{"id":100625,"date":"2026-03-02T21:53:48","date_gmt":"2026-03-02T20:53:48","guid":{"rendered":"https:\/\/dyb.fr\/?p=100625"},"modified":"2026-03-02T22:30:08","modified_gmt":"2026-03-02T21:30:08","slug":"quand-la-cybersecurite-devient-un-mauvais-pretexte","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/quand-la-cybersecurite-devient-un-mauvais-pretexte\/","title":{"rendered":"Quand la \u201ccybers\u00e9curit\u00e9\u201d devient un mauvais pr\u00e9texte"},"content":{"rendered":"\n

Le mot qui veut tout dire\u2026 et donc plus rien<\/h2>\n\n\n\n

Depuis quelques ann\u00e9es, un ph\u00e9nom\u00e8ne s\u2019installe progressivement dans les entreprises : tout devient un sujet de cybers\u00e9curit\u00e9<\/strong>.<\/p>\n\n\n\n

Un site bloqu\u00e9 ? Cybers\u00e9curit\u00e9.
Un port ferm\u00e9 ? Cybers\u00e9curit\u00e9.
Une restriction utilisateur ? Cybers\u00e9curit\u00e9.
Netflix interdit sur le Wi-Fi entreprise ? Cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

\u00c0 force d\u2019utiliser ce terme pour justifier n\u2019importe quelle d\u00e9cision technique ou organisationnelle, on finit par produire l\u2019effet inverse : la cybers\u00e9curit\u00e9 perd sa cr\u00e9dibilit\u00e9<\/strong>.<\/p>\n\n\n\n

Et je suis fatigu\u00e9 de voir la cyber utilis\u00e9e comme un vulgaire tampon administratif.<\/p>\n\n\n\n

Le probl\u00e8me n\u2019est pas la s\u00e9curit\u00e9 elle-m\u00eame \u2014 elle est indispensable. Le probl\u00e8me, c\u2019est son instrumentalisation.<\/p>\n\n\n\n

\n\n\n\n

La cybers\u00e9curit\u00e9 n\u2019est pas une morale.
C\u2019est une discipline de gestion du risque<\/strong><\/p>\n\n\n\n

Chaque mesure devrait r\u00e9pondre \u00e0 une question simple :<\/p>\n\n\n\n

\n

Quel risque concret je r\u00e9duis ?
Et \u00e0 quel co\u00fbt organisationnel ?<\/p>\n<\/blockquote>\n\n\n\n

Le cas typique : bloquer Netflix \u201cpour la cybers\u00e9curit\u00e9\u201d<\/h2>\n\n\n\n

Prenons un exemple volontairement simple.<\/p>\n\n\n\n

Certaines entreprises bloquent des plateformes comme Netflix, YouTube ou Spotify en expliquant qu\u2019il s\u2019agit d\u2019une mesure de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

Techniquement, cette justification ne tient pas<\/p>\n\n\n

\"\"<\/figure>\n\n\n

R\u00e9alit\u00e9 technique \u00e0 froid :<\/h3>\n\n\n\n
Sujet<\/th>R\u00e9alit\u00e9<\/th><\/tr><\/thead>
Netflix est-il un risque cyber majeur ?<\/td>Non<\/td><\/tr>
Connexions chiffr\u00e9es (HTTPS\/TLS) ?<\/td>Oui<\/td><\/tr>
Infrastructure s\u00e9curis\u00e9e ?<\/td>Oui (jetez un oeil \u00e0 Chaos Monkey \u2014 Wikip\u00e9dia<\/a> d'ailleurs )<\/td><\/tr>
Risque sup\u00e9rieur \u00e0 un site web classique ?<\/td>Non<\/td><\/tr>
Impact r\u00e9el ?<\/td>Consommation de bande passante
Utilisation de ressources pro pour le perso<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le vrai sujet est g\u00e9n\u00e9ralement :<\/p>\n\n\n\n

    \n
  • la gestion du d\u00e9bit r\u00e9seau<\/strong><\/li>\n\n\n\n
  • la productivit\u00e9<\/strong><\/li>\n\n\n\n
  • une politique RH ou manag\u00e9riale<\/strong><\/li>\n\n\n\n
  • la qualit\u00e9 de service pour des applications m\u00e9tiers<\/li>\n<\/ul>\n\n\n\n

    Ce sont des d\u00e9cisions l\u00e9gitimes.
    Mais ce ne sont pas des d\u00e9cisions de cybers\u00e9curit\u00e9<\/strong>.<\/p>\n\n\n\n

    Confondre les deux cr\u00e9e un probl\u00e8me culturel profond.<\/p>\n\n\n\n

    \n\n\n\n

    Quand la cybers\u00e9curit\u00e9 devient un mot magique<\/h2>\n\n\n\n

    Dans beaucoup d\u2019organisations, la cybers\u00e9curit\u00e9 est devenue un argument d\u2019autorit\u00e9 :<\/p>\n\n\n\n

    \n

    \u201cOn bloque \u00e7a pour la s\u00e9curit\u00e9.\u201d<\/p>\n<\/blockquote>\n\n\n\n

    Fin de la discussion.<\/p>\n\n\n\n

    Pourquoi cela arrive ?<\/p>\n\n\n\n

    1. Argument difficile \u00e0 contester<\/h3>\n\n\n\n

    Peu de personnes veulent prendre la responsabilit\u00e9 de s\u2019opposer \u00e0 une mesure pr\u00e9sent\u00e9e comme s\u00e9curitaire.<\/p>\n\n\n\n

    2. Simplification excessive<\/h3>\n\n\n\n

    Il est plus simple de dire \u201cs\u00e9curit\u00e9\u201d<\/em> que d\u2019expliquer :<\/p>\n\n\n\n

      \n
    • un arbitrage r\u00e9seau,<\/li>\n\n\n\n
    • une contrainte budg\u00e9taire,<\/li>\n\n\n\n
    • une politique interne.<\/li>\n<\/ul>\n\n\n\n
      \n\n\n\n

      Le vrai danger : d\u00e9cr\u00e9dibiliser la cybers\u00e9curit\u00e9<\/h2>\n\n\n\n

      \u00c0 court terme, ces d\u00e9cisions semblent anodines
      \u00c0 long terme, elles cr\u00e9ent trois effets tr\u00e8s probl\u00e9matiques :<\/p>\n\n\n\n

      1. Fatigue des utilisateurs<\/h3>\n\n\n\n

      Quand tout est bloqu\u00e9 pour des raisons floues :<\/p>\n\n\n\n

        \n
      • les utilisateurs contournent,<\/li>\n\n\n\n
      • utilisent leurs t\u00e9l\u00e9phones,<\/li>\n\n\n\n
      • cr\u00e9ent du shadow IT.<\/li>\n<\/ul>\n\n\n\n

        R\u00e9sultat : moins de s\u00e9curit\u00e9 r\u00e9elle<\/strong>.<\/p>\n\n\n\n

        \n\n\n\n

        2. Perte de confiance envers les \u00e9quipes IT<\/h3>\n\n\n\n

        Les collaborateurs finissent par associer cybers\u00e9curit\u00e9 \u00e0 :<\/p>\n\n\n\n

          \n
        • rigidit\u00e9,<\/li>\n\n\n\n
        • perte de temps,<\/li>\n\n\n\n
        • d\u00e9cisions arbitraires.<\/li>\n<\/ul>\n\n\n\n

          Le jour o\u00f9 une vraie mesure critique est n\u00e9cessaire, elle est mal accept\u00e9e.<\/p>\n\n\n\n

          \n\n\n\n

          3. Dilution du message s\u00e9curit\u00e9<\/h3>\n\n\n\n

          Si Netflix, un ransomware et une fuite de donn\u00e9es sont pr\u00e9sent\u00e9s comme \u00e9quivalents, alors plus rien n\u2019est prioris\u00e9.<\/p>\n\n\n\n

          Or la cybers\u00e9curit\u00e9 repose justement sur la gestion du risque<\/strong>, pas sur l\u2019interdiction syst\u00e9matique.<\/p>\n\n\n\n

          \n\n\n\n

          Cybers\u00e9curit\u00e9 \u2260 contr\u00f4le des usages<\/h2>\n\n\n\n

          Il est essentiel de distinguer clairement trois domaines.<\/p>\n\n\n\n

          Domaine<\/th>Objectif<\/th>Exemple<\/th><\/tr><\/thead>
          Cybers\u00e9curit\u00e9<\/strong><\/td>R\u00e9duire les risques d\u2019attaque ou de compromission<\/td>MFA, segmentation r\u00e9seau, patching<\/td><\/tr>
          R\u00e9seau \/ performance<\/strong><\/td>Garantir la qualit\u00e9 de service<\/td>QoS, limitation d\u00e9bit streaming<\/td><\/tr>
          Management \/ RH<\/strong><\/td>Encadrer les usages<\/td>politique d\u2019utilisation acceptable<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

          Les m\u00e9langer produit de mauvaises d\u00e9cisions\u2026 et de mauvaises perceptions.<\/p>\n\n\n\n

          Le r\u00f4le d\u2019un expert cybers\u00e9curit\u00e9 n\u2019est pas de dire non.
          C\u2019est de permettre l\u2019usage en r\u00e9duisant le risque<\/strong>.
          Tout nest qu'une simple question de balance b\u00e9n\u00e9fice risque.<\/p>\n\n\n\n

          La maturit\u00e9 moderne repose sur :<\/p>\n\n\n\n

            \n
          • analyse de risque r\u00e9elle,<\/li>\n\n\n\n
          • proportionnalit\u00e9 des mesures,<\/li>\n\n\n\n
          • p\u00e9dagogie,<\/li>\n\n\n\n
          • accompagnement des usages num\u00e9riques.<\/li>\n<\/ul>\n\n\n\n

            La s\u00e9curit\u00e9 efficace est presque invisible.
            La s\u00e9curit\u00e9 punitive, elle, finit toujours contourn\u00e9e.<\/p>\n\n\n\n

            \n\n\n\n

            Le pirate ne regarde pas Netflix<\/h2>\n\n\n\n

            Bloquer Netflix ne compliquera pas la vie d\u2019un attaquant.<\/p>\n\n\n\n

            Un attaquant :<\/p>\n\n\n\n

              \n
            • exploite une vuln\u00e9rabilit\u00e9 non patch\u00e9e,<\/li>\n\n\n\n
            • envoie un phishing cr\u00e9dible,<\/li>\n\n\n\n
            • abuse d\u2019un compte sans MFA,<\/li>\n\n\n\n
            • profite d\u2019un VPN mal segment\u00e9.<\/li>\n<\/ul>\n\n\n\n

              Il ne se dit pas :<\/p>\n\n\n\n

              \n

              \u201cDommage, Netflix est bloqu\u00e9, je rentre chez moi.\u201d<\/p>\n<\/blockquote>\n\n\n\n

              En revanche, qui subit la restriction ?<\/p>\n\n\n\n

              Le DG qui dort exceptionnellement dans son bureau apr\u00e8s avoir termin\u00e9 un dossier.
              Le collaborateur en d\u00e9placement.
              L\u2019\u00e9quipe qui attend que la visio client fonctionne correctement.<\/p>\n\n\n\n

              On a cr\u00e9\u00e9 une friction.
              Mais pas r\u00e9duit un risque critique.<\/p>\n\n\n\n

              \n\n\n\n

              La balance b\u00e9n\u00e9fices \/ risques<\/h2>\n\n\n\n

              La cybers\u00e9curit\u00e9 mature repose sur un arbitrage.<\/p>\n\n\n\n

              Mesure<\/th>Risque r\u00e9duit<\/th>Impact utilisateur<\/th>Ratio r\u00e9el<\/th><\/tr><\/thead>
              MFA g\u00e9n\u00e9ralis\u00e9<\/td>Tr\u00e8s \u00e9lev\u00e9<\/td>Faible<\/td>Excellent<\/td><\/tr>
              Segmentation r\u00e9seau<\/td>\u00c9lev\u00e9<\/td>Invisible<\/td>Excellent<\/td><\/tr>
              Segmentation droits<\/td>\u00c9lev\u00e9<\/td>Moyen<\/td>Excellent<\/td><\/tr>
              Patching rigoureux<\/td>Critique<\/td>Invisible<\/td>Bon<\/td><\/tr>
              Bloquer Netflix<\/td>Quasi nul<\/td>Emmerdant<\/td>Mauvais<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
              \n\n\n\n

              Conclusion \u2014 D\u00e9fendre la cybers\u00e9curit\u00e9 en arr\u00eatant de l\u2019utiliser partout<\/h2>\n\n\n\n

              La cybers\u00e9curit\u00e9 est un sujet trop s\u00e9rieux pour devenir un argument fourre-tout.<\/p>\n\n\n\n

              Chaque fois qu\u2019on invoque la s\u00e9curit\u00e9 pour justifier une d\u00e9cision qui rel\u00e8ve en r\u00e9alit\u00e9 du r\u00e9seau, du management ou du confort administratif, on affaiblit la discipline enti\u00e8re.<\/p>\n\n\n\n

              Le paradoxe est simple :<\/p>\n\n\n\n

              \n

              Plus on utilise le mot \u201ccybers\u00e9curit\u00e9\u201d \u00e0 tort, moins la cybers\u00e9curit\u00e9 est prise au s\u00e9rieux.<\/p>\n<\/blockquote>\n\n\n\n

              Replacer les bons mots sur les bons probl\u00e8mes n\u2019est pas un d\u00e9tail s\u00e9mantique.
              C\u2019est une condition essentielle pour que la s\u00e9curit\u00e9 soit comprise, accept\u00e9e et r\u00e9ellement efficace.<\/p>\n\n\n\n

              \"\"<\/span>
              \n

              Faites la guerre aux pirates.

              Pas \u00e0 vos troupes.<\/p>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

              Le mot qui veut tout dire\u2026 et donc plus rien Depuis quelques ann\u00e9es, un ph\u00e9nom\u00e8ne s\u2019installe progressivement dans les entreprises : tout devient un sujet de cybers\u00e9curit\u00e9. Un site bloqu\u00e9 ? Cybers\u00e9curit\u00e9.Un port ferm\u00e9 ? Cybers\u00e9curit\u00e9.Une restriction utilisateur ? Cybers\u00e9curit\u00e9.Netflix interdit sur le Wi-Fi entreprise ? Cybers\u00e9curit\u00e9. \u00c0 force d\u2019utiliser ce terme pour justifier n\u2019importe […]<\/p>\n","protected":false},"author":1,"featured_media":100629,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22,37],"tags":[21],"class_list":["post-100625","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","category-news","tag-cybersecurite"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/100625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=100625"}],"version-history":[{"count":5,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/100625\/revisions"}],"predecessor-version":[{"id":100633,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/100625\/revisions\/100633"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/100629"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=100625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=100625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=100625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}