Dans une DSI “en transition”, on découvre vite un paradoxe : tout le monde veut plus de sécurité, mais personne ne veut payer le prix — en friction, en priorités, en changements d’habitudes, en conflits internes. Alors on empile des outils, on ajoute des comités, on produit des slides, et on laisse l’essentiel en suspens : les décisions qui fâchent.
La cybersécurité n’échoue pas faute d’idées. Elle échoue faute d’arbitrages. Parce que chaque mesure utile a un coût politique : elle contrarie les métiers, ralentit l’IT, expose des négligences, bouscule des baronnies techniques. Voici sept décisions typiques, celles que beaucoup repoussent “après la prochaine urgence”… jusqu’à ce que l’urgence devienne la norme.
Décision : imposer le MFA partout, y compris là où ça râle le plus
Le MFA est devenu un slogan. Dans la réalité, il reste souvent “fortement recommandé” ou limité aux comptes admins. C’est l’erreur classique : on protège la porte du coffre, mais on laisse les fenêtres ouvertes.
La décision difficile, c’est d’imposer le MFA à tous les comptes — collaborateurs, prestataires, accès distants, messagerie, VPN, outils SaaS, consoles cloud — et de traiter les exceptions comme des anomalies temporaires. Les objections arrivent en rafale : “ça casse des usages”, “les équipes terrain n’ont pas le réseau”, “on a des comptes techniques”, “les applis historiques ne supportent pas”.
Justement : le MFA n’est pas qu’un paramètre, c’est un projet de nettoyage. Il oblige à inventorier les comptes, supprimer les accès orphelins, remplacer les authentifications faibles, moderniser les flux. Et oui, il faut accepter que certains usages “confortables” disparaissent. La sécurité commence quand le confort cesse d’être le critère principal.
Décision : passer du patching “quand on peut” au patching “quand il faut”
Tout le monde est “pour” les correctifs. Jusqu’au moment où un patch casse une appli, où un redémarrage dérange un service, où un éditeur impose une version, où un métier dit non. Alors on repousse. Puis on oublie. Et un jour, une vulnérabilité critique devient une exploitation réelle, avec ransomware ou compromission silencieuse.
La décision impopulaire consiste à définir des SLA de patching non négociables, par criticité : systèmes exposés, serveurs, endpoints, équipements réseau, composants applicatifs. Et surtout : à créer un droit d’arbitrage clair quand le métier refuse. Car “on ne peut pas patcher” est rarement vrai ; c’est souvent “on ne veut pas assumer l’impact du patching”.
Le patching sérieux impose deux choses que personne n’aime : une fenêtre de maintenance assumée, et la discipline du cycle (inventaire, priorisation, pilote, déploiement, vérification). Ce n’est pas glamour, mais c’est l’un des meilleurs ROI cyber.
Décision : segmenter le réseau pour de vrai, même si ça révèle l’architecture bancale
La segmentation est une promesse : limiter la propagation. Dans les faits, beaucoup d’entreprises vivent encore sur des réseaux “plats” ou trop permissifs, hérités de la facilité : tout parle à tout, parce que c’est plus simple, plus rapide, et que personne ne veut être celui qui casse une communication.
Segmenter pour de vrai, c’est accepter une phase où l’on découvre des vérités gênantes : dépendances inconnues, flux non documentés, services qui utilisent des ports improbables, applis qui reposent sur des partages historiques, équipements non maintenus. La segmentation, comme une radio, ne crée pas la maladie : elle la montre.
La décision difficile n’est pas technique. Elle est culturelle : accepter que certains produits internes ou certains fournisseurs devront se mettre en conformité, et que la règle devient “deny by default”. C’est un chantier, mais c’est aussi la différence entre “incident local” et “paralysie totale”.
Décision : standardiser l’EDR et reprendre la main sur les endpoints
Dans une entreprise, les postes et serveurs sont le terrain de jeu favori des attaquants. Pourtant, on voit encore des environnements où l’antivirus varie selon les sites, où l’EDR est déployé “sur les postes critiques”, où les exceptions sont innombrables, où l’on garde des machines “spéciales” hors standard parce qu’un logiciel métier est fragile.
Prendre la décision EDR, c’est choisir un standard, l’industrialiser, mettre en place la télémétrie, l’alerting, les playbooks, et surtout la capacité de contenir : isoler une machine, bloquer une exécution, couper un processus, sans négocier au cas par cas quand l’incendie démarre.
Le point dur, ce sont les arbitrages : performance, compatibilité, faux positifs, relation avec les métiers, et gouvernance avec le SOC. Beaucoup d’organisations achètent un EDR comme un produit. Or l’EDR est un système d’exploitation de la crise. Sans process, sans réponse, sans ownership, c’est un coût de plus. Avec un pilotage clair, c’est un filet de sécurité réel.
Décision : arrêter les comptes partagés et les privilèges permanents
La phrase “on a besoin de ce compte pour que ça marche” est l’une des plus dangereuses en cyber. Les comptes partagés, les mots de passe connus de “tout le monde”, les privilèges admin permanents, les accès de prestataires jamais retirés : c’est de l’oxygène gratuit pour un attaquant.
La décision difficile, c’est de mettre fin à l’exception devenue norme :
- interdiction des comptes partagés (ou traçabilité forte et justification)
- gestion des secrets (vault)
- privilèges à la demande (PAM), élévation temporaire
- revue régulière des droits
- suppression des comptes orphelins
Cela fâche parce que ça touche au pouvoir, à la vitesse, aux habitudes. Et parce que ça oblige à regarder en face une réalité : beaucoup d’équipes ont compensé des lacunes d’industrialisation par des “passe-droits” techniques. La sécurité, ici, revient à remplacer l’informel par du gouverné.
Décision : accepter qu’on ne peut pas tout sécuriser, et choisir ses batailles
En transition, la tentation est de lancer dix chantiers : MFA, EDR, segmentation, sauvegardes, SIEM, IAM, cloud security, sensibilisation… Résultat : on disperse, on fatigue, et on n’atterrit nulle part.
La décision courageuse est de prioriser comme un produit : réduire le risque là où l’impact est maximal. Identifier les “crown jewels” (données sensibles, identité, messagerie, AD, ERP, cloud, sauvegardes), puis concentrer l’effort. Le reste n’est pas ignoré, mais planifié.
C’est aussi ici qu’intervient la question taboue : qu’est-ce qu’on accepte comme risque résiduel ? Tant que la direction n’ose pas l’écrire, les équipes cyber vivent en culpabilité permanente, et l’organisation se raconte qu’un jour elle sera “à 100%”. Elle ne le sera jamais.
Décision : imposer une gouvernance d’arbitrage business, pas un théâtre de comités
La cyber souffre d’un défaut structurel : elle est souvent “conseillère” mais rarement “décideuse”. Elle recommande, elle alerte, elle documente… puis elle se heurte au mur du “pas maintenant”. En transition, si vous n’installez pas un mécanisme d’arbitrage clair, vous aurez des politiques… sans effets.
La décision difficile consiste à instituer une gouvernance simple, brutale et utile :
- un propriétaire de risque identifié par domaine (IT + métier)
- des règles de décision (critères, délais, exceptions)
- un circuit d’escalade (qui tranche quand ça bloque)
- un reporting orienté impact (exposition, incidents, dette de patching, couverture MFA/EDR)
Ce n’est pas un “comité de plus”. C’est le passage du cyber “moral” au cyber “piloté”. Et dans une organisation, ce passage fait toujours grincer.
Conclusion : la cyber n’est pas une liste d’outils, c’est une série de renoncements
Ces décisions ont un point commun : elles retirent de la liberté à court terme pour gagner de la résilience à long terme. Elles obligent à dire non, à standardiser, à documenter, à mesurer, à traiter les exceptions comme des dettes.
En transition, vous n’avez pas le luxe de l’idéal. Vous avez le devoir du concret : réduire rapidement la surface d’attaque, casser les scénarios de propagation, reprendre la main sur l’identité et les endpoints, et mettre en place une gouvernance qui tranche. Le reste viendra — si ces décisions-là sont enfin prises.
Si tu veux, je peux te décliner ça en format post LinkedIn (accroche + 7 intertitres courts + punchlines) ou en version “plan d’action 90 jours” orientée COMEX.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.