Décider dans l'incertitude, la compétence à développer

La résilience organisationnelle n’est pas ou plus une question de contrôle. C’est une question de lucidité sur ce qu’on ne maîtrise plus.

En 2021, la compromission d’un fournisseur logiciel américain — SolarWinds — a paralysé des centaines d’organisations à travers le monde, dont des agences gouvernementales. Aucune d’entre elles n’avait failli dans sa propre cybersécurité. Elles avaient simplement oublié de cartographier leurs dépendances.

Ce type d’événement n’est plus l’exception. Il est devenu la norme silencieuse d’un environnement où la maîtrise absolue est une fiction.

Les dirigeants d’aujourd’hui partagent le même ressenti : une exposition permanente aux risques de crise. Ransomwares en hausse, explosion des deepfakes, compromission des modèles IA, pression médiatique, obligations réglementaires (RGPD, NIS2), systèmes interdépendants où une défaillance locale déclenche des effets en cascade.

Résultat : une impression d’instabilité permanente, d’avancer sur des sables mouvants. Comment prendre la bonne décision dans ce contexte ? C’est la question à laquelle cet article tente de répondre. Au menu :

Le contexte a changé — et les formations des dirigeants n’ont pas suivi
La spécificité des crises cyber-IA
L’erreur stratégique la plus fréquente
Ce que ça change pour les dirigeants
Les 4 chantiers à envisager pour les dirigeants (PDF à télécharger)

Le contexte a changé

Ce que les programmes exécutifs n’ont pas anticipé

Les programmes de leadership traditionnels excellent à enseigner l’analyse stratégique, la gestion du changement, la négociation. Ils préparent à piloter des transformations organisationnelles, à arbitrer entre options documentées, à allouer des ressources sur la base de business cases structurés. Même le concept VUCA — volatilité, incertitude, complexité, ambiguïté — largement adopté depuis deux décennies, reste un cadre théorique qui nomme le problème sans toujours équiper pour y faire face.

Certaines institutions ont commencé à corriger le tir. Le programme Leadership Decision Making de la Harvard Kennedy School intègre explicitement la gestion de l’incertitude et des biais cognitifs.

Les approches de complex adaptive leadership reconnaissent qu’il faut d’autres cadres mentaux que ceux hérités des organisations hiérarchiques stables. Mais ces évolutions restent minoritaires. La majorité des dirigeants arrive aux commandes avec une boîte à outils conçue pour un environnement où l’information finit par se stabiliser, où les faits finissent par émerger, où attendre un peu permet de mieux décider.

Dans l’univers cyber-IA, ce réflexe devient dangereux.

Trois dépendances que les dirigeants sous-estiment

La dépendance technologique

Elle est souvent perçue comme la mieux identifiée. C’est une illusion. Les dirigeants savent qu’ils utilisent Azure, AWS ou des modèles d’IA tiers, mais rares sont ceux qui ont réellement cartographié ce que cela expose.

Une infrastructure hébergée dans le cloud d’un acteur étranger, un écosystème logiciel dont la chaîne d’approvisionnement n’a jamais été auditée : ce sont des risques concrets, documentés, et pourtant systématiquement sous-traités au niveau exécutant… parce que les regarder en face oblige à des arbitrages inconfortables au niveau stratégique.

La question n’est pas « comment tout contrôler ? » mais « que se passe-t-il si cette dépendance disparaît demain matin ?

La dépendance informationnelle

Elle est plus insidieuse. L’information n’a jamais été aussi abondante, ni aussi incertaine. Les dirigeants doivent aujourd’hui décider dans un environnement où coexistent des faits vérifiés, des données incomplètes, de la désinformation active et des contenus générés ou amplifiés par des systèmes d’intelligence artificielle.

La vitesse de circulation réduit le temps de vérification. Or, une décision rapide prise sur une information fausse coûte presque toujours plus cher qu’une décision plus lente prise sur une information solide.

La dépendance humaine

La plus sous-estimée. Le départ d’un expert clé, la défaillance d’un partenaire stratégique, la perte d’une compétence critique dans une équipe : ces événements produisent parfois plus d’impact qu’une panne technique majeure. La résilience ne se construit pas uniquement dans les systèmes. Elle se construit dans les relations, les compétences et la capacité collective à improviser quand les plans échouent.

La spécificité des crises cyber-IA : une incertitude structurelle et chronique

Ce qui caractérise les crises cyber-IA n’est pas tant leur gravité que leur nature fondamentalement instable. Si l’IA apporte un réel avantage concurrentiel, elle est aussi le vecteur d’un danger : la manipulation de la réalité – deepfake, empoisonnement des données d’un modèle IA ou Adversarial Machine Learning.

Une autre spécificité qu’apporte l’IA aux crises, c’est la compression du temps. Avant, une crise se déployait en heures, parfois en jours. Le temps de détecter, d’évaluer, de décider, de communiquer existait — imparfait, mais réel. L’IA supprime cette marge. Une campagne de désinformation peut être générée, personnalisée et diffusée à grande échelle en quelques minutes. Un deepfake convaincant se fabrique en temps réel. Les systèmes automatisés d’attaque n’attendent pas les réunions de direction. Le cycle décisionnel humain — déjà mis sous pression — se retrouve structurellement en retard sur le cycle d’agression. Ce n’est pas une question de lenteur managériale : c’est une asymétrie de tempo que l’IA a rendue permanente.

>>> lire notre article sur la nouvelle dynamique des crises.

La manipulation, un vieux stratagème, désormais puissance mille.

Le manipulateur est aujourd’hui anonyme, caché derrière un écran on-ne-sait-où. Il nous connaît bien. Nous publions tant d’informations sur nous en mode public, entreprise comme individu. Devant ce déséquilibre des forces, le risque est grand de devenir une marionnette entre ses mains.

Trois dimensions basculent simultanément :

L’attribution devient incertaine.

Qui attaque ? Un groupe criminel ? Un acteur étatique déguisé en hackeurs opportunistes ? Un imitateur qui exploite une faille révélée ailleurs ? Les techniques d’obfuscation progressent plus vite que les capacités d’investigation. Europol et le FBI (IC3 Report) documentent cette réalité : l’explosion du vishing et des fraudes au faux dirigeant montre que même l’origine d’un ordre peut être mise en doute.

La chronologie devient floue.

L’attaque est-elle terminée ou seulement suspendue ? Les backdoors ont-elles été toutes identifiées ? L’adversaire est-il encore présent dans les systèmes, en observation, avant une nouvelle phase ? Dans certains cas, des mois séparent l’intrusion de sa détection. Le temps réel devient une fiction.

Les preuves deviennent instables.

Voix, vidéos, emails peuvent être synthétiques. Un appel du PDG peut être un deepfake. Un document signé peut être généré par IA. Cette fragilisation de la preuve ne relève plus de la science-fiction : elle est documentée comme risque systémique majeur par le Forum économique mondial dans son Global Risks Report.

Et parfois s’ajoute la dimension politique : les hackers sont protégés par une puissance étrangère, dans le but de déstabiliser une industrie ou un pays.

Exemple de LockBit, un duo d’hackers (l’un russe, l’autre israélien), franchisait sa « martingale » de hacking à d’autres petits joueurs – formant un gang très actif de hackers, à qui les fondateurs avaient promis de ne jamais être pris – jusqu’au jour où ils ont été infiltrés et démasqués, mais sans pouvoir être arrêtés.
Voir documentaire sur cette traque.

L’erreur stratégique : attendre la stabilisation

Mais la stabilisation de quoi ?

Les tensions géopolitiques s’accroissent, accentuant chaque jour les risques d’inflation et rendant la souveraineté technologique de plus en plus critique pour nos économies européennes. Pari à long terme.

L’IA n’a pas encore atteint sa phase de maturité. Ses effets sur le monde socio-économique sont encore difficilement mesurables et prédictibles. Les modèles évoluent en permanence, leurs comportements ne sont pas toujours prévisibles, leurs biais pas toujours identifiés, leurs failles pas toujours connues de ceux qui les déploient. Les organisations intègrent des outils dont elles ne maîtrisent pas encore pleinement les limites, sous pression concurrentielle, souvent sans cadre de gouvernance établi. Là encore, c’est du long terme pour avoir un tableau sûr et précis.

Le cadre réglementaire — NIS2, AI Act, DORA — évolue au fil de l’évolution technologique avec de nouvelles obligations et des interprétations divergentes entre États membres. Les organisations légifèrent sur des usages qu’elles n’ont pas encore stabilisés.

Le paysage des menaces lui-même mue à la vitesse grand V — les tactiques d’attaque évoluent plus vite que les défenses. Ce qui était une bonne pratique il y a 18 mois peut être obsolète aujourd’hui.

Les équilibres internes des organisations — adoption de l’IA à deux vitesses selon les équipes, résistances, compétences inégales : le corps social de l’entreprise n’absorbe pas les transformations au même rythme que les outils déployés.

La confiance des parties prenantes, enfin, se fragilise sous la pression de tous ces facteurs — clients, partenaires, investisseurs réévaluent en permanence leur exposition. Une réputation solide hier ne protège plus automatiquement aujourd’hui.

Dans cet environnement complexe qui se stabilisera sur du long terme, attendre des conditions favorables pour décider, c’est tout simplement suicidaire.

Car, à attendre, au moins trois mécanismes s’enclenchent.

La paralysie décisionnelle s’installe.

Les comités se multiplient, les analyses se succèdent, mais aucune orientation claire n’émerge. L’organisation attend un signal de la direction. La direction attend des certitudes des experts. Les experts attendent des données stabilisées. Personne ne bouge.

Le silence organisationnel se répand

Faute de consigne, chacun interprète à sa manière, souvent de façon anxiogène, avec leurs propres hypothèses. La rumeur interne devient plus structurante que la communication officielle absente.

Les décisions tardives finissent par tomber dans des conditions dégradées

L’impact s’aggrave, la confiance interne et externe s’érode, les options diminuent. Le coût de l’inaction dépasse celui de l’action imparfaite.

Le paradoxe est brutal : ce n’est pas l’incertitude qui provoque la crise, c’est l’incapacité à agir dans l’incertitude.

Herbert Simon l’avait formalisé dès les années 1950 : la rationalité humaine est toujours limitée. Nous ne décidons jamais avec une information complète. Mais en crise cyber-IA, cette limite devient encore plus visible et brutale. Attendre des faits stabilisés n’est plus une prudence, c’est une démission.

Redéfinir la résilience

On associe volontiers la résilience à la capacité de résister aux chocs. Cette définition est incomplète et parfois dangereuse, parce qu’elle oriente l’attention vers la prévention plutôt que vers la capacité d’action.

Une organisation résiliente conserve sa capacité à décider, agir et communiquer même lorsque les conditions sont dégradées, même lorsque les informations sont incomplètes., même lorsque les technologies sont indisponibles, même lorsque les dépendances deviennent soudainement visibles parce qu’elles ont cessé de fonctionner.

La résilience est, avant tout, une capacité décisionnelle. Et cette capacité ne s’improvise pas au moment de la crise.

Ce que cela change pour les dirigeants

La vraie question est celle du « comment » – comment intégrer ces outils et ces acteurs de façon lucide, en interne comme dans les relations avec clients et fournisseurs, sans transférer involontairement le pouvoir de décision à des systèmes ou des tiers qu’on ne comprend pas.

Avant même de parler de méthode, quatre questions permettent de situer où en est votre organisation.

Avez-vous cartographié vos dépendances critiques — technologiques, informationnelles, humaines ?
Savez-vous lesquelles sont substituables, et dans quel délai ?
Votre organisation est-elle capable de décider et de communiquer si l’une d’elles disparaît ou est corrompue ?
Quels signaux, dans votre organisation, vous permettraient de détecter qu’une dépendance critique est en train de se retourner contre vous — avant que les dégâts ne soient visibles ?

Ces questions ne relèvent pas de la gestion de crise mais de la gouvernance ordinaire, et elles méritent d’être posées avant que la crise ne les impose.

À mesure que les interdépendances se multiplient, la maîtrise absolue devient structurellement impossible. La capacité à décider malgré l’incertitude devient alors un avantage stratégique. Peut-être le plus difficile à construire, et le seul qui ne peut pas être sous-traité.

Prêt à la transformation ?

Quatre chantiers vous attendent pour résister solidement à une crise cyber-IA.

Communication de crise, surface d’attaque informationnelle, failles organisationnelles, posture et leadership du dirigeant.

À découvrir dans ce guide pratique.

Téléchargez le PDF

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Décider dans un monde interdépendant où le contrôle est une illusion