FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive
    • Accueil
    • Cyber +
    • Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive

    Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive

    Écrit par
    Jean Langlois-Berthelot
    Lieutenant-Colonel, Chef de Division
    09.12.25
    Cyber +
    12
    MIN
    Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive
    Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive
    Les systèmes rêvent aussi : comprendre les crises cyber dans l’ère cognitive
    Image Les États-Unis excluent Anthropic des agences fédérales
    Cyber +
    03.03.26 Cyber +
    Prochain article
    Les États-Unis excluent Anthropic des agences fédérales
    Lire
    02
    MIN
    Image PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Cyber +
    25.02.26 Cyber +
    Prochain article
    PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Lire
    07
    MIN
    Image Route de la surveillance - épisode 5 : [États-Unis], trouble jeu sur la cybersurveillance
    Cyber +
    24.02.26 Cyber +
    Prochain article
    Route de la surveillance – épisode 5 : États-Unis, trouble jeu sur la cybersurveillance
    Lire
    10
    MIN
    Image Contrôle d’accès des mineurs aux réseaux sociaux : l’accord mondial
    Cyber +
    19.02.26 Cyber +
    Prochain article
    Contrôle d’accès des mineurs aux réseaux sociaux : l’accord mondial
    Lire
    08
    MIN
    Entretien avec Ludovic Chaker, directeur d’administration centrale et adjoint anticipation stratégique du DGA (Délégué Général pour l'Armement)

    Dans les univers de Philip K. Dick, la réalité n’est jamais tout à fait stable. Les systèmes dérivent, les perceptions s’altèrent, les événements changent de signification selon le regard qu’on leur porte.
    C’est une métaphore étonnamment adaptée à notre époque : celle où le cyber n’est plus seulement une catégorie technique, mais un milieu instable dans lequel se propagent attaques, récits, émotions, interprétations et signaux faibles.

    Ludovic Chaker, directeur d’administration centrale et adjoint anticipation stratégique du DGA est aussi ancien conseiller du Président de la République pour la défense et la sécurité nationale. Fort de ces expériences, il observe depuis plusieurs années ces dynamiques nouvelles. Il s’intéresse moins aux attaques en elles-mêmes qu’aux conditions dans lesquelles elles deviennent des crises.


    Dans cet entretien, il revient sur cette transformation silencieuse, sur les logiques d’anticipation, et sur la manière dont les crises cyber s’inscrivent désormais dans des trajectoires sociales, politiques et cognitives.

    RADAR : une utilité pour anticiper les crises cyber ?

    Ludovic Chaker — Dans une certaine mesure oui, mais pas exclusivement. RADAR est un exercice lancé en 2024 à la Direction Générale de l’Armement, dans un contexte où il devenait nécessaire de disposer non pas tant d’un outil de prédiction, mais d’un dispositif capable de provoquer un changement de perspective. Pour ce faire nous avons associé l’expertise du Ministère des Armées et de la société civile. L’objectif est d’identifier les zones d’instabilité, de révéler les angles morts, de questionner les évidences et de faire remonter des signaux faibles que les approches plus structurées ne voient pas toujours

    RADAR permet d’observer les zones où l’environnement devient instable, des problématiques et des cas d’usage plutôt que des thématiques traditionnellement en silo. Il ne s’agit ni de prédire, ni de modéliser le futur, mais de repérer les configurations où un incident, même modeste, peut s’amplifier. C’est utile pour situer les fragilités et les opportunités.

    Au-delà de RADAR, les crises cyber elles-mêmes ont changé. Pourquoi sont-elles aujourd’hui si difficiles à anticiper ?

    Parce que les crises cyber ne sont plus des événements isolés. Elles se déroulent dans des environnements immatériels déjà saturés : saturés d’informations, de tensions narratives, d’émotions collectives, de dépendances techniques. Une attaque d’apparence classique, comme un chiffrement de données ou une compromission d’accès, peut produire des effets qui dépassent largement le périmètre technique.

    L’incident Colonial Pipeline en est un bon exemple. L’attaque était relativement simple, mais ses effets ont été rapides et diffus : hausse artificielle de la demande, tensions logistiques, relais médiatiques, perte de confiance. La crise n’a pas été technique : elle a été systémique. En mai 2021, un rançongiciel du groupe criminel DarkSide a compromis les systèmes IT de l’entreprise, forçant par précaution l’arrêt de l’oléoduc le plus important des États-Unis. L’attaque ne visait pas les opérations industrielles elles-mêmes, mais la perturbation IT a suffi à déclencher une réaction en chaîne nationale.

    Une crise cyber contemporaine dépend donc moins de l’intention de l’adversaire que des conditions dans lesquelles le système reçoit le choc. Elle dépend également moins d’une approche technico-opérationnelle que de sa capacité à exploiter des vulnérabilités qui sont très souvent d’origine humaine. 

    Dans ce contexte, comment définir l’anticipation ?

    Anticiper, ce n’est pas prédire. C’est comprendre comment un ensemble de facteurs peut converger pour transformer un signal faible en crise. Par exemple, lorsqu’une intrusion touche une collectivité territoriale, l’analyse ne consiste pas seulement à évaluer la gravité technique. Elle doit intégrer le moment politique, la fatigue organisationnelle, la pression médiatique, les débats en cours, ou la vulnérabilité des services publics concernés.

    L’anticipation consiste à repérer des trajectoires. Une trajectoire n’est pas un scénario. C’est une évolution conditionnelle. Nous observons comment un signal peut se transformer, comment il peut être interprété, amplifié, récupéré. C’est une démarche dynamique, presque biologique : comprendre comment un organisme réagit, plutôt que d’imaginer ce qui pourrait l’agresser. En sortant de l’approche purement techno-centrée. 

    Cela signifie-t-il que les crises cyber sont devenues d’abord cognitives ?

    Elles sont d’abord hybrides. Le cognitif est à la fois la couche méta et la zone de propagation naturelle des crises cyber. L’effet technique n’en est que la conséquence. Ce qui compte, c’est la manière dont la manœuvre est perçue, comment elle circule et se raconte.

    Une attaque sur un hôpital, par exemple, produit un effet émotionnel disproportionné. Une intrusion sur une chaîne logistique peut créer de la panique si le contexte économique est déjà tendu. Une fuite de données peut rester insignifiante pendant des jours, puis devenir explosive si elle est habilement exploitée.

    Le cognitif est donc le milieu dans lequel tout incident cyber évolue aujourd’hui.

    Nous sommes entrés dans un état où le monde technique et le monde perçu s’interpénètrent. Dans un tel environnement, une crise cyber est toujours plus qu’une simple attaque.

    Si le cognitif devient central, comment un État peut-il encore garder le contrôle lors d’une crise ?

    En comprenant que le contrôle absolu est illusoire.
    Les crises cyber se déroulent dans un espace où les acteurs publics, privés, citoyens et adversaires interagissent en temps réel. L’enjeu n’est pas de maîtriser le récit, mais de maintenir une lisibilité minimale.

    Pour cela, la première exigence est la synchronisation.
    La vitesse technique, la vitesse narrative et la vitesse institutionnelle ne sont pas les mêmes. Une intrusion se produit en millisecondes ; un emballement en quelques heures ; une décision politique en plusieurs jours. Tant que ces temporalités restent dissociées, l’État intervient en retard.

    Le véritable défi n’est pas le volume d’information, mais la coordination des temporalités.

    Vous parlez de lisibilité. Est-ce là la clé d’une bonne anticipation cyber ?

    C’est la clé de tout.
    Une organisation devient vulnérable quand elle ne comprend pas ou plus ce qui lui arrive. Dans beaucoup de crises cyber, l’incertitude interne a plus de conséquences que l’incident lui-même. Si l’on ne sait pas ce qui fonctionne encore, où se trouve la compromission, qui parle à qui, quelle information est fiable et laquelle ne l’est pas, alors la crise s’emballe d’elle-même.

    La lisibilité est un enjeu technique, bien sûr, mais aussi social et organisationnel.
    Lorsqu’un opérateur, une collectivité ou une administration n’a plus de représentation claire de son propre système, la réaction devient chaotique. Les crises cyber les plus sévères surviennent souvent dans ces moments-là : quand la perte d’information interne précède l’emballement externe.

    Le monde privé joue un rôle important dans le cyber. Comment articuler anticipation publique et réalités industrielles ?

    La grande majorité des capacités techniques et des surfaces d’attaque appartiennent au privé. Et ce n’est pas propre au cyber. L’État ne contrôle ni l’architecture, ni les usages, ni la maintenance de vastes pans du numérique.
    Dans ce contexte, l’anticipation doit intégrer des mécanismes de créativité, d’alerte et de coopération qui ne ressemblent pas aux modèles classiques de sécurité.

    Les opérateurs d’importance vitale et les opérateurs de services essentiels sont évidemment des partenaires centraux. Mais les crises récentes montrent que l’impact peut venir de structures plus modestes : un sous-traitant, une PME industrielle, un prestataire externe, une collectivité rurale. Ce qui est couramment appelé une « cible molle ». Ces acteurs ne disposent pas toujours de capacités de détection ou de réponse suffisamment robustes, raison pour laquelle ils sont précisément ciblés

    L’enjeu, pour l’État, est donc d’élargir la perception de la chaîne de dépendance : comprendre que la résilience nationale repose sur des milliers de maillons, et développer son antifragilité.

    Vous avez accompagné des crises au plus haut niveau. Qu’est-ce qui crée la panique dans une crise cyber ?

    La panique ne vient jamais du code. Elle vient du silence. Qui vient lui-même de la sidération.

    Ce qui déclenche l’angoisse d’une équipe dirigeante, ce n’est pas l’intrusion elle-même, mais l’incapacité à en mesurer l’étendue. Dans les premières heures, il manque toujours des informations : sur la nature du logiciel malveillant, sur la propagation, sur l’éventuelle exfiltration de données.


    Cette zone de brouillard est inévitable. Mais elle peut être réduite. C’est la fameuse incertitude qui est au cœur de l’anticipation stratégique. 

    Elle se réduit par la préparation : protocoles, cellules de crise, cartographie des dépendances, segmentation, redondance, entraînements réguliers, scénarios de continuité. Et par la créativité aussi, l’aptitude à sortir de ses certitudes. Les organisations qui ont travaillé ces aspects résistent mieux.

    Les crises cyber se gagnent dans les heures où l’on sait garder la capacité de décider alors même que l’on ne voit pas tout. Comme tout type de crise d’ailleurs.

    Vous évoquez les scénarios de continuité. Sont-ils suffisamment développés en France ?

    Ils progressent, mais pas encore partout.
    Beaucoup d’organisations ont des plans, mais peu les testent réellement en conditions dégradées.
    Le plus grand malentendu, c’est de croire qu’un plan de continuité est un document. Ce n’est pas un document. C’est un réflexe collectif.

    Dans plusieurs secteurs critiques, on observe une montée en maturité : énergie, finance, transport, santé. Mais il subsiste une difficulté dans les organisations intermédiaires, souvent trop petites pour disposer d’équipes dédiées et trop grandes pour improviser.

    La continuité est un exercice où l’on apprend surtout à accepter l’inconfort. Une organisation qui n’a jamais testé sa capacité à fonctionner avec 20 % d’informations en moins découvrira sa vulnérabilité au pire moment.

    Quelles sont les vulnérabilités que l’on sous-estime encore ?

    Les vulnérabilités de coordination.
    Dans une crise cyber, chaque acteur a une vision partielle du système. Un opérateur voit son réseau ; une collectivité voit ses services ; un ministère voit ses prérogatives ; un prestataire voit son périmètre contractuel. Mais personne ne voit l’ensemble.

    C’est dans ces interstices que les crises se fabriquent. Les angles morts que les attaquants exploitent avec malice et que nous n’avons collectivement pas le réflexe d’explorer.

    La seconde vulnérabilité est la dépendance logicielle et industrielle. Beaucoup d’infrastructures reposent sur des composants tiers, des chaînes d’approvisionnement mondialisées, des services cloud hétérogènes. La complexité accumulée est telle que personne ne maîtrise vraiment l’intégralité de son architecture. La souveraineté de bout en bout est aujourd’hui une chimère, raison pour laquelle nous défendons la notion de souveraineté augmentée, qui repose tout à la fois sur la disponibilité des ressources stratégiques, des ruptures technologiques et de potentiel humain avec des dépendances choisies et consenties. 

    Enfin, il y a une vulnérabilité cognitive : la difficulté à accepter que l’on puisse être surpris.
    Les crises les plus sévères sont presque toujours celles que l’on pensait improbables.

    Faut-il alors revoir notre manière de préparer les décideurs ?

    Oui.
    Les décideurs opérationnels, publics comme privés, doivent être formés à la gestion de l’incertitude, et pas seulement à la prise d’information. Ils ont besoin d’outils pour fonctionner dans des environnements où l’information est incomplète, contradictoire ou instable.

    Ils doivent savoir :
    comment prioriser,
    comment décider en zone grise,
    comment communiquer sans certitude,
    comment éviter les sur-réactions,
    comment comprendre l’effet possible de leurs décisions sur la perception collective.

    Dans un monde où les crises cyber se propagent aussi par le narratif, le facteur déterminant n’est pas l’expertise technique, mais la stabilité décisionnelle.

    Qu’est-ce qui vous surprend encore dans la manière dont les organisations abordent la cybersécurité ?

    La difficulté à accepter que la crise cyber n’est pas un accident, mais une propriété du système.
    Beaucoup d’organisations travaillent encore avec l’idée qu’une attaque est une anomalie. Or l’anomalie est devenue la norme. Les attaquants évoluent, les surfaces s’étendent, les usages se complexifient. Une organisation qui n’a jamais vécu de crise cyber majeure n’est pas un modèle de résilience ; elle est simplement chanceuse. La pédagogie est également un segment clé à développer. Le cyber ne doit plus être l’apanage exclusif de quelques ingénieurs spécialisés. 

    Il faut sortir d’une culture de l’exception et de techno-centrisme pour entrer dans une culture du fonctionnement dégradé et du red-teaming (apprendre à penser comme les attaquants).

    Une dernière question : que retenez-vous, personnellement, de ces années consacrées à l’anticipation et à ses applications pour les crises cyber ?

    Que la dimension humaine reste centrale. On peut disposer d’une architecture parfaite, de SOC performants, d’outils de détection avancés ; une crise cyber se joue toujours dans un collectif. La manière dont une équipe absorbe le choc, maintient la cohésion, partage l’information et garde un cap fait toute la différence. Et surtout : dans le cyber, ce n’est jamais l’attaque qui compte. C’est la façon dont le système réagit. C’est là que tout se joue.

    Jean Langlois-Berthelot
    09.12.25
    Articles du même auteur :
    1
    17.02.26 Cybersécurité
    Cyber et cognitif : doctrines, vulnérabilités et transformation du cadre stratégique
    Lire
    19
    MIN
    2
    17.02.26 Cyber stabilité
    La guerre cognitive n’est plus un concept : elle est déjà industrialisée
    Lire
    10
    MIN
    3
    11.02.26 Cyber +
    Snow Crash dans les pipelines : attaques sur la transformation logicielle
    Lire
    08
    MIN
    4
    09.02.26 Cyber +
    Le goût retrouvé du vide : l’IA vacille aussi
    Lire
    07
    MIN
    Image Les États-Unis excluent Anthropic des agences fédérales
    Cyber +
    03.03.26 Cyber +
    Prochain article
    Les États-Unis excluent Anthropic des agences fédérales
    Lire
    02
    MIN
    Image PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Cyber +
    25.02.26 Cyber +
    Prochain article
    PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Lire
    07
    MIN
    Image Route de la surveillance - épisode 5 : [États-Unis], trouble jeu sur la cybersurveillance
    Cyber +
    24.02.26 Cyber +
    Prochain article
    Route de la surveillance – épisode 5 : États-Unis, trouble jeu sur la cybersurveillance
    Lire
    10
    MIN
    Image Contrôle d’accès des mineurs aux réseaux sociaux : l’accord mondial
    Cyber +
    19.02.26 Cyber +
    Prochain article
    Contrôle d’accès des mineurs aux réseaux sociaux : l’accord mondial
    Lire
    08
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.