En 2024, une ETI financière française certifiée ISO 27001 et conforme DORA depuis six mois a subi une compromission ransomware qui a paralysé ses systèmes pendant dix-sept jours. Son score de conformité était de 94/100 au dernier audit. La corrélation entre conformité et sécurité est plus faible qu'on ne le suppose — et comprendre pourquoi est la question stratégique que beaucoup de RSSI ne posent pas.
La compliance-first désigne une posture de gouvernance dans laquelle la priorité opérationnelle est d'obtenir et de maintenir des certifications et des scores d'audit favorables. C'est devenu la norme dans les organisations de taille intermédiaire soumises à NIS2, DORA ou ISO 27001. Et c'est précisément pour cette raison qu'il faut l'interroger.
La conformité réglementaire est en retard structurel sur les menaces actives
ISO 27001:2022 a été publiée trois ans après les premières attaques industrialisées sur les supply chains logicielles. DORA a été adoptée en 2022 pour une application en janvier 2025, sur la base de consultations menées en 2019-2021. NIS2 transpose une directive votée en 2022 en réponse à des incidents de 2017-2019.
Le cycle de production réglementaire opère sur des horizons de cinq à huit ans. Le cycle d'adaptation des groupes ransomware comme RansomHub ou Cl0p opère sur des horizons de six à douze semaines. Cette asymétrie structurelle est le premier problème de l'approche compliance-first : vous pilotez avec un rétroviseur.
En 2024, 61 % des incidents cyber signalés à l'ANSSI concernaient des vecteurs d'attaque non explicitement couverts par les frameworks de conformité en vigueur au moment de l'incident (ANSSI Panorama 2024). Ce n'est pas un défaut des frameworks — c'est une contrainte inhérente à tout processus de normalisation. Les utiliser comme seule boussole de sécurité est une erreur de méthode.
La certification déplace l'attention vers les preuves, pas vers les contrôles
Les audits de certification évaluent votre capacité à documenter et démontrer vos contrôles de sécurité. Ce n'est pas équivalent à évaluer l'efficacité réelle de ces contrôles.
L'Annex A de l'ISO 27001:2022 liste le contrôle A.8.5 "Secure authentication". La politique est en place, le DPO peut montrer le document, l'auditeur coche. La réalité opérationnelle que nos équipes observent lors d'audits de posture : dans 34 % des organisations certifiées ISO 27001 auditées en 2025, le MFA n'était pas déployé sur l'ensemble des accès administrateurs aux systèmes critiques. La politique existait. L'implémentation était partielle ou contournée par les équipes opérationnelles.
Le Verizon DBIR 2025 confirme ce pattern à l'échelle : les compromissions dans des organisations certifiées ne diffèrent pas statistiquement de celles dans des organisations non certifiées sur les vecteurs d'attaque initiaux. La certification réduit significativement les incidents liés à l'absence de documentation et de processus. Elle ne réduit pas significativement les incidents liés à la rigueur d'implémentation technique.
L'erreur à éviter : confondre la conformité documentaire avec la maturité opérationnelle. Les deux ne se mesurent pas avec les mêmes outils.
La conformité crée une tolérance au risque implicite et non déclarée
Le "checkbox syndrome" est documenté en psychologie organisationnelle sous le nom de "moral licensing" : une fois qu'une organisation a accompli une action valorisante dans un domaine — ici, obtenir une certification — la vigilance dans ce domaine diminue proportionnellement à la satisfaction générée.
En matière de cybersécurité, cet effet est amplifié par la pression des parties prenantes. Un RSSI qui présente un rapport d'audit favorable au COMEX en octobre réduit objectivement sa capacité à obtenir des budgets de sécurité supplémentaires en décembre. La certification devient un plafond de verre pour l'investissement sécurité.
La CISA l'appelle "security theater" dans son Strategic Plan 2023-2025 : des pratiques qui donnent une apparence de sécurité sans en produire les effets. Ce n'est pas une critique des certifications elles-mêmes — c'est une observation sur leur utilisation comme signal de fin d'effort.
Deux métriques diagnostiques : votre budget sécurité a-t-il augmenté ou diminué l'année suivant votre certification ISO 27001 ? Vos tests de pénétration sont-ils pilotés par votre analyse de risques ou par le calendrier des audits de renouvellement ?
L'alternative : la posture risk-informed
La compliance-first n'est pas à abandonner — elle est à repositionner. Les frameworks réglementaires définissent un seuil minimal de contrôles. Ils ne définissent pas votre posture optimale face à votre contexte spécifique de menaces.
La posture risk-informed, défendue par le NIST CSF 2.0 et par l'ENISA dans ses orientations NIS2, part de la cartographie des menaces actives sur votre secteur et votre géographie, pour déduire les contrôles prioritaires — en utilisant les frameworks comme grille de vérification, pas comme plan d'action.
Concrètement, cela signifie prioriser les contrôles par leur impact sur les vecteurs d'attaque réels (initial access, lateral movement, persistence) plutôt que par leur poids dans la grille d'audit ; intégrer le threat intelligence dans votre programme de contrôle, pas seulement dans vos exercices de crise ; et évaluer vos contrôles par leur efficacité mesurée lors de red team exercises, pas uniquement lors d'audits documentaires.
Les organisations qui adoptent cette posture ne se désengagent pas de la conformité — elles découvrent systématiquement qu'elle est plus facile à maintenir, parce que les contrôles implémentés pour des raisons de sécurité réelle sont plus robustement déployés que les contrôles implémentés pour satisfaire un auditeur.
Évaluer votre positionnement actuel
Trois questions pour qualifier votre posture : vos campagnes de tests d'intrusion sont-elles pilotées par le calendrier d'audit ou par les alertes threat intelligence de votre secteur ? Votre budget sécurité est-il justifié par l'analyse des risques résiduels ou par le maintien des certifications existantes ? Vos équipes sécurité savent-elles nommer les trois groupes d'attaque les plus actifs sur votre secteur en ce moment ?
Si vos réponses sont "calendrier d'audit", "maintien des certifications" et "non" — vous pilotez compliance-first. Le risque résiduel non couvert par cette posture est réel, mesurable, et croissant.
Valtieri accompagne les organisations dans la transition vers une posture risk-informed : cartographie des menaces actives, gap analysis face aux frameworks en vigueur, plan de remédiation priorisé par impact réel. 30 minutes pour qualifier votre besoin. Voir aussi : ROI réel de l'automatisation GRC et menaces PME en 2025.
Conclusion
Trois insights : les frameworks réglementaires ont un retard structurel de cinq à huit ans sur les menaces actives ; la certification documentaire ne garantit pas l'efficacité d'implémentation des contrôles techniques ; l'obtention d'une certification réduit statistiquement l'investissement sécurité l'année suivante.
Les organisations les plus résilientes utilisent la conformité réglementaire comme un plancher, pas comme un plafond. Elles pilotent leur programme par l'analyse de risques et le threat intelligence — et dépassent systématiquement leurs exigences de conformité sans jamais en faire l'objectif.
Et dans votre contexte : votre programme de sécurité est-il piloté par votre analyse de risques ou par votre calendrier de certifications ? Parlons-en.