Cybermenaces : conséquences de la surrégulation

Ce qui est particulièrement frappant lorsque l’on passe une bonne partie de son temps à zapper sur les chaînes YouTube, c’est l’écart entre la vision des commentateurs géopolitiques de la situation et celle des investisseurs/financiers/boursicoteurs en tout genre (et je ne parle, pour la seconde catégorie, que des chaînes sérieuses, pas celles des gugusses qui vous promettent de vous enrichir depuis Dubaï avec les cryptos en 30 minutes de taf par jour).

Pour les premiers, si Trump envahit le Groenland, c’est la fin de l’Otan, la fin de tout, la fin du monde. Gloups !
Pour les seconds en revanche, la seule question qui mérite d’être posée est : Dans quoi investir ses sous, toute guerre ou situation géopolitique tendue induisant des modifications dans la hiérarchie des secteurs porteurs (armement, santé, etc.) ? D’ailleurs, l’évolution de l’indice MSCI World sur un siècle semble donner raison aux seconds : c’est à peine si l’on détecte la Seconde Guerre mondiale dans l’évolution de l’indice entre 1939 et 1945 ; je vous laisse seuls juges des répercussions morales de la chose. On peut donc avoir une analyse assez rude mais juste de la situation : au final il y aura des gagnants et des perdants (comme à chaque fois), et (comme à chaque fois) l’Histoire sera racontée par les vainqueurs. Comme à chaque fois.

Tout le monde connaît l’adage : l’Amérique innove, les Européens régulent et les Asiatiques copient (enfin dans les années 1980. En tout cas, j’invite l’honorable lecteur à aller consulter la production automobile chinoise par rapport à celle du vieux continent et à me soutenir que l’innovation reste chez nous…). Quoi qu’il en soit, côté cyber, on assiste à un déluge de régulations depuis quelques années : NIS 1, NIS 2, Dora, RGPD, etc. Et encore, sans parler des régulations sectorielles des banques, des assurances ou de la santé. Bref, ça fuse de partout.

Il en découle plusieurs conséquences. La première, c’est qu’il se dit partout en France que la surrégulation tue l’innovation. C’est faux et archifaux, le parfait contre-exemple étant celui du monde de la finance : malgré la montagne de lois, de textes et de contrôleurs en tout genre, les yuppies new-yorkais nous ont pondu la crise des subprimes, et leurs successeurs des années 2025 sont en train de nous pondre son avatar, à savoir la crise de la dette privée ou du Private Equity. En tout cas, tout le monde le pense, ce qui influe forcément sur la prise de décision au niveau du top management.

La deuxième est dictée par la loi de Goodhart : lorsqu’une mesure ou un indicateur devient une fin en soi, ils cessent d’être une bonne mesure ou un bon indicateur. Dans les faits, certaines organisations deviennent plus préoccupées de cocher les cases réglementaires que de faire réellement de la cyber : c’est d’ailleurs une critique qui émane souvent des auditeurs 27001 pour qui, si la norme est un cadre, il ne faut pas perdre de vue le but réel, à savoir améliorer la sécurité du SI et ne pas chercher l’art pour l’art.

La troisième, beaucoup plus tordue, c’est que l’on a vite tendance à se croire protégé par la norme ou la réglementation, alors que là n’est absolument pas leur utilité. Si les 23 mesures de NIS 1 et NIS 2 ont fait l’objet d’un décret, ce n’est pas juste « Faites cela les amis, vous serez protégés tip top », mais plutôt « Vous êtes tellement nuls de ne pas l’avoir déjà fait en 2025-2026 qu’il faut que les pouvoirs publics vous pondent une loi pour vous y contraindre ». Dans ce contexte, prendre et appliquer les textes au pied de la lettre et pas dans l’esprit, c’est appartenir au sous-groupe des ultranuls au sein du groupe des nuls.

Au milieu de tout ce fatras, j’ai tout de même une bonne nouvelle : des entreprises vont disparaître du fait de la menace cyber, d’autres survivront. L’indice MSCI World ne s’en rendra même pas compte, le concept d’autonettoyage de l’indice jouera à plein et l’Histoire des cours restera muette à ce sujet.

Des pays ou des organisations semi-mafieuses s’en mettront plein des fouilles en rançonnant leurs voisins (cela ne vous rappelle pas l’exploitation des mines d’argent par les Espagnols dans l’Amérique du Sud des xvii^e et xviii^e siècles ?), tandis que d’autres se feront tondre, et au final la seule question qui vaille la peine d’être posée est : Qui sera dans les archives ou les livres d’histoire dans la section « pays/organisations/entreprises disparus » ? Et qui sera encore là pour les lire à ses petits-enfants assis sur ses genoux ?

Je propose un objectif simple à comprendre : éviter que dans lesdits documents, une note en bas de page mentionne que « les Européens croyaient alors que la surréglementation les empêchait de protéger leur industrie automobile, leurs SI… ».