Fuites de données en série : quand la "gestion du risque" devient une démission collective

Christophe Mazzola
Cyber Academy / Cresco Cybersecurity

Les fuites de données s'enchaînent. Le problème n'est pas la cyberattaque, mais une sécurité pilotée par le business qui "accepte le risque" au lieu de corriger des failles connues.

Les fuites de données s’accumulent. CAF, SFR, Bouygues Telecom, plateformes privées, services publics, prestataires intermédiaires. Chaque semaine ou presque, un nouveau communiqué, une nouvelle “affaire”, un nouveau lot de millions de données exposées. Et à chaque fois, la même musique : pas de mots de passe, pas de données bancaires, pas d’impact critique. Incident maîtrisé. Circonscrit. Sous contrôle. Le vrai problème, pourtant, n’est plus le piratage lui-même. Le vrai scandale, c’est ce que nous avons collectivement décidé de tolérer.

Car ces attaques ne tombent pas du ciel. Elles ne sont ni imprévisibles, ni incompréhensibles. Dans la grande majorité des cas, les failles existaient avant l’incident. Les dépendances étaient connues. Les architectures fragiles étaient identifiées. Les alertes avaient été formulées. Ce qui a manqué, ce n’est pas la compétence technique. C’est la décision.

Depuis des années, la cybersécurité a été progressivement confisquée par une logique purement “business”. On ne parle plus de systèmes robustes, mais de risques acceptables. On ne se demande plus si un système est sain, mais s’il est “suffisamment sécurisé” au regard des enjeux économiques. La question n’est plus “est-ce dangereux ?”, mais “est-ce acceptable pour le business ?”.

Quand la dérive commence

La sécurité informatique n’est pas une variable d’ajustement financière. Ce n’est pas un poste qu’on compresse parce que le trimestre est tendu. Ce n’est pas un compromis qu’on documente pour se donner bonne conscience. Concevoir un système fragile en se disant qu’on “acceptera le risque”, ce n’est pas une stratégie. C’est un pari. Et comme tous les paris mal compris, il finit toujours par se perdre.

Le vocabulaire a trahi la discipline. On a laissé s’installer l’idée que tout risque pouvait être accepté, tant qu’il était formalisé dans un document, validé en comité et assorti d’un plan vague à horizon indéfini. On a remplacé la rigueur technique par des tableaux, la solidité par des justifications, la prévention par de la narration. Résultat : des systèmes qui tiennent tant que rien ne se passe… et qui s’effondrent dès que la réalité frappe.

Dans le monde physique, personne n’accepterait ce raisonnement. Personne n’expliquerait qu’un immeuble peut rester exploité malgré des défauts structurels majeurs parce que “le risque a été évalué”. Personne ne dirait que l’on peut vivre avec une installation électrique dangereuse sous prétexte que la probabilité d’un accident est faible. En informatique, pourtant, cette logique est devenue normale.

Chaque fuite récente raconte la même histoire. Des données personnelles exposées, parfois anciennes, toujours exploitables. Des institutions qui minimisent parce que “ce ne sont que” des coordonnées, des identifiants, des historiques. Comme si ces informations n’étaient pas précisément la matière première des arnaques, des fraudes, du phishing ciblé et de l’ingénierie sociale. Comme si la valeur d’une donnée se limitait à son usage immédiat, et non à ce qu’elle permet de construire.

Une inquiétante banalisation

À force de présenter ces incidents comme inévitables, on finit par les rendre acceptables. À force de rassurer, on anesthésie. À force de communiquer, on évite de corriger. Et pendant ce temps, les mêmes causes produisent les mêmes effets. Les architectures restent complexes. Les responsabilités restent diluées. Les dépendances restent opaques. Et les citoyens, eux, encaissent.

La conformité n’a rien arrangé. On a fait croire que respecter un cadre réglementaire suffisait à être en sécurité. ISO, NIS2, DORA, RGPD : autant de textes nécessaires, mais largement insuffisants. La conformité décrit un état administratif, pas un état réel. Elle ne rend pas un système robuste. Elle ne corrige pas un modèle d’accès défaillant. Elle ne supprime pas une dépendance toxique. On peut être parfaitement conforme et dangereusement vulnérable.

Le cœur du problème est là : la sécurité informatique a été pensée comme un sujet de gouvernance, alors qu’elle reste avant tout un sujet d’ingénierie. On ne sécurise pas un système par décision. On le sécurise par conception. Et ce qui est mal conçu ne se rattrape jamais avec des comités ou des tableaux de risques.

Les consultants ont prospéré sur cette ambiguïté. Ils parlent de stratégie, d’alignement, de maturité. Rarement de simplicité. Rarement de réduction de surface d’attaque. Rarement de décisions radicales mais nécessaires. Le discours est lisse, rassurant, présentable en comité exécutif. La réalité, elle, continue de fuir.

À chaque incident, on cherche un responsable externe. Le hacker. Le groupe. Le forum. Mais le plus souvent, l’attaquant n’a fait qu’ouvrir une porte déjà entrouverte. La vraie responsabilité se situe en amont, dans ces décisions silencieuses où l’on a préféré accepter plutôt que corriger. Là où l’on a choisi le confort du court terme au détriment de la solidité du long terme.

Il est temps de poser la seule question qui compte vraiment : quels risques n’aurions-nous jamais dû accepter ?

Pas ceux qui sont politiquement coûteux. Pas ceux qui font peur dans un rapport. Ceux qui, une fois réalisés, abîment durablement la confiance, la crédibilité et parfois l’existence même des organisations.

La cybersécurité ne manque pas de normes mais de courage

Le courage de dire que certains systèmes doivent être repensés. Que certaines architectures doivent être simplifiées. Que certaines dépendances doivent être coupées. Que certaines décisions business sont incompatibles avec une protection minimale des données.

Les fuites de données en série ne sont pas une fatalité technologique. Elles sont le symptôme d’un renoncement collectif. Tant que l’on continuera à appeler “gestion du risque” ce qui ressemble de plus en plus à une abdication, rien ne changera. Et la prochaine fuite, comme les précédentes, sera “surprenante”, “regrettable”… et parfaitement évitable.