Les entreprises investissent massivement dans des technologies de cybersécurité toujours plus sophistiquées. Mais sans visibilité réelle sur leurs propres actifs, ces défenses reposent sur des fondations fragiles. Un rappel percutant des priorités à remettre au cœur de la stratégie cyber.
La cybercriminalité s’est industrialisée. Les menaces se multiplient, les attaques gagnent en sophistication, et les budgets de sécurité augmentent en conséquence. Pourtant, nombre d’entreprises continuent de faire l’impasse sur l’essentiel : la maîtrise de leur propre parc informatique. À force de se tourner vers des solutions de pointe avant d’avoir posé les fondations, elles exposent leurs investissements à un risque d’inefficacité structurelle. Car aucune technologie, aussi avancée soit-elle, ne peut compenser l’absence d’une visibilité exhaustive et en temps réel sur les endpoints.
Le mirage technologique face à la réalité budgétaire
La cybersécurité est aujourd’hui une préoccupation de premier plan pour toutes les organisations, des grands groupes du CAC 40 aux PME structurantes. Pour autant, la course à l’armement technologique ne doit pas faire oublier l’essentiel. Pour un responsable financier, dépenser des millions d’euros dans une solution de détection de pointe sans savoir avec certitude combien d’ordinateurs ou de serveurs sont réellement connectés au réseau revient à installer une alarme biométrique dernier cri dans une maison dont on ignore si les fenêtres du premier étage sont restées ouvertes.
Comme l’a théorisé Abraham Maslow pour les besoins humains, il existe une hiérarchie des besoins en informatique. Matt Swann, de Microsoft, a créé la « hiérarchie des besoins en matière de réponse aux incidents » pour illustrer ces concepts de manière structurée. Cette pyramide constitue une feuille de route claire pour hiérarchiser les priorités de l’entreprise.
Cependant, l’expérience montre que de nombreuses organisations tentent d’atteindre le sommet de cette pyramide — l’automatisation et l’IA générative appliquée à la sécurité — alors que les fondations sont encore incertaines. Pour le décideur, c’est un non-sens économique : on ne peut pas protéger, ni même assurer, ce que l’on ne voit pas.
La pyramide des besoins : un modèle de résilience financière
La version originale de la pyramide de Swann comprend 9 niveaux techniques, mais pour une lecture stratégique, nous pouvons la diviser en 5 paliers critiques. Chaque palier franchi n’est pas seulement une amélioration technique, c’est une réduction directe de l’exposition au risque financier et une optimisation de la chaîne de valeur de l’entreprise.
Niveau 1 : La fondation, la visibilité et la gestion des actifs. C’est le socle absolu. Avant de penser à la protection, une entreprise doit impérativement savoir ce qu’elle possède. Cela inclut la détection, l’inventaire et la cartographie en temps réel de tous les équipements connectés à son réseau : serveurs physiques, terminaux mobiles, objets connectés (IoT), et instances dans le Cloud.
Niveau 2 : protection de base et hygiène numérique. Une fois les actifs identifiés, les premières couches de protection rationnelle peuvent être appliquées : gestion continue des correctifs, déploiement et configuration des terminaux.
Niveau 2 : La protection de base et l’hygiène numérique. Une fois les actifs identifiés, il est possible d’appliquer les premières couches de protection rationnelles : gestion des correctifs (patching), déploiement des outils de protection des terminaux, pare-feu, l’authentification multifacteur (MFA) et contrôles d’accès. Ici, l’objectif est de réduire la « surface d’attaque ». Pour un dirigeant, ce niveau correspond à l’entretien préventif : il est bien moins coûteux de colmater une fuite mineure que de reconstruire après une inondation totale du système d’information. Ces protections de base sont tellement fondamentales pour une bonne hygiène de sécurité qu’elles constituent un élément clé dans le calcul des primes d’assurance cyber et des risques.
Niveau 3 : Le contrôle d’accès et la conformité proactive. À ce niveau, on ajoute des mesures comme la gestion des identités et des accès (IAM). C’est ici que l’on s’assure que les systèmes sont en conformité avec les politiques de sécurité internes et les réglementations de plus en plus contraignantes (RGPD, NIS 2 ou DORA). Pour un dirigeant, ce niveau représente la garantie juridique. Une non-conformité n’est plus un simple risque administratif, c’est un passif financier qui peut lourdement impacter l’EBITDA en cas de sanction.
Niveau 4 : La détection et la réponse aux incidents (EDR, NDR). Les entreprises qui ont bâti des fondations solides peuvent enfin mettre en place des outils de détection sophistiqués pour surveiller leur environnement. La capacité à contenir une menace avant qu’elle ne paralyse la production dépend directement de la qualité des données collectées au niveau 1. Sans cette base, ces outils génèrent une « fatigue des alertes » : vos experts perdent un temps précieux à courir après des chimères, ce qui, en retour, augmente vos coûts opérationnels.
Niveau 5 : La résilience, l’automatisation et l’IA. Le sommet de la pyramide consiste à utiliser l’automatisation pour anticiper les menaces, lancer des recherches de manière proactive et automatiser les processus de réponse aux incidents. C’est le stade de la maturité ultime, où la cybersécurité devient un avantage compétitif, un argument de vente pour rassurer vos propres clients et partenaires sur la pérennité de vos services. C’est également un mécanisme qui permet à vos équipes de « faire plus avec moins » et de réduire la charge cognitive liée aux tâches humaines fastidieuses. Cela conduit à des progrès plus importants en matière d’innovation au sein de l’organisation.
Pour bien comprendre l’enjeu, prenons une analogie familière : la logistique et la gestion des stocks. Si une entreprise industrielle ne sait pas exactement quelles pièces sont présentes dans ses entrepôts, elle s’expose à deux risques financiers majeurs : la rupture de flux (arrêt de la production) ou le surstockage inutile (immobilisation de capital).
En cybersécurité, l’absence de visibilité crée des « angles morts » similaires. Un serveur oublié dans un site distant ou une instance cloud créée par un département marketing sans l’aval de l’informatique (« Shadow IT ») sont autant de stocks non inventoriés qui peuvent « s’enflammer » à tout moment. En 2025, le coût moyen d’une violation de données en France atteind désormais les 3,59 millions d’euros. En investissant d’abord dans la visibilité, non seulement l’entreprise se protège, mais elle assainit aussi son bilan informatique, élimine les solutions ponctuelles redondantes et concentre ses ressources là où elles créent le plus de valeur. Les efforts les plus sophistiqués en matière de réponse aux incidents ou de résilience opérationnelle reposent tous sur une visibilité indéniable et en temps réel.
Un impératif de gouvernance : la responsabilité des dirigeants
La cybersécurité a définitivement quitté la sphère purement technique pour devenir un enjeu de gouvernance de haut niveau. Avec l’entrée en vigueur de la directive européenne NIS 2, la responsabilité personnelle des dirigeants (DG, membres du directoire) pourra être engagée en cas de manquement grave aux obligations de sécurité.
Dans ce contexte, le reporting cyber doit changer de nature. Il ne s’agit plus de présenter des graphiques techniques complexes, mais des indicateurs de santé robustes. Les membres du Comex doivent poser une question simple : « Pouvons-nous affirmer, avec preuve à l’appui, que nous connaissons et pouvons contrôler 100 % de nos endpoints en moins de 15 minutes ? » Si la réponse est floue, alors la pyramide est instable et l’entreprise est en danger. Si le risque n’a pas été modélisé et si les exercices n’ont pas donné de résultats satisfaisants et permis de tirer des enseignements, alors la maturité n’a pas été atteinte.
Investir dans le sommet de la pyramide sans sécuriser la base est une erreur stratégique qui se paie tôt ou tard. Construire des automatisations à partir de données floues ou invalides revient à bâtir une maison sur du sable. Cela peut fonctionner pendant un certain temps, mais cela échouera rapidement à l’épreuve du temps. Pour les dirigeants, le défi des prochaines années consistera à transformer la cybersécurité d’un « centre de coûts » réactif en une fonction proactive de résilience.
En revenant aux fondamentaux — savoir ce que l’on possède pour mieux le protéger — les entreprises ne se contentent pas de cocher une case de conformité réglementaire. Elles protègent leur valorisation, leur capacité à opérer en temps de crise et la confiance de leurs actionnaires. Construire sur des fondations solides, c’est s’offrir le luxe de l’ambition numérique tout en maîtrisant son destin financier – c’est construire votre maison sur des fondations solides comme le roc, où vous pourrez vous épanouir pendant de nombreuses années. Dans un monde incertain, la clarté sur ses propres actifs est la première des protections.
____________________________
Par Melissa Bischoping, Directrice de la Stratégie de Sécurité des Endpoints, Tanium
____________________________
puis