Du mythe de l’espion à la réalité du risque : une lecture stratégique pour les RSSI.
« Mata Hari était une très mauvaise espionne. C’est pour ça qu’elle est connue, parce qu’elle a été repérée et arrêtée. » — Bruno Fuligni.
Cette citation donne le ton : loin des fantasmes, le renseignement est d’abord une affaire d’erreurs, de vulnérabilités… et d’humains.
C’est précisément ce que met en lumière cet échange consacré aux services secrets entre Julien Merali et Bruno Fuligni, historien et auteur de Atlas Secret du renseignement (Edition Gründ).
Ce dialogue propose ainsi une immersion dans les mécanismes du renseignement afin d’éclairer autrement les enjeux contemporains de cybersécurité.
Aujourd’hui, les menaces ne peuvent plus être appréhendées uniquement sous un angle technique. Elles s’inscrivent dans des écosystèmes complexes où s’entremêlent : 👉 facteurs humains 👉 dynamiques organisationnelles 👉 enjeux stratégiques.
Les vulnérabilités ne se situent pas uniquement dans les systèmes, mais aussi « entre la chaise et le clavier ». Selon le World Economic Forum, 95 % des violations de données trouvent leur origine dans une faille humaine.
Le renseignement comme grille de lecture des organisations.
L’échange élargit également le champ d’analyse des RSSI en mettant en avant plusieurs dimensions clés : 👉 compréhension des comportements à risque 👉 anticipation des dépendances technologiques 👉 gestion des talents sensibles 👉 prise en compte des effets de concentration des systèmes.
Dans cette perspective, la sécurité devient un sujet transversal qui nécessite une collaboration étroite entre fonctions métiers, IT et gouvernance. Comme le rappelle Bruno Fuligni : « On parle beaucoup de cybersécurité. Mais on oublie souvent l’essentiel : la sécurité, c’est d’abord une affaire de confiance et de contrôle. »
Mais le renseignement joue aussi un rôle structurant dans l’innovation technologique : « On commence à parler de systèmes de détection révolutionnaires […] Ce sont les services de renseignement qui sont à l’origine des nouvelles technologies. » Elles émergent dans des contextes de compétition stratégique et s’intègrent dans des architectures où sécurité, souveraineté et gouvernance sont indissociables.
📌 Le risque ne vient pas uniquement de l’extérieur. Il peut provenir : 👉 d’un cadre démissionnaire emportant des données sensibles 👉 d’un prestataire ayant accès à des systèmes critiques 👉 de collaborateurs ciblés en dehors du cadre professionnel…
Les services de renseignement s’intéressent d’ailleurs directement aux entreprises, notamment celles liées à la défense, manipulant des données ou matériaux sensibles (nucléaire, R&D, etc.) Les approches peuvent être indirectes, opportunistes, voire personnelles — preuve que la surface d’attaque dépasse largement le périmètre du SI.
📌 L’ingénierie sociale : une mécanique redoutable Bruno Fuligni met en garde contre les mécanismes classiques d’approche utilisés par les services étrangers :
» Se laisser approcher et embrigader par un service étranger qui vous a repéré comme ayant accès à des informations importantes, intéressantes et qui veut vous manipuler, veut vous traiter, dans un premier temps, ça se passe bien. On va vous inviter au restaurant, on va vous faire plein de démonstrations d’amitié.
Et puis une fois que vous serez compromis, d’abord les choses vont se serrer, vont devenir vraiment pas sympathiques. Et puis, si vous vous faites prendre, les sanctions peuvent être extrêmement, lourdes. Donc ne perdons jamais de vue que le renseignement dans les fictions, ça fait fantasmer, c’est rigolo, mais dans la réalité, ça peut être très dur, très dangereux et répréhensible.«
Vers une stratégie globale de sécurité.
« Jamais dans l’histoire humaine, les espions n’ont été aussi nombreux […] Le renseignement est partout. » — Bruno Fuligni.
Dans ce contexte, les RSSI doivent passer d’une logique d’infrastructure à une vision systémique, intégrer les facteurs humains dès la conception croiser les approches technologiques et stratégiques.
Le renseignement nous rappelle que la sécurité ne repose pas uniquement sur des outils, mais sur une compréhension fine des interactions humaines, technologiques et organisationnelles. C’est en croisant ces dimensions que les entreprises pourront faire face à des menaces toujours plus diffuses, complexes et omniprésentes.
