Cybersécurité : pourquoi le maillon faible n’est plus l’utilisateur… mais le comité de direction

Posted by on | Featured

Pendant des années, le discours dominant en cybersécurité pointait un coupable unique : l’utilisateur.

On l’accusait de cliquer sur des liens douteux, de réutiliser ses mots de passe, de contourner les procédures, ou de brancher des clés USB trouvées dans un parking.

Cette vision est désormais obsolète.

Le véritable maillon faible de la cybersécurité, celui qui met en péril des entreprises entières, n’est plus l’utilisateur lambda.

C’est le comité de direction lui-même — COMEX, CODIR ou direction générale — dont les arbitrages défaillants, les budgets inconsistants et la résistance aux mesures de sécurité créent les brèches qui permettent aux cybercriminels de prospérer.

Les ransomwares qui paralysent des hôpitaux, les fuites massives de données, les intrusions sur les réseaux industriels…

La plupart ne sont pas des accidents.

Ce sont des conséquences directes de décisions stratégiques insuffisantes, prises bien au-dessus des utilisateurs.

Quand une entreprise se fait pirater en 2025, ce n’est pas parce que Kevin a ouvert une pièce jointe. C’est parce que le COMEX n’a pas voulu financer les solutions, les hommes, la méthode, ou les arbitrages indispensables.

Le déni stratégique : première faille du comité de direction

Le déni est aujourd’hui le premier frein à la cybersécurité.

Dans de nombreuses organisations, la direction considère encore la sécurité comme :

• un coût,

• un irritant opérationnel,

• un ralentisseur de projets,

• un sujet « technique »,

• un thème secondaire face aux priorités business.

Ce déni se traduit par des choix absurdes : migrations cloud réalisées sans audit, interconnexions ouvertes à l’aveugle, VPN obsolètes laissés en service « le temps de… », absence de segmentation réseau, ou encore des applications critiques fonctionnant avec des droits d’administration pour tous les utilisateurs.

Le COMEX vit dans une logique courte : accélérer les projets, réduire les délais, optimiser les coûts.

Mais cette vision court-termiste entre directement en conflit avec la nature de la cybersécurité, qui exige anticipation, rigueur, et parfois immobilisation temporaire pour protéger durablement l’organisation.

On ne peut pas sécuriser avec un COMEX qui veut aller plus vite que la physique.

Le refus d’arbitrer : quand la direction choisit sciemment la vulnérabilité

Beaucoup de RSSI le constatent : le problème n’est pas technique, il est politique.

Pour appliquer une mesure de sécurité, il faut trancher.

• Couper les accès administrateurs à certaines équipes

• Désactiver des services non conformes

• Imposer l’authentification forte aux membres du COMEX

• Fermer des accès distants non maîtrisés

• Obliger certains prestataires à revoir leur intégration

• Geler un déploiement tant que les flux réseau ne sont pas sécurisés

• Désactiver un vieux serveur stratégique mais bourré de failles

Ce sont des arbitrages difficiles, parfois impopulaires.

Et c’est précisément là que le CODIR devient le maillon faible.

Beaucoup préfèrent laisser des failles en place plutôt que de froisser un service, de refuser une demande d’un responsable influent ou de retarder un lancement commercial.

Résultat : l’attaque se produit.

Le prestataire compromis devient une porte d’entrée.

Un compte administrateur non sécurisé ouvre l’accès au domaine.

Une application critique est chiffrée du jour au lendemain.

Et le COMEX tombe ensuite des nues.

La cybersécurité échoue rarement par manque de solutions.

Elle échoue par manque de courage.

Le budget : la schizophrénie du COMEX

Le discours le plus fréquent est :

« La cybersécurité est stratégique ! »

Puis, lors de l’arbitrage budgétaire :

« On repoussera l’EDR à l’année prochaine. »

« L’équipe sécurité fonctionnera avec deux personnes au lieu de cinq. »

« On n’investira pas dans la supervision 24/7. »

« Le SOC ? Trop cher, on verra plus tard. »

C’est l’équivalent d’annoncer que la sécurité routière est prioritaire,

puis de refuser les freins ABS, les airbags et les ceintures parce que « c’est un peu cher quand même ».

Les cybercriminels, eux, ne patientent pas jusqu’à l’année fiscale suivante.

Les directions veulent souvent « du cloud », « de la transformation », « du digital », mais sans financer la sécurité nécessaire à l’ouverture de nouveaux services.

Un COMEX qui fait de la cybersécurité un discours, et non un budget, crée délibérément des trous dans la coque du navire.

Et il s’étonne ensuite que l’eau rentre.

L’hypocrisie des accès privilégiés : quand les dirigeants refusent les mêmes règles que les autres

Voici l’un des tabous les plus dangereux.

Beaucoup de dirigeants refusent :

• l’authentification multi-facteur,

• la rotation des mots de passe,

• la limitation de leurs droits,

• les VPN sécurisés,

• les mises à jour obligatoires,

• les restrictions sur leurs téléphones personnels.

« Ça m’ennuie »,

« C’est trop compliqué »,

« Je n’ai pas le temps »,

« Je veux mes accès administrateurs »,

« Je n’utilise pas ce système de double validation »,

« Je ne veux pas qu’on supprime mon accès RDP ».

Pourtant, un membre du COMEX détient :

• des données stratégiques,

• des documents confidentiels,

• des accès transverses,

• des informations sensibles (finances, RH, acquisitions…).

Les attaquants le savent.

Dans les campagnes de spear-phishing ciblé, ils visent presque toujours les dirigeants en premier.

Ironiquement, l’utilisateur standard, celui qu’on accusait pendant 20 ans, est souvent bien plus discipliné que son PDG.

Le cas des prestataires : le cheval de Troie laissé devant la porte

Autre décision stratégique catastrophique :

laisser entrer des prestataires non conformes, non audités, mal intégrés au SI.

De nombreuses cyberattaques récentes sont passées par :

• des comptes prestataires non révoqués,

• des accès VPN « provisoires » jamais supprimés,

• des intégrateurs qui se connectent depuis des postes non sécurisés,

• des collaborateurs externes sans MFA,

• des serveurs exposés temporairement « pour faire gagner du temps ».

Pourquoi ces failles existent-elles ?

Parce que personne au COMEX n’ose dire à un fournisseur stratégique :

« Vous n’entrez pas dans notre SI tant que la compliance n’est pas parfaite. »

Par peur de retarder un projet, la direction prend le risque de saboter toute l’entreprise.

Un prestataire mal sécurisé, c’est un Trojan Horse moderne.

Le vrai problème : la cybersécurité est un sujet politique, pas technologique

Quand une entreprise est victime d’une cyberattaque, les analyses post-incident montrent toujours les mêmes causes profondes :

• arbitrages non réalisés,

• budgets refusés,

• exemptions accordées à certaines équipes,

• règles contournées pour « ne pas ralentir la production »,

• absence de sponsor exécutif,

• gouvernance insuffisante,

• décisions reportées à plus tard.

Ce n’est pas un échec technique.

C’est un échec politique.

Les technologies existent, les équipes savent quoi faire, les bonnes pratiques sont connues.

Ce qui manque, ce sont les décisions exécutives indispensables pour appliquer ces pratiques avec rigueur.

Le COMEX, en refusant de prendre sa part de responsabilité, laisse l’entreprise vulnérable.

Ensuite, il se tourne vers le RSSI pour dire : « Comment cela a-t-il pu arriver ? »

C’est comme attacher un pilote de ligne à son siège, lui bander les yeux, puis lui demander de réussir l’atterrissage.

L’exemple français : administrations, hôpitaux, collectivités… même schéma, même causes

En France, la majorité des cyberattaques qui touchent :

• des hôpitaux,

• des collectivités,

• des ministères,

• des institutions publiques,

• des grandes entreprises,

ont une racine commune :

des arbitrages politiques défaillants et des financements insuffisants.

Les hôpitaux utilisent encore Windows 7.

Les collectivités laissent des accès RDP ouverts sur Internet.

Certaines administrations ont des serveurs non patchés depuis 2015.

Les établissements scolaires fonctionnent avec des annuaires obsolètes et des firewalls non supervisés.

Ce n’est pas la faute des utilisateurs.

Ce n’est même pas la faute des équipes techniques.

C’est la faute des instances dirigeantes qui n’ont pas voulu financer les infrastructures, les remises à niveau, les SOC, les équipes cybersécurité et les audits obligatoires.

On a les vulnérabilités de son propre courage politique.

Ce que doit faire un COMEX pour ne plus être le maillon faible

La cybersécurité ne peut réussir que si le COMEX :

• devient sponsor exécutif réel,

• accepte les arbitrages difficiles,

• finance ce qui doit être financé,

• applique les mêmes règles que les autres,

• sanctuarise le budget sécurité,

• impose la compliance aux prestataires,

• accepte de ralentir un projet pour éviter un désastre,

• soutient publiquement le RSSI.

Un COMEX mature doit comprendre qu’en 2025,

la cybersécurité n’est pas une option, mais un prérequis vital pour la survie économique.

C’est la première fois dans l’histoire récente que les directions sont devenues un facteur de risque aussi critique que les hackers eux-mêmes.

La cybersécurité n’est plus un problème technique.

C’est un test de gouvernance, de responsabilité, et de vision stratégique.

En savoir plus sur GDL T&C

Subscribe to get the latest posts sent to your email.

Tags: , , , , , , , , , , , , , ,
Comments are closed.

contact

  • - 11 rue Jean Pigeon - 94220 Charenton-le-Pont
  • - 14 rue Scaliero - 06300 Nice
  • +33 6 45 90 40 79
  • contact@gdltc.fr

Inscrivez-vous à notre Newsletter

Ne manquez plus aucune opportunité : recevez chaque mois des conseils exclusifs, des insights stratégiques et des tendances digitales pour booster votre transformation et votre visibilité.

En savoir plus sur GDL T&C

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture