Klaerenn
⌘K
Klaerenn
Tribunes

Cybersécurité : et si l'État parlait enfin le langage du risque entrepreneurial ?

'Ça coûte 10 fois moins cher de se protéger.' Cette formule de l'ANSSI révèle un décalage profond avec la réalité des PME. Plaidoyer pour une approche économique du risque cyber.
Cybersécurité : et si l'État parlait enfin le langage du risque entrepreneurial ?

Par Franck Rouxel, CISO observateur des tensions entre conformité et réalité économique

« Ça coûte dix fois moins cher de se protéger que de subir une attaque. »

Cette formule, reprise par Vincent Strubel, directeur général de l'ANSSI, dans Les Échos, semble frappée au coin du bon sens. Pourtant, elle révèle surtout un décalage profond entre la doctrine de sécurité portée par l'État et la culture du risque qui structure l'économie réelle, particulièrement celle des PME et ETI.

Ce qui est vrai dans le cadre étatique et des grandes organisations ne l'est pas nécessairement pour les entreprises à taille humaine. C'est précisément ce que j'ai découvert en passant du secteur public au monde des entreprises privées : deux univers qui parlent fondamentalement des langues différentes quand il s'agit d'appréhender le risque.

NIS2 : des recettes du passé pour un monde en reconfiguration

Le projet de loi "Résilience", qui transpose la directive européenne NIS2, vise à étendre les obligations de cybersécurité à plus de 15 000 nouvelles entités. L'intention est louable, mais l'approche reste ancrée dans une vision réglementaire déconnectée du nouveau contexte mondial.

Nous sommes entrés dans ce que certains analystes comme Tariq Krim qualifient d'"ère de l'impensé" : tarifs douaniers massifs, escalade des tensions commerciales entre grandes puissances, reconfiguration des chaînes d'approvisionnement, volatilité des marchés... Le 2 avril 2025, des taxes de 34% ont été imposées sur les produits chinois par les États-Unis, avec une riposte symétrique annoncée par Pékin. Dans ce contexte, la stratégie numérique des entreprises est directement impactée par des facteurs géopolitiques qui dépassent largement la seule question de la sécurité.

Pourtant, la réponse de l'État à ces changements systémiques consiste à déployer des mécanismes de conformité issus d'un monde stable et prévisible. C'est comme si nous tentions d'appliquer les règles du commerce maritime du XIXe siècle à l'économie numérique du XXIe.

L'argument économique confronté à la réalité du terrain

Présenter la cybersécurité comme un investissement « rentable » relève d'une vision administrative éloignée des réalités entrepreneuriales. Le rapport d'activité 2024 des CSIRT territoriaux le démontre : le coût moyen d'une cyberattaque pour une PME/ETI est de 150.000€, composé à 20% de coûts directs et à 80% de pertes d'exploitation.

Mais ce calcul théorique ignore la réalité quotidienne de l'entrepreneur. Sur le terrain, la cybersécurité reste fondamentalement un centre de coût qui ne génère pas de revenus directs, comprime les marges et n'offre que rarement un avantage compétitif visible aux yeux des clients.

Cette équation financière se complexifie davantage dans le nouveau contexte international : "La taxation des circuits et des pays permettant l'assemblage des produits va peser sur la rentabilité ou sur l'inflation tech sur les marchés domestiques." Ce phénomène touche également l'Europe et affecte directement les coûts d'infrastructure des solutions de sécurité, rendant l'investissement encore plus difficile à justifier pour une PME.

Le chef d'entreprise : un gestionnaire rationnel du risque dans un monde instable

C'est peut-être là que le regard institutionnel pèche par manque d'empathie et de mise à jour. L'entrepreneur n'a pas attendu la cybersécurité pour se familiariser avec la notion de risque. Il navigue quotidiennement entre risques commerciaux, financiers, humains et logistiques.

Il hiérarchise constamment ces menaces selon ses ressources limitées et sa vision stratégique. Et contrairement au fonctionnaire, il assume personnellement les conséquences économiques de ses arbitrages.

Dans ce nouvel environnement caractérisé par un "basculement stratégique complet", les dirigeants doivent désormais intégrer dans leurs décisions des variables qui n'existaient pas il y a encore quelques années :

  • La déstabilisation sans résultats tangibles à court terme
  • Les ruptures d'approvisionnement en composants critiques
  • L'émergence de nouvelles règles commerciales bilatérales
  • La volatilité économique comme nouvelle norme

Le paradoxe d'une exigence sans moyens adaptés

L'injonction devient paradoxale lorsque ces mêmes entreprises sont sommées d'investir massivement en cybersécurité tout en maintenant des ratios de performance financière irréprochables, notamment sous le regard vigilant des commissaires aux comptes et des banques.

Les cas d'entreprises comme Octave, éditeur de solutions ERP placé en liquidation judiciaire en mars 2025 après une cyberattaque, illustrent la vulnérabilité structurelle des PME. Mais ils ne doivent pas devenir des épouvantails moralisateurs.

Cette double contrainte crée une tension souvent insoluble : sécuriser ses systèmes sans dégrader sa rentabilité opérationnelle, dans un environnement économique où chaque euro compte et où les ressources sont limitées.

Un constat s'impose pourtant : "même avec subventions et barrières tarifaires, les infrastructures, compétences et chaînes logistiques nécessaires à une relocalisation industrielle rapide ne sont pas là." Ce constat s'applique également à la cybersécurité : les compétences, outils et processus demandent du temps pour être intégrés efficacement dans les PME, mais l'État exige une transformation numérique sécurisée immédiate sans tenir compte de ces délais d'adaptation réels.

Pour un soutien ancré dans la réalité entrepreneuriale

Plutôt que de multiplier les obligations et sanctions issues d'une vision révolue, l'État gagnerait à déployer des mécanismes d'accompagnement tenant compte des reconfigurations mondiales en cours :

  • Un crédit d'impôt cybersécurité dédié aux PME/ETI, transformant une partie de l'investissement défensif en avantage fiscal concret et qui intègrerait également les surcoûts liés aux tensions sur les chaînes d'approvisionnement technologiques.
  • Des plateformes de mutualisation économique inspirées du modèle des CSIRT territoriaux, permettant aux entreprises d'un même territoire de partager les coûts des infrastructures et compétences de sécurité, créant des écosystèmes de résilience adaptés aux nouvelles réalités géopolitiques.
  • Un fonds de garantie cyber cofinancé par l'État et les assureurs, offrant un filet de sécurité financier modulable en fonction des impacts des tensions internationales sur les coûts de mise en conformité.

Ces dispositifs incarneraient une approche où la résilience cyber devient un enjeu collectif, et non plus la seule responsabilité d'entrepreneurs isolés face à leurs arbitrages économiques quotidiens.

Vers une doctrine adaptée au monde de "l'impensé"

La cybersécurité ne progressera pas par l'application de modèles réglementaires conçus pour un monde qui n'existe plus. Elle s'ancrera dans le tissu économique par :

  • Une compréhension des vulnérabilités spécifiques des entreprises dans ce nouvel environnement de restructuration globale.
  • La capacité de l'État à moduler ses exigences selon non seulement la taille des structures, mais aussi leur exposition aux fluctuations des marchés mondiaux et des tensions géopolitiques.
  • Un cadre qui valorise l'adaptation et la résilience plutôt que la conformité à des standards statiques, reconnaissant que nous sommes entrés dans une ère d'incertitude structurelle.

En conclusion : respecter la culture du risque entrepreneurial

Le risque cyber s'inscrit dans une constellation de risques que l'entrepreneur doit gérer avec des ressources limitées. Il mérite d'être traité avec discernement, dans une approche proportionnée, et non sous la pression d'une injonction déconnectée des réalités économiques.

L'État gagnerait à adopter le langage du risque partagé, à construire une posture de confiance, et à reconnaître que parfois, l'acte premier de résilience consiste à comprendre que chaque euro investi en cybersécurité est aussi un euro qui n'est plus disponible pour d'autres dimensions vitales de l'entreprise, en particulier dans une économie mondiale entrée dans ce que Tariq Krim a justement qualifié d'"ère de l'impensé".

Initialement publié sur LinkedIn le 2025-04-10

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.