Stratégie Octobre 2024

L'hygiène cyber : le chantier oublié des RSSI

Pourquoi les fondamentaux doivent précéder les solutions technologiques

Le paradoxe de l'industrie cyber

L'industrie de la cybersécurité excelle dans le marketing de solutions technologiques. EDR nouvelle génération, SIEM augmenté par l'IA, XDR tout-en-un... Les éditeurs rivalisent d'ingéniosité pour vendre des plateformes toujours plus sophistiquées. Et pourtant, la majorité des compromissions réussies exploitent des failles basiques : mots de passe faibles, systèmes non patchés, comptes privilégiés mal gérés.

Le constat est sans appel : nous achetons des Ferrari alors que nous ne savons pas encore conduire.

Le premier chantier : l'hygiène et la connaissance

Avant de déployer le moindre SOC ou d'investir dans une énième plateforme de threat intelligence, le RSSI doit mener un chantier fondamental, souvent négligé car peu valorisant : l'hygiène informatique et la connaissance de son environnement.

Les quatre piliers de l'hygiène cyber

  • Connaissance de l'environnement : Quels systèmes ? Quelles applications ? Quelles données ?
  • Connaissance métier : Quels processus critiques ? Quelles dépendances ?
  • Identification des risques : Sans tomber dans l'analyse de risques paralysante
  • Gestion des vulnérabilités : Découvrir, prioriser, corriger ou contourner

Cette démarche n'est pas glamour. Elle ne fait pas la une des conférences. Mais elle est indispensable.

Construire l'organisation avant la technologie

Un RSSI efficace doit d'abord structurer son organisation autour de trois axes de communication essentiels :

1. Parler aux métiers

La sécurité ne peut pas être une tour d'ivoire technique. Le RSSI doit comprendre les enjeux business, les contraintes opérationnelles, les processus critiques. Cela nécessite un dialogue constant avec les directions métier, dans leur langage, pas dans le jargon cyber.

2. Parler au COMEX

Le COMEX ne veut pas savoir combien de CVE ont été publiés ce mois-ci. Il veut comprendre l'exposition aux risques en termes d'impact business : perte de CA, atteinte à la réputation, arrêt de production. Le RSSI doit traduire la technique en risque métier quantifiable.

3. Découvrir, qualifier, corriger

L'organisation doit mettre en place des processus systématiques pour :

  • Découvrir les systèmes (asset management)
  • Identifier les identités et leurs privilèges
  • Détecter les vulnérabilités et les misconfigurations
  • Suivre les corrections ou mettre en place des workarounds

Sans cette base organisationnelle, aucune technologie ne sera efficace.

L'IA comme accélérateur, pas comme solution miracle

L'intelligence artificielle est un outil formidable pour aider les RSSI dans leurs missions. Elle excelle à :

  • Traiter des masses de données : logs, alertes, inventaires
  • Prioriser : identifier les vulnérabilités critiques dans un océan de CVE
  • Aider à la décision : corréler des signaux faibles, suggérer des actions

Mais l'IA ne remplace pas la connaissance de son environnement. Elle l'amplifie. Un RSSI qui ne connaît pas son SI ne pourra pas exploiter l'IA efficacement. L'IA sans fondations, c'est construire sur du sable.

EDR d'abord, SOC ensuite

Voici une vérité qui dérange : déployer un SOC sans avoir une vision claire de son SI est une erreur stratégique.

Un SOC sans connaissance des assets, sans cartographie des flux, sans compréhension des usages normaux, va se noyer dans les faux positifs. Il va consommer des ressources précieuses pour peu de valeur ajoutée.

La séquence logique

  1. Déployer un EDR : visibilité sur les endpoints, détection des comportements anormaux
  2. Construire la connaissance : inventaire, gestion des identités, cartographie
  3. Structurer la remédiation : processus de patch management, gestion des vulnérabilités
  4. Ensuite seulement, envisager un SOC : quand on a une base solide pour contextualiser les alertes

Un EDR bien configuré apporte une valeur immédiate. Un SOC sans fondations apporte surtout de la frustration.

L'approche plateforme : une vision unifiée

Une fois les fondations posées, le RSSI peut envisager une approche plateforme qui surveille de manière cohérente :

  • Les identités : IAM, PAM, détection des comptes compromis
  • Le cloud : CSPM, surveillance des configurations, détection de dérives
  • Le legacy : Active Directory, systèmes on-premise, applications métier
  • Les vulnérabilités : scan continu, priorisation intelligente, suivi des remédiations

Cette approche plateforme n'est efficace que si elle repose sur une connaissance précise de l'environnement. Sinon, elle devient un simple agrégateur de bruit.

Conclusion : revenir aux fondamentaux

Le rôle du RSSI en 2025 n'est pas d'empiler des solutions technologiques. C'est de construire une stratégie de sécurité pragmatique, fondée sur :

  • Une connaissance approfondie de son environnement
  • Une organisation structurée autour du dialogue métier et COMEX
  • Une approche systématique de la gestion des vulnérabilités
  • L'utilisation intelligente de l'IA comme accélérateur
  • Un déploiement séquencé des outils : EDR avant SOC
  • Une vision plateforme unifiée, mais uniquement quand les bases sont solides

L'hygiène cyber n'est pas sexy. Elle ne fait pas de slides impressionnants pour les boards. Mais elle est la seule vraie fondation d'une cybersécurité efficace.

Arrêtons d'acheter des Ferrari. Apprenons d'abord à conduire.

Clément GUIRIEC

Clément GUIRIEC

Associé chez Intrinsec, spécialiste SecOps. Fondateur du SOC, de la CTI et du CERT d'Intrinsec.

LinkedIn → X →
← Retour au blog