Klaerenn
⌘K
Klaerenn
Tribunes

Cybersécurité : Et si on arrêtait de complexifier ce qui devrait être simple ?

652 ans : c'est le temps qu'il faudrait à l'ANSSI pour auditer toutes les entités NIS2. Face à cette impossibilité, nous ajoutons des comités et des process. Et si on pensait simple ?
Cybersécurité : Et si on arrêtait de complexifier ce qui devrait être simple ?

Le rapport de la Cour des comptes sur la cybersécurité vient de paraître. 112 pages qui confirment ce que le terrain sait déjà : notre approche actuelle nous mène droit dans le mur. Mais au-delà des constats, ce document révèle surtout notre incapacité collective à penser simple quand il s'agit de cyber. Proposition pour une approche radicalement différente.

"Il faudrait 652 ans à l'ANSSI pour auditer une fois toutes les entités concernées par NIS2."

Ce calcul, tiré du rapport de la Cour des comptes, résume notre problème. Face à cette impossibilité mathématique, que proposons-nous ? Plus de structures de coordination, plus de comités, plus de process.

C'est notre réflexe pavlovien : quand ça ne marche pas, on complexifie.

Première leçon du terrain : Ce qui marche est toujours simple

Prenons Cybermalveillance.gouv.fr. Cette plateforme traite 280 000 demandes par an avec 19 personnes et 3 millions d'euros. Soit environ 10€ par assistance. Un miracle d'efficacité.

Son secret ? La simplicité. Un point d'entrée unique. Un diagnostic automatisé. Une mise en relation directe avec des professionnels certifiés. Pas de comité de pilotage stratégique transverse. Juste un service qui répond à un besoin.

Paradoxe : cette réussite est en situation de précarité budgétaire permanente. Pourquoi ? Parce qu'elle ne rentre pas dans les cases. Trop directe, trop efficace, pas assez institutionnelle.

Deuxième leçon : L'exemplarité vaut mieux que mille réglementations

Le rapport révèle que l'État affiche un score de maturité cyber de 42,4%. L'objectif minimal est à 65%. Nous sommes donc 23 points sous notre propre standard.

Dans le même temps, nous nous apprêtons à transposer NIS2 pour 15 000 entités. La directive européenne prévoit des sanctions jusqu'à 2% du chiffre d'affaires, certes. Mais leur application reste à la discrétion des autorités de contrôle.

Cette dissonance pose une question simple : avec quelle crédibilité un État à 42,4% de maturité peut-il sanctionner des entreprises qui font des efforts ? Le choix d'appliquer ou non les sanctions révélera notre vraie philosophie : punir ou progresser ensemble ?

Troisième leçon : Les entreprises comprennent le risque, pas le jargon

Les dirigeants de PME ne sont pas des inconscients. Ils gèrent quotidiennement des risques : commercial, financier, humain, réglementaire. La cyber n'est qu'un risque parmi d'autres.

Ce qu'ils ne comprennent pas, c'est pourquoi on brandit des sanctions théoriques (que nous n'aurons de toute façon pas les moyens de contrôler) plutôt que de les aider concrètement à progresser.

Un crédit d'impôt cyber de 50% transformerait instantanément NIS2 d'une contrainte en opportunité. Mais c'est trop simple, donc on préfère agiter le bâton de sanctions qu'on appliquera... ou pas.

Proposition pour une approche qui pourrait (vraiment) marcher

1. Arrêtons de réinventer ce qui fonctionne

Les parcours de cybersécurité ont fait progresser 946 entités de D+ à B pour 86 000€ en moyenne. ROI prouvé. Méthode validée.

Solution évidente : industrialiser ce dispositif pour accompagner les 15 000 entités NIS2.

Mais non. Le programme s'arrête faute de financement pérenne. On préfère lancer de nouvelles expérimentations.

Proposition : Sanctuariser 150M€/an pour déployer 2000 parcours cyber annuels. En 7 ans, tout le périmètre NIS2 serait couvert. Simple, chiffré, faisable.

2. Un euro par Français pour la cyber de proximité

Cybermalveillance.gouv.fr a prouvé son utilité. Donnons-lui les moyens de ses ambitions.

Proposition : 1€ par citoyen par an = 67M€. De quoi décupler les capacités, créer des antennes régionales, former des milliers de professionnels labellisés.

C'est le prix d'un timbre-poste pour protéger nos TPE/PME. Qui peut sérieusement s'y opposer ?

3. L'État doit montrer l'exemple avant d'exiger

Principe simple : pas d'obligations nouvelles pour le privé tant que le public n'atteint pas 65% de maturité cyber.

Proposition : Un "contrat de confiance cyber". L'État s'engage sur un calendrier de mise à niveau. En contrepartie, les entreprises acceptent une montée en charge progressive des obligations.

Et surtout : moratoire sur les sanctions tant que l'État n'a pas atteint ses propres objectifs. La carotte avant le bâton.

4. Simplifier radicalement l'écosystème

Aujourd'hui : SGDSN, ANSSI, OSIIC, VIGINUM, COMCYBER, COMCYBER-MI, DGSI, C4, COSINUS, CINUS, C3PC... Un millefeuille illisible.

Proposition : Un guichet unique par région. Un interlocuteur. Un process. Des solutions.

Les entreprises s'en fichent de savoir si elles dépendent du CSIRT sectoriel, territorial ou ministériel. Elles veulent juste de l'aide quand elles sont attaquées.

5. Transformer la contrainte en opportunité économique

NIS2 représente 100 à 200k€ d'investissement par PME. C'est énorme. Sauf si...

Proposition : Crédit d'impôt cyber de 50% sur 3 ans. Amortissement accéléré des investissements. Bonus RSE pour les entreprises certifiées.

Résultat : la cyber devient un avantage compétitif, pas un centre de coût. Les entreprises se battront pour être conformes. Plus besoin de brandir des sanctions.

Le vrai enjeu : Choisir entre sanctionner et accompagner

La directive NIS2 nous laisse le choix. Les sanctions jusqu'à 2% existent sur le papier. Mais c'est à nous de décider : veut-on une cyber de la peur ou une cyber de la confiance ?

Avec 23 audits par an pour 15 000 entités, l'application des sanctions sera de toute façon arbitraire. Qui sera contrôlé ? Sur quels critères ? Avec quelle équité ?

Plutôt que cette loterie punitive, construisons un système où les entreprises VEULENT être conformes parce que c'est dans leur intérêt.

Pour conclure : Le courage du bon sens

La cybersécurité n'est pas un sujet technique. C'est un sujet de bon sens.

Financer ce qui marche. Accompagner plutôt que menacer. Simplifier au lieu de complexifier. Montrer l'exemple avant d'exiger.

Ces principes sont d'une banalité confondante. C'est justement pour ça qu'ils pourraient fonctionner.

Le rapport de la Cour des comptes a posé le diagnostic. À nous maintenant d'avoir le courage de la simplicité. Et surtout, le courage de choisir : veut-on vraiment élever le niveau de cyber-résilience collective, ou juste avoir un nouveau prétexte pour sanctionner ?

Car pendant qu'on débat de l'application des sanctions qu'on n'aura pas les moyens de contrôler, les cyberattaquants, eux, avancent.

Et ils ont le mérite de la simplicité : ils attaquent, point.

La vraie question n'est pas de savoir si on PEUT sanctionner. C'est de savoir si on DOIT le faire quand on pourrait obtenir de meilleurs résultats en accompagnant.

Le choix est entre nos mains. Espérons que nous choisirons la sagesse plutôt que l'autorité.

Initialement publié sur LinkedIn le 2025-06-17

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.