Phylapp
Gouvernance du risque numérique et stratégie cyber

Pourquoi certaines organisations restent durablement vulnérables malgré leurs investissements

Des investissements significatifs peuvent coexister avec une vulnérabilité durable si la gouvernance ne mesure pas leur efficacité réelle. Investir pour rassurer plutôt que pour protéger produit des dépenses sans résultat.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 21 lectures

Points clés

  • Des investissements significatifs en cybersécurité peuvent coexister avec une vulnérabilité durable si les investissements sont mal orientés ou si la gouvernance est insuffisante pour en assurer l'efficacité.
  • La vulnérabilité durable résulte souvent d'un déséquilibre entre les investissements en protection et ceux en détection et réponse.
  • Les organisations qui investissent pour rassurer — certifications, outils visibles, reportings flatteurs — sans mesurer l'efficacité réelle de leurs contrôles restent vulnérables malgré leurs dépenses.
  • La mesure de l'efficacité réelle des investissements, et non de leur volume, est ce qui permet de corriger les déséquilibres.
Cas US T-Mobile (2021) — La violation des données de 54 millions de clients s'est produite dans une organisation qui avait pourtant investi de manière significative en cybersécurité après plusieurs incidents précédents. La récurrence des incidents chez cet opérateur illustre comment des investissements réels peuvent ne pas produire l'amélioration attendue si la gouvernance qui en assure l'efficacité n'est pas alignée sur les risques réels.

L'investissement pour rassurer plutôt que pour protéger

L'une des causes les plus fréquentes de la vulnérabilité persistante malgré les investissements est l'orientation des dépenses vers des activités qui rassurent plutôt que vers celles qui protègent réellement. Obtenir des certifications ISO 27001 démontre une maturité de processus — mais elle ne garantit pas l'absence de vulnérabilités critiques non identifiées. Déployer des outils de sécurité de nouvelle génération est visible et tangible — mais leur efficacité dépend de la qualité des règles qui les configurent et des équipes qui analysent leurs alertes. Produire des reportings détaillés sur les activités de sécurité rassure les instances de gouvernance — mais ne réduit pas l'exposition si les activités rapportées ne sont pas celles qui comptent le plus.

Le déséquilibre entre protection, détection et réponse

De nombreuses organisations investissent massivement dans la protection — pare-feux, antivirus, solutions de chiffrement, gestion des identités — et insuffisamment dans la détection et la réponse. Or, dans un environnement où les attaques sophistiquées contournent régulièrement les défenses périmètriques, la capacité à détecter rapidement une intrusion et à y répondre efficacement est souvent plus déterminante pour limiter l'impact qu'une protection parfaite. Un investissement de sécurité équilibré alloue des ressources substantielles aux capacités de surveillance, de détection d'anomalies et de réponse à incident — pas seulement aux barrières préventives.

L'efficacité non mesurée des contrôles déployés

Une cause fréquemment sous-estimée de la vulnérabilité persistante est l'absence d'évaluation de l'efficacité réelle des contrôles déployés. Un pare-feu dont les règles n'ont pas été révisées depuis deux ans peut être configuré de manière à laisser passer les types de trafic utilisés par les attaquants actuels. Un système de détection d'intrusion dont les signatures n'incluent pas les dernières techniques d'attaque génère des angles morts. Un programme de formation à la cybersécurité dont l'efficacité n'est pas évaluée par des simulations de phishing peut enseigner des comportements qui ne résistent pas aux attaques réelles. Ces contrôles existent, sont reportés dans les tableaux de bord — et sont pourtant inefficaces.

Cas EU Marriott/Starwood (2018) — L'organisation disposait de systèmes de surveillance et de processus de gestion des incidents. Mais ces systèmes n'étaient pas configurés pour détecter le type de comportement utilisé par les attaquants dans les systèmes Starwood. Les investissements en surveillance existaient — leur efficacité n'avait pas été testée dans le contexte spécifique des systèmes acquis. La vulnérabilité persistante n'était pas un problème de volume d'investissement mais d'adéquation des contrôles aux risques réels.

La dette de gouvernance qui annule les investissements

Même des investissements bien orientés peuvent être annulés par une dette de gouvernance qui empêche leur efficacité. Des processus de gestion des correctifs existants mais non supervisés — les correctifs identifiés ne sont pas appliqués dans les délais. Des politiques de sécurité définies mais non contrôlées — les comportements non conformes ne sont pas détectés ni corrigés. Des plans de réponse à incident rédigés mais jamais testés — ils révèlent leurs lacunes lors d'un incident réel. Ces dettes de gouvernance créent un écart entre les investissements réalisés et la protection effectivement fournie. Réduire cet écart ne suppose pas d'investissements supplémentaires — il suppose une gouvernance qui assure l'effectivité de ceux qui existent déjà.

Mesurer l'efficacité réelle pour corriger les déséquilibres

Corriger la vulnérabilité persistante suppose de mesurer l'efficacité réelle des contrôles — et non leur seul déploiement. Les tests d'intrusion réguliers, qui cherchent activement à exploiter les vulnérabilités existantes malgré les contrôles en place, sont l'outil le plus fiable pour identifier les déséquilibres. Les exercices de simulation de phishing mesurent l'efficacité réelle des formations. Les tests de restauration à partir des sauvegardes valident les plans de continuité. Ces évaluations de l'efficacité réelle permettent de rediriger les investissements vers les contrôles qui ne fonctionnent pas comme prévu — ce qui est généralement plus utile qu'ajouter de nouveaux investissements sur une base déjà défaillante.

Cas Asie SingHealth (2018) — L'organisation avait réalisé des investissements en cybersécurité dans les années précédant l'incident. Mais le comité d'enquête a conclu que la culture de sécurité, les processus d'escalade et la supervision des accès privilégiés — des éléments de gouvernance plutôt que des outils techniques — étaient insuffisants pour rendre ces investissements efficaces. La vulnérabilité persistante découlait d'une dette de gouvernance, pas d'une insuffisance d'investissement.

Articles similaires

Pourquoi la cybersécurité doit être portée par la direction générale

La cybersécurité portée uniquement par la DSI manque de légitimité stratégique. Quand la direction générale s'en empare, elle change les arbitrages, la culture et la capacité à imposer les contraintes nécessaires.

24 mai 2026 7 min

Le rôle réel du comité de gouvernance du risque numérique

Un comité de gouvernance du risque numérique n'est utile que s'il prend des décisions réelles sur quatre fonctions : information sur l'exposition, arbitrage des priorités, allocation des ressources, supervision des incidents.

24 mai 2026 7 min

Pourquoi les organisations confondent stratégie IT et stratégie cyber

Stratégie IT et stratégie cyber répondent à deux logiques différentes. Leur confusion génère des déséquilibres : on modernise les systèmes sans renforcer parallèlement la protection. Une stratégie cyber indépendante est nécessaire.

24 mai 2026 7 min
WhatsApp