Les "Cyberattaque" sont un probème de dirigeants

Lors de la table ronde « Quelle Responsabilité pour le dirigeant face à la cybermenace ? », organisée le jeudi 16 avril 2026 dans un contexte de multiplication des attaques et de durcissement réglementaire, Anne Doré, CEO de ADHEL Digital Security, Maître Alexandre Lazarègue, avocat spécialisé en droit du numérique, et Lionel Mouchabac, CEO d’Ackuracy, échangent sous la modération de Paul Dubois sur l’évolution du rôle des dirigeants face au risque cyber.

La discussion s’installe sans détour. La cyberattaque ne relève plus d’un sujet technique, elle remonte à la direction générale. Le ton est posé, mais la tension est perceptible. Chacun parle d’expérience, de situations vécues, parfois brutales. Lionel Mouchabac plante le décor avec une phrase qui circule dans la salle comme un rappel à la réalité : « Une cyberattaque n’est plus un problème IT. C’est un risque de direction générale. »

Le terrain, justement, s’invite très vite dans les échanges. Derrière les dispositifs de sécurité affichés, la réalité apparaît plus fragile. « La majorité des entreprises que nous testons pensent être sécurisées… jusqu’au moment où on leur prouve le contraire en quelques jours. » Les exemples s’enchaînent. Une application critique compromise en moins d’une heure, une intrusion réalisée sans même passer par les postes utilisateurs, un réseau infiltré via un simple câble. L’auditoire réagit, parfois surpris, souvent silencieux. La faille n’est pas toujours là où nous l’attendons. « Un attaquant n’attaque pas votre entreprise… il attaque votre maillon le plus faible. »

Face à cette réalité, la question de la responsabilité glisse naturellement vers le terrain juridique. Maître Alexandre Lazarègue apporte un cadre précis, presque méthodique. Les réflexes se dessinent. Se mettre en conformité, documenter, anticiper. Lorsqu’une attaque survient, le dirigeant ne peut plus improviser. Il doit protéger son organisation, mais aussi sa propre responsabilité. Les échanges deviennent plus concrets. Faut-il déposer plainte, et dans quel objectif ? Comment gérer une demande de rançon lorsque l’activité est paralysée ? Quels éléments conserver, quels experts solliciter ? Le constat d’huissier s’impose comme une pièce structurante. La notification à la CNIL dans les 72 heures devient une évidence, mais aussi une contrainte. L’attention portée aux mots, aux informations communiquées, prend une dimension stratégique. Tout peut se retourner.

Anne Doré ramène la discussion sur un terrain plus large, celui de la gouvernance. La cybersécurité ne se délègue pas facilement, dit-elle en substance, tant elle traverse toutes les fonctions de l’entreprise. Ressources humaines, systèmes d’information, juridique, organisation. Tout est lié. « On ne gère pas la sécurité le jour J, le jour ou arrivent les problèmes. » La phrase résonne. Elle insiste sur la préparation, sur ces exercices de crise encore trop rares. L’analogie avec les exercices incendie s’impose presque naturellement. Lorsque l’alarme sonne, chacun sait quoi faire. Pourquoi en serait-il autrement pour une attaque cyber ?

La discussion bascule alors sur la capacité réelle des organisations à tenir dans la durée. Plans de continuité, scénarios de coupure, retour au papier si nécessaire. L’exemple d’une industrie à l’arrêt pendant plusieurs semaines circule, sans effet dramatique mais avec lucidité. Le sujet n’est pas la technologie, il est dans la capacité à continuer à fonctionner, même dégradé.

Dans la salle, les regards se croisent. Une forme de prise de conscience s’installe. Les mieux équipés ne sont pas forcément ceux qui résistent. « Ce ne sont pas les mieux équipés qui s’en sortent mais les mieux préparés. » La phrase clôt presque naturellement l’échange. Elle ne rassure pas. Elle replace le dirigeant là où il ne peut plus se dérober, au centre du dispositif, entre anticipation, décision et responsabilité.