Cyberattaques : le problème n'est presque jamais la technologie.
Pourquoi les cyberattaques sont d'abord des échecs de gouvernance
Par Jacky Galicher, consultant en gouvernance numérique, ancien DSI des académies de Versailles et de Normandie
Ces derniers jours, deux incidents distincts ont alimenté le débat sur la cybersécurité : la fuite de données internes reconnue par l'éditeur Nextcloud, consécutive à une erreur de configuration de son infrastructure, et la revendication d'une fuite visant la plateforme apps.education.fr, dont l'authenticité et les circonstances restent à confirmer. Ces deux affaires ne sont pas établies comme étant liées. Elles illustrent pourtant la même réalité : les cyberattaques révèlent rarement une défaillance de la technologie. Elles révèlent plus souvent une défaillance de gouvernance.
Ce que vingt ans de DSI m'ont appris
Pendant mes années comme DSI, d'abord à Versailles puis en Normandie, j'ai toujours considéré que la mise en production n'était pas la fin d'un projet, mais le début de sa gouvernance. C'était précisément à partir de ce moment que commençait le véritable travail : gouverner les identités, revoir régulièrement les habilitations, contrôler les comptes à privilèges, maintenir les configurations et vérifier que les procédures étaient réellement appliquées.
La sécurité n'est pas un état. C'est une discipline quotidienne.
L'incident reconnu par Nextcloud constitue une illustration de cette réalité. Les éléments communiqués à ce stade ne mettent pas en cause le logiciel lui-même, mais une erreur de configuration de l'infrastructure de l'éditeur. Là encore, la technologie n'est pas défaillante ; c'est son exploitation qui l'est.
La question n'est jamais seulement celle du logiciel, mais de la manière dont il est exploité. Gestion des identités, contrôle des accès, supervision, mises à jour, protection des comptes administrateurs : c'est là que se joue la sécurité réelle. On ne remettrait pas en cause la sécurité d'un bâtiment parce qu'une porte est restée ouverte.
La souveraineté est une condition, pas une garantie
Depuis plusieurs années, les administrations françaises cherchent légitimement à réduire leur dépendance vis-à-vis des grands fournisseurs extra-européens. Mais choisir une solution européenne ou open source ne dispense jamais d'investir dans les compétences, les procédures et les moyens humains nécessaires à son exploitation.
Une plateforme souveraine mal administrée reste vulnérable. À l'inverse, une plateforme techniquement robuste peut être compromise si les identités ne sont pas maîtrisées ou si les mécanismes de détection sont insuffisants.
Les DSI le savent depuis longtemps : les incidents majeurs résultent rarement d'une seule faille technique. Ils naissent d'un enchaînement — habilitations qui s'accumulent, comptes privilégiés insuffisamment protégés, supervision incomplète, vigilance qui s'érode avec le temps. La technologie n'est que le dernier maillon visible d'une chaîne de décisions organisationnelles.
Le Shadow AI : le même piège de gouvernance
Le Shadow AI en est aujourd'hui l'illustration la plus récente. Comme pour le cloud, certains imaginent qu'un nouvel outil suffira à résoudre un problème qui relève avant tout de la gouvernance. Face aux risques liés aux IA génératives, certaines organisations comptent sur le simple déploiement d'une plateforme interne. L'expérience montre l'inverse.
Une plateforme d'IA sécurisée n'apporte de valeur que si elle s'accompagne d'une politique de gouvernance : définition des usages autorisés, classification des données, sensibilisation des utilisateurs, contrôle des accès. L'outil facilite la gouvernance ; il ne la remplace jamais.
Le métier de DSI change de nature
Cette évolution transforme profondément la fonction. Le rôle du DSI n'est plus seulement de choisir les bonnes technologies. Il est de créer les conditions dans lesquelles ces technologies restent dignes de confiance.
Autrement dit, le DSI ne gouverne plus uniquement un système d'information ; il gouverne les conditions de confiance dans lesquelles l'organisation utilise le numérique.
Ce que révèlent réellement ces deux affaires
Ces deux affaires ne condamnent ni Nextcloud, ni l'open source, ni le cloud souverain. Elles rappellent une réalité plus fondamentale, que vingt ans de terrain m'ont enseignée : on peut acheter la meilleure technologie du marché. On ne peut pas acheter une gouvernance.
Les logiciels se déploient en quelques semaines. Une gouvernance se construit pendant des années. C'est pourtant elle qui fait la différence le jour où survient l'incident.
À l'heure où les organisations investissent massivement dans le cloud souverain, l'intelligence artificielle et les plateformes collaboratives, elles auraient tort de croire que le choix de l'outil suffira à réduire le risque. La technologie ouvre des possibilités. La gouvernance permet de leur faire confiance.
La souveraineté s'achète. La gouvernance se construit. La résilience se démontre.
Sources — état des faits connu à la date de publication (9 juillet 2026) :
- Nextcloud, fuite de données internes confirmée par l'éditeur : Cybernews, 8 juillet 2026
- apps.education.fr, revendication non confirmée officiellement à ce jour : Cyberattaque.org
L'authenticité, l'origine et le périmètre exact de la revendication concernant apps.education.fr n'étaient pas établis au moment de la publication de cette tribune.
