🎧 Version audio
Écoutez cet article lu par Damien Van Achter
Mathieu Michel
Ce qui frappe dans le témoignage de Mathieu Michel, c'est la banalité désarmante de la fraude subie. Un email sans nom, sans authentification, sans document : pourtant, le fonctionnaire s'exécute sans vérifier. Cette anecdote personnelle devient un cas d'école révélateur d'un angle mort massif dans notre approche de la cybersécurité.
L'analyse des chiffres européens et américains que dresse l'ancien Secrétaire d’État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée confirme l'ampleur du phénomène : 4,2 milliards d'euros de fraudes aux paiements en Europe, 2,7 milliards de dollars de pertes Business Email Compromise (BEC) aux États-Unis. Ces montants astronomiques révèlent que nous combattons probablement les mauvais ennemis.
Pendant que nous sophistiquons nos pare-feux, les fraudeurs exploitent méthodiquement nos failles organisationnelles les plus basiques.
Ce qui ressort surtout, c'est l'écart entre les ambitions réglementaires (NIS2) et la réalité du terrain. La directive impose formations, responsabilisation des dirigeants, procédures d'incidents. Mais comme le souligne le député, « une directive reste inefficace sans mise en œuvre rigoureuse ». Le problème n'est plus technique ou législatif : il est culturel et organisationnel.
La fraude a fonctionné parce qu'elle exploite la confiance interne, transforme nos réflexes de coopération en vulnérabilités, et révèle l'absence de culture de sécurité dans des administrations pourtant soumises à des obligations croissantes.
Points de vigilance : Risque de techno-solutionnisme (croire qu'une meilleure technologie résoudra des défaillances organisationnelles), confusion entre conformité réglementaire et sécurité effective
7/10 : Score sur l'échelle des "5 piliers de la liberté", inspiré de l'ouvrage de Timothy Snyder
Damien Van Achter
Et maintenant ?
Face à ces enjeux, plusieurs pistes d'action systémique se dessinent.
✊ Instituer des « red teams » citoyennes pour tester la résistance organisationnelle.
Plutôt que des audits techniques externes, mobiliser des collectifs de citoyens formés pour tester par simulation les procédures de sécurité des administrations. Cette approche démocratise l'audit de sécurité, crée une pression positive pour l'amélioration des pratiques, et transforme la cybersécurité en enjeu de redevabilité publique.
On saura que ça marche quand les administrations publieront leurs taux de résistance aux tests citoyens, et quand ces exercices deviendront un standard d'évaluation de la qualité démocratique des services publics.
🤘 Transformer la formation cybersécurité en exercice de démocratie interne.
Plutôt que des sessions descendantes sur les « bonnes pratiques », organiser des ateliers collaboratifs où les agents analysent collectivement les tentatives de fraude reçues. L'idée : faire de chaque fonctionnaire un contributeur actif de l'intelligence collective de sécurité, pas un exécutant de procédures. Cette approche crée une culture de vigilance partagée et transforme l'obligation NIS2 en dynamique d'amélioration continue.
On saura que ça marche quand les administrations publieront leurs retours d'expérience de tentatives de fraude pour alimenter la formation d'autres entités, et quand les agents signaleront spontanément les emails suspects plutôt que de les traiter machinalement.
💪 Créer des coalitions de transparence entre administrations sur les incidents de sécurité.
L'expérience de Michel révèle un problème systémique : chaque entité subit ces attaques en silence. Une alliance d'administrations pourrait partager anonymement leurs incidents, créer des bases de connaissances communes et développer des contre-mesures collaboratives. Cela briserait l'isolement organisationnel qui permet aux mêmes techniques de frauder indéfiniment.
On saura que ça marche quand existera une plateforme inter-administrations de partage d'incidents, et quand les fraudeurs devront constamment adapter leurs techniques parce que les parades se diffusent rapidement entre entités publiques.
Ces pistes ne sont pas des recettes toutes faites, mais des points d'entrée pour repenser nos systèmes numériques selon une logique de liberté positive : non pas limiter, mais augmenter nos capacités collectives d'action.
Si tu connais des exemples réels qui vont dans ce sens — ou des contre-exemples qui méritent d'être documentés — partage-les moi et documentons les ensemble !
Cinq piliers pour prendre soin de nos libertés numériques
