En voulant structurer la cybersécurité nationale, les pouvoirs publics déploient des logiques verticales et administratives qui affaiblissent les acteurs de terrain au lieu de les renforcer. La résilience ne se décrète pas : elle se construit, avec des professionnels reconnus, écoutés, et rémunérés à la hauteur des enjeux.

Aidant cyber : un mot révélateur d’un mal plus profond

Le terme “aidant cyber”, récemment mis en avant dans le dispositif national, m’interroge encore. Dans le langage courant, un “aidant” accompagne une personne dépendante, en perte d’autonomie.

Ce terme exprime une vision du monde qui je je trouve étrange : celle d’un dirigeant incapable d’agir seul, et de l’expert cyber relégué au rôle d’assistant bénévole.

Cela dit, je crois, quelque chose de notre culture : nous ne considérons pas encore la cybersécurité comme une fonction stratégique.

Elle est un soutien, un coût, une contrainte. Rarement une priorité.

Et c’est précisément ce que reflète la façon dont on traite ceux qui la pratiquent au quotidien.

L’illusion de sécurité par les règles

Face à un monde incertain, l’administration répond avec ce qu’elle connaît :

• des référentiels,

• des guides,

• des cases à cocher.

J’ai même vu des RSSI affirmer :

Ce n’est pas de la rigueur.
C’est de la fainéantise intellectuelle. Normalisée.
Et c’est un piège, car aucun guide ne protège réellement une organisation d’une attaque ciblée, d’une erreur humaine ou d’une crise systémique.

Espérons que la prochaine transposition de la directive NIS2 n’aboutira pas à le même genre de liste exhaustive de “cases à cocher”.

La sclérose des compétences

Cette logique s’étend aussi à la formation.
Toutes les écoles avec une formation cyber veulent être labellisées SecNumEdu.

Mais ce label, devenu obsessionnel, reproduit un référentiel figé, incapable de représenter la diversité réelle des métiers cyber.
On continue de former des techniciens sans outiller les praticiens du dialogue, du pilotage, de l’architecture, de la remédiation.

On formate. On standardise. On rassure.
Mais on ne prépare pas.

L’entre-soi institutionnel

Dans ce contexte, certains postes à haute visibilité tournent entre les mêmes mains.
Les anciens de l’ANSSI, les “coopés”, les ex. mili.
Ils passent d’une entreprise à une autre.

Le problème n’est pas leur parcours, mais le manque de diversité des profils reconnus.
Or, la résilience, comme l’innovation, naît du frottement des expériences, pas de leur homogénéité.

Pendant ce temps, la menace frappe

💥 Les assauts numériques de la Russie et de la Chine sont bien réels.
💥 Les attaques ciblent nos collectivités, nos entreprises, nos infrastructures.
💥 Les rançongiciels se multiplient, silencieux, rapides, destructeurs.

Et dans le même temps, un désalignement géopolitique avec les États-Unis se profile.
Moins de coopération, plus de souveraineté concurrentielle, des outils qui se ferment.

Et nous, pendant ce temps-là ? Nous nous félicitons de disposer de CERT territoriaux… dont combien fonctionnent en 24/7 ?

Comme si les gans de rançonneurs partaient en week-end.
Comme s’ils déclaraient une trêve la nuit.
Comme si la cybermenace respectait les horaires de bureau.

En réalité, la réponse nationale française reste désespérément procédurale :

• questionnaires rigides,

• dispositifs sous-financés,

• et experts sous-payés qu’on appelle “aidants”.

Ce n’est plus seulement un angle mort.
C’est une faille stratégique.

Cesser de sous-estimer la cybersécurité

Un bon conseil cyber ne vaut pas moins qu’un bilan financier.
Un accompagnement de crise ne vaut pas moins qu’un audit réglementaire.

Et pourtant, la cybersécurité reste trop souvent considérée comme une ligne de coût évitable.
Une “aide technique”, alors qu’elle devrait être une colonne vertébrale stratégique.

Il est temps d’en finir avec cette approche.

Ni en sous-payant les experts de terrain.
Ni en réduisant l’action des CISO à des checklists.
Ni en offrant aux CISO, comme seule sortie du bureau, des salons et des cocktails.

Ce qu’il faut construire maintenant

La cybersécurité ne peut plus être gérée comme un dispositif administratif.
C’est une responsabilité collective, un enjeu de souveraineté, un levier de transformation.

Il faut :

✅ Revaloriser l’expertise terrain
✅ Rendre visible la diversité des profils
✅ Encourager les approches responsables, autonomes, agiles
✅ Cesser de traiter la protection numérique comme une formalité

Parce qu’à la fin, ce ne sont pas les logos qui sécurisent les entreprises.
Ce sont les gens.

Heureusement, l’impulsion donnée par Vincent Strubel depuis son arrivée à l’ANSSI depuis janvier 2023 me semble aller dans le bon sens. Nous avons enfin une vraie stratégie nationale de cybersécurité.

Take-away:

👉 Appeler un expert un “aidant”, c’est déjà réduire son rôle.
👉 La sécurité ne se décrète pas : elle se construit, sur le terrain, pas dans les cases à cocher.
👉 Une checklist ANSSI n’est pas une stratégie. C’est un point de départ, pas une destination.
👉 Standardiser les cursus, ignorer les profils hybrides, recycler les mêmes têtes : c’est créer une cybersécurité figée, déconnectée du réel.
👉 Ce qui protège une entreprise ? Des pros reconnus, écoutés, bien payés, et outillés pour durer.

Et toi ?

Qu’est-ce qui, dans ton organisation, relègue encore la cybersécurité à un rôle d’assistance ou de conformité ?

Réfléchis-y. Et si tu veux en discuter, je suis là.

PS : Pour prendre un peu de recul sur ta posture cyber, tu peux réserver un créneau 1-1

🎓 Masterclass Gratuite — Décode la conformité DORA

🗓 Jeudi 24 avril — 12h15 à 13h15 (en ligne)

💡 Après une première édition qui a rassemblé 27 experts, cette masterclass revient pour t’aider à transformer DORA en plan d’action concret.

DORA repose sur 5 piliers… utiles pour les régulateurs, mais trop flous pour les entreprises qui doivent les mettre en œuvre.

👉 En 45 minutes, tu vas :

✅ Découvrir les 12 vraies capacités cyber à structurer pour être conforme
✅ Comprendre les interdépendances entre les chantiers (et éviter les doublons)
✅ Apprendre à aligner conformité & opérations IT/cyber, sans perdre en agilité

🎙️ Je partagerai mes méthodes de CISO & directeur de programmes cyber dans les secteurs bancaire et fintech.

Et j’aurai le plaisir d’accueillir, en guest speaker, Cécile Vernudachi, avocate associée et responsable du pôle numérique du cabinet Anders Avocats et sa collaboratrice Diane de Langeron. Toutes deux pourront t’éclairer sur les aspects juridiques de DORA.

🔎 Ces posts que tu as peut-être manqué cette semaine

Cette newsletter est réalisée par Sylvan Ravinet. Connectons-nous sur LinkedIn ou collaborons ensemble.

Laisse un commentaire ou transfère-la à un·e collègue qui devrait la lire.