La conformité cyber progresse, mais elle ne suffit pas toujours à mesurer le niveau réel de sécurité des organisations. Dans le secteur public, l’écart est encore plus sensible : les services se sont numérisés vite, les surfaces d’exposition ont augmenté, mais les moyens humains, techniques et budgétaires n’ont pas toujours suivi. Pour Sébastien Viou, Field Cybersecurity Strategist chez Fortinet France, la réglementation reste indispensable, à condition de ne pas devenir un écran entre les équipes et les risques réellement présents sur le terrain.
Une réglementation encore difficile à stabiliser
La transposition de NIS2 en France doit élargir les obligations cyber à une partie importante du secteur public, dont les collectivités, certains établissements de santé et des organismes sociaux. Mais pour Sébastien Viou, la première difficulté tient déjà à la lisibilité du cadre. « Aujourd’hui, si je prends l’exemple de NIS2, la loi résilience est toujours en débat au Parlement », rappelle-t-il.
« Au niveau de la réglementation, ce n’est pas clair. Être en conformité avec quelque chose de pas clair, c’est difficile. »
Ce flou arrive après plusieurs années de numérisation accélérée des services publics. Les collectivités et administrations ont été encouragées à mettre en ligne leurs démarches, leurs documents et leurs services, souvent avant que les obligations de sécurité ne soient pleinement structurées.
« Les systèmes étatiques sont hyper exposés. Et pour autant la loi qui est censée dire “c’est exposé mais ça doit être protégé”, elle arrive 10 ans après », résume Sébastien Viou. « Quand on parle de réglementation, il y a une grosse incohérence. »
Le manque de moyens reste central
Le décalage n’est pas seulement juridique. Il est aussi budgétaire et humain. La cybersécurité demande du temps, des compétences, des outils et une capacité de suivi que toutes les structures publiques ne possèdent pas.
« Il faut des moyens pour digitaliser, ça coûte des sous. Il faut des moyens pour protéger, ça coûte des choses », souligne Sébastien Viou. Or toutes les communes n’ont pas accès à un expert cyber, ni aux budgets nécessaires pour faire auditer ou sécuriser leurs projets dans de bonnes conditions. « Il y a 36 000 communes en France. Elles n’ont pas toutes un expert cyber à leur disposition. Quand on sait qu’une journée de consulting d’un expert, c’est 1 000 euros, il y a pas mal de communes qui ne peuvent pas se permettre de mettre 1 000 euros. »
Le risque est connu : des sites ou des services montés avec des moyens réduits, des prestataires choisis d’abord pour des raisons de coût, des configurations insuffisamment vérifiées. Pour autant, Sébastien Viou refuse d’en faire une critique des collectivités elles-mêmes.
« Aucune critique de notre part dans l’état de la sécurité des collectivités, zéro critique », précise-t-il. Le problème tient plutôt à la difficulté de demander à des petites structures de se numériser rapidement, tout en leur laissant porter seules une partie de l’effort de protection.
Les identités volées, angle mort très concret
Le rapport Fortinet 2026 Global Threat Landscape Report met en avant une cybercriminalité plus industrialisée, marquée par les infostealers, les données d’accès compromises et l’automatisation d’une partie des attaques. Pour Sébastien Viou, la gestion des identités reste l’un des points faibles les plus concrets.
« Le point d’entrée des attaquants dans le système d’information, c’est souvent via des identités volées, des mots de passe », explique-t-il. Le MFA n’est pas toujours en place, ou reste parfois trop faible. La gestion des comptes et des accès demeure aussi difficile à maintenir dans le temps, surtout lorsque les équipes sont réduites.
« Nous, on insiste très fortement pour que la gestion des identités soit la base des accès. »
La conformité peut imposer des revues régulières et des procédures, mais encore faut-il pouvoir les faire vivre. « Ça, c’est la théorie, c’est le monde idéal », observe-t-il. « Le monde idéal, ça veut dire qu’il y a des équipes qui prennent le temps de faire des revues en permanence. »
La conformité ne remplace pas la visibilité
Le risque, pour les organisations, est de confondre conformité documentaire et connaissance réelle de leur exposition. Les audits et les preuves sont nécessaires, mais ils ne disent pas toujours quels systèmes sont accessibles, quels comptes restent actifs ou quelles interfaces n’auraient jamais dû être exposées.
Interrogé sur les signaux d’une fausse impression de sécurité, Sébastien Viou renvoie d’abord à la visibilité du terrain. Beaucoup de DSI savent qu’ils n’ont pas une vision complète de leur périmètre, que certains usages échappent aux règles, ou que des besoins métiers ne sont pas protégés comme ils le devraient. L’exposition d’interfaces d’administration reste pour lui un problème majeur. « À quel endroit j’expose des systèmes administrables, des interfaces qui n’auraient pas dû être exposées ? », interroge-t-il.
« Il y a énormément d’infrastructures qui exposent des interfaces d’administration. C’est inacceptable. »
Sur ce point, la réglementation ne devrait pas être pensée comme un exercice séparé de la sécurité. « La réglementation, quelque part, c’est de l’état de l’art, c’est du bon sens », estime-t-il. Encore faut-il que ce bon sens puisse être appliqué, financé et contrôlé dans la durée.
Revenir aux questions simples
Pour passer d’une logique de conformité à une logique de résilience, Sébastien Viou invite à revenir à des questions très concrètes. La première consiste à identifier les systèmes indispensables au fonctionnement de l’organisation. « Est-ce que vous êtes capable de dire de quel système vous dépendez ? », demande-t-il.
La deuxième porte sur la capacité de reprise. « Ce système, en combien de temps vous êtes capable de le remonter ? Est-ce que vous êtes capable de le remonter si jamais il tombe ? » La troisième concerne l’exposition réelle. « Est-ce que vous savez ce qui est exposé et à quel point c’est exposé ? »
Avant de déployer des approches plus avancées, certaines bases doivent être traitées : des comptes par utilisateur, des configurations vérifiées, des recommandations de l’ANSSI appliquées, des systèmes critiques identifiés et une reprise testée. « Si ce n’est pas fait, ce n’est même pas la peine d’aller plus loin. »
Zero Trust, segmentation, supervision continue et pilotage par les risques ne sont pas opposables, selon lui. Ce sont des bonnes pratiques à intégrer dans les projets et dans le fonctionnement des DSI. Mais la question reste celle de l’arbitrage. « Je veux un projet de qualité, je le veux vite et je veux qu’il ne coûte pas cher. Ça ne marche pas », rappelle-t-il.
« Il y a forcément un sacrifice à faire à un endroit. Et je pense qu’il ne doit pas être fait sur la qualité de sécurité. »
Une contrainte qui peut aussi devenir un levier
La conformité peut être vécue comme une charge administrative supplémentaire, mais elle peut aussi donner du poids aux équipes cyber lorsqu’elles peinent à se faire entendre. « Il y a les deux cas », constate Sébastien Viou. « Il y a les RSSI qui sont dans des boîtes où la sécurité n’est pas assez portée, et donc ils sont contents parce que ça leur donne du levier. »
Toute la difficulté est là : faire de la réglementation un point d’appui, sans la laisser enfermer la cybersécurité dans une logique de preuves et d’audits. La conformité ne protège pas à elle seule. Elle ne vaut que si elle permet aux organisations de mieux connaître leurs dépendances, leurs accès, leur exposition et leur capacité réelle à repartir après incident. « C’est ça qui est dur, c’est de maintenir l’effort », conclut Sébastien Viou.
