Phylapp
Pilotage et cartographie des risques numériques

Pourquoi certaines organisations réagissent uniquement après un incident

La réaction post-incident est la forme la plus coûteuse de gestion des risques. Des facteurs organisationnels et psychologiques maintiennent les organisations dans le réactif. Seule la direction peut briser ce cycle.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 57 lectures

Points clés

  • La réaction post-incident est la forme la plus coûteuse et la moins efficace de gestion des risques numériques.
  • Plusieurs facteurs organisationnels et psychologiques expliquent pourquoi la prévention reste sous-investie malgré les preuves de son efficacité.
  • Le coût réel d'un incident subi est systématiquement supérieur au coût de la prévention qui aurait pu l'éviter ou en limiter les effets.
  • Briser le cycle réactif suppose une intervention de la direction, qui est la seule instance capable de modifier les priorités d'investissement sur la durée.
Cas US Uber (2016) — La dissimulation de la violation de données pendant plus d'un an — avec le paiement d'une rançon pour faire taire les chercheurs qui avaient découvert la faille — illustre une logique réactive poussée à l'extrême : répondre à un problème connu en cherchant à le faire disparaître plutôt qu'à le résoudre. Cette approche a conduit à des conséquences réglementaires et réputationnelles bien plus graves que celles qu'une réponse transparente et proactive aurait produites.

Les facteurs qui maintiennent les organisations dans une posture réactive

Plusieurs facteurs organisationnels expliquent pourquoi de nombreuses organisations restent dans une posture essentiellement réactive face aux risques numériques. La pression des résultats à court terme est le premier : les investissements en sécurité protègent contre des menaces futures dont la probabilité est incertaine, alors que les projets qui génèrent du revenu ont un retour mesurable immédiat. La difficulté à quantifier la valeur de la prévention est le deuxième : "l'absence d'incident" n'est pas une métrique visible dans les tableaux de bord de performance. La culture de l'urgence est le troisième : dans beaucoup d'organisations, traiter ce qui brûle maintenant est systématiquement prioritaire sur ce qui pourrait brûler demain.

L'économie perverse du réactif

La logique réactive a une perversité économique bien documentée. Investir dans la prévention coûte X. Subir un incident que la prévention aurait pu éviter coûte souvent 5X à 10X — en remédiation, pertes d'activité, amendes, coûts juridiques et impact réputationnel. Pourtant, beaucoup d'organisations continuent à sous-investir dans la prévention, parce que le coût X de la prévention est visible et immédiat, alors que le coût 5X à 10X de l'incident est hypothétique et différé. Ce raisonnement économique défaillant ne se corrige que par une expérience directe — qui est précisément ce que la prévention cherche à éviter.

Le rôle des incidents dans le changement de posture

Il faut bien reconnaître que les incidents jouent parfois un rôle de déclencheur nécessaire dans le changement de posture des organisations. Une organisation qui n'a jamais subi d'incident cyber significatif peut difficilement ressentir l'urgence de la prévention avec la même intensité qu'une organisation qui en a subi un. Ce phénomène — souvent appelé "sécurité par la cicatrice" — est réel et compréhensible. Le problème est que l'apprentissage par l'incident est toujours plus coûteux que l'apprentissage par anticipation. Et que certains incidents peuvent avoir des conséquences irrémédiables sur lesquelles aucun apprentissage ne peut rattraper.

Cas EU Marriott/Starwood (2018) — La compromission des systèmes de réservation de Starwood, débutée avant l'acquisition par Marriott en 2016, s'est poursuivie pendant plus de deux ans après l'acquisition sans être détectée. Pendant toute cette période, les signaux d'anomalie existaient mais n'ont pas déclenché de réponse. L'organisation était structurellement en posture réactive — attendant qu'un incident soit manifeste pour intervenir, plutôt que d'investir dans la détection proactive.

Comment briser le cycle réactif

Briser le cycle réactif est un défi de gouvernance qui ne peut être relevé qu'au niveau de la direction. Il suppose d'abord de modifier le cadre d'évaluation des investissements en sécurité : les ressources allouées à la prévention doivent être évaluées non seulement en termes de coût mais aussi en termes de risque évité. Il suppose ensuite de créer des obligations de résultat claires sur la prévention — pas seulement sur la réponse aux incidents. Il suppose enfin de valoriser explicitement les équipes qui identifient et traitent des risques avant qu'ils deviennent des incidents — et non uniquement celles qui gèrent brillamment les crises.

La mémoire organisationnelle des incidents : un actif à construire

Les organisations qui ont subi des incidents et en ont tiré des leçons durables disposent d'un avantage structurel sur celles qui répètent les mêmes erreurs. Construire cette mémoire organisationnelle suppose des pratiques formalisées : des revues post-incident dont les conclusions sont documentées et accessibles, des processus d'intégration des leçons apprises dans les analyses de risques et les politiques de sécurité, et des mécanismes de vérification régulière que les mesures décidées après incident ont bien été mises en œuvre. Sans cette formalisation, la mémoire reste individuelle et disparaît avec les personnes qui l'ont vécue.

Cas Asie Cathay Pacific (2018) — Les signaux d'intrusion avaient été détectés des semaines avant que l'enquête ne soit déclenchée. L'absence de mécanismes d'escalade automatique face à des anomalies persistantes avait permis à l'organisation de rester en posture réactive — traitant les alertes au fil de l'eau sans reconnaître le schéma d'une intrusion active. Ce n'est qu'une fois l'ampleur de la compromission évidente que la réponse structurée a été activée.

Articles similaires

Les liens entre sécurité, continuité et résilience

Sécurité, continuité et résilience sont trois dimensions complémentaires. Traitées en silos, elles créent des lacunes critiques à leurs interfaces. Une gouvernance intégrée est nécessaire.

24 mai 2026 7 min

Comment structurer un dispositif d’analyse de risques durable

Un dispositif d'analyse de risques durable combine une organisation, une méthode adaptée et un rythme défini. Il articule systématiquement identification des risques et décisions de traitement documentées.

24 mai 2026 7 min

L’importance de la mise à jour continue des cartographies

Une cartographie des risques non mise à jour donne une fausse confiance. La mise à jour continue repose sur des événements déclencheurs définis et l'intégration des retours d'incidents réels.

24 mai 2026 7 min
WhatsApp