Il existe un schéma récurrent dans l’histoire des défaillances organisationnelles, trop fréquent pour être le fruit du hasard : un système fonctionne correctement pendant une longue période, au point que toute l’entreprise (et l’équipe IT) finit par avoir pleinement confiance en lui. Mais cette confiance excessive érode progressivement la vigilance qui avait justement permis au système de fonctionner correctement au départ. Puis le système finit par échouer, précisément au moment où tous les acteurs concernés auraient affirmé qu’il était en excellente santé.
Aussi contre-intuitif que cela puisse paraître, la stabilité elle-même peut devenir un facteur de déstabilisation. Elle favorise la complaisance, ce qui réduit ensuite les investissements dans la préparation et creuse l’écart entre le risque réel et le risque perçu. L’auteur Morgan Housel a résumé ce mécanisme en six mots : « le calme plante les graines de la folie » (“calm plants the seeds of crazy”).
Ce phénomène se manifeste de manière particulièrement visible et presque clinique sur les marchés financiers. Mais puisqu’il est profondément ancré dans la psychologie humaine, la cybersécurité n’y échappe évidemment pas.
Ainsi, une entreprise qui n’a jamais subi de compromission est plus susceptible de considérer que sa posture de sécurité est suffisante. Le calme donne l’impression que le danger est passé, ce qui modifie les comportements d’une manière qui finit justement par réintroduire ce danger.
L’idée s’installe progressivement, même si personne ne l’exprime clairement : si rien ne s’est produit, alors nos contrôles de sécurité doivent être excellents. Pourtant, dans certains cas, cela revient à confondre absence de preuve et preuve de l’absence.
Ou, vu sous un autre angle, l’absence d’incident visible n’est qu’un silence et le silence peut avoir plusieurs significations.
Une entreprise au bilan irréprochable dispose peut-être effectivement de défenses de très haut niveau. Mais il est aussi possible qu’elle n’ait simplement pas encore attiré l’attention d’un attaquant suffisamment motivé et compétent.
Ce qui soulève au moins deux questions importantes :
Savez-vous réellement si votre environnement est aussi sécurisé que possible face aux menaces actuellement en circulation ? Ou savez-vous seulement que vos contrôles de sécurité de base sont en place ? De nombreuses organisations répondent à la seconde question tout en croyant avoir répondu à la première.
Elles s’appuient parfois sur des référentiels de conformité, alors que ceux-ci ne vérifient pas nécessairement si les mesures déployées sont réellement adaptées aux menaces actuelles. Ainsi, une entreprise peut être à la fois conforme… et vulnérable. (Oui, cela rappelle un peu le paradoxe du chat de Schrödinger.)
Ces autres pièges cachés
L’état formel de la sécurité d’une organisation est relativement facile à mesurer et, lorsque tout semble correct, il est également facile d’en tirer un sentiment rassurant.
En revanche, déterminer si les identifiants d’un employé circulent sur des places de marché du dark web, ou si l’outil EDR de votre organisation peut être neutralisé dans certaines conditions par un « anti-outil » facilement accessible, est bien plus difficile à évaluer sans aller chercher des informations là où beaucoup d’organisations ne pensent même pas à regarder.
En réalité, la tendance naturelle de l’être humain (sauf effort conscient pour la corriger) consiste à s’appuyer sur les informations immédiatement disponibles afin de construire un récit qu’il juge cohérent. Cela se fait souvent au détriment des informations plus difficiles à obtenir, sans réellement se demander lesquelles sont les plus pertinentes ou révélatrices.
Et surtout, l’esprit humain ne signale pas ce qui manque : l’image paraît complète, et la confiance semble justifiée, même lorsqu’elle ne l’est pas.
Le psychologue Daniel Kahneman avait d’ailleurs donné un nom à ce biais cognitif : WYSIATI (What You See Is All There Is — « ce que vous voyez est tout ce qu’il y a à voir »).
Le problème peut encore s’aggraver lorsqu’on considère la manière dont de nombreux décideurs appréhendent le risque : si quelque chose ne peut pas être mesuré, alors cela n’a pas d’importance. Dans la pratique, c’est souvent l’inverse qui se rapproche le plus de la réalité, au point que ce problème sous-jacent est devenu un véritable biais reconnu. Sans développer davantage ici, il suffit de dire qu’une fois que l’on commence à percevoir certains de ces pièges, il devient impossible de ne plus les voir.
Dans son rapport 2025 Data Breach Investigations Report, Verizon a quantifié l’ampleur de l’écart pouvant exister entre la sécurité perçue et l’exposition réelle aux menaces : il apparait que 54 % des victimes de ransomware avaient vu leurs domaines s'afficher dans au moins un journal d’infostealer ou une publication sur une place de marché illicite avant l’attaque.
Autrement dit, les informations d’accès circulaient déjà et, dans certains cas, la compromission avait peut-être même déjà eu lieu alors même que tout semblait fonctionner normalement.
Ce type d’angle mort touche particulièrement les entreprises dont les outils de sécurité ne détectent pas les traces comportementales laissées par les attaquants, comme les tentatives de désactivation des processus de sécurité. Pour corriger cela, il faut changer ce qui est réellement visible et utiliser les bons outils : des solutions capables d’aller au-delà de la simple vérification de la présence des contrôles de sécurité, afin d’identifier les comportements suspects au sein de l’environnement informatique.
Quand la confiance s’effondre
Tout cela est d’autant plus important qu’une intrusion par ransomware constitue un événement majeur de continuité d’activité dont les conséquences se propagent très largement.
Lorsque Change Healthcare a été victime d’un ransomware en 2024, l’impact sur les hôpitaux et les pharmacies s’est fait sentir pendant des mois, sans compter que l’incident a touché presque toute la population américaine. Le coût total a été estimé à environ 3 milliards de dollars. Une attaque ransomware contre Jaguar Land Rover en 2025 a provoqué des dommages financiers comparables.
Par ailleurs, IBM estime le coût moyen d’une violation de données à environ 5 millions de dollars, en tenant compte des interruptions d’activité, des coûts de récupération et des dommages indirects.
Pour les organisations du secteur de la santé, ce coût moyen atteint près de 10 millions de dollars. Et ces chiffres ne prennent même pas en compte les conséquences de long terme, comme les contrats clients non renouvelés ou les primes d’assurance qui augmentent fortement après un incident.
Les dommages s’accumulent ensuite pendant des mois, voire des années, en particulier lorsque les données volées finissent publiées sur un site de fuite dédié (Dedicated Leak Site ou DLS), comme c’est désormais souvent le cas.
L’exposition publique de données d’entreprise déclenche alors une crise à part entière, les contrats, e-mails et données personnelles divulgués devenant une matière première pour d’autres attaques, notamment le phishing et les fraudes de type Business Email Compromise (BEC).
Les obligations réglementaires entrent également rapidement en jeu. Dans le même temps, clients et partenaires commencent à poser des questions auxquelles l’entreprise n’est souvent même pas capable de répondre immédiatement.
Il existe aussi un autre point important que les défenseurs doivent garder à l’esprit : les données publiées ne reflètent que ce que les cybercriminels choisissent de rendre visible. On estime d’ailleurs qu’une faible partie seulement des victimes de ransomware voient réellement leurs données publiées sur ces plateformes.
La discipline comme maître mot
Au-delà des bons outils et des bonnes équipes, une sécurité efficace sur le long terme repose sur une capacité constante d’observation et d’adaptation. Cela suppose d’avoir une vision claire de l’évolution des menaces, mais aussi de son propre environnement informatique.
Il faut reconnaître que maintenir une vigilance permanente en l’absence de menace visible et immédiate est coûteux (psychologiquement parlant en tout cas). Les êtres humains sont naturellement peu adaptés à rester en alerte face à des risques qui ne semblent pas imminents, et la dérive vers la complaisance est généralement si progressive qu’elle passe inaperçue.
Mais puisque le paysage des menaces évolue en permanence, les défenses ne peuvent pas rester immobiles non plus.
Le renseignement sur les menaces (threat intelligence), en particulier celui qui fournit de nombreux signaux sur les campagnes actives, constitue le socle de cette vigilance. C’est ce qui permet aux outils de sécurité de transformer ces informations en détections et en alertes exploitables afin que les équipes de sécurité puissent réagir à temps.
Sans cela, l’écart entre ce qu’une organisation croit de sa sécurité et la réalité peut continuer à se creuser… jusqu’à ce que des cybercriminels viennent s’en mêler. Et le prix à payer est souvent très élevé.
