La cybersécurité est en panne : Pourquoi les résultats ne s'améliorent pas et ce qui doit changer

"La cybersécurité est fondamentalement, fondamentalement et systémiquement défaillante.

C'est ce qu'a déclaré Andrew Rubin, fondateur et PDG d'Illumio, lors d'un débat d'experts qui s'est tenu dans une salle comble à l'occasion de la conférence RSAC 2026.

La vraie surprise ? Certains des plus grands cyber-experts actuels - un ancien DSI de la Maison Blanche, le responsable de la veille sur les menaces chez Microsoft, le RSSI de SolarWinds et le responsable de la sécurité de l'une des plus grandes institutions financières du Royaume-Uni - ont tous été d'accord avec lui.

Au cours de la dernière décennie, la cybersécurité est devenue l'une des fonctions les plus financées de l'entreprise. Les équipes se sont agrandies, les outils ont mûri et de nouvelles catégories sont apparues pour résoudre des problèmes de plus en plus spécifiques.  

Sur le papier, cela devrait fonctionner.

Mais les résultats racontent une autre histoire. Les violations ne ralentissent pas. Elles sont de plus en plus importantes, complexes et coûteuses à réparer, et se propagent souvent rapidement dans des environnements que l'on pensait sécurisés.

La table ronde, intitulée "Les dures vérités de la cybersécurité : La peur, la responsabilité et les plus grands mensonges de l'industrie", a fait salle comble dans la salle de bal du Hyatt Regency, dans le quartier SOMA de San Francisco. David Boda, de Nationwide Building Society, Tim Brown, de SolarWinds, Sherrod DeGrippo, de Microsoft, et Theresa Payton, ancienne directrice informatique de la Maison Blanche, se sont joints à M. Rubin.

Ce qui est ressorti clairement, c'est que si le secteur n'est pas resté immobile, il n'a pas non plus changé de résultats. Pour y remédier, il faut repenser la manière dont nous mesurons le succès, dont nous évaluons les risques et dont nous limitons l'impact des violations inévitables.

Les quatre points suivants montrent pourquoi le modèle actuel ne fonctionne pas et pourquoi l'endiguement, et pas seulement la prévention, doit devenir un élément central de la stratégie de sécurité moderne.

1. Nous mesurons les mauvaises choses et appelons cela des progrès

Les panélistes ont convenu que la cybersécurité n'a pas connu de difficultés en raison d'un manque d'efforts, mais parce que le secteur a optimisé ses activités en fonction de résultats erronés.

Tim Brown a décrit comment les organisations définissent aujourd'hui la maturité.

"La maturité est souvent mesurée en termes d'activité plutôt qu'en termes de réduction de la surface des menaces", a-t-il déclaré.  

Cette distinction a des conséquences réelles.

Les équipes de sécurité ne chôment pas. Ils mettent en œuvre des contrôles et suivent des cadres définis. Les tableaux de bord se remplissent d'alertes qui donnent lieu à des enquêtes. Pour le conseil d'administration, cela peut ressembler à des progrès réguliers.

Mais les violations ne se produisent pas dans les tableaux de bord. Ils se produisent dans les lacunes entre les contrôles et les hypothèses que les équipes font sur la couverture. C'est la différence entre cocher une case et réduire réellement l'exposition.

M. Brown a également souligné que le respect des règles pouvait renforcer discrètement ce problème. Les cadres apportent une structure, mais ils peuvent aussi créer une fausse confiance.

Les organisations satisfont aux exigences, passent l'audit et se retrouvent malgré tout confrontées à des incidents que ces mêmes contrôles étaient censés régler.

C'est à ce moment-là que la conversation commence à s'orienter vers l'endiguement des brèches. Si le succès consiste uniquement à stopper toutes les attaques, alors chaque brèche ressemble à un échec. Mais si le succès passe par la limitation des retombées des violations, l'accent est mis sur la réduction de la portée des attaques et des dommages qu'elles peuvent causer.

2. La cybersécurité traite toujours le risque de manière binaire. Ce n'est pas le cas de la réalité.

M. Rubin a insisté sur un problème plus profond : la cybersécurité traite toujours les résultats de manière binaire. Soit vous êtes en sécurité, soit vous êtes victime d'une violation.

Dans la plupart des disciplines, le risque se situe sur un spectre. Les problèmes sont classés et les réponses s'échelonnent en fonction de leur gravité.

Rubin a utilisé l'analogie suivante : si un médecin vous dit que vous avez un rhume, vous n'imaginez pas le pire. Vous vous rétablissez et allez de l'avant. Mais si le diagnostic est plus grave, votre réponse le sera également.

La cybersécurité n'a pas encore totalement adopté cet état d'esprit. Les stratégies tendent encore à s'articuler autour de l'élimination de tous les risques, même si cela n'est pas réalisable dans le paysage actuel des menaces.

David Boda a abordé cette question sous l'angle de la cyber-résilience.

"Nous ne sommes pas toujours en mesure d'assurer la sécurité", a-t-il déclaré. "Nous renforçons notre capacité de résilience face aux menaces qui se présentent.

Le passage à la résilience modifie la façon dont les organisations se préparent. Elle conduit à concevoir des systèmes capables d'absorber les perturbations sans les laisser se propager de manière incontrôlée. Elle s'aligne également sur les stratégies d'endiguement, dont l'objectif est de limiter et de contrôler les incidents plutôt que de les laisser s'aggraver.

3. Vous ne pouvez pas tout protéger, et c'est ce qui doit déterminer votre cyberstratégie.

Theresa Payton, ancienne directrice informatique de la Maison Blanche, a apporté une perspective façonnée par le travail dans des environnements où les enjeux sont immédiats et inévitables.

À la Maison Blanche, la protection de la cybersécurité n'est pas appliquée uniformément à tous les actifs, parce qu'elle ne le peut pas.

"Il est impossible de tout protéger", a-t-elle déclaré.  

Cette contrainte oblige à la clarté. Les équipes doivent décider ce qui compte le plus et concentrer leurs efforts en conséquence.

Payton a décrit comment les organisations doivent identifier et classer leurs actifs les plus critiques en termes pratiques. Il peut s'agir d'un risque réglementaire, de la confiance des clients ou de données exclusives.  

Chaque organisation définit sa propre version de ce qui compte le plus, mais l'exercice de hiérarchisation est essentiel.

C'est plus facile à dire qu'à faire. De nombreuses organisations ne disposent pas encore d'une visibilité totale de leur environnement. Payton l'a comparé à la "recherche du Saint Graal par les Monty Python". Cette anecdote a fait rire les participants, mais elle a également mis en évidence le véritable défi : sans visibilité, l'établissement des priorités devient un exercice de devinette.

Lorsque les équipes sont au clair, leur approche de l'architecture de sécurité s'en trouve modifiée. Ils peuvent isoler les systèmes critiques, restreindre les voies de communication et contrôler étroitement l'accès. En cas de problème, les retombées restent circonscrites.

C'est une approche très différente de celle qui consiste à essayer d'appliquer le même niveau de protection partout.

4. L'IA renforce l'avantage des attaquants

L'IA est apparue comme une force immédiate qui façonne le paysage des menaces.

Sherrod DeGrippo a décrit ce que pourrait être ce changement :

"Je pense que nous assisterons très bientôt à l'avènement de l'acteur de menace licorne - un acteur de menace de niveau supérieur qui dispose d'une capacité incroyable avec un seul être humain.

Son idée reflète la rapidité avec laquelle les capacités se développent. Les tâches qui nécessitaient autrefois des équipes coordonnées peuvent désormais être prises en charge par des individus grâce à l'automatisation et aux outils pilotés par l'IA. La barrière à l'entrée ne cesse de diminuer, alors que l'impact potentiel ne cesse d'augmenter.

Tim Brown a lié ce changement à quelque chose de plus fondamental : les incitations.

"Vous pouvez toujours gagner beaucoup d'argent et ne pas aller en prison", a-t-il déclaré.  

Cette dynamique n'a pas changé. Les attaquants ont toujours une forte motivation financière et des conséquences limitées. Ce qui a changé, c'est la vitesse, l'ampleur et la persistance qu'ils peuvent apporter à une attaque.

M. Brown a expliqué comment l'IA permet de mener des campagnes patientes et de longue haleine qui ne reposent pas sur des gains rapides. Ces attaques peuvent observer les systèmes au fil du temps, adapter leur approche et frapper lorsque l'occasion se présente.

Cela crée une pression différente pour les défenseurs. La détection reste importante, mais elle ne suffit plus. Les dirigeants doivent réfléchir attentivement à ce qui se passe une fois qu'un attaquant a obtenu l'accès et à la portée de cet accès.

La cybersécurité est en panne - et maintenant ?

Le panel "Hard Truths" a offert une vision plus claire de la situation de l'industrie cybernétique et de ses perspectives d'avenir.

Le modèle actuel ne change pas les résultats. La multiplication des outils et des activités n'a pas réduit l'impact global des violations. L'IA ajoute de la vitesse et de l'ampleur à un problème déjà difficile.

Ce qui est ressorti le plus clairement, c'est que la cybersécurité doit évoluer dans sa manière de définir le succès. Le succès comprend la capacité à résister aux attaques et à poursuivre les activités. Il s'agit également de limiter la propagation d'un incident et de protéger ce qui compte le plus.

C'est là que l'endiguement des brèches joue un rôle central. Elle s'ajoute à la prévention et à la détection, en déterminant ce qui se passe après l'intrusion d'un attaquant.

La cybersécurité ne s'améliore pas en continuant sur la même voie. Elle change lorsque les organisations cessent de mesurer l'activité et commencent à mesurer l'impact - et lorsque l'endiguement devient aussi central que la prévention.

Apprenez comment Illumio contient des brèches pour arrêter les mouvements latéraux et stopper rapidement les attaques.