Démo

Ce que l’inaction vous coûte

Prenez de l'avance

Recevez des analyses, des idées et des actualités directement dans votre boîte de réception.

S'abonner

Sur cette page

Partager

Facebook
X (Twitter)
LinkedIn

Dans chaque organisation, il y a une personne au sein de l’équipe de sécurité, souvent le CISO, qui connaît exactement l’ampleur de la surexposition des données. Il tente de faire corriger le problème depuis des mois, parfois des années. Et la raison pour laquelle cela n’a pas été réglé, ce sont les cycles budgétaires : au moment où une analyse de rentabilité est approuvée, la personne qui l’a rédigée est déjà partie et le problème a pris de l’ampleur. 

Les cas les plus difficiles sont ceux des organisations où une seule personne est au courant (et personnellement responsable si quelque chose tourne mal), mais ne parvient pas à faire prendre une décision assez rapidement pour combler l’écart. Trop de bons leaders en sécurité perdent ce combat. 

Une politique n’est pas une pratique

Chaque cadre de référence sur lequel votre organisation s’est alignée (NIST CSF, ISO 27001, SOC 2 Type II, SANS) et chaque réglementation en matière de protection des renseignements personnels qui s’applique à vous (Loi 25, RGPD, CCPA, PIPEDA) incluent la même exigence opérationnelle : gérer l’accès aux données personnelles et sensibles de façon continue.  

Vos politiques affirment que vous le faites et vous l’avez aussi dit à vos auditeurs.  

Toutefois, la réalité est différente; non pas parce que vos équipes échouent, mais parce que ce travail ne se fait pas en continu et à grande échelle. Il n’existe aucun indicateur clair permettant de démontrer une réduction mesurable du risque à travers le temps. Néanmoins, cet écart est réel et il se creuse chaque jour. 

Ce n’était pas une brèche : c’était un mardi ordinaire

Quatre-vingt-dix pour cent des organisations ont des fichiers sensibles exposés à l’ensemble de leurs employés dans Microsoft 365. Au fil du temps, des milliers de partages s’accumulent (un fichier partagé trop largement, un lien jamais révoqué).  

Votre équipe TI peut le voir, mais elle ne peut pas corriger le problème, car elle n’a pas le contexte d’affaires nécessaire pour déterminer lesquels des millions de partages demeurent légitimes. Seule la personne qui a créé le partage le sait. Le travail ne se fait donc pas à l’échelle requise et le risque s’amplifie. 

Vous n’avez jamais été gouvernés. Vous avez simplement été chanceux

Pendant des années, le chaos offrait une forme de protection par circonstance; en raison du grand volume.  Le fait que vos fichiers étaient ensevelis par des millions de dossiers rendait statistiquement improbable qu’une personne tombe par hasard sur quelque chose de sensible. Cette protection n’était pas une véritable gouvernance, mais c’était au moins quelque chose. 

L’IA vient de l’éliminer entièrement, car les outils de productivité que votre organisation déploie actuellement (Copilot, agents IA, outils autonomes connectés à votre environnement Microsoft 365) héritent de l’environnement d’accès que vous avez déjà mis en place. Chaque fichier de salaires, chaque document du conseil d’administration, chaque contrat qui a été trop partagé il y a des mois et jamais révisé sont maintenant instantanément repérables, synthétisables et exploitables par l’IA. 

Dans le pire des scénarios, un seul compte compromis, combiné à un outillage alimenté par l’IA, peut extraire des années de données de collaboration en quelques minutes.  

La remédiation prend quelques jours (mais l’approbation, des mois)

Le schéma est le même dans les organisations de toutes tailles et de tous les secteurs. Votre équipe de sécurité reconnaîtra rapidement le problème. Elle évaluera WeActis. Elle l’aimera, tout le monde l’aime, parce que la solution répond exactement au problème et qu’elle ne crée pas de travail supplémentaire pour votre équipe TI ; elle lui apporte plutôt un soulagement.  

Mais ensuite, le processus habituel s’enclenche : une analyse de rentabilité doit être menée, un budget doit être justifié face à des priorités concurrentes, et les achats s’en mêlent. Quelqu’un demande si l’équipe TI ne pourrait pas développer quelque chose à l’interne. Les mois passent, le comité se réunit. D’autres mois s’écoulent. 

Voici l’ironie : l’analyse de rentabilité pour justifier l’achat de WeActis prend plus de temps à préparer que le déploiement lui-même. WeActis commence à produire des résultats dès la première semaine. Mais pendant chaque semaine de cette délibération, vos employés créent de nouveaux partages, de nouveaux liens, de nouveaux accès que personne ne révisera jamais. 

Le coût de l’attente est mesurable : c’est le nombre de nouvelles surexpositions créées entre le jour où quelqu’un a reconnu le problème et celui où votre organisation a finalement décidé d’agir. 

Des preuves, pas des politiques

Vos auditeurs et vos régulateurs ne vous demandent pas si vous avez de bonnes intentions. Dans le cadre de la réglementation RGPD, les sanctions peuvent atteindre quatre pour cent du chiffre d’affaires mondial ou 20 millions d’euros. 

Dans le secteur de la santé, l’application de la loi HIPAA s’est résolument tournée vers la gouvernance des accès : les règlements de l’OCR citent régulièrement des contrôles d’accès insuffisants et des pistes d’audit manquantes, les amendes à sept chiffres sont devenues courantes et les recours collectifs ajoutent régulièrement une exposition à neuf chiffres par-dessus la facture réglementaire.  

Dans les services financiers, des cadres tels que la ligne directrice B-13 du BSIF, la partie 500 du NYDFS et les règles de divulgation en cybersécurité de la SEC ont tous fait passer la barre de «avez-vous une politique ?» à «démontrez une preuve continue» ; et les actions d’application récentes contre de grandes institutions se sont chiffrées en dizaines de millions pour des contrôles qui n’existaient que sur papier.  

Dans le secteur de l’assurance, la NAIC Insurance Data Security Model Law oblige les assureurs à cerner, évaluer et remédier continuellement aux risques liés aux renseignements non publics ; les souscripteurs en cyberassurance (souvent des assureurs eux-mêmes) exigent désormais les mêmes preuves dans les questionnaires de renouvellement, de sorte qu’un écart de gouvernance affecte à la fois votre position réglementaire et le prix de votre propre couverture. Ces régimes ne demandent pas si vous avez une politique. Ils demandent si vous pouvez démontrer que vos mesures de protection des données sont activement en fonction. 

Un rapport annuel d’exécution de la formation et une révision trimestrielle des accès qui n’a pas eu lieu depuis deux trimestres ne démontrent rien d’autre que l’écart entre votre intention et votre exécution. 

Un risque personnel

Il y a un aspect que la discussion réglementaire passe souvent sous silence : lorsque les contrôles de gouvernance échouent et qu’un incident survient, la personne qui se retrouve à rendre des comptes est généralement le CISO. 

Et ce n’est plus seulement une observation de carrière, c’est une observation juridique. 

En 2023, la Securities and Exchange Commission des États-Unis a personnellement poursuivi un CISO en fonctions (et non l’organisation, mais l’individu) pour avoir prétendument induit les investisseurs en erreur quant à la posture de cybersécurité de l’entreprise. L’affaire a tracé une ligne claire que la communauté de la sécurité assimile depuis : si vous êtes la personne responsable des contrôles de protection des données et que ces contrôles ne sont pas réellement en fonction, votre exposition personnelle ne se termine pas là où celle de l’entreprise commence. 

Vous n’avez pas besoin de travailler dans une entreprise cotée aux États-Unis pour que cela s’applique à vous. Selon le principe de responsabilité du GDPR, les organisations doivent démontrer que les responsables du traitement et les sous-traitants assument la responsabilité de la conformité. 

Dans le secteur de la santé, la loi HIPAA exige explicitement que les organisations désignent un responsable de la sécurité et un responsable de la protection des renseignements personnels qui sont personnellement imputables du programme, et la loi HITECH a étendu la responsabilité jusqu’au domaine criminel pour les cas les plus graves.  

Dans les services financiers, la partie 500 du NYDFS exige que le CISO dépose une attestation annuelle de conformité substantielle en son propre nom (et non au nom de l’organisation), et les modifications en vigueur depuis la fin de 2023 ont considérablement accru cette exposition. Dans le secteur de l’assurance, la NAIC Insurance Data Security Model Law impose la désignation d’une personne spécifique chargée de superviser le programme et de répondre aux autorités réglementaires en cas d’incident. Ce nom, c’est celui du CISO. 

Une protection incomplète là où le risque est maximal

Il y a un autre élément qui mérite d’être soulevé au sein du conseil d’administration : l’assurance des administrateurs et dirigeants (D&O) a été conçue pour protéger les administrateurs et les dirigeants nommément désignés de l’entreprise. Or, le chef de la conformité et le CISO se retrouvent souvent en dehors de cette liste nominative ou dans des zones grises de couverture qui excluent les amendes réglementaires, les constats de violation intentionnelle ou les actions coercitives personnelles, du type que la SEC a désormais démontré être prête à engager.

Il en résulte une asymétrie déconcertante où les personnes les plus exposées personnellement lorsqu’échouent les contrôles sont souvent les moins bien assurées contre cette exposition. Les conseils d’administration qui présument que la D&O protégera entièrement les dirigeants responsables du programme de protection des données découvrent souvent les limites de cette hypothèse après un incident, lorsque l’organisation est indemnisée… mais pas l’individu. 

Ce n’est pas un projet de transformation

WeActis est une application Teams. Elle se synchronise avec votre environnement Microsoft 365, identifie les données surexposées et demande à chaque employé de consacrer deux minutes à la révision des partages qu’il a créés. L’employé qui a créé le partage est celui qui le révise, parce qu’il est le seul à savoir si ce partage est encore nécessaire. La plupart des employés l’apprécient, parce que c’est précis, contextuel et sans effort. 

Les résultats commencent à s’accumuler dès la première semaine. Votre CISO dispose de véritables indicateurs à présenter au conseil d’administration : non pas “95 % des employés ont terminé la formation”, mais “les employés ont révoqué 12 000 partages inutiles le trimestre dernier”. Votre équipe de conformité obtient des preuves continues pour les auditeurs et votre équipe TI est libérée d’un fardeau de remédiation impossible. 

La vraie question

Vos politiques indiquent déjà que la gestion continue des accès aux données sensibles est une exigence.  

La question est de savoir si votre organisation continuera à traiter cela comme quelque chose à régler lors du prochain cycle budgétaire, ou si vous prendrez une décision qui demande moins d’énergie organisationnelle que la délibération elle-même. 

Chaque jour d’attente, le problème grossit et le nettoyage devient plus difficile.

À retenir pour votre prochaine CA

Bâtir l’argumentaire d’affaires pour corriger ce problème prend plus de temps que la correction elle-même. La vraie question n’est donc plus de savoir si l’organisation peut se permettre d’agir, mais ce que chaque mois d’inaction ajoute à la facture de remédiation et à l’exposition personnelle de la personne qui signera la prochaine attestation.

Publications connexes

L’IA a changé le risque de place. Avez-vous aussi changé votre gouvernance?

Comme le souligne Gartner® dans Cybersecurity Trend: AI Democratization Drives Collaborative Data Security Governance (publié en janvier 2026), la très large adoption de l’IA et la démocratisation des prises de décision...

Lire l'article

Merci pour
votre demande!

Nous vous contacterons bientôt pour mieux comprendre vos besoins et personnaliser la démonstration.

Au plaisir d’échanger avec vous.

— L’équipe WeActis