ClickFix ne se combat pas avec un abonnement américain — il se combat avec une organisation souveraine

# ClickFix ne se combat pas avec un abonnement américain — il se combat avec une organisation souveraine

Je vais être direct : ClickFix n'est pas une menace technique. C'est une menace organisationnelle. Et la distinction n'est pas cosmétique — elle devrait changer radicalement la façon dont vous répondez à cette attaque.

Pour ceux qui découvrent le sujet : ClickFix est une technique d'ingénierie sociale en pleine expansion depuis 2024, qui a franchi un palier d'intensité en 2025-2026. Le principe est d'une brutalité déconcertante. Un utilisateur tombe sur une fausse page d'erreur — un site compromis, un document piégé, parfois une interface imitant un outil SaaS familier. Le message lui demande d'exécuter une commande dans son terminal ou sa console PowerShell pour « corriger le problème ». L'utilisateur obéit. Et en quelques secondes, il installe lui-même le payload malveillant sur son poste. Pas de faille zero-day. Pas d'exploit sophistiqué. Juste un utilisateur qui fait confiance à une interface et suit des instructions.

Ce qui me frappe — et qui devrait vous alerter —, c'est la vitesse à laquelle les éditeurs de solutions de sécurité américains ont transformé cette menace en argument commercial. Les annonces se sont multipliées : modules de détection comportementale, couches de protection endpoint supplémentaires, formations packagées. La réponse réflexe de l'industrie US a été, comme toujours, de vendre une couche technologique supplémentaire à intégrer dans un écosystème que vous ne contrôlez déjà plus.

Je refuse cette logique. Et vous devriez aussi.

Le vrai problème : vous avez externalisé votre lucidité

ClickFix fonctionne parce que vos collaborateurs ont appris à faire confiance à des interfaces qu'ils ne comprennent pas. Ils ont appris à cliquer, à valider, à « suivre la procédure » — dans Teams, dans un portail SaaS, dans une notification système. Des années d'acculturation aux produits de l'acteur américain dominant ont produit des utilisateurs passifs, conditionnés à obéir à ce que l'écran leur demande.

Ce n'est pas un jugement moral sur vos équipes. C'est un constat structurel. Quand votre SI repose sur des outils dont vos utilisateurs ne maîtrisent ni l'architecture ni la logique, quand personne en interne ne peut expliquer *pourquoi* telle action est normale et telle autre est suspecte, vous avez créé les conditions idéales pour que ClickFix prospère.

Ajoutez une couche de détection comportementale achetée à San José ou Seattle, et vous n'avez pas résolu ce problème. Vous avez ajouté une dépendance supplémentaire à un système que vous ne contrôlez pas, géré par une entité soumise à des législations extraterritoriales — le Cloud Act reste en vigueur, quoi qu'on vous dise en réunion commerciale.

Ce que la souveraineté numérique exige concrètement ici

Je veux être précis, parce que « souveraineté numérique » peut sonner comme un slogan vide si on ne le traduit pas en actes de gestion.

Face à ClickFix, la réponse souveraine n'est pas de choisir l'outil européen qui fait la même chose que l'outil américain. C'est de reconstruire en interne la compétence de jugement que vous avez laissé s'atrophier.

Concrètement, cela signifie au moins trois chantiers que je considère non négociables en 2026.

Premier chantier : la formation doit devenir une compétence interne, pas une prestation achetée. Les modules de sensibilisation packagés — qu'ils viennent d'un acteur américain ou d'un revendeur européen — ne fonctionnent pas contre ClickFix. Ils apprennent à reconnaître des patterns génériques. ClickFix, lui, s'adapte à votre environnement, imite vos outils, copie vos interfaces. La seule réponse efficace, c'est un formateur interne qui connaît *votre* SI, *vos* outils, *vos* cas d'usage métier. Un référent sécurité de proximité, pas un LMS externalisé. Ce poste n'est plus optionnel.

Deuxième chantier : la gouvernance des droits d'exécution. Combien de vos postes utilisateurs permettent d'exécuter des commandes PowerShell ou des scripts shell sans validation ? Si la réponse est « la plupart », vous avez un problème de configuration qui n'a rien à voir avec ClickFix — mais que ClickFix exploite immédiatement. La restriction des droits d'exécution est une décision de gouvernance, pas une décision technique. Elle suppose que votre DSI ait la capacité et le mandat de l'imposer, y compris contre la résistance des métiers. Dans trop d'ETI européennes, cette autorité a été érodée au fil des années par la prolifération des SaaS américains achetés en dehors de toute direction informatique. Reprenez ce mandat. C'est urgent.

Troisième chantier : la cartographie de confiance. Vos utilisateurs doivent savoir ce qu'on leur demandera — et ce qu'on ne leur demandera *jamais* — dans votre organisation. Jamais une vraie interface de votre SI ne leur demandera d'exécuter une commande en copiant-collant du texte. Jamais un vrai message d'erreur ne leur proposera un « correctif rapide » via un terminal. Cette cartographie de confiance — ce référentiel de comportements légitimes — ne peut pas être déléguée à un éditeur externe. Elle doit être construite et maintenue en interne, par des gens qui connaissent votre organisation.

Une opportunité pour les éditeurs européens — à condition de ne pas singer le modèle US

Je pense à des acteurs comme Tehtris, qui développent depuis la France des capacités de détection et de réponse ancrées dans une logique de souveraineté réelle — hébergement européen, conformité RGPD by design, interopérabilité avec des SI hybrides. Ce n'est pas une publicité : c'est une illustration du fait qu'il existe une troisième voie entre « acheter américain » et « ne rien faire ».

Mais je veux être honnête : même les meilleurs outils européens ne remplaceront pas le travail organisationnel que je viens de décrire. Un outil souverain mal utilisé dans une organisation qui n'a pas reconstruit sa culture de vigilance, c'est un outil qui ne servira à rien contre ClickFix.

Ce que j'attends de vous

Si vous êtes DSI ou RSSI d'une PME ou ETI européenne, voici ce que je vous demande de faire cette semaine — pas dans six mois, cette semaine.

Auditez qui, dans votre organisation, peut exécuter des scripts ou des commandes sans validation. Identifiez si vous avez un référent sécurité de proximité capable de former vos équipes sur *vos propres* outils. Et posez-vous cette question simple : si un de vos collaborateurs reçoit demain une fausse page d'erreur imitant votre outil de ticketing interne, est-ce que quelqu'un dans votre équipe a les moyens de le détecter et de réagir — sans déclencher une procédure d'appel d'offres à destination d'un éditeur californien ?

ClickFix est une menace low-tech qui révèle une fragilité high-stakes : votre dépendance à des organisations externes pour penser la sécurité à votre place.

La souveraineté numérique, ce n'est pas un label sur un datacenter. C'est la capacité à comprendre ce qui se passe dans votre SI et à agir sans demander la permission à San Francisco.

Il est temps de la reconquérir.