6 167 fuites en 2024 : pourquoi les ETI françaises ne peuvent plus déléguer leur sécurité à des acteurs qui ne leur appartiennent pas

# 6 167 fuites en 2024 : pourquoi les ETI françaises ne peuvent plus déléguer leur sécurité à des acteurs qui ne leur appartiennent pas

> *En 2024, 6 167 incidents de fuite de données ont été recensés à l'échelle mondiale. Ce chiffre n'est pas une statistique de plus à glisser dans une présentation de conseil d'administration. C'est le symptôme d'une crise de gouvernance que les ETI françaises continuent de traiter avec les outils de ceux qui, précisément, ont le plus à gagner de leur vulnérabilité.*

L'illusion du bouclier externalisé

Depuis une décennie, le discours dominant dans la sécurité informatique des PME et ETI françaises repose sur une promesse simple : vous n'avez pas les moyens de vous protéger seuls, confiez vos infrastructures à des acteurs qui ont les ressources pour le faire. Le sous-entendu était clair — ces acteurs, c'était les grandes plateformes américaines, leurs clouds, leurs suites de sécurité intégrées, leurs SOC mutualisés.

Ce discours a fonctionné. Il a même été rationnel, dans un certain contexte. Une ETI de deux cents salariés dans la région lyonnaise ou bretonne n'avait pas, au milieu des années 2010, les moyens de recruter un RSSI à temps plein, de maintenir une veille sur les vulnérabilités zero-day ou d'opérer une réponse à incident en moins de quatre heures. Alors elle a externalisé. Elle a signé des contrats avec des intégrateurs qui eux-mêmes reposaient sur des briques américaines. Elle a mis ses données dans des environnements dont elle ne maîtrisait ni la localisation exacte, ni les accès tiers, ni les sous-traitances en cascade.

En 2026, cette logique atteint ses limites structurelles. Non pas parce que la menace a changé de nature — les ransomwares, le phishing, les attaques par rebond via les prestataires existent depuis longtemps. Mais parce que le contexte géopolitique et réglementaire a radicalement transformé ce que signifie "être protégé" quand on est une entreprise européenne.

La question n'est plus : *votre prestataire est-il compétent ?* La question est : *à qui appartiennent vos données quand elles sont compromises, et qui décide de la réponse ?*

Ce que 2024 révèle vraiment sur la gouvernance de la sécurité

Les 6 167 fuites de données recensées en 2024 ne sont pas uniformément distribuées. Une part significative concerne des entreprises de taille intermédiaire, précisément celles qui ont le plus externalisé leur sécurité sans en conserver la gouvernance. Ce n'est pas un hasard.

L'externalisation totale crée ce que les spécialistes appellent un "angle mort de responsabilité" : l'entreprise pense être couverte parce qu'elle paie un contrat, le prestataire pense avoir rempli ses obligations parce que ses outils n'ont pas déclenché d'alerte. Pendant ce temps, une attaque silencieuse progresse latéralement dans le système d'information depuis trois semaines.

Mais il y a un angle que la plupart des analyses de ces incidents ne traitent pas frontalement : la dépendance aux acteurs américains introduit une couche supplémentaire d'opacité juridique et opérationnelle que les ETI françaises sous-estiment systématiquement.

Quand une entreprise française stocke ses journaux de sécurité — ses logs, ses événements d'authentification, ses alertes — sur une infrastructure opérée par un acteur américain soumis au Cloud Act, elle ne contrôle pas seulement où ses données de production sont hébergées. Elle ne contrôle pas non plus où se trouvent les preuves de sa propre compromission. En cas d'incident, qui a accès à ces logs en premier ? Qui peut les modifier, les supprimer, les rendre opaques lors d'une investigation judiciaire française ou d'une procédure RGPD ?

Ces questions ne sont pas théoriques. Elles ont été posées concrètement par des équipes juridiques d'ETI françaises confrontées à des incidents en 2023 et 2024, et les réponses obtenues de leurs prestataires américains ont rarement été satisfaisantes.

Le piège organisationnel : quand la sécurité devient une boîte noire RH

C'est ici que le bât blesse le plus profondément, et c'est le point que les directions générales d'ETI refusent le plus souvent d'examiner en face.

Quand une ETI confie l'intégralité de sa sécurité à un prestataire externe — fût-il compétent, fût-il européen — elle ne confie pas seulement une fonction technique. Elle externalise une compétence de compréhension de son propre système d'information. Et cette compétence, une fois externalisée, ne se reconstitue pas en six mois quand le contrat est rompu ou quand le prestataire est lui-même racheté.

Le phénomène est documenté, même s'il est rarement nommé ainsi : c'est ce qu'on pourrait appeler la deskilling organisationnel de la sécurité. Les équipes internes — quand elles existent — perdent progressivement la capacité de lire une alerte, d'interpréter un log d'accès anormal, de distinguer un comportement légitime d'une exfiltration lente. Elles deviennent des interlocutrices administratives d'un prestataire, pas des garantes de la sécurité.

Concrètement, dans une ETI de cent cinquante à cinq cents salariés, cela se traduit par des symptômes organisationnels très précis :

Côté RH, les fiches de poste des responsables informatiques internes ne mentionnent plus de compétences en analyse de sécurité. On recrute des profils capables de "piloter des prestataires" et de "gérer des contrats SLA". La sécurité devient une compétence de procurement, pas une compétence technique interne.

Côté gouvernance, les comités de direction reçoivent des tableaux de bord produits par le prestataire, avec des métriques définies par le prestataire, interprétées par le prestataire. Le DSI interne, quand il en existe un, n'a pas toujours les outils pour contester ces métriques ni la légitimité interne pour le faire.

Côté processus, les procédures de réponse à incident sont rédigées par le prestataire, testées par le prestataire, auditées par le prestataire. L'entreprise ne sait pas réellement ce qu'elle ferait si le prestataire était lui-même indisponible — ce qui arrive, notamment lors d'incidents touchant simultanément plusieurs de ses clients.

Cette configuration n'est pas une fatalité. Mais elle exige une décision stratégique claire que beaucoup de directions générales d'ETI n'ont pas encore prise : quelles compétences de sécurité sont non-délégables, parce qu'elles constituent une connaissance intime du système d'information propre à l'entreprise ?

Reprendre la main : ce que cela implique vraiment en interne

La réponse souverainiste à cette situation n'est pas de rapatrier demain l'intégralité de la sécurité en interne — ce serait aussi irréaliste que de prétendre que l'externalisation totale est viable. Elle est de redéfinir la frontière entre ce qui peut être délégué et ce qui ne peut pas l'être.

Cette frontière doit être dessinée autour d'un principe simple : la connaissance du système d'information de l'entreprise reste interne, et les outils qui permettent de le surveiller doivent être contrôlables par des équipes européennes sous juridiction européenne.

En pratique, cela implique plusieurs chantiers organisationnels que les DSI et RSSI d'ETI françaises doivent porter — non pas comme des projets informatiques, mais comme des projets de transformation de gouvernance.

Premier chantier : la cartographie vivante du SI. Une ETI qui ne sait pas exactement quels systèmes sont exposés à l'extérieur, quelles données transitent par quels prestataires, et quels accès tiers sont actifs sur son réseau ne peut pas être protégée — peu importe la qualité de ses outils. Cette cartographie doit être maintenue en interne, par des personnes qui connaissent les métiers de l'entreprise, pas seulement ses machines.

Deuxième chantier : la formation des équipes internes à la lecture des signaux faibles. Ce n'est pas une formation de deux jours sur la "sensibilisation à la cybersécurité". C'est un investissement durable dans la capacité d'une ou deux personnes internes à comprendre ce que disent les journaux d'événements, à poser les bonnes questions à un prestataire, à ne pas prendre pour argent comptant un rapport d'audit qu'elles n'ont pas les moyens de contester.

Troisième chantier : la contractualisation souveraine. Quand une ETI choisit un prestataire de sécurité, la question du droit applicable aux données de sécurité — logs, alertes, rapports d'incident — doit être traitée avec autant de rigueur que la question du prix. Un acteur certifié SecNumCloud ou équivalent européen n'est pas simplement un label de qualité technique : c'est une garantie que les données de sécurité de l'entreprise ne peuvent pas être accessibles à une juridiction étrangère sans son consentement explicite. Des acteurs comme Tehtris, opérateur français de cybersécurité dont la plateforme est hébergée sur sol européen, illustrent qu'une alternative structurée existe — sans prétendre que le marché est saturé de solutions équivalentes.

Quatrième chantier : les exercices de crise sans le prestataire. C'est le test de vérité que très peu d'ETI ont la lucidité de pratiquer. Si votre prestataire principal est indisponible pendant vingt-quatre heures — parce qu'il est lui-même victime d'un incident, parce que son datacenter est en panne, parce que votre contrat a expiré lors d'une crise — que fait votre équipe interne ? Qui décide ? Qui communique avec les clients ? Qui isole les systèmes compromis ? Si la réponse honnête est "on ne sait pas", le niveau de dépendance est devenu un risque d'entreprise, pas seulement un risque informatique.

La souveraineté numérique n'est pas un luxe de grande entreprise

On entend souvent, dans les couloirs des ETI françaises, un argument qui semble de bon sens : "La souveraineté numérique, c'est bon pour les grandes entreprises, pour les OIV, pour les administrations. Nous, on n'est pas une cible stratégique."

Cet argument était peut-être défendable en 2015. En 2026, il est factuellement faux et stratégiquement dangereux.

Les ETI françaises sont devenues des cibles précisément parce qu'elles sont perçues comme des maillons faibles dans des chaînes de valeur qui, elles, sont stratégiques. Une ETI sous-traitante d'un groupe industriel de défense, une ETI fournissant des logiciels à des collectivités territoriales, une ETI gérant la paie de plusieurs milliers de salariés dans des secteurs sensibles — aucune de ces entreprises n'est "hors cible". Elles sont au contraire des portes d'entrée.

Mais il y a un argument plus fondamental encore, qui touche à la définition même de ce qu'est une entreprise souveraine dans l'économie européenne de 2026.

Une ETI qui ne contrôle pas les données de sécurité de son propre système d'information ne contrôle pas vraiment son système d'information. Elle en est locataire. Et ses données — données clients, données de production, données financières, données RH — sont potentiellement accessibles, dans certaines configurations contractuelles, à des entités sur lesquelles elle n'a aucune prise juridique réelle.

La directive NIS2, dont la transposition en droit français produit ses premiers effets concrets en 2025 et 2026, commence à rendre cette question incontournable pour un nombre croissant d'ETI. Mais attendre la contrainte réglementaire pour engager ce chantier, c'est encore une fois laisser à d'autres — régulateurs, prestataires, parfois acteurs américains bien implantés dans les instances de normalisation — le soin de définir ce que signifie "être sécurisé" pour une entreprise française.

Les 6 167 fuites de 2024 ne sont pas un argument pour acheter plus de sécurité. Elles sont un argument pour reprendre la gouvernance de sa propre sécurité. Ce n'est pas la même chose. Et la confusion entre les deux a déjà coûté très cher à des entreprises qui pensaient avoir délégué leur protection, et ont découvert qu'elles avaient surtout délégué leur capacité à se défendre.