Le marché de la peur : pourquoi la cybersécurité reste prisonnière de son propre récit

6/5/26
👈 les autres actualités

La cybersécurité a-t-elle un autre langage que la peur ? La question, posée par Damien Gbiorczyk (expert cyber-résilience chez Illumio) dans une tribune publiée par Silicon.fr le 23 avril 2026, met le doigt sur un paradoxe que vivent au quotidien les RSSI et les responsables de traitement : malgré des budgets en hausse continue, les incidents s'enchaînent et le sentiment d'insécurité ne recule pas. La réponse, selon l'auteur, tient moins à un défaut technique qu'à un défaut narratif.

Une industrie qui ne sait prouver sa valeur que par l'incident

Le constat de départ est simple. Dans la plupart des fonctions de l'entreprise, la valeur se mesure : chiffre d'affaires pour les ventes, conversions pour le marketing, productivité pour les opérations. La cybersécurité, elle, doit prouver « l'absence d'incident ». Tant qu'aucune attaque majeure ne vient stresser le dispositif, aucune preuve tangible que les investissements fonctionnent. Conséquence : les exercices de red team deviennent l'une des rares démonstrations de valeur disponibles — simuler la catastrophe pour prouver qu'on y survivrait.

Le récit positif manque. Les communications victorieuses parlent toujours d'« attaque stoppée », de « rançongiciel contenu », de « menace neutralisée ». Tous les acteurs entretiennent cette boucle : les fournisseurs en ont fait un levier commercial, mais les RSSI eux-mêmes y ont recours pour débloquer des budgets, et les conseils d'administration valident plus facilement un projet après l'incident d'un concurrent qu'avant.

L'IA n'a pas atténué la peur, elle l'a amplifiée

L'irruption de l'IA dans le discours cyber a aggravé la dépendance. Deux récits dominent désormais : celui des attaquants augmentés par des capacités quasi illimitées, et celui d'organisations condamnées à courir derrière une technologie qui les dépasse. La tribune cite explicitement le cas Claude Mythos d'Anthropic — modèle présenté comme un « super-hacker » capable d'enchaîner des vulnérabilités pour construire des exploits complexes en autonomie. Mais ce qui interroge, ce n'est pas la capacité réelle : c'est la mise en récit. Mythos pourrait améliorer la détection, la remédiation et la résilience ; il est d'abord raconté comme un facteur de risque accru.

Le même phénomène avait déjà conduit l'ANSSI à proscrire le déploiement en production des agents IA autonomes mi-avril 2026, et l'État français à basculer vers une doctrine cyber offensive après le piratage de l'ANTS. À chaque fois, l'événement précède la décision — la stratégie suit l'émotion.

Pendant que la peur tient le micro, les fondamentaux restent les mêmes

Le rappel posé par la tribune est utile pour les DPO et RSSI : les points d'entrée privilégiés des attaquants en 2026 restent les vulnérabilités connues, les erreurs de configuration et les défauts d'hygiène. Pas l'IA. Le Future of Privacy Forum dressait le même constat fin avril : les chaînes d'approvisionnement logicielles tierces (façon SolarWinds, XZ Utils, PyTorch) sont les angles morts qui appellent une cartographie sérieuse, pas une promesse marketing. Et des techniques d'ingénierie sociale comme ClickFix rappellent qu'un utilisateur reste le maillon faible le plus fiable, IA ou non.

Ce que ça change pour les organisations

Pour un DPO ou un RSSI, sortir du réflexe de la peur ne signifie pas la nier — elle reste rationnelle. L'enjeu est de la rééquilibrer en exprimant la valeur autrement. Trois leviers concrets se dégagent :

  • Faire évoluer les indicateurs. Tant que les tableaux de bord saturent de menaces et de détections, ils alimenteront une vision anxiogène. Mesurer la résilience, la continuité d'activité, le temps de confinement (MTTC) ou les progrès architecturaux valorise la trajectoire de long terme. Cette logique rejoint directement les exigences de l'article 32 du RGPD, qui impose une « capacité à rétablir la disponibilité » — pas seulement à l'éviter.
  • Réhabiliter le travail de fond. Segmentation, moindre privilège, modernisation des architectures, hygiène : ces chantiers peu visibles font la différence en cas d'incident. Le cadre opérationnel de sécurité des données reste plus déterminant que le dernier produit estampillé « IA ».
  • Préparer le récit de crise plutôt que le subir. Quand la violation arrive, la qualité de la réponse — délai 72 h vers la CNIL, communication aux personnes, traçabilité — devient le seul indicateur visible de maturité. Le guide Leto sur la réaction aux violations de données détaille la chaîne d'obligations à activer.

Ce que Leto pense de cette décision

La tribune d'Illumio n'apporte pas de directive réglementaire — elle pose un diagnostic culturel. Et c'est précisément sa valeur pour un DPO : si la cybersécurité ne sait se vendre que par la peur, alors la conformité risque d'être budgétée par à-coups, après chaque amende ou chaque fuite, plutôt qu'inscrite dans une stratégie. La trajectoire dessinée par NIS 2, DORA et l'article 32 du RGPD impose au contraire un travail continu, mesurable, démontrable. Le DPO qui sait raconter ses progrès sur la résilience, la cartographie des sous-traitants ou la qualité de ses réponses aux violations gagnera plus de budgets — et plus de crédibilité — que celui qui agitera la prochaine menace IA. La rupture viendra le jour où la maîtrise mobilisera autant que la catastrophe.

Sources : Silicon.fr — La cybersécurité, prisonnière de la peur (Damien Gbiorczyk, Illumio)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026