Le CTO de Squad, Olivier Cristini, alerte sur une approche dépassée de la cybersécurité, jugeant la conformité illusoire face aux menaces actuelles.

Malgré des investissements croissants, les cyberattaques se multiplient. Un paradoxe qui, selon Olivier Cristini, directeur de la technologie (CTO) du Groupe Squad, ne relève ni d’un manque de budget ni d’un manque d’outils, mais bien d’un « problème de lucidité ». Dans une tribune, il appelle à un changement radical de posture face à des menaces qui ont déjà changé d’ère.

L’analyse de l’expert part d’un constat simple : la plupart des organisations s’appuient sur une vision de la sécurité construite pour un monde qui n’existe plus, celui où l’entreprise disposait d’un périmètre clair avec un « dedans » et un « dehors ». « Ce monde a disparu sous l’effet du cloud, de la mobilité, de l’externalisation massive et de la convergence IT/OT », précise Olivier Cristini. Les infrastructures s’étendent désormais aux prestataires, partenaires et objets connectés, mais les réflexes défensifs, eux, sont restés figés.

La conformité, une illusion coûteuse

L’une des confusions les plus dangereuses, selon le CTO, est celle qui assimile la conformité à la sécurité. Obtenir des certifications comme ISO 27001 ou cocher les cases des réglementations NIS2 et DORA procure une fausse quiétude. « Un audit dit ce qu’on était à la date où il a été conduit. L’attaquant, lui, n’a pas attendu », insiste-t-il. Ce décalage entre le cliché administratif et la réalité dynamique des menaces entretient une « illusion de maîtrise » qui peut réduire la vigilance et s’avérer plus périlleuse qu’une absence de contrôle. Confondre les deux est, pour lui, une « faute stratégique malheureusement très répandue ».

L’économie de l’attaque transformée par l’IA

La rupture est également économique. L’intelligence artificielle n’a pas seulement rendu les attaques plus sophistiquées, elle en a surtout effondré le coût. Des actions qui nécessitaient autrefois des semaines de travail pour des équipes expertes, comme la génération d’exploits ou la personnalisation de campagnes de phishing, s’exécutent aujourd’hui en quelques heures pour une fraction du prix.

Cette industrialisation a une conséquence directe sur la vitesse des intrusions : « Le mouvement latéral (c’est-à-dire le temps qu’il faut à un attaquant pour se déplacer dans un système après y être entré) est passé de 62 minutes à moins de 30 minutes en deux ans », alerte Olivier Cristini. La fenêtre de réaction des défenseurs se réduit donc drastiquement, alors que le coût de la défense, lui, reste structurellement élevé.

Protéger la valeur, pas seulement l’infrastructure

L’expert pointe un autre angle mort majeur : les entreprises sécurisent ce qui est visible et mesurable (serveurs, pare-feux, terminaux), mais délaissent souvent les véritables « joyaux de la couronne ». La propriété intellectuelle, les données stratégiques ou les processus métiers critiques sont fréquemment moins bien protégés que des serveurs de fichiers. Or, « l’attaquant raisonne en valeur, pas en technique. Il cherche à atteindre ce qui compte, pas à vaincre l’architecture la plus solide », analyse-t-il, déplorant un décalage systématique entre la carte des défenses et celle des actifs de valeur.

L’identité comme nouveau champ de bataille

Depuis plusieurs années, la majorité des compromissions majeures ne reposent plus sur des failles techniques complexes (zero-days), mais sur l’exploitation d’identités valides : comptes aux privilèges excessifs, accès de prestataires mal supervisés ou droits jamais révoqués. Quand un attaquant pénètre un système avec des identifiants légitimes, la notion de périmètre s’effondre. Pour Olivier Cristini, la confiance ne doit plus être un état permanent mais un processus de vérification continue, contextuelle et révocable.

De la prévention à la résilience

Dans ce contexte, vouloir tout empêcher est une chimère. « La vraie question n’est pas « comment empêcher toute intrusion ? ». Elle est « combien de temps entre l’entrée et la détection, entre la détection et la réponse, entre la réponse et le retour à la normale ? » », affirme-t-il. La résilience devient la capacité opérationnelle clé, mesurée par l’aptitude à encaisser un choc sans paralyser l’activité. Car les conséquences sont directes : 86 % des organisations touchées par une brèche subissent des perturbations opérationnelles significatives.

En conclusion, Olivier Cristini appelle à une « Modern Cybersecurity » fondée non pas sur de nouveaux outils, mais sur un changement de regard : une visibilité réelle sur l’exposition, une architecture centrée sur l’identité et des capacités de détection-réponse entraînées en continu. Car, conclut-il, « les meilleures ne sont pas celles qui ne se font pas attaquer. Ce sont celles qui absorbent le choc sans s’effondrer ».