Avez-vous recruté des développeurs juniors parce que les seniors sont trop chers ?
Privilégiez-vous la culture d’entreprise par l’ascenseur social ou la compétence ?
Avez-vous déjà utilisé l’IA pour faire des « trucs de dingue » ?
Votre référent RGPD a-t-il déjà ouvert une console de logs ?
Nouveaux arrivants dans les métiers de l’informatique
Le premier facteur de vulnérabilité de la France en 2026 provient de la gestion de la pénurie de développeurs amorcée six ans plus tôt. Pour répondre à une demande exponentielle, le marché a été inondé de profils issus de reconversions rapides et de formations douteuses ; on a fait croire à toute une génération qu’il était facile de devenir informaticien via des cursus superficiels et souvent bâclés et en ligne.
Pendant que les experts délaissaient l’enseignement pour des salaires records en production, les rangs des formateurs s’appauvrissaient. Cette stratégie a permis de soutenir une transformation numérique de façade, sacrifiant la culture de la sécurité sur l’autel de la vélocité.
La situation s’aggrave aujourd’hui avec l’arrivée d’IA qui codent massivement et d’architectes qui se bornent à valider des résultats visuels sans jamais auditer la programmation.
Organisations fortement hiérarchisées et sclérosées
Aujourd’hui, la structure de la plupart des entreprises françaises est devenue un vecteur d’attaque, la promotion interne ou externe par réseautage valident le principe de Peter : les postes décisionnels en développement et cybersécurité sont occupés par des profils ayant atteint leur niveau d’incompétence technique, déconnectés de la réalité des menaces actuelles.
La « culture du chef » , le hiérarchisme, devenu la norme dans un pays à la bureaucratie sclérosante, étouffe toute agilité. L’agilité c’est résoudre un problème quand il se présente, la culture du chef c’est convaincre la hiérarchie et les collègues avant de pouvoir agir quel que soit le sujet ; et le sujet en termes de sécurité c’est l’urgence, et le hiérarchisme est lent.
Il en résulte une déresponsabilisation collective flagrante : des CMS et librairies obsolètes et non patchés/corrigés restent en production car personne ne veut prendre la responsabilité d’une interruption de service ou d’un accroissement de l’activité.
Les pirates ne s’encombrent d’aucune hiérarchie.
IA facilitatrices et rémunération par la crypto-monnaie
En 2026 avec l’intelligence artificielle, l’attaquant n’a plus besoin d’être un génie, il lui suffit d’être un peu malin et de disposer d’un ordinateur puissant. L’IA générative et agentique a industrialisé la détection de failles : elle scanne les dépôts Open Source à une vitesse surhumaine, identifie les vulnérabilités logiques et génère des « exploits » polymorphes capables de contourner les détections des menaces de sécurité classiques. L’IA ne crée pas seulement le code malveillant, elle automatise la phase de reconnaissance, rendant chaque tentative d’intrusion chirurgicale.
Cette nouvelle forme de piraterie est dopée par les crypto-monnaies. Les données extraites sont vendues sur des réseaux confidentiels (TOR+DarkNet) et sont payées en crypto-monnaies qui pour certaines sont quasiment intraçables (Monero/XMR) et blanchissables relativement facilement dans un très grand nombre de pays. Cette ruée vers l’or numérique crée un appel d’air : la cybercriminalité est devenue un business-modèle à haute marge et bas risque, où l’IA fait le « sale boulot » technique pendant que les rançons s’accumulent dans des portefeuilles numériques ou des sociétés offshore hors d’atteinte.
Mutinerie et Corsaires d’open space
La piraterie peut aussi être interne.
Vos employés accédant à des données clients réelles, alors qu’ils pourraient travailler sur des données synthétiques, constituent une grosse faille de sécurité.
Une brèche, une porte dérobée (« backdoor ») ouverte sciemment, un sabotage afin de laisser libre accès à des pirates ou une simulation de piraterie. Cette méthode fourbe, mais largement envisageable (une pratique connue des services secrets) est quasiment indémontrable judiciairement ; et de toute façon, ça sera toujours trop tard.
« Zero Trust » est la bonne méthode.
Incompréhension et non conscience des enjeux du RGPD
L’Union Européenne a réagi depuis longtemps par le fameux RGPD (Règlement général sur la protection des données), mais l’incompréhension et la négligence des organisations françaises rend ce texte inefficace.
Pour beaucoup d’entreprises le RGPD c’est la pop-up de cookies à mettre sur son site, alors que pas du tout c’est carrément autre chose : c’est l’hygiène des données.
Le RGPD c’est un esprit, c’est en terme de données :
- Ne collecter que le strict nécessaire
- Purger régulièrement ce qui n’est plus nécessaire
- Instaurer une « police » des données (référent RGPD)
Les référents RGPD, la personne la plus importante contre le piratage, est trop souvent choisis par dépit ou au hasard sans bagage technique et privés de tout pouvoir d’investigation par incompétence ou subordination hiérarchique.
L’esprit RGPD aurait dû entraîner une culture du « toujours piraté », de compromission permanente, du piratage est inéluctable, et par là du respect des clients en respectant leurs données.
En conservant des masses de données obsolètes « au cas où », les entreprises maximisent mécaniquement l’impact des fuites de données et font de cette vague de piratages 2026 une catastrophe nationale.
Mon avis ?
Soyez paranoïaque. Il est temps de distribuer des amendes, c’est-à-dire jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial .