Nous parlons beaucoup de la transformation numérique. Nous parlons des promesses de systèmes plus intelligents, des garanties de l'IA et du pouvoir de la technologie pour nous protéger. Mais parfois, il faut une histoire, une histoire humaine, pour nous rappeler ce qui est réellement en jeu.
En 2022, un employé du ministère britannique de la défense s'est assis à son bureau et a envoyé un courriel.
La journée a probablement été longue. La personne était peut-être fatiguée, sous pression ou travaillait tard. Il a cliqué sur "Cc" au lieu de "Bcc". Une erreur mineure, c'est quelque chose que nous avons tous fait un jour ou l'autre. Mais il ne s'agissait pas d'une mise à jour hebdomadaire ou d'une chaîne d'approbation budgétaire. Il s'agissait d'une feuille de calcul contenant les noms et les données personnelles de plus de 18 000 citoyens afghans qui avaient soutenu les forces britanniques pendant la guerre. En un seul clic, des vies ont été exposées et changées à jamais.
Ces personnes avaient tout risqué pour les troupes britanniques. Des interprètes. Des guides. Des civils qui croyaient en la promesse de la démocratie. Leur récompense ? Un nom sur une liste de personnes à abattre.
Les talibans n'ont pas besoin d'outils de piratage lorsque des erreurs comme celle-ci sont si facilement accessibles.
Les retombées ont été immédiates et brutales. Certaines familles se sont cachées. D'autres ont été évacuées dans la panique. Plus de 4 500 personnes ont été relogées dans le cadre d'un plan d'urgence secret connu sous le nom de "Afghanistan Response Route". Le coût du secret ? Une super-injonction qui a empêché le Parlement britannique et la presse de s'emparer de l'affaire pendant près de deux ans.
Lorsque la vérité a enfin fait surface cette semaine (2025 juillet), ce n'est pas seulement l'ampleur de l'opération qui a choqué, mais aussi le silence. Le coût. Au milieu de la prise de conscience qu'une fois de plus, une institution en laquelle les gens avaient le plus confiance avait échoué.
Malheureusement, il ne s'agit pas d'un incident isolé. En 2021, le ministère britannique de la défense a commis une erreur similaire en envoyant les noms de 265 ressortissants afghans à la mauvaise adresse électronique. Nombre de ces personnes ont fait état de harcèlement et de menaces. Le gouvernement britannique a par la suite versé une indemnité d'environ 4 000 livres sterling par personne.
Et au-delà de la défense nationale ?
Le schéma est cohérent et, dans ce cas, il ne s'agit pas de cyberattaques ou de ransomwares. Il s'agit d'une erreur humaine, une erreur évitable, récurrente et profondément personnelle.
Le coût de ces échecs n'est pas seulement émotionnel ou éthique. Il est mesurable et stupéfiant.
La fuite du ministère de la Défense britannique en Afghanistan devrait coûter au contribuable britannique entre 850 millions et 2 milliards de livres sterling, si l'on tient compte de la réinstallation, des opérations et des règlements juridiques. Et c'est sans compter le capital humain perdu, les traumatismes, les vies perturbées, la peur transmise dans les familles et l'atteinte à la réputation de l'une des institutions de défense les plus estimées.
Le Royaume-Uni dépense des milliards pour réagir à des événements qui auraient pu être évités pour une fraction de ce coût. J'ai étudié la psychologie et il y a un dicton très vrai qui dit qu'il faut "répondre à" et non "réagir à" ou se préparer à l'avance pour ne pas avoir à faire l'un ou l'autre.
Il faut être honnête : les gens commettent toujours des erreurs. Ce n'est pas la personne qui a échoué ici, mais le système qui a permis à cette erreur d'avoir des conséquences globales.
Le courrier électronique, dans sa forme par défaut, n'est pas sécurisé. Il n'a jamais été conçu pour les communications sensibles et à fort enjeu. La véritable solution réside dans une technologie conçue en tenant compte de l'échec, une technologie qui part du principe que des erreurs se produiront et qui intervient avant que le désastre ne survienne... ou mieux encore, qui crée un environnement où l'erreur n'a pas d'importance.
Des plateformes comme Zivver ouvrent déjà la voie en intégrant des alertes en temps réel basées sur l'IA lorsque des contenus sensibles sont partagés ou lorsque trop de destinataires externes sont ajoutés. Si quelqu'un tape "Cc" alors qu'il voulait dire "Bcc", Zivver s'en aperçoit.
Tuta assure le chiffrement de bout en bout des courriels par défaut, garantissant que même si un message est mal acheminé, son contenu est illisible pour les personnes extérieures.
Et bien sûr, il y a WIRE, conçu dès le départ pour une collaboration sécurisée et chiffrée, où les fichiers et les messages sensibles sont partagés au sein d'une plateforme qui respecte les principes de la confiance zéro. Il supprime entièrement la dépendance à l'égard du courrier électronique, offrant aux équipes des moyens plus sûrs de communiquer et de partager à grande échelle.
Il ne s'agit pas de solutions marginales. Elles sont prêtes pour l'entreprise. Elles sont utilisées aujourd'hui dans les secteurs de la santé, de la finance et de l'administration. L'excuse selon laquelle les systèmes sécurisés "nous ralentissent" ne tient plus. La vitesse sans la sécurité n'est pas de l'efficacité, c'est de l'inconscience.
Ce moment exige plus qu'une politique. Il exige plus que la promesse routinière de "leçons apprises" ou d'excuses soigneusement formulées. Elle exige un changement culturel profond, où la sécurité numérique n'est plus considérée comme un simple accessoire ou une case à cocher de conformité, mais comme un élément fondamental de notre façon de travailler, de communiquer, de gouverner et de diriger. Nous devons reconnaître que la sécurité n'est pas simplement une fonction technique, mais une fonction morale. Et elle doit être intégrée dès le départ, et non pas ajoutée après coup, une fois que le mal a été fait.
Il ne s'agit pas seulement d'un problème britannique, mais d'une responsabilité européenne, voire mondiale. En effet, dans un monde interconnecté, les violations ne respectent pas les frontières. Lorsqu'une base de données sécurisée est compromise à Whitehall, l'impact peut aller jusqu'à Kandahar. Lorsque des dossiers de patients sont mal gérés à Bruxelles, des vies sont perturbées en temps réel. Les systèmes que nous construisons à travers l'Europe, des procédures d'asile et d'immigration aux plateformes judiciaires et aux réseaux d'identification numérique, véhiculent non seulement des données, mais aussi les espoirs, l'histoire et les vulnérabilités de personnes réelles. Dans ce contexte, la souveraineté n'est plus seulement une question de frontières. Il s'agit de contrôler nos données, notre éthique et notre responsabilité.
Pour faire face à ce moment, les DSI et les directeurs techniques des gouvernements européens doivent être dotés de l'autorité, du financement et du soutien politique nécessaires pour permettre aux RSSI de ne plus être des acteurs réactifs appelés à intervenir après une violation, mais des acteurs centraux au niveau stratégique qui aident à guider et à concevoir les marchés publics et la prévention des risques. Les marchés publics doivent eux aussi évoluer, en se concentrant non plus sur le coût le plus bas, mais sur les conséquences les plus importantes. Nous devons cesser de nous demander uniquement si le produit répond aux spécifications de l'appel d'offres et commencer à nous demander s'il préserve la confiance du public, garantit la souveraineté numérique et protège les personnes à grande échelle.
Et, ce qui est peut-être le plus urgent, les dirigeants à tous les niveaux, qu'il s'agisse du Cabinet Office, d'un conseil municipal, d'une direction de la Commission européenne ou d'un conseil d'administration d'hôpital local, doivent se poser la question la plus difficile : "Si nos systèmes tombaient en panne demain, qui en paierait le prix ?". Si la réponse est "la vie de quelqu'un d'autre", "la sécurité de quelqu'un" ou "la confiance d'une communauté dans son gouvernement", alors nous avons l'obligation non négociable de changer le système maintenant.
Car la réalité est claire : dans la société numérique d'aujourd'hui, nous ne pouvons plus séparer le risque système du risque humain. Nos plateformes de communication sont désormais des lignes de front. Notre infrastructure de données est inséparable des vies qu'elle touche. Et lorsque les outils dont nous dépendons pour servir et protéger les gens sont construits sans intégrité, les retombées ne sont pas seulement techniques, elles sont profondément humaines.
Il s'agit là d'un nouveau type de responsabilité. Une responsabilité qui considère la cybersécurité non pas comme un problème informatique, mais comme une question de dignité, de confiance et de pouvoir. Une responsabilité qui exige que nous concevions des systèmes non seulement pour qu'ils fonctionnent, mais aussi pour qu'ils soient protégés. Il ne s'agit pas seulement d'être performant, mais de protéger. Dans le monde qui s'annonce, le leadership numérique signifie reconnaître que nous ne sécurisons pas seulement les systèmes ...., mais aussi les personnes. C'est la frontière. C'est la souveraineté au 21e siècle. Et c'est l'avenir que nous devons choisir de toute urgence, avec détermination et ensemble.
Je crois en la technologie. En fait, j'ai investi près de 20 ans de ma vie dans le développement de technologies qui apportent innovation, changement et valeur ajoutée aux communautés, aux entreprises et aux écosystèmes.
Mais plus encore, je crois en la conception de systèmes qui respectent la vie des gens. La technologie n'est pas neutre, elle protège ou expose, renforce ou affaiblit. La faille du ministère de la défense n'était pas une fatalité technique. Il ne s'agissait pas d'un piratage sophistiqué de la part d'un acteur hostile. C'était le résultat de systèmes et de modes de pensée dépassés, d'une approche héritée du passé qui plaçait la commodité au-dessus de la sécurité, et l'habitude au-dessus de la responsabilité. C'était le sous-produit d'une culture qui accepte que l'on se contente d'un "assez bon", même lorsque des vies sont en jeu.
Nous ne pouvons pas défaire ce qui s'est déjà passé. Nous ne pouvons pas inverser la peur que tant de familles afghanes ont ressentie lorsqu'elles ont réalisé que leurs noms avaient été révélés. Nous ne pouvons pas rétablir la confiance qui a été perdue en un instant. Mais nous pouvons faire quelque chose d'encore plus puissant : nous pouvons choisir d'apprendre. Nous pouvons reconnaître que chaque institution, chaque entreprise, chaque équipe du secteur public a la responsabilité non seulement de faire mieux, mais aussi de construire mieux. Cela signifie qu'il faut investir dans des plateformes où la communication sécurisée n'est pas une option, mais la valeur par défaut. Cela signifie utiliser une technologie qui part du principe que les humains commettront des erreurs et qui est prête à les rattraper avant que ces erreurs ne causent des dommages. Cela signifie qu'il faut aller au-delà de la conformité des cases à cocher et passer à des systèmes de protection proactive et de confiance vérifiable.
Et nous devons agir de toute urgence. Parce qu'il s'agit d'une seule violation. Une erreur. Un clic. Et elle a changé des milliers de vies. Pas métaphoriquement, mais littéralement. C'est le poids de nos décisions numériques aujourd'hui. C'est la réalité d'un monde connecté.
Alors, prenons les choses en main. Ne nous fions plus aux bonnes intentions, mais commençons à nous appuyer sur de grands systèmes, des systèmes qui évoluent, s'adaptent et n'oublient jamais l'être humain qui se trouve à l'autre bout du fil. Concevons la dignité. Protégeons les personnes non seulement en principe, mais aussi en pratique.
Un clic a tout changé.
Veillons à ce que le prochain sauve.