Le regard de Mounir sur la Cyber en 2026

Ces derniers mois, j’ai assisté à pas mal de déploiements cyber en entreprise. Et si je devais résumer ce que j’ai vu en une phrase, ce serait celle-ci : 

La plupart des incidents ne viennent pas d’un manque d’outils. Ils viennent d’un manque d’habitudes. 

On a tendance à imaginer la cyber comme un combat de technologies : un nouvel antivirus, un nouveau firewall, un nouveau service “qui va tout régler”. En réalité, ce qui fait la différence au quotidien, c’est plus souvent l’ordinaire que l’exceptionnel. 

Lors d’un webinar récent avec Jérémy Nedjar, hacker éthique, un point m’a marqué : les attaques les plus efficaces ne sont pas forcément les plus “techniques”. Ce sont celles qui combinent un peu d’humain, un peu de physique, et un peu de numérique. Les fameuses attaques hybrides. 

Et quand on y pense, c’est logique. Une entreprise peut être très bien protégée “en ligne”… et rester vulnérable dès qu’on quitte l’écran. 

Le décalage que je vois souvent sur le terrain 

Je le dis sans jugement : les organisations font beaucoup d’efforts. Elles investissent, elles améliorent, elles cherchent à bien faire. Mais il existe un décalage récurrent entre : 

• ce qui est écrit (les procédures, les règles, les politiques), 

• et ce qui se passe vraiment (la routine, la pression, le “on va faire vite”). 

C’est souvent là que tout se joue. 

Un exemple simple : on a tous déjà vu un poste laissé ouvert “juste deux minutes”. Ou une porte tenue par politesse à quelqu’un qu’on ne connaît pas. Ou un badge “prêté rapidement” parce que “ça dépanne”. 

Ce ne sont pas des fautes graves. Ce sont des réflexes humains. Le problème, c’est que les attaquants comptent précisément sur ces réflexes-là. 

Ce que les attaques hybrides racontent, au fond 

Elles racontent quelque chose d’assez universel : dans une entreprise, la confiance est un accélérateur. 

On recrute des gens responsables. On travaille avec des partenaires. On veut que tout soit fluide. On évite la méfiance permanente (et heureusement). 

Sauf que cette fluidité, si elle n’est pas cadrée, devient une porte d’entrée. 

Ce que j’ai trouvé intéressant dans le retour de Jérémy, c’est cette idée : l’attaquant n’essaie pas d’être “génial”. Il essaie d’être crédible. Il cherche la petite zone grise : le moment où personne n’ose dire non, le moment où “ça passe”, le moment où on n’a pas envie de créer un problème. 

Et c’est là que j’ai envie de prendre un peu de hauteur : 

la cyber, ce n’est pas une affaire de paranoïa. C’est une affaire de clarté. 

Des règles simples, partagées, appliquées… qui évitent justement la suspicion. 

Parce que quand les règles sont claires, dire “non” n’est pas une attaque personnelle. C’est juste la norme. 

Ce que je retiens côté dirigeant : c’est un sujet de continuité, pas de technique 

Quand on déploie des mesures cyber, le vrai sujet n’est pas “est-ce qu’on a le bon outil ?” 

C’est : est-ce que l’entreprise peut continuer à fonctionner quand quelque chose arrive ? 

Un incident, ce n’est pas seulement un problème informatique. C’est : 

• une activité qui ralentit (ou s’arrête), 

• des équipes qui improvisent, 

• une tension qui monte, 

• des décisions à prendre vite, 

• et parfois, une facture qui grimpe pour de mauvaises raisons (urgence, désorganisation, rework). 

C’est pour ça que je parle souvent de “résilience”. La cyber, c’est une discipline de résilience. 

Et la bonne nouvelle, c’est qu’on peut progresser vite sans faire exploser les budgets, à condition de choisir les bons combats. 

Les 5 actions “très concrètes” que je recommande pour 2026 

Je les ai vues fonctionner en entreprise. Elles ne sont pas glamour, mais elles sont efficaces. Et surtout, elles créent une base solide. 

1) Installer le réflexe du poste verrouillé 

Ça paraît basique, mais c’est un game changer. Verrouillage automatique + rappel simple. 

C’est typiquement le genre de chose qui évite une attaque opportuniste “bête”. 

2) Reprendre le contrôle des entrées et des accès physiques 

Visiteurs, prestataires, badges, zones sensibles : il faut un minimum de rituel. 

Pas pour compliquer la vie, mais pour éviter le “tout passe parce que tout le monde est pressé”. 

3) Standardiser les mots de passe via un gestionnaire 

La vraie faille, ce n’est pas “un mot de passe faible”. C’est un mot de passe réutilisé. 

Un gestionnaire de mots de passe bien déployé, c’est un gain de sécurité et souvent un gain de confort. 

4) Faire de l’hygiène IT une routine (mises à jour + droits au juste nécessaire) 

Les vulnérabilités connues et non corrigées restent une cause majeure d’incidents. 

Et côté droits, c’est pareil : trop d’accès = trop de risques (souvent sans bénéfice réel). 

5) Sauvegardes testées + PRA/PCA simple 

J’insiste sur “testées”. Une sauvegarde qui ne restaure pas le jour J, c’est un faux filet de sécurité. 

Un plan simple, même minimal, évite la panique. Et la panique coûte cher. 

Le point clé (celui que je répète en interne) 

On peut acheter des solutions. 

Mais on ne peut pas “acheter” une culture. 

La culture, c’est la répétition des bons gestes. C’est la cohérence des décisions. C’est l’exemplarité. 

Et ce sont des arbitrages simples : ce qu’on accepte, ce qu’on refuse, ce qu’on priorise. 

Je sais que certains sujets cyber peuvent sembler lourds ou anxiogènes. Mais mon expérience de terrain, c’est l’inverse : quand on pose un cadre clair, les équipes respirent. Elles savent quoi faire. Elles savent quoi dire. Elles savent comment réagir. 

Et ça, c’est précieux. 

Une dernière note, très personnelle 

J’aime bien rappeler un truc : la cybersécurité, ce n’est pas “faire peur pour vendre”. 

C’est réduire les surprises. 

En 2026, la question n’est pas “est-ce qu’on sera ciblé ?” 

La vraie question est : “Si quelque chose arrive, est-ce qu’on tient debout ?” 

Si vous voulez, je peux partager en commentaire une check-list simple pour évaluer ces 5 points en 30 minutes, en comité de direction. (Sans jargon, promis.)