L’hybridation des menaces cyber et physique
L’évolution technologique et la transformation numérique des entreprises ont radicalement modifié le paysage des risques contemporains. Longtemps, la gestion des menaces au sein des organisations a été structurée en silos hermétiques : d’un côté la sûreté, chargée de la protection physique des sites, des biens et des personnes, et de l’autre la cybersécurité, dévolue à la protection des systèmes d’information et des données.
Ce découplage se retrouve dès le choix des termes : « Sécurité » dans un cas, « Sûreté » dans l’autre. Dans le cas de la gestion physique des risques, on parle de sûreté pour la prévention de la malveillance, par opposition à la sécurité qui s’adresse à l’accidentologie. Pourtant, la cybersécurité répond bien à des problématiques de malveillance elle aussi.
Un choix des termes qui est peut-être avant tout lié à l’influence anglo-saxonne, puisqu’en anglais on parle au contraire de Security, et donc Cybersecurity, pour parler de malveillance par opposition à la Safety qui gère l’accidentel. Peu importe son origine, les mots ne sont jamais neutres et renforcent le sentiment bien ancré qu’il s’agit de deux domaines distincts qu’il est logique de compartimenter.
Dé-siloter Sûreté et Cybersécurité : un impératif stratégique face à la convergence des menaces
Cette séparation a une justification pratique, à savoir des compétences techniques distinctes et donc des parcours potentiellement très différents pour les praticiens des deux domaines. Cela a des conséquences en termes de cultures de travail et potentiellement de dialogue.
Mais cette base est souvent entretenue par habitude et culture d’entreprise, ce qui s’avère en réalité être une faille stratégique majeure. L’interpénétration croissante des mondes physique et numérique rend ces deux domaines indissociables, car une brèche dans l’un entraîne inévitablement une vulnérabilité dans l’autre. La norme ISO 22340 : 2024 sur la sécurité et la résilience donne pourtant en ligne directrice la nécessité d’inclure la cybersécurité dans une approche de sûreté préventive.
L’actualité récente démontre que les adversaires des entreprises — qu’il s’agisse de cybercriminels, d’acteurs étatiques ou de menaces internes — exploitent précisément les zones d’ombre situées à la jonction de ces deux disciplines. La sûreté et la cybersécurité doivent désormais être pensées comme les deux faces d’une même pièce : la résilience globale de l’organisation.
Le facteur Humain : au cœur de la convergence Sûreté-Cyber
L’un des enseignements les plus fondamentaux de ces dernières années est que l’espace virtuel de la cyber-attaque prend presque systématiquement racine dans une réalité humaine et physique. Si les systèmes de défense technique se sont considérablement armés, le facteur humain demeure la porte d’entrée privilégiée des pirates informatiques. Cette porosité entre le comportemental et le numérique replace la culture de sûreté au centre de la stratégie de défense globale.
L’ingénierie sociale représente la manifestation la plus flagrante de l’indissociabilité des risques. Elle consiste à manipuler psychologiquement un individu pour l’amener à commettre une erreur de sécurité : cliquer sur un lien malveillant, divulguer un mot de passe ou brancher une clé USB infectée. Ces techniques ne reposent pas sur une faille logicielle, mais sur l’exploitation de traits humains universels : la peur, l’urgence, la cupidité ou encore l’excès de courtoisie.
Le cabinet Trinity observe que l’absence de « culture sûreté » chez les collaborateurs annule l’efficacité des meilleures équipes cyber et des technologies les plus poussées. Une intrusion numérique est souvent la conséquence d’une faille comportementale qui relève typiquement des enjeux de sûreté. Dès lors, la formation des équipes ne doit plus se limiter à des modules de cybersécurité théoriques, mais intégrer une compréhension profonde des mécanismes de manipulation physique et psychologique.
Le vol et l’intrusion physiques, menaces qui relèvent typiquement de la problématique sûreté, sont également des portes d’entrée de choix pour des cyberattaquants. La capacité de rentrer sur un site et d’accéder physiquement à des postes de travail, ou encore plus simplement de voler l’ordinateur ou le téléphone d’un collaborateur en déplacement, sont des moyens idéaux pour s’introduire dans un système d’information.Le cas particulier de l’Insider Threat est lui aussi au croisement des domaines. Les accès physiques et logiques d’un employé qui se retourne contre son entreprise impose une surveillance hybride, capable de corréler des comportements physiques inhabituels (accès aux locaux à des heures indues) avec des activités numériques anormales (exportation massive de données).
La fragilité des systèmes de sûreté connectés
La convergence n’est pas seulement une affaire d’humains ; elle est inscrite dans l’architecture même des systèmes de sécurité modernes. Aujourd’hui, les instruments de sûreté — vidéosurveillance IP, contrôles d’accès biométriques, alarmes, capteurs thermiques — sont souvent intégrés au réseau informatique de l’entreprise. Cette numérisation de la sûreté physique crée une double vulnérabilité.
Les équipements de sûreté physique peuvent être des maillons faibles de la cybersécurité. Un portique de sécurité ou une caméra mal configurée peut servir de point d’entrée à un pirate pour s’introduire dans le réseau principal de l’entreprise. De nombreux systèmes de contrôle d’accès reposent sur des protocoles anciens ou des matériels dont les micrologiciels (firmwares) ne sont pas mis à jour, offrant ainsi des « portes dérobées » aux attaquants.
Inversement, la neutralisation numérique de ces équipements peut servir à faciliter voire permettre des attaques physiques. La possibilité de désactiver à distance un système de vidéosurveillance ou de contrôle d’accès mal configuré est une faille de sûreté majeure.
L’ère des menaces hybrides
De manière générale, l’époque est marquée par le recours aux menaces hybrides, maniées aussi bien par des acteurs étatiques, qui ciblent désormais les actifs privés (logistique, énergie, médias) pour affaiblir les économies nationales, que par des groupes criminels. Ces opérations combinent cyber-espionnage, sabotage physique et manipulation informationnelle.
Trinity a ainsi décrit dans un article dédié « La désinformation, un poison silencieux pour les entreprises », comment la désinformation est devenue une arme contre les organisations. Un sujet lui aussi à la convergence de la sûreté et de la cybersécurité au vu des moyens employés et de ses conséquences dans le monde physique.
Faire face : vers un concept de « Cybersûreté » ?
La nécessité d’une nouvelle approche organisationnelle
Le constat est sans appel : le modèle de direction séparée (DSI pour le cyber, Direction de la Sûreté pour le physique) est obsolète face aux menaces hybrides. La solution ne peut dès lors pas se situer uniquement dans la course aux équipements et à la technologie, ni à la seule formation des équipes, mais commence par la nécessité d’un nouveau modèle de gouvernance.
L’idée n’est pas de trouver une solution miracle et chaque organisation doit s’adapter en accord avec sa culture d’entreprise, mais des pistes existent. Par exemple, l’unification des directions sous la supervision d’un « Chief Security Officer » qui fasse converger l’ensemble de la gestion des risques, qu’ils soient d’origine cyber ou physique : moyens informatiques (IT), cyber opérationnelle (OT), protection des infrastructures et gestion de crise globale.
Ce CSO « nouvelle génération » doit disposer d’une visibilité directe au Conseil d’Administration et aligner ses décisions sur les objectifs financiers et réputationnels de l’entreprise. La directive européenne NIS2 accélère cette tendance en rappelant notamment que la cybersécurité s’étend aux procédures de contrôle d’accès, à la sensibilisation des collaborateurs et la gestion des chaînes d’approvisionnement.Sans aller jusqu’à la fonte de ces piliers dans une même direction, le dialogue entre RSSI et Directeur Sûreté doit, d’une manière ou d’une autre, devenir un réflexe et un prérequis indispensable à toute démarche structurante dans l’un ou l’autre des sujets. Toute démarche sûreté globale doit passer par la communication puis la coordination des équipes, par exemple en créant un « groupe de convergence » capable de parler aux deux mondes.
Audit et Prévention : adopter une approche 360°
La protection d’une entreprise moderne nécessite de dépasser les audits de conformité classiques pour passer à des tests de résilience globaux. Les plans de résilience (gestion de crise, PCA, PRA) doivent intégrer ce changement de paradigme en intégrant trois piliers :
- Volet Technique : Scan de vulnérabilités, pentests internes et externes, audit de configuration des équipements de sûreté (CCTV, contrôle d’accès).
- Volet Organisationnel : Revue des procédures d’accès, de stockage, sous les prismes à la fois sûreté et cyber, conformité NIS2, plans de gestion de crise globale, analyse des dépendances aux tiers (fournisseurs critiques).
- Volet Humain : Tests d’ingénierie sociale faisant le lien entre numérique et physique, évaluation de la culture sûreté des employés, et formation aux signaux faibles.
Conclusion : La Sûreté est digitale, la Cyber est physique
Au terme de cette analyse, il apparaît clairement que la dichotomie entre sûreté et cybersécurité est un vestige du passé. À l’ère de l’intelligence artificielle, des tensions géopolitiques exacerbées et de l’infodémie, la résilience d’une entreprise dépend de sa capacité à unifier ses défenses.
Pour les dirigeants, l’enjeu n’est plus seulement technique, il est politique et culturel. Investir dans des pare-feux sans sensibiliser ses équipes à l’ingénierie sociale est vain. Sécuriser ses locaux sans protéger son infrastructure OT est dangereux.
Une des missions de Trinity est d’accompagner cette mutation en accompagnant le décloisonnement de la sûreté de manière à valoriser sa place en interne de manière générale et donc dans son positionnement vis-à-vis de la cybersécurité. L’objectif : transformer un coût opérationnel en un levier de confiance et un avantage compétitif. Dans un monde où le faux peut paralyser le vrai, la convergence n’est plus une option, c’est un impératif de survie.
