Risque géopolitique : des RSSI alertés mais désarmés
Les RSSI accordent de plus en plus d'importance au risque géopolitique dans leur métier, sans changer de méthodes pour l'appréhender. C'est la conclusion que l'on peut tirer d'un sondage effectué par le Club des experts de la sécurité de l'information et du numérique (Cesin) auprès de ses adhérents. 69,3% ont répondu que les soubresauts du monde et la reconfiguration géopolitique opérée ces cinq dernières années ont affecté leur approche cyber. Mais 85,3% ont estimé qu'ils n'avaient pas complété leurs méthodologies d'analyse de risques avec des outils et solutions introduisant la dimension géopolitique.
Ce sondage a servi à alimenter les débats du 13e congrès du Cesin consacré au cyber dans les turbulences géopolitiques, qui s'est tenu les 2 et 3 décembre 2025 à Reims. "Aussi, seuls 26% des répondants disent avoir introduit des questions de géopolitique dans leurs démarches de sécurité et projets. Cela signifie que beaucoup de RSSI ne savent pas appréhender le risque géopolitique et sont tétanisés face à lui. Je pense qu'ils font face à un effet de sidération : beaucoup n'acceptent pas ce risque tant il se rapproche à grands pas", estime François Ehly, membre du Cesin, RSSI et senior manager chez Almond.
Un risque qui s'étend sans être maîtrisé
Bien que le risque géopolitique ait toujours fait partie du quotidien des RSSI, "il est plus vif depuis l'invasion de l'Ukraine par la Russie", en 2022, affirme Odile Duthil, présidente du Club de la sécurité de l'information français (Clusif) et directrice cybersécurité du Groupe Caisse des Dépôts. Et son intensité s'est même accélérée depuis l'élection de Donald Trump à la tête des Etats-Unis, selon Alain Bouillé, délégué général du Club des experts de la sécurité de l'information et du numérique (Cesin), et ancien RSSI du Groupe Caisse des Dépôts : "Le nouveau risque est que les Etats-Unis ne sont plus nécessairement un allié de l'Europe. Avant 2024, il était inenvisageable qu'une cartographie des risques mentionne le danger que les Américains arrêtent de fournir leurs services. Ce danger figure désormais dans toutes les cartographies".
Risques liés à la dépendance des Européens aux solutions américaines et aux composants chinois essentiels dans les systèmes d'information, assauts quotidiens et puissants de groupes cybercriminels russes ou nord-coréens, etc. "Nous sommes dans une réelle guerre hybride que je ressens personnellement et que je vis à travers des incidents et menaces cyber", affirme François Ehly. Ce ne sont plus seulement les RSSI de grandes entreprises ou d'entreprises critiques qui sont entraînés dans le tourbillon de cette guerre hybride, mais les RSSI et responsables cybersécurité de toutes les organisations, quelle que soit leur taille, insiste Odile Duthil : "Même les petites et moyennes entreprises sont désormais concernées car elles sont prestataires de plus grandes structures ciblées".
Même si ce risque ne fait que s'étendre, les méthodes utilisées par les RSSI peinent encore à l'appréhender, déplore Alain Bouillé : "Nous avons organisé un atelier sur l'intégration du danger géopolitique dans les analyses de risques lors du congrès du Cesin. Cette réflexion est vraiment nouvelle. Les analyses de risques classiques le prennent très peu en compte, voire pas du tout. Intégrer ce risque dans les analyses nécessite aussi de trouver des solutions". "Des solutions comme l'Indice de résilience numérique sont toutefois en train de se développer. Cet indice sera disponible en 2026", indique Odile Duthil. Initié en juillet 2025 et expérimenté par Docaposte, la Caisse des Dépôts et d'autres entreprises, ce référentiel contient des critères permettant de mesurer la dépendance d'un système d'information à des fournisseurs extra-européens ainsi que sa résilience en cas de crash numérique qui peut être lié à un conflit géopolitique.
L'appréhension de ce risque se heurte à une autre difficulté. Il oblige de nombreux RSSI, au profil avant tout technique, à repenser en profondeur leur pratique. "Pour bien intégrer ce risque géopolitique, les RSSI doivent se cultiver, être en prise avec l'actualité, en plus de faire leur veille quotidienne des menaces cyber. Ils doivent collecter de l'information à la radio, dans les journaux, et être capables de bien percevoir les menaces en reliant les questions cyber et l'actualité internationale. Ils doivent être acteurs en partageant avec leur communauté les menaces qu'ils observent", insiste François Ehly. Selon Olivier Daloy, RSSI de Zscaler, cet intérêt pour l'actualité est même nécessaire. "Dans une précédente fonction, je me tenais au courant de l'actualité géopolitique chaude et la communiquais à mon centre des opérations de sécurité pour les pousser à traiter plus attentivement certaines alertes".
Quand le RSSI devient acteur du renseignement
Malgré les difficultés qu'ils rencontrent pour appréhender ce risque, les RSSI sont néanmoins de plus en plus intégrés à la communauté du renseignement. Ils recueillent et partagent ainsi des informations nécessaires pour mieux anticiper les menaces géopolitiques. Cela n'est pas nouveau pour certains RSSI passés par de grandes entreprises comme Olivier Daloy : "J'ai toujours eu une étroite relation avec la direction générale de la sécurité intérieure, qui me donne de l'information, de la threat intelligence et m'éveille aux risques émergents". Ces relations tendent toutefois à se généraliser de plus en plus, observent Odile Duthil et Alain Bouillé : "Nous assistons à une démocratisation de ce phénomène", affirme le secrétaire général du Cesin.
Il juge cependant que cela n'est pas encore suffisant : "Il faut renforcer la coopération entre les services spécialisés en renseignement et les RSSI pour rendre possible une anticipation beaucoup plus efficace". C'est ce que permettent des laboratoires de threat intelligence comme celui d'ESET, qui sont en étroite relation avec des services de renseignement. Grâce à des chercheurs dédiés, ESET produit des notes et rapports privés permettant aux RSSI d'anticiper les menaces géopolitiques et de connaître leurs origines. "Ceux-ci peuvent aussi interagir avec nos chercheurs afin d'en savoir plus sur telle ou telle menace", précise Alexis Rapin, analyste en threat intelligence dans cette entreprise de cybersécurité. "Un RSSI qui ne lit pas ce type de notes et rapports passe à côté d'informations essentielles et cela l'empêche de préparer une feuille de route efficace contre les menaces", conclut Benoit Grünemwald, directeur des affaires publiques d'ESET.