, on part du principe que l'attaquant est déjà là, ou qu'il finira par entrer par une erreur humaine. L'erreur est de ne pas investir dans la détection et la réponse.

Imaginez deux entreprises. La première mise tout sur ses murs. Elle dépense tout son budget dans des barrières physiques et des gardes à l'entrée. Une fois qu'un intrus passe avec un faux badge, il peut se promener partout, voler les dossiers et repartir sans être vu. La deuxième entreprise a des murs plus modestes, mais elle possède des capteurs de mouvement partout, des caméras à chaque étage et une équipe prête à intervenir en cinq minutes. Laquelle est la mieux protégée ? La seconde, sans aucun doute. Dans le monde numérique, c'est pareil. Il vaut mieux savoir qu'on est attaqué en dix minutes plutôt que d'avoir une barrière "infranchissable" qui se fait contourner en silence pendant six mois.

Comparaison concrète entre l'approche théorique et la réalité du terrain

Pour bien comprendre où l'argent s'évapore, regardons comment deux structures gèrent leur transition vers le cloud.

L'entreprise A suit l'approche classique. Elle veut Le Choix de la Sécurité basé sur les recommandations des analystes de grands cabinets. Elle achète une solution de gestion des accès à privilèges (PAM) extrêmement complexe. L'intégration prend neuf mois au lieu de trois. Les administrateurs systèmes trouvent l'outil tellement contraignant qu'ils créent des comptes "de secours" cachés pour travailler plus vite. Résultat : l'entreprise a dépensé 100 000 euros, la surface d'attaque a en fait augmenté à cause des comptes cachés, et le moral de l'équipe technique est au plus bas.

L'entreprise B, elle, est pragmatique. Elle commence par imposer les clés de sécurité physiques (type Yubikey) pour tous les employés, ce qui coûte environ 50 euros par personne. C'est immédiat et ça élimine 99 % des risques liés au phishing. Elle investit ensuite dans une solution de journalisation simple qui alerte le responsable informatique si une connexion inhabituelle a lieu à 3 heures du matin depuis un pays étranger. Elle passe son temps non pas à configurer des usines à gaz, mais à former ses employés via des simulations réelles. Pour un budget total de 10 000 euros, elle est bien plus difficile à pirater que l'entreprise A.

Croire que la conformité égale la protection réelle

C'est sans doute le mensonge le plus dangereux du secteur. Parce que vous avez obtenu une certification ISO ou que vous respectez le RGPD, vous vous sentez en sécurité. J'ai vu des entreprises certifiées se faire dévaster par des attaques basiques. La conformité, c'est de la paperasse pour les assureurs et les régulateurs. C'est nécessaire pour le business, mais ça n'arrête pas un hacker.

Un pirate ne se soucie pas de savoir si votre registre de traitement des données est à jour. Il cherche la faille dans votre version de PHP qui n'a pas été patchée depuis 2022 ou le mot de passe "Admin123" laissé sur une imprimante connectée. Ne confondez jamais le fait de cocher des cases avec le fait de durcir votre infrastructure. Le temps que vous passez à remplir des tableurs pour l'audit, c'est du temps que vous ne passez pas à tester vos sauvegardes. Et si vos sauvegardes n'ont pas été testées le mois dernier, considérez que vous n'en avez pas.

La gestion des correctifs est votre vraie priorité

On oublie souvent les bases. Dans mon expérience, la majorité des failles exploitées auraient pu être évitées si les mises à jour de sécurité avaient été appliquées dans les 48 heures. Pourtant, beaucoup d'organisations attendent des semaines de peur que la mise à jour ne casse un logiciel métier. C'est un calcul de risque suicidaire. Vous préférez un bug logiciel mineur ou perdre l'intégralité de vos données clients ?

Sous-estimer la vitesse de récupération après un sinistre

Quand tout s'effondre, ce qui compte n'est pas ce que vous avez empêché, mais la vitesse à laquelle vous redémarrez. Beaucoup d'entreprises ont des systèmes de sauvegarde, mais elles n'ont jamais essayé de restaurer l'intégralité de leur système à partir de zéro. Elles pensent que ça prendra quelques heures. La réalité, c'est que ça prend souvent des jours, voire des semaines.

  • Le temps de racheter du matériel si le vôtre est compromis.
  • Le temps de télécharger des téraoctets de données sur une connexion internet standard.
  • Le temps de réinstaller tous les logiciels et de configurer les licences.

Chaque heure d'arrêt peut coûter des milliers d'euros en perte de productivité et en dommages à la réputation. Si vous ne savez pas exactement combien de temps il vous faut pour revenir en ligne, vous jouez à la roulette russe. Un plan de continuité d'activité (PCA) n'est pas un document PDF qui dort dans un tiroir, c'est un exercice que l'on pratique.

La vérification de la réalité

On ne va pas se mentir : la sécurité parfaite n'existe pas et elle ne sera jamais un projet terminé. C'est une tâche ingrate car quand vous faites bien votre travail, il ne se passe rien. Personne ne viendra vous féliciter parce que vous n'avez pas été piraté cette année. À l'inverse, dès qu'un problème survient, vous serez la première cible des critiques.

👉 Voir aussi : restaurant le galet bretignolles sur mer

Réussir demande un effort constant et un investissement humain plus que financier. Si vous cherchez une solution magique que vous pouvez installer et oublier, vous allez vous faire plumer par des vendeurs de rêve et vous finirez par faire la une des journaux spécialisés pour les mauvaises raisons. La sécurité, c'est de la discipline. C'est vérifier les logs quand on n'a pas envie, c'est forcer les changements de mots de passe même quand ça râle dans les bureaux, et c'est accepter de passer pour le paranoïaque de service. Si vous n'êtes pas prêt à avoir ces conversations difficiles avec votre équipe et votre direction, changez de métier, car le reste n'est que de la décoration technique.

AL

Antoine Legrand

Antoine Legrand associe sens du récit et précision journalistique pour traiter les enjeux qui comptent vraiment.

Articles associés

Le Marché de l'Abonnement Grand Public Connaît une Mutation Face au Durcissement des Régulations Européennes

Le Marché de l'Abonnement Grand Public Connaît une Mutation Face au Durcissement des Régulations Européennes
ani - kebab - falafel - baklava

ani - kebab - falafel - baklava
exemple de la lettre de change

exemple de la lettre de change
decathlon essentiel chambéry rue de borolan chambéry

decathlon essentiel chambéry rue de borolan chambéry