Alain Rees · 09-07-2026 · 21 min leestijd
En plus de vingt ans de travail dans la sécurité de l'information, d'abord dans le secteur financier et les télécommunications, puis comme Chief Information Security Officer (CISO) (par intérim), la fonction responsable en dernier ressort de la sécurité de l'information, dans l'enseignement supérieur, j'ai vu revenir sans cesse un même schéma. Des organisations qui, sur le papier, avaient tout en ordre, avec des politiques, des certificats et d'épais rapports, se révélaient malgré tout vulnérables lors d'un incident ou d'un audit critique. À l'inverse, il arrivait aussi que des organisations qui avaient en réalité bien réglé leurs affaires ne parviennent pas à le montrer au moment décisif. Cela ne réussissait alors ni face à l'autorité de contrôle ou au commissaire aux comptes, ni face au client qui envoyait une évaluation fournisseur, et parfois pas même face à sa propre direction.
De cette expérience est né le modèle de travail qui constitue le cœur de Kantyra. Il se compose de quatre phases qui forment ensemble un cycle continu, dans lequel la démontrabilité n'est pas une pièce finale mais une phase à part entière. Ces phases s'appellent Détecter, Évaluer, Résoudre et Démontrer. Lorsque j'ai couché ce modèle sur le papier, la question s'est imposée de savoir s'il s'agissait d'un modèle de conseil commode ou si une véritable science le sous-tendait. En tant qu'ancien enseignant en gestion des risques, je me sentais tenu de prendre cette question au sérieux.
Je me suis donc plongé dans la littérature académique. Cet article est le résultat de cette recherche. Il montre que les quatre phases du modèle ne sont pas une trouvaille marketing, mais un résumé de ce que quatre courants de recherche distincts démontrent depuis des années : la recherche sur la différence entre sécurité symbolique et sécurité réelle, la recherche sur l'efficacité de la certification, la recherche sur le contrôle et la preuve en continu, et la recherche sur la sécurité de l'information dans les petites et moyennes entreprises (PME). Toutes les sources figurent ci-dessous, avec leur DOI (Digital Object Identifier), la référence numérique permanente d'une publication scientifique, afin que vous puissiez tout vérifier vous-même.
Par souci d'exhaustivité, je précise que je suis le fondateur de Kantyra et que j'ai donc un intérêt dans ce récit. C'est précisément pour cela que je rends l'argumentation entièrement transparente, afin que vous puissiez juger les arguments plutôt que l'expéditeur.
La principale conclusion scientifique qui sous-tend cet article provient d'un domaine que beaucoup de spécialistes de la sécurité de l'information ne lisent pas quotidiennement, à savoir les sciences des organisations. Au sein de la théorie institutionnelle, on sait depuis des décennies que les organisations adoptent des normes et des standards pour deux raisons très différentes. Parfois, elles le font pour en tirer un réel bénéfice. Au moins aussi souvent, cependant, elles le font pour acquérir de la légitimité, par exemple parce que l'environnement l'attend, que le client le demande ou que le concurrent l'a également. Dans ce second cas, les chercheurs parlent d'adoption symbolique ou cérémonielle. L'organisation accroche le certificat au mur, tandis que la pratique quotidienne ne change guère.
Longtemps, cela est resté surtout une distinction théorique. Cela a changé avec la recherche de Corey Angst et ses collègues, publiée dans MIS Quarterly, l'une des revues scientifiques les plus influentes en sciences de l'information. Ils ont examiné des données pluriannuelles d'hôpitaux américains et étudié la relation entre les investissements en sécurité de l'information et la survenue de fuites de données. Le cœur de leur conclusion est que la manière dont une organisation met en œuvre la sécurité importe. Les hôpitaux qui ont mis en œuvre les mesures de façon symbolique n'ont constaté aucune baisse démontrable du nombre de fuites de données. Les hôpitaux qui ont mis en œuvre la sécurité de façon substantielle, et l'ont donc profondément ancrée dans leurs processus et leurs routines, ont bel et bien eu moins de fuites de données à gérer. Pour tout dirigeant qui raisonne en trimestres, il importe de noter que cet effet n'est devenu visible qu'avec le temps.
Cette recherche donne un nom et une base probante à quelque chose que beaucoup de RSSI savent intuitivement. La différence entre une organisation qui paraît sûre et une organisation qui l'est ne réside pas dans la liste des mesures. Elle réside dans la question de savoir si ces mesures sont ancrées dans le travail quotidien. C'est précisément cette différence qui est difficile à voir de l'extérieur, et souvent aussi de l'intérieur. Cet écart entre paraître et être, je l'appelle l'écart de vérification. J'entends par là qu'il manque un moyen fiable et actuel d'établir que les mesures existent, fonctionnent et ont été évaluées.
Si la mise en œuvre symbolique ne protège pas, que dit alors un certificat ? Cette question est désormais bien étudiée. Guido Culot et ses collègues ont publié en 2021 une revue systématique de la littérature portant sur quinze ans de recherche scientifique sur l'ISO/IEC 27001, la norme des organismes internationaux de normalisation ISO (International Organization for Standardization) et IEC (International Electrotechnical Commission), la norme de management de la sécurité de l'information la plus connue au monde et l'une des certifications ISO les plus répandues. Leur revue ordonne le champ de recherche selon cinq thèmes : la relation avec d'autres standards, les motifs d'adoption, les problèmes de mise en œuvre, les résultats possibles et les facteurs de contexte.
Deux schémas de cette revue importent pour cet article. Premièrement, les motifs de certification s'avèrent étonnamment souvent de nature externe, tels que les exigences des clients, les conditions d'appel d'offres et la pression du marché. C'est exactement le profil contre lequel la théorie institutionnelle met en garde à propos de la mise en œuvre symbolique. Deuxièmement, les auteurs constatent que les preuves empiriques de ce que la certification apporte réellement restent limitées et fragmentées. Après quinze ans de recherche, la question de savoir si un certificat ISO 27001 conduit à une meilleure sécurité n'a tout simplement pas reçu de réponse convaincante.
Des recherches plus récentes affinent encore ce tableau. Une étude par entretiens menée en Suède auprès de professionnels de la sécurité de l'information, publiée en 2023, a examiné ce que l'on appelle la légitimité de résultat (output legitimacy) de l'ISO/IEC 27001, c'est-à-dire la mesure dans laquelle la norme tient ce que les parties prenantes en attendent. Les chercheurs ont distingué huit objectifs de sécurité de l'information et ont constaté que la norme tient ces objectifs à des degrés très variables. Leur conclusion mérite d'être prise à cœur. Qui traite l'ISO 27001 comme un document purement technique en tire peu. La valeur n'apparaît que lorsque des personnes dotées des connaissances et des compétences adéquates utilisent la norme comme un soutien à leur travail. Une étude de cas comparative de Robert van Wessel et Henk de Vries (Rotterdam School of Management) sur la mise en œuvre de standards de sécurité en Europe et en Chine avait déjà montré auparavant à quel point la déclinaison d'une même norme varie selon l'organisation et le contexte.
Le bilan de ce courant de recherche n'est pas que la certification serait inutile. Le bilan est qu'un certificat est un instantané d'un dispositif, tandis que la protection dépend du fonctionnement quotidien de ce dispositif. Un certificat répond à la question de savoir si le dispositif était correctement conçu à la date de l'audit. La question que votre direction, votre autorité de contrôle et vos partenaires de la chaîne posent réellement, à savoir s'il fonctionne aujourd'hui et si vous pouvez le montrer, il n'y répond pas.
Le deuxième courant de recherche provient des sciences de l'audit et est plus ancien que beaucoup ne le pensent. Dès 1991, Miklos Vasarhelyi et Fern Halper, alors en poste chez AT&T Bell Laboratories, ont décrit un système pour l'audit continu de grands systèmes en ligne. Leur point de départ était aussi simple que radical. Dans un environnement en changement permanent, un contrôle périodique a posteriori constitue par définition une information dépassée. Qui contrôle une fois par an ignore, onze mois sur douze, où il en est.
De cette idée est né tout un champ de recherche, celui du continuous auditing, c'est-à-dire du contrôle continu et de l'assurance continue. Alexander Kogan, Ephraim Sudit et Vasarhelyi en ont formulé un programme de recherche en 1999. Michael Alles et ses collègues ont confronté la théorie à la pratique en 2006 avec une implémentation pilote chez Siemens, où le fonctionnement des mesures de contrôle interne dans les processus métier était surveillé en continu et de manière automatisée. Leurs constats, ainsi que les enseignements des essais ultérieurs qu'ils ont publiés en 2008, montrent deux choses. La surveillance continue des mesures est techniquement réalisable. Elle exige toutefois une formalisation, car qui veut pouvoir établir en continu qu'une mesure fonctionne doit définir au préalable ce que cette mesure recouvre, à quelle norme elle doit satisfaire et quel signal compte comme un écart.
Pour la sécurité de l'information, ce courant de recherche est directement pertinent, car le rythme de reddition de comptes classique dans notre métier reste périodique, avec l'audit interne annuel, la recertification triennale et l'auto-évaluation dans le cycle de reddition de comptes. Entre ces moments apparaît ce que l'on peut sans hésiter appeler un angle mort. Les mesures s'édulcorent, les exceptions s'accumulent et de nouveaux systèmes échappent à la vue d'ensemble. La littérature sur le contrôle continu indique une issue. Ne traitez pas la preuve comme un projet annuel, mais comme un sous-produit continu du travail ordinaire. Chaque évaluation, chaque modification et chaque action achevée fournit un fragment de preuve, à condition qu'il soit consigné sur le moment même.
Par honnêteté, je dois ajouter que la mesure de la sécurité reste aussi, sur le plan scientifique, une question difficile. Depuis les premières lignes directrices sur les indicateurs de sécurité, telles que la publication 800-55 de l'institut de normalisation américain NIST (National Institute of Standards and Technology), le domaine se débat avec la question de savoir quels indicateurs disent réellement quelque chose sur l'efficacité des mesures. Ce n'est pas une raison pour renoncer à mesurer. C'est en revanche une raison de commencer modestement, par la question de base qui reste étonnamment souvent sans réponse, à savoir si la mesure existe, si elle fonctionne et si quelqu'un l'a récemment évaluée.
Le troisième courant de recherche est de nature juridique, et c'est ici que la science touche directement la pratique actuelle en France et en Belgique. Dans le droit européen de la protection des données, le Règlement général sur la protection des données (RGPD) a ancré un principe qui va plus loin que l'obligation de bien faire. Ce principe s'appelle le principe de responsabilité (accountability). L'article 5, paragraphe 2, du RGPD dispose que le responsable du traitement doit non seulement respecter les principes, mais aussi être en mesure de démontrer qu'il les respecte. Le Groupe de travail « Article 29 », le prédécesseur du Comité européen de la protection des données, a développé ce principe dès 2010 dans son avis sur le principe de responsabilité, dont le cœur est que la responsabilité sans capacité de preuve ne suffit pas juridiquement.
La littérature juridique n'est d'ailleurs pas sans critique à l'égard de ce principe. Des analyses parues notamment dans l'European Journal of Risk Regulation soulignent que la combinaison du principe de responsabilité et de l'approche fondée sur les risques fait peser la charge de la preuve résolument sur l'organisation elle-même, avec toutes les charges de documentation que cela implique. Or cette critique même confirme le cœur du sujet, à savoir que le législateur a fait de la démontrabilité une obligation autonome et que les organisations doivent organiser leur manière de travailler en conséquence.
Vous observez aujourd'hui le même mouvement dans la législation sur la cybersécurité. NIS2, la directive européenne sur la sécurité des réseaux et des systèmes d'information (directive (UE) 2022/2555), impose aux organisations un devoir de vigilance et en rend l'organe de direction expressément responsable. En France, sa mise en œuvre relève de l'autorité de l'ANSSI. En Belgique, elle a été transposée par la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024, dont l'autorité compétente est le Centre pour la Cybersécurité Belgique (CCB). Les organisations qui entrent dans son champ d'application doivent prendre des mesures appropriées sur la base d'une analyse de risque et être en mesure de démontrer au régulateur que ce dispositif existe et est maintenu. Les référentiels de responsabilité sectoriels en Europe reposent eux aussi, pour l'essentiel, sur ce même principe. Le règlement DORA (Digital Operational Resilience Act), le règlement européen pour le secteur financier, exige des entités financières qu'elles maintiennent un cadre documenté de gestion des risques liés aux technologies de l'information et de la communication, qu'elles le testent et le tiennent à jour, l'organe de direction en assumant la responsabilité finale. Une organisation ne doit pas seulement prendre les mesures, mais aussi pouvoir en rendre compte.
Qui place cette ligne juridique à côté des courants de recherche précédents observe quelque chose de frappant. Le législateur exige précisément ce dont les sciences des organisations montrent que cela fait la différence. La mise en œuvre substantielle, dans la recherche d'Angst et ses collègues la forme qui protège réellement, laisse des traces sous la forme d'évaluations, de décisions, d'ajustements et d'ancrage dans les processus. La mise en œuvre symbolique laisse surtout des documents détachés de la pratique. Une obligation de rendre compte qui exige une preuve actuelle et traçable issue du fonctionnement quotidien constitue ainsi, que le législateur l'ait voulu ou non, un test de la différence entre paraître et être.
Le quatrième courant de recherche porte la question vers les organisations où elle se fera le plus durement sentir dans les années à venir, à savoir les petites et moyennes entreprises. Sous l'effet de NIS2 et surtout de sa répercussion dans les chaînes d'approvisionnement, via les évaluations fournisseurs, les conditions d'achat et les exigences d'assurance, des milliers d'organisations sont confrontées à des questions de reddition de comptes sans disposer pour cela d'un service de sécurité propre.
Un groupe de recherche autour de Marco Spruit (Université d'Utrecht, aujourd'hui Université de Leyde) a publié en 2021 une revue systématique de la littérature sur les indicateurs de sécurité socio-techniques pour les PME. Leur analyse met au jour deux problèmes non résolus que tout dirigeant de PME reconnaîtra, à savoir l'agrégation de mesures isolées en une image compréhensible et l'adaptation de l'approche à sa propre situation. Les mesures isolées et les mesures ponctuelles ne manquent pas, mais les PME ont besoin de leur traduction en un conseil d'action taillé pour leur propre organisation. Les chercheurs concluent qu'il existe un besoin pressant de formes d'évaluation des risques intuitives et orientées menaces pour les PME les moins matures sur le plan numérique. Dans des recherches ultérieures, ils ont effectivement élaboré une telle approche d'évaluation orientée menaces pour les PME.
Auparavant déjà, Bilge Yigit Ozkan et Spruit avaient montré que les standards et les modèles de maturité existants sont tout simplement trop lourds pour ce segment, et que les PME gagnent à recourir à une auto-évaluation légère et pré-structurée, capable de grandir avec l'organisation. Du côté de la criminologie, le courant de recherche de Rutger Leukfeldt, rattaché à l'Université de Leyde, au NSCR et à la Haagse Hogeschool, souligne en outre depuis des années que la cybercriminalité n'est plus depuis longtemps un problème réservé aux grandes entreprises et que ce sont précisément les petites organisations qui ont besoin d'un soutien adapté à leur échelle.
Le fil rouge de cette recherche est que les PME n'ont pas besoin d'une version allégée de l'outillage de la multinationale, mais d'une forme fondamentalement différente. Cette forme est pré-structurée, compréhensible, formulée dans leur propre langage et dotée d'une traduction intégrée des signaux en actions concrètes.
Qui place ces quatre courants de recherche côte à côte voit se dessiner une manière de travailler. C'est le modèle que j'ai développé dans la pratique et qui est intégré dans Kantyra, mais sa logique découle directement de la littérature.
Le cycle ne commence pas par un inventaire annuel, mais par la captation continue de signaux issus de la pratique, tels que les incidents, les modifications de systèmes et de fournisseurs, les résultats des évaluations fournisseurs et les évolutions des normes, de la législation et des exigences de la chaîne. Le fondement se trouve dans la littérature sur le contrôle continu, qui montre qu'un instantané vieillit dès le jour où il est réalisé. Continu ne signifie d'ailleurs pas ici que tout est surveillé de seconde en seconde. Dans la pratique, une partie des signaux naît au moment de l'action, par exemple lors d'un incident ou d'un exercice manqué, et une autre partie provient de contrôles quotidiens réguliers portant sur des échéances, des dates de test et des évaluations. Cette combinaison, elle aussi, diffère déjà fondamentalement d'une unique mesure annuelle. La recherche sur l'évaluation orientée menaces pour les PME montre en outre que commencer par des menaces concrètes fonctionne mieux que commencer par des textes normatifs abstraits.
Les signaux ne deviennent exploitables qu'après pondération. La question est alors de savoir ce qu'un signal signifie pour sa propre organisation, avec ses systèmes, ses personnes et son appétence au risque. C'est là que se pose le problème d'agrégation issu de la recherche sur les PME, car des constats isolés doivent converger en une évaluation qui débouche sur une décision. C'est aussi la phase où commence la différence entre symbolique et substantiel. Qui évalue pour cocher une case produit du papier. Qui évalue pour décider donne une direction.
Le constat d'Angst et ses collègues est ici déterminant. La protection n'apparaît que lorsque les mesures sont mises en œuvre de façon substantielle, et donc ancrées dans les processus et les routines, avec une propriété claire et un suivi. Résoudre, dans ce modèle, n'est donc pas cocher une liste, mais attribuer, exécuter et ancrer des actions, en ayant conscience que l'effet demande du temps et exige de l'entretien.
Enfin vient la phase qui manque dans les cadres courants. Les cadres internationaux bien connus ordonnent le travail selon des fonctions telles qu'identifier, protéger, détecter, réagir et rétablir, complétées depuis peu par gouverner. Pour aucune de ces fonctions la démontrabilité n'est le principe organisateur, alors que l'obligation de rendre compte issue du RGPD et le devoir de vigilance issu de NIS2 l'exigent bel et bien, et alors que la littérature d'audit montre qu'une preuve devant être reconstituée a posteriori arrive toujours trop tard. Dans ce modèle, démontrer est donc une quatrième phase à part entière. La trace faite de signaux, d'évaluations, de décisions et d'actions achevées y naît d'elle-même au moment de l'action, et les éléments de preuve sont, au même moment, reliés au bon jugement ou à la bonne mesure, de sorte qu'ils y restent trouvables. La preuve devient ainsi, pour l'essentiel, un sous-produit du travail ordinaire. Une organisation le fait non pas parce que l'auditeur arrive, mais parce qu'elle veut elle-même savoir où elle en est. Que le dossier soit du même coup prêt pour l'autorité de contrôle, le commissaire aux comptes et le partenaire de la chaîne est un avantage bienvenu.
Les quatre phases forment résolument un cycle. Ce que vous rencontrez lors de la démonstration, par exemple une mesure qui se révèle inefficace ou une évaluation devenue obsolète, constitue aussitôt un nouveau signal pour le tour suivant. Qui connaît le cycle de Deming en reconnaîtra la parenté. La différence essentielle réside dans la dernière phase. Là où l'étape de contrôle dans ce cycle classique est une affaire interne, la démonstration se tourne vers l'extérieur, vers la direction, l'autorité de contrôle et la chaîne, et constitue ainsi un test que vous ne pouvez pas reporter jusqu'à la saison annuelle des audits.
Si vous ne retenez qu'une chose de cet article, que ce soit la conclusion que la science ne donne aucune raison de se rassurer avec un certificat ou un classeur de politiques, et toutes les raisons d'investir dans l'ancrage réel des mesures et dans la capacité à en montrer le fonctionnement en continu. Posez-vous trois questions. Savez-vous ce qui se passe en ce moment dans votre organisation et dans votre chaîne ? Pouvez-vous aujourd'hui, sans temps de préparation, montrer que vos trois mesures les plus importantes existent, fonctionnent et ont été récemment évaluées ? Et si la réponse est négative, combien de semaines vous faut-il alors pour rassembler malgré tout cette preuve ?
Les organisations qui ne peuvent pas répondre à ces questions n'ont peut-être pas de problème de sécurité sur le papier, mais elles ont bel et bien un écart de vérification. Cet écart se transforme, dans les années à venir, avec NIS2 et la répercussion des exigences de la chaîne, d'un inconfort interne en un risque externe. Les quatre phases de cet article constituent ma réponse à cela, non pas comme un édifice théorique, mais comme une manière de travailler avec laquelle vous pouvez commencer dès demain. Commencez par détecter, évaluez ce que vous voyez, résolvez l'essentiel et consignez dès le premier jour ce que vous faites.
Cet article est une synthèse étayée de recherches scientifiques existantes et non une recherche indépendante évaluée par des pairs. Les études citées ont été sélectionnées pour leur pertinence, pour leur publication dans des revues scientifiques ou des actes de conférence, et pour leur vérifiabilité. Là où je donne un sens ou une interprétation, cette interprétation relève de ma seule responsabilité.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMesurez, en tant que CISO, où en sont votre organisation et votre CISO Office, et découvrez comment piloter et corriger à temps grâce à une carte de score.
Comment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.