⟵ Retour
Cybersécurité : le temps des illusions est terminé.
LA NOUVELLE ÉCONOMIE INTERVIEW
✍️ Par Yannick URRIEN
Olivier Cristini : « La conformité nous donne bonne conscience. Rien de plus. »
Olivier Cristini, CTO du groupe Squad, appartient à cette catégorie d’experts qui ne se laissent plus impressionner ni par les effets de mode ni par les grands discours sur la “transformation numérique”. Son propos est plus simple, et sans doute plus inquiétant : nous continuons à penser la cybersécurité avec des schémas anciens, alors même que le terrain a changé de nature. “Plus on investit, plus on se fait attaquer”, observe-t-il d’emblée. La formule n’a rien d’un paradoxe de salon. Elle dit la vérité nue d’un secteur où l’accumulation d’outils et de normes ne suffit plus à produire de la sécurité réelle.
Au fond, Olivier Cristini reproche aux entreprises une forme d’aveuglement confortable. Pendant longtemps, l’organisation pouvait se représenter comme une forteresse : un dedans, un dehors, une frontière à défendre. Ce monde-là a disparu. Le cloud, la mobilité, l’externalisation, la multiplication des prestataires, l’interconnexion des systèmes informatiques et industriels ont dissous le périmètre classique. Pourtant, explique-t-il, “nos réflexes défensifs, eux, sont restés en place”. C’est là, selon lui, que commence l’erreur stratégique : continuer à défendre un château dont les murs n’existent plus.
Son accusation la plus forte vise sans doute la confusion entre conformité et sécurité. C’est l’un des grands travers contemporains : croire qu’un audit, une certification ou un alignement réglementaire offrent une protection réelle. “La conformité nous donne bonne conscience. Rien de plus”, tranche-t-il. Le propos peut paraître sévère, mais il mérite qu’on s’y arrête. Dans de nombreuses organisations, l’effort cyber se traduit d’abord par des tableaux de bord, des procédures, des référentiels, des contrôles documentaires. Tout cela est nécessaire, bien sûr. Mais un audit ne photographie qu’un instant passé, alors que la menace, elle, se déplace en permanence. Confondre les deux revient à prendre un constat administratif pour une ligne de défense.
Cette illusion est d’autant plus dangereuse que l’économie même de l’attaque a changé. Olivier Cristini insiste sur ce point avec raison. L’intelligence artificielle n’a pas simplement raffiné les modes opératoires des attaquants ; elle en a abaissé radicalement le coût. Ce qui exigeait hier du temps, des compétences rares et des équipes organisées peut désormais être mené beaucoup plus vite et à bien moindre frais. Génération d’exploits, personnalisation de campagnes de phishing, automatisation de la reconnaissance : la cybercriminalité entre, elle aussi, dans l’ère de la productivité assistée. Le déséquilibre est évident. D’un côté, le coût marginal de l’attaque s’effondre. De l’autre, la défense demeure lourde, lente, coûteuse, structurellement plus complexe.
Il en découle un raccourcissement redoutable du temps utile pour réagir. Olivier Cristini rappelle que le mouvement latéral d’un attaquant - autrement dit sa capacité à progresser dans le système après une première compromission - s’est considérablement accéléré. Le point est essentiel. La cybersécurité ne se joue plus seulement sur la prévention, mais sur la vitesse d’identification, de qualification et de réponse. Le temps est devenu la variable centrale. Or beaucoup d’entreprises continuent à raisonner comme si elles disposaient encore de marges confortables.
