La cybersécurité devient un enjeu stratégique et humain au cœur des organisations

Dans l’auditorium, le ton est rapidement donné. Anne Le Henanff, ministre du Numérique et de l’IA, ouvre les échanges en replaçant le numérique dans une dynamique de tension globale. Le cyberespace n’est plus un simple terrain d’innovation, mais un espace de confrontation continue, où s’expriment des logiques de puissance. « Le numérique n'est plus un simple espace d'innovation ou d'échange. C'est aussi un espace de compétition, de confrontation, de rapport de force », affirme-t-elle, en filigrane des tensions géopolitiques actuelles. Dans ce contexte, la cybersécurité change de statut. Elle ne relève plus uniquement de la protection des systèmes, mais devient une condition d’autonomie stratégique. L’État entend accélérer, avec une stratégie nationale 2026-2030 et la transposition de NIS2, qui élargit considérablement le périmètre des entités concernées. Le message est clair et volontairement direct : « Il ne faut pas attendre que la loi soit définitivement adoptée pour se mettre en mouvement ». Une injonction à l’anticipation qui résonne dans un contexte d’exposition croissante des organisations. 

Une menace diffuse, silencieuse, mais systémique 

Le débat prend ensuite une tonalité plus concrète, presque brute. Catherine Morin-Desailly, Sénatrice Vice-Présidente de la commission des affaires européennes du Sénat, revient sur des incidents récents, dont une fuite massive de données de santé ayant touché 15 millions de personnes. L’exemple illustre une réalité désormais installée : la cybermenace n’est plus ponctuelle, elle est continue, diffuse, structurelle. Dans ce paysage, les frontières traditionnelles de la sécurité disparaissent. « Aujourd’hui, plus besoin d’être une cible pour être une victime, il suffit tout simplement d’avoir une adresse IP », résume-t-elle. Une formule qui dit la banalisation du risque, mais aussi son extension à l’ensemble des organisations, quelle que soit leur taille ou leur niveau de maturité. Ce glissement s’accompagne de tensions réglementaires fortes, notamment autour du chiffrement et des mécanismes de contrôle. Le débat sur les backdoors cristallise ces enjeux. « Une porte dérobée ne peut pas rester fermée pour les uns et ouverte pour les autres », insiste-t-elle, rappelant la fragilité intrinsèque de toute exception introduite dans les fondations cryptographiques. 

L’IA, accélérateur de menaces et révélateur de fragilités 

Dans cette atmosphère déjà dense, Thierry Happe, fondateur et prsésident du predictive cyber lab, introduit une autre rupture : celle de l’intelligence artificielle comme facteur d’amplification des attaques. Les deepfakes, les contenus synthétiques et les outils de fraude automatisée deviennent des instruments industriels de manipulation. « Les deepfakes sont devenues une véritable arme de manipulation et de fraude », souligne-t-il, en évoquant une montée en puissance rapide et massive de ces usages. Mais au-delà des technologies, c’est surtout le facteur humain qui reste au centre du risque. La majorité des attaques repose encore sur l’ingénierie sociale. « 70% des cyberattaques exploitent l’ingénierie sociale », rappelle-t-il, en insistant sur les mécanismes de manipulation des comportements, des émotions et des biais cognitifs. Le champ de la cybersécurité se déplace ainsi vers des territoires moins techniques, plus psychologiques. Cette évolution s’accompagne d’une remise en cause des modèles de défense traditionnels. L’émergence de nouvelles capacités d’IA offensives fait planer une incertitude sur la robustesse des dispositifs actuels. « C’est pendant la fin de l’illusion technique qui se dessine sous nos yeux », prévient-il, comme un constat de bascule. 

Vers une cybermaturité des organisations et de leurs écosystèmes 

Dans ce paysage mouvant, une notion s’impose progressivement : celle de cybermaturité. Elle traduit un changement de logique profond, où la cybersécurité ne se limite plus à des outils ou des protocoles, mais devient une capacité organisationnelle globale. Il s’agit de comprendre, anticiper et réduire les vulnérabilités internes, notamment humaines, à grande échelle. Cette approche repose sur des dispositifs hybrides mêlant immersion, simulation et analyse comportementale. Elle s’étend également à l’ensemble de l’entreprise dite “étendue”, intégrant fournisseurs et sous-traitants dans un même continuum de risque. Une transformation directement portée par les nouvelles obligations réglementaires européennes. Dans ce cadre, la cybersécurité glisse progressivement d’une contrainte vers un levier de performance. « La cybersécurité n’est pas toujours qu’un coût, mais une condition de survie et un avantage concurrentiel », résume Catherine Morin-Desailly. Une formule qui reflète l’évolution d’un secteur désormais structurant, où la résilience devient un indicateur de compétitivité autant qu’un impératif de survie.