Protéger demain : la cybersécurité comme levier de résilience et de souveraineté

Face à des cybermenaces toujours plus sophistiquées, entreprises et dirigeants doivent repenser stratégie, résilience, gestion de crise et souveraineté numérique pour bâtir la cybersécurité de demain.

Construire une stratégie cyber adaptée aux organisations de demain

Depuis plusieurs années, j’accompagne nos clients dans la définition et la mise en œuvre de stratégies de cybersécurité globales, avec un constat : la résilience ne s’improvise pas. Elle repose sur une vision claire des risques, des processus entraînés et une gouvernance cyber intégrée aux priorités business.

Dans la plupart des organisations que nous conseillons, la première étape consiste à repositionner la cybersécurité comme un levier stratégique et non un simple centre de coût. Cela implique l’identification des actifs critiques, la cartographie des risques, et l’adaptation du modèle opérationnel de sécurité aux enjeux métiers. Trop souvent, la cybersécurité reste cantonnée à un périmètre technique alors qu’elle doit soutenir l’innovation, la transformation digitale et la confiance des clients.

Imade Elbaraka, Managing Partner Technology & Transformation, en charge de la cybersécurité chez Deloitte France et Afrique francophone. LY-IF 2005.

En matière de résilience, nous privilégions une approche pragmatique qui combine des architectures techniques robustes (segmentation réseau, Zero Trust, sauvegardes immuables) et l’entraînement des équipes. L’intégration progressive de l’intelligence artificielle dans les outils de détection et de réponse permet déjà de renforcer significativement la capacité des organisations à identifier, analyser et contenir rapidement des menaces sophistiquées.

Je suis convaincu que la souveraineté numérique, au sens d’une maîtrise des données, des outils et des chaînes d’approvisionnement critiques, deviendra un axe majeur des stratégies cyber des prochaines années. C’est une condition indispensable pour assurer la pérennité et la compétitivité des organisations dans un monde interconnecté et géopolitiquement complexe.

Gérer la crise : préparation, décision et communication sous stress

« La question n’est plus de savoir si l’on sera attaqué, mais comment s’y préparer et réagir. »

Sur la gestion de crise, l’expérience démontre que la réussite repose avant tout sur l’humain. Lors de simulations de crise (table-top) réalisées récemment avec des comités exécutifs d’acteurs industriels et financiers, nous avons constaté l’importance de tester la chaîne complète de décision : détection, qualification, activation de la cellule de crise, communication interne et externe, continuité d’activité et rétablissement.

Ces exercices ont souvent permis de révéler des écarts critiques et d’adapter la gouvernance, le plan de réponse et la stratégie de communication. Ils renforcent également la confiance des dirigeants et des équipes opérationnelles face à un incident réel. À titre d’exemple, un exercice récent avec un grand industriel européen a conduit à refondre intégralement leur dispositif de crise cyber, tout en renforçant la collaboration entre les équipes IT, OT, sécurité, juridique et communication.

Enfin, l’IA, combinée à un SOC modernisé, permettra demain d’accélérer la prise de décision en contexte de crise. Mais la technologie ne remplace ni l’anticipation ni la préparation des équipes. La cybersécurité restera toujours un défi stratégique, humain et technologique.

Cybersécurité et souveraineté : un enjeu humain et organisationnel

Au-delà des outils et des processus, la cybersécurité transforme en profondeur l’organisation et ses modes de fonctionnement. Elle impose une collaboration plus étroite entre la DSI, la direction des risques, les métiers et la direction générale. La gouvernance cyber devient ainsi transversale et nécessite un alignement stratégique clair pour éviter les silos et accélérer la prise de décision en cas d’incident.

Les impacts humains sont également majeurs. D’une part, la montée en compétences des collaborateurs techniques sur des sujets toujours plus complexes (cloud, OT, IA, crypto-agilité) est indispensable pour suivre l’évolution rapide des menaces. D’autre part, la pression psychologique sur les équipes cyber est forte : les métiers attendent d’elles une disponibilité sans faille, et la moindre faille peut exposer l’organisation à des conséquences critiques.

Enfin, la cybersécurité soulève des questions culturelles. Elle nécessite d’instaurer une culture de la confiance numérique à tous les niveaux de l’entreprise. Sans cet ancrage culturel, même les meilleures technologies restent inefficaces.

Rôle et apports de l’IA dans la sécurité des entreprises

L’intelligence artificielle, dans le champ de la sécurité des entreprises, suscite à la fois curiosité et réserve. Je la perçois avant tout comme un levier parmi d’autres, capable d’apporter de la valeur, mais dont l’impact réel dépend fortement du contexte et des usages. Oui, l’IA permet d’accélérer l’analyse de données ou d’automatiser certains processus, mais elle ne règle pas à elle seule la complexité des enjeux de cybersécurité.

Son intégration, loin d’être automatique, demande une réflexion collective et un alignement avec la stratégie globale. Ce dialogue entre équipes techniques, métiers et direction est incontournable pour que l’IA trouve sa juste place, sans générer de dépendance excessive ni masquer les risques liés à ses propres limites.

L’IA apporte des gains mesurables dans certains domaines, mais son efficacité reste conditionnée à la qualité des données, à la maturité organisationnelle et à la capacité de l’humain à interpréter et compléter ses recommandations. Sa valeur ajoutée existe, mais elle doit être évaluée au cas par cas, dans une démarche pragmatique et évolutive.

En fin de compte, l’IA invite selon moi surtout à repenser nos méthodes, à explorer de nouveaux équilibres entre automatisation et expertise humaine, et à poursuivre le travail d’adaptation permanent qui caractérise la cybersécurité.

Former et sensibiliser : ancrer la cybersécurité dans la culture d’entreprise

La sensibilisation reste souvent perçue comme une obligation réglementaire. Pourtant, au fil des missions que j’ai menées, j’ai pu constater qu’elle constitue l’un des leviers les plus efficaces pour réduire le risque cyber au quotidien.

Dans plusieurs organisations industrielles et financières, nous avons choisi d’aller au-delà des modules e-learning standard. Adapter les contenus aux risques spécifiques des métiers, organiser des campagnes de phishing réalistes ou encore des exercices de social engineering ont permis d’ancrer concrètement les messages.

Je me souviens notamment d’une campagne globale pour un groupe international où la valorisation des comportements exemplaires a généré un engagement bien supérieur aux approches classiques. Ce type de démarche crée un véritable effet d’entraînement positif dans l’entreprise.

Je reste convaincu que l’avenir de la sensibilisation repose sur sa capacité à devenir continue et contextualisée, en lien direct avec les enjeux métiers. Présenter la cybersécurité comme un levier de performance et de souveraineté, plutôt qu’une contrainte, est indispensable pour en faire un atout culturel durable.