Le mot qui veut tout dire… et donc plus rien
Depuis quelques années, un phénomène s’installe progressivement dans les entreprises : tout devient un sujet de cybersécurité.
Un site bloqué ? Cybersécurité.
Un port fermé ? Cybersécurité.
Une restriction utilisateur ? Cybersécurité.
Netflix interdit sur le Wi-Fi entreprise ? Cybersécurité.
À force d’utiliser ce terme pour justifier n’importe quelle décision technique ou organisationnelle, on finit par produire l’effet inverse : la cybersécurité perd sa crédibilité.
Et je suis fatigué de voir la cyber utilisée comme un vulgaire tampon administratif.
Le problème n’est pas la sécurité elle-même — elle est indispensable. Le problème, c’est son instrumentalisation.
La cybersécurité n’est pas une morale.
C’est une discipline de gestion du risque
Chaque mesure devrait répondre à une question simple :
Quel risque concret je réduis ?
Et à quel coût organisationnel ?
Le cas typique : bloquer Netflix “pour la cybersécurité”
Prenons un exemple volontairement simple.
Certaines entreprises bloquent des plateformes comme Netflix, YouTube ou Spotify en expliquant qu’il s’agit d’une mesure de cybersécurité.
Techniquement, cette justification ne tient pas
Réalité technique à froid :
| Sujet | Réalité |
|---|---|
| Netflix est-il un risque cyber majeur ? | Non |
| Connexions chiffrées (HTTPS/TLS) ? | Oui |
| Infrastructure sécurisée ? | Oui (jetez un oeil à Chaos Monkey — Wikipédia d’ailleurs ) |
| Risque supérieur à un site web classique ? | Non |
| Impact réel ? | Consommation de bande passante Utilisation de ressources pro pour le perso |
Le vrai sujet est généralement :
- la gestion du débit réseau
- la productivité
- une politique RH ou managériale
- la qualité de service pour des applications métiers
Ce sont des décisions légitimes.
Mais ce ne sont pas des décisions de cybersécurité.
Confondre les deux crée un problème culturel profond.
Quand la cybersécurité devient un mot magique
Dans beaucoup d’organisations, la cybersécurité est devenue un argument d’autorité :
“On bloque ça pour la sécurité.”
Fin de la discussion.
Pourquoi cela arrive ?
1. Argument difficile à contester
Peu de personnes veulent prendre la responsabilité de s’opposer à une mesure présentée comme sécuritaire.
2. Simplification excessive
Il est plus simple de dire “sécurité” que d’expliquer :
- un arbitrage réseau,
- une contrainte budgétaire,
- une politique interne.
Le vrai danger : décrédibiliser la cybersécurité
À court terme, ces décisions semblent anodines
À long terme, elles créent trois effets très problématiques :
1. Fatigue des utilisateurs
Quand tout est bloqué pour des raisons floues :
- les utilisateurs contournent,
- utilisent leurs téléphones,
- créent du shadow IT.
Résultat : moins de sécurité réelle.
2. Perte de confiance envers les équipes IT
Les collaborateurs finissent par associer cybersécurité à :
- rigidité,
- perte de temps,
- décisions arbitraires.
Le jour où une vraie mesure critique est nécessaire, elle est mal acceptée.
3. Dilution du message sécurité
Si Netflix, un ransomware et une fuite de données sont présentés comme équivalents, alors plus rien n’est priorisé.
Or la cybersécurité repose justement sur la gestion du risque, pas sur l’interdiction systématique.
Cybersécurité ≠ contrôle des usages
Il est essentiel de distinguer clairement trois domaines.
| Domaine | Objectif | Exemple |
|---|---|---|
| Cybersécurité | Réduire les risques d’attaque ou de compromission | MFA, segmentation réseau, patching |
| Réseau / performance | Garantir la qualité de service | QoS, limitation débit streaming |
| Management / RH | Encadrer les usages | politique d’utilisation acceptable |
Les mélanger produit de mauvaises décisions… et de mauvaises perceptions.
Le rôle d’un expert cybersécurité n’est pas de dire non.
C’est de permettre l’usage en réduisant le risque.
Tout nest qu’une simple question de balance bénéfice risque.
La maturité moderne repose sur :
- analyse de risque réelle,
- proportionnalité des mesures,
- pédagogie,
- accompagnement des usages numériques.
La sécurité efficace est presque invisible.
La sécurité punitive, elle, finit toujours contournée.
Le pirate ne regarde pas Netflix
Bloquer Netflix ne compliquera pas la vie d’un attaquant.
Un attaquant :
- exploite une vulnérabilité non patchée,
- envoie un phishing crédible,
- abuse d’un compte sans MFA,
- profite d’un VPN mal segmenté.
Il ne se dit pas :
“Dommage, Netflix est bloqué, je rentre chez moi.”
En revanche, qui subit la restriction ?
Le DG qui dort exceptionnellement dans son bureau après avoir terminé un dossier.
Le collaborateur en déplacement.
L’équipe qui attend que la visio client fonctionne correctement.
On a créé une friction.
Mais pas réduit un risque critique.
La balance bénéfices / risques
La cybersécurité mature repose sur un arbitrage.
| Mesure | Risque réduit | Impact utilisateur | Ratio réel |
|---|---|---|---|
| MFA généralisé | Très élevé | Faible | Excellent |
| Segmentation réseau | Élevé | Invisible | Excellent |
| Segmentation droits | Élevé | Moyen | Excellent |
| Patching rigoureux | Critique | Invisible | Bon |
| Bloquer Netflix | Quasi nul | Emmerdant | Mauvais |
Conclusion — Défendre la cybersécurité en arrêtant de l’utiliser partout
La cybersécurité est un sujet trop sérieux pour devenir un argument fourre-tout.
Chaque fois qu’on invoque la sécurité pour justifier une décision qui relève en réalité du réseau, du management ou du confort administratif, on affaiblit la discipline entière.
Le paradoxe est simple :
Plus on utilise le mot “cybersécurité” à tort, moins la cybersécurité est prise au sérieux.
Replacer les bons mots sur les bons problèmes n’est pas un détail sémantique.
C’est une condition essentielle pour que la sécurité soit comprise, acceptée et réellement efficace.
Faites la guerre aux pirates.
Pas à vos troupes.
