Cybersécurité : L’externalisation : on n’y pense que quand ça manque

La cybersécurité, c’est comme le papier toilette. Tant qu’il y en a, tout va bien. Le jour où ça manque… c’est la panique, l’improvisation et l’inconfort total.

Signalez ce contenu à notre équipe

Sylvain RSSI

Sylvain B P - Officier de Sécurité des Systèmes d'Information / RSSI

Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

La cybersécurité, c’est comme le papier toilette.
Tant qu’il y en a, tout va bien.
Le jour où ça manque… c’est la panique, l’improvisation et l’inconfort total.

Je n’écris pas ces lignes depuis un bureau climatisé, protégé par trois couches de certifications ISO.

J’ai connu la réalité des salles de marché, des messageries critiques en cabinet ministériel, des crises informatiques internationales, des Jeux Olympiques et même des scrutins présidentiels.

Ce que j’ai appris ? Ce n’est pas la technologie qui nous trahit.

C’est notre confort. Notre oubli. Notre délégation sans pilotage.

Externaliser ? Oui. Oublier ? Jamais.

L’externalisation, c’est séduisant :
On transfère la complexité. On "fiabilise". On "optimise les coûts".
Et surtout, on n’en parle plus.

Résultat ? Plus de réunion.
Plus de tension.
Juste une ligne mensuelle : « Infogérance : 590 € HT »

Sauf que…
Le jour où un serveur clignote, où un salarié ouvre un mail vérolé,
où votre comptable clique sur « suivre ce colis » un vendredi soir à 18h,
vous cherchez désespérément qui appeler.
Et là, vous découvrez que personne ne sait vraiment qui fait quoi.

La confiance sans contrôle : droit dans le mur

Tout le monde a "confiance".
Personne n’a vérifié.

Votre prestataire pense que la sécurité est gérée par le DAF.
Votre DAF pense que c’est prévu dans le contrat.
Et vous, dirigeant, vous pensez que tout est sous contrôle.

Mais en cas d’incident, que fait le contrat ?
Il vous rappelle une chose : à qui appartiennent les torts.

La cybersécurité invisible est la plus dangereuse

Le pire ennemi de la vigilance, c’est le confort.

Quand tout fonctionne, vous oubliez que ça pourrait s’arrêter.
Alors, on coupe dans les audits.
On oublie les sauvegardes.
On ne teste rien.
Et on laisse les clés du camion à un prestataire qui, parfois, ne sait même pas ce qu’il transporte.

Jusqu’au jour où… il n’y a plus de papier.

Vous essayez de relancer votre activité, mais tous vos fichiers sont chiffrés.
Vous appelez votre prestataire : il est en vacances.
Vous relisez le contrat : « meilleur effort sans garantie ».
Vous demandez une sauvegarde : elle date d’avant la pandémie.

Ce n’est pas une dystopie. C’est du vécu.
J’ai vu des administrations, des entreprises du CAC40 et même des hôpitaux entiers paralysés… à cause d’un oubli.
D’un excès de confiance.
D’une gouvernance absente.

La solution ? Pas magique. Juste logique.

Vous externalisez ? Très bien.
Mais pas en mode "poussette sans les mains".
Déléguer ne veut jamais dire abandonner.

Voici les fondamentaux à reprendre en main :

Gouvernance claire : qui fait quoi, quand, avec quel engagement ?
Sauvegardes testées : et pas juste "présumées fonctionnelles".
Contrôle régulier : exigez des preuves, pas des promesses.
Audit indépendant : la cybersécurité ne se déduit pas d’une facture.

Une règle simple à retenir :

La cybersécurité, c’est comme le papier toilette.
On n’en parle jamais.
Mais le jour où ça manque, on s’en souvient très longtemps.

Et vous, êtes-vous sûr qu’il y en a encore un rouleau ?
Posez la question aujourd’hui. Demain, il sera peut-être trop tard.

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

L’auteur n’a pas autorisé les commentaires sur ce billet

Libertés publiques

La justice valide l’annulation du colloque du Collège de France, et c’est grave

Le tribunal administratif de Paris a rejeté les recours contre l’annulation du colloque sur la Palestine et l’Europe qui devait se dérouler au sein du prestigieux établissement. Une décision dangereuse, fondée sur des éléments douteux, qui catalyse la mise en danger des libertés académiques.

par Joseph Confavreux
Violences sexistes et sexuelles — Enquête

Violences sexuelles : à Paris, une gestion de crise chaotique face aux soupçons visant des animateurs

Ces derniers mois, les suspensions d’animateurs se multiplient dans les écoles de la capitale. Mercredi 12 novembre, d’après nos informations, des parents ont déposé plainte avec constitution de partie civile pour viol aggravé sur une enfant de maternelle. Plusieurs familles concernées confient leur colère à Mediapart.

par Mathilde Mathieu
Enfances

Violences sexuelles dans le périscolaire parisien : ces moyens qui manquent

Face aux mises en cause d’animateurs qui se multiplient, des collectifs de parents et des syndicats se mobilisent pour obtenir de la ville de Paris qu’elle admette ses failles et déploie des moyens. Une pierre dans le jardin de la majorité sortante.

par Mathilde Mathieu
Amériques

« Bien sûr il savait au sujet des filles » : Donald Trump rattrapé par l’affaire Epstein

Trois courriels du pédocriminel mort en prison en 2019, publiés par l’opposition démocrate à la Chambre des représentants, laissent penser que l’actuel président états-unien a menti sur son rôle dans le scandale de pédocriminalité impliquant le financier. « Il savait à propos des filles », écrivait Epstein en 2019.

par François Bougon

Billet de blog

Un regard sur la justice d'après le 13 novembre

[Archive 2027] Au moment où se tient le « procès Merah » et où les parties civiles dans le dossier des attentats du 13 novembre 2015 sont reçues pour la deuxième fois par les juges d'instruction, nous mettons en ligne ce texte de Georges Salines, alors président de l'association « 13 novembre : fraternité et vérité ».

par Revue Délibérée
Billet de blog

« C'est un rescapé du Bataclan » : 10 ans après le jour où tout a basculé

« C'est un rescapé du Bataclan » : c'est un chewing-gum sous la chaussure qu'on se trimballe. Est-ce une identité, un rôle à tenir dans la société ? 10 ans après le jour où tout a basculé, j'aspire, moi aussi, à être « une victime à la retraite ». Mais après le travail judiciaire, une réflexion collective de grande ampleur doit être menée sur le traumatisme dans nos sociétés ; alors, et seulement alors, nous n'aurons pas été victimes pour rien.

par Cédric Maurin
Billet de blog

J'étais ce soir-là au Bataclan

[Archive 2015] Christophe Naudin, enseignant, 39 ans, était au Bataclan vendredi 13. « J’ai longtemps hésité à donner ce témoignage, mais je pense que cela peut m’aider, peut-être aider d’autres personnes, et permettre à tous ceux « qui n’y étaient pas » d’avoir une idée de ce qui s’est passé, une idée seulement, sans doute. »

par Les invités de Mediapart
Billet de blog

Dix ans après le 13-Novembre : dix ans de bascule islamophobe

Chaque année, à cette date, je suis traversé par des émotions mêlées. Il y a d’abord la douleur, celle de la blessure nationale, du deuil partagé. Et puis il y a la blessure plus intime : celle d’avoir été regardé et désigné, avec tant d’autres, non plus comme un frère en deuil, mais comme un suspect devant se justifier. Après le 13-novembre, la lutte contre le terrorisme s’est transformée en soupçon généralisé à l’encontre d’une partie de la communauté nationale.

par Mohamed Awad