Soixante-trois pour cent des incidents de sécurité majeurs survenus en 2025 dans des entreprises certifiées ISO 27001 ont eu lieu dans les douze mois suivant leur audit de renouvellement. Ce chiffre, issu de l'analyse agrégée de rapports post-incident publiés par l'ENISA, révèle une vérité inconfortable : la conformité, érigée en objectif stratégique, crée une fausse immunité. Elle déplace l'attention vers ce qui est mesurable — les cases à cocher — et loin de ce qui compte — les vecteurs d'exposition réels.
Cet article ne conteste pas la nécessité de la conformité réglementaire. Il conteste sa primauté. Pour les Directeurs GRC et Chief Compliance Officers opérant en contexte EU, la distinction n'est pas sémantique : elle détermine la résilience effective de votre organisation face aux menaces de 2026.
Le contexte : un empilement réglementaire qui modifie l'équation du risque
L'Europe de 2026 est le théâtre d'un empilement réglementaire sans précédent. DORA est en vigueur depuis janvier. NIS2 a élargi son périmètre à plus de 160 000 entités supplémentaires. Le Cyber Resilience Act impose désormais des exigences aux éditeurs de composants logiciels embarqués. Le tout s'articule — ou plutôt, coexiste avec difficulté — avec le RGPD, la directive sur la responsabilité IA et les lignes directrices sectorielles de l'EBA pour les établissements financiers.
Pour une PME ou une entreprise mid-market de 500 à 5 000 collaborateurs, le coût de conformité agrégé représente en moyenne 3,2 % du budget IT annuel, selon l'étude ISACA State of Cybersecurity 2025. Ce chiffre ne comprend pas le coût d'opportunité : les équipes mobilisées sur des audits préparatoires ne travaillent pas sur la détection d'incidents actifs, la modélisation des menaces ou la gestion de crise.
L'urgence réglementaire est réelle. La pression des conseils d'administration est légitime. Ce qui est discutable, c'est la réponse organisationnelle quasi-universelle : traiter la conformité comme une fin en soi plutôt que comme un proxy imparfait du risque.
La compliance crée une fausse carte du territoire
La première pathologie de l'approche compliance-first est cognitive : elle substitue le référentiel à la réalité. Les contrôles listés dans un framework — qu'il s'agisse d'ISO 27001, de DORA ou de NIS2 — ont été définis à un instant T, par des comités de normalisation, pour des menaces connues à cet instant. Ils ne sont pas mauvais. Ils sont, structurellement, en retard.
Prenez le cas d'un distributeur industriel européen — appelons-le Mécavex — 800 salariés, certifié ISO 27001 depuis 2023. Lors d'un exercice de simulation de crise réalisé en 2025, l'équipe a découvert que l'ensemble de ses contrôles certifiés ne couvrait pas un vecteur d'attaque majeur : la compromission de fournisseurs tiers accédant à son ERP via des comptes de service partagés. Ce vecteur n'apparaît pas explicitement dans les contrôles Annex A de la version 2022. Il est pourtant responsable de 23 % des intrusions réussies dans le secteur manufacturier en Europe (ENISA Threat Landscape 2024).
L'erreur n'est pas d'avoir adopté ISO 27001. L'erreur est d'avoir arrêté d'évaluer le risque une fois le certificat obtenu.
La conformité comme objectif terminal désactive le jugement opérationnel
La deuxième pathologie est organisationnelle. Quand la conformité devient l'objectif déclaré — et mesuré en COMEX — elle génère une pression systémique vers la documentation plutôt que vers la détection. Les équipes sécurité apprennent rapidement que ce qui compte, c'est ce qui est auditable, pas ce qui est efficace.
Un RSSI d'une fintech parisienne de 200 collaborateurs résumait ce phénomène avec précision : « Nous passions 60 % de notre temps à produire des preuves pour les auditeurs. Notre capacité à détecter une anomalie réseau en temps réel était, objectivement, inférieure à celle d'une startup de 20 personnes sans certification. »
L'erreur courante consiste à confondre maturité documentaire et maturité opérationnelle. Un programme de gestion des vulnérabilités bien documenté mais dont les correctifs critiques sont appliqués en moyenne 47 jours après publication — c'est la moyenne EU mid-market selon le Ponemon Institute — est une fiction de résilience. La documentation atteste du processus, pas de son exécution réelle.
La bonne architecture : la conformité comme plancher, pas comme plafond
La troisième idée-maîtresse est stratégique, et elle définit ce qui sépare les organisations réellement résilientes des autres : traiter les exigences réglementaires comme un plancher minimal, non comme une ambition.
Cette inversion de perspective a des conséquences concrètes sur l'allocation des ressources. Dans une organisation risk-first, le budget GRC se répartit différemment : moins sur la préparation des preuves d'audit, davantage sur la threat intelligence opérationnelle, les exercices de simulation adversariale et la cartographie dynamique des actifs exposés.
Elle a également des conséquences sur la gouvernance. Les Directeurs GRC qui réussissent en 2026 ne présentent pas à leur conseil d'administration un taux de conformité exprimé en pourcentage de contrôles validés. Ils présentent un profil de risque résiduel par scénario d'attaque probable — avec une probabilité estimée, un impact financier borné et un plan de réponse testé.
C'est cette conversation — du risque réel, pas du score de conformité — qui permet au conseil de prendre des décisions d'investissement informées. Et c'est cette conversation que l'approche compliance-first rend structurellement impossible.
Évaluer votre maturité : au-delà de la checklist
La question n'est pas « sommes-nous conformes ? » mais « notre programme de conformité nous rend-il aveugles à quoi ? »
Trois questions opérationnelles pour commencer cet audit interne :
Fraîcheur de la cartographie des menaces : votre dernier threat assessment date-t-il de plus de six mois ? Si oui, votre carte du risque est périmée, quelle que soit votre certification.
Allocation du temps GRC : votre équipe sécurité consacre-t-elle plus de 40 % de son temps à des activités de documentation réglementaire ? C'est un signal de déséquilibre structurel.
Test des vecteurs tiers : avez-vous simulé un scénario d'attaque sur vos dépendances fournisseurs dans les douze derniers mois ?
Presidio propose sur sa page cas d'usage plusieurs études de cas documentant comment des équipes GRC mid-market ont reconfiguré leur programme pour passer d'une posture compliance-first à une posture risk-informed — sans sacrifier leurs obligations réglementaires.
Conclusion
L'approche compliance-first n'est pas une erreur de bonne foi : c'est une réponse rationnelle à une pression réglementaire légitime. Mais elle crée trois angles morts dangereux.
Premier insight : la conformité certifie le passé. Le risque se joue dans le présent — et votre programme doit être calibré sur la menace actuelle, pas sur le référentiel d'hier.
Deuxième insight : la pression documentaire déplace les ressources humaines de la détection vers la preuve. Ce déplacement a un coût réel, rarement quantifié dans les budgets GRC.
Troisième insight : les organisations les plus résilientes utilisent la conformité comme socle et investissent la marge de manœuvre restante sur la threat intelligence et la résilience opérationnelle.
En 2027, NIS2 entrera dans sa phase de sanctions effectives à grande échelle. Les entreprises qui auront traité ces deux années comme une fenêtre pour construire une maturité réelle — et non un dossier d'audit — seront celles qui traverseront les incidents inévitables avec le moins de dommages. Pour aller plus loin : compliance-first : quand la conformité devient un vecteur de risque.