La cybersécurité n'est plus une assurance : c'est un coût de production dans une Internet armée
Cloudflare vient de quantifier une réalité quotidienne perçue par de nombreuses équipes techniques, mais encore traitée comme une contingence dans les salles de conseil : les attaques ont pris une tournure industrielle. Ce n'est pas seulement une question de fréquence, mais également de la transformation économique de la criminalité numérique. Selon son Rapport sur les Menaces 2026, l'entreprise bloque 230 milliards de cybermenaces par jour, observe un "plancher" de 31,4 Tbps d'attaques DDoS, et enregistre que 94 % des tentatives de connexion proviennent de bots. En parallèle, 63 % des connexions des trois derniers mois impliquaient des identifiants compromis ailleurs.
Cette combinaison explique pourquoi la discussion correcte n’est plus : "comment prévenir la prochaine grande attaque", mais "comment concevoir une opération numérique qui fonctionne sous un siège permanent". L'Internet, en termes pratiques, est en train de "s'armer" : son échelle, son automatisation et sa rapidité sont utilisées comme une arme. Et lorsque le coût marginal d’une tentative d’attaque tend vers zéro, le défenseur cesse de rivaliser avec le talent individuel et commence à rivaliser avec l'ingénierie des processus.
L'industrialisation de l'attaque change l'économie du risque
Dans le monde corporatif, une menace gérable est souvent épisodique : elle apparaît, est gérée, puis disparait. Ce que montre Cloudflare est tout autre : un système de production. 230 milliards de menaces bloquées par jour ne décrivent pas une vague ; elles décrivent une chaîne de montage où le volume fait le travail.
Ce saut d'échelle se traduit par les attaques DDoS. Un "baseline" de 31,4 Tbps normalise un type d'agression qui était auparavant considéré comme extrême. La conséquence pour le business est directe : le temps d'arrêt et la dégradation du service ne sont plus une rareté mais deviennent une variable opérationnelle à modéliser comme la demande ou la fraude.
L'accès s'industrialise également. Si 94 % des tentatives de connexion sont des bots, alors la connexion cesse d’être un geste de confiance pour devenir une zone de friction inévitable. Et si 63 % des connexions reposent sur des identifiants déjà filtrés, l'identité du client devient un donnée "réutilisée" par des tiers à grande échelle. La lecture pertinente pour un directeur financier n'est pas technique ; elle est comptable : les coûts associés à la fraude, au support, aux rétrofacturations, à la réputation et à la conformité tendent à croître si l'entreprise insiste à traiter l'authentification comme un écran plutôt que comme un système.
Le détail le plus révélateur du rapport est le temps. Cloudflare documente un cas dans lequel une vulnérabilité a été exploitée 22 minutes après la publication de sa preuve de concept. Ce chiffre détruit un hypothèse commune dans les organisations de taille moyenne : l'idée que "nous avons une marge" pour être informés, prioriser et ensuite seulement corriger. Avec des fenêtres de quelques minutes, l'avantage n'est plus l'intention, mais l'automatisation défensive et la préparation antérieure.
L'IA ne se contente pas d'accélérer : elle rend la criminalité numérique moins chère
Le rapport affirme que des acteurs malveillants utilisent l'IA générative pour des tâches telles que la cartographie de réseaux, le développement d'exploits et des deepfakes, permettant ainsi des opérations à haute vitesse avec moins de compétences requises. L’implication pour le marché est inconfortable : en abaissant la barrière à l'entrée, le nombre d'attaquants potentiels augmente et les "tentatives" se multiplient, même si le taux de succès individuel reste bas.
Cloudflare a également déclaré avoir enregistré "le premier attaque basée sur l'IA" observée par la société, où un acteur a utilisé l'IA pour localiser des données de grande valeur et a compromis des centaines de "tenants" d'entreprises, qualifiant cela d'attaque de chaîne d'approvisionnement de grande impact. Au-delà du cas particulier, le schéma est ce qui compte pour la stratégie : l'IA fonctionne comme un compresseur de coûts. Elle réduit le coût de l'exploration, réduit le coût de la personnalisation et réduit le coût de l'itération.
Dans les affaires numériques, presque toute amélioration de conversion provient de la réduction de la friction. L'IA appliquée à la criminalité fait la même chose, mais de l'autre côté : elle réduit la friction pour essayer et répéter. Cette asymétrie oblige les entreprises à abandonner les défenses artisanales et à opter pour des défenses par défaut.
Cela met en lumière une erreur typique de gestion : traiter la sécurité comme "technologie à acheter" plutôt que comme "comportement à redéfinir". Avec des bots dominant l'accès, tout KPI de croissance basé sur les enregistrements, connexions ou trafic se retrouve pollué. Si l'entreprise monétise de la publicité, ses métriques d’audience se dégradent ; si elle monétise des abonnements, son pipeline se remplit de bruit ; si elle monétise des transactions, le coût de vérification et le coût de la fraude augmentent. L'IA ne crée pas seulement un nouvel attaquant ; elle crée un nouvel environnement où les indicateurs traditionnels cessent d'être fiables s'ils ne sont pas instrumentés contre une automatisation malveillante.
Quand la connexion est le produit : le consommateur cherche continuité et contrôle
Mon obsession professionnelle est de comprendre quel "avantage" achète l'utilisateur lorsqu'il paie pour un service. Dans ce contexte, l'avantage est clair : le client n'achète pas "sécurité" comme un attribut abstrait, il cherche continuité, contrôle et absence de friction.
Les données de Cloudflare sur les identifiants compromis et les bots transforment l'identité en un champ de bataille quotidien. La conséquence pour l'expérience client est paradoxale : pour défendre, il faut ajouter de la friction, mais cette friction sanctionne le véritable utilisateur. C'est le dilemme qui sépare les entreprises qui prennent de l'ampleur de celles qui deviennent coûteuses et lentes.
Les meilleures réponses d'entreprises ne se fondent pas sur "ajouter plus d'étapes" d'authentification aveuglément, mais se basent sur la conception de défenses qui soient agressives envers les bots et douces envers les humains. Si l'entreprise ne parvient pas à faire cette distinction, le consommateur commence à voir le service comme instable ou hostile. Et quand la confiance s’érode, le client ne vérifie pas l'architecture : il migre.
Cette industrialisation change également la carte concurrentielle. Les secteurs identifiés par Cloudflare comme particulièrement ciblés par les DDoS — jeu vidéo et paris, IT et Internet, cryptomonnaies, logiciels, marketing et publicité — fonctionnent souvent avec des pics de trafic, une exposition élevée et une sensibilité à la latence. Si l'attaque devient "normale", la résilience se transforme en un avantage commercial. Ce n’est pas du marketing ; c'est une question de survie. À la frontière, la disponibilité fait partie de la proposition de valeur.
Pour les startups et les PME numériques, le risque est double. Premièrement, car elles ne peuvent pas absorber la complexité d'un programme de sécurité traditionnel. Deuxièmement, car en grandissant, elles attirent l'automatisation malveillante avant même de bâtir une force interne. Cela laisse de la place aux gagnants qui conditionnent la défense comme un service, avec mise en œuvre simple et coût variable. Ce n'est pas une tendance, mais le marché force un changement d'architecture financière : passer de coûts fixes de spécialistes à des coûts variables de plateformes et d'automatisation.
Le tableau géopolitique s'invite dans l'infrastructure : la sécurité comme condition d'opération
Le rapport évoque également l'activité d'acteurs d'État chinois, notamment des groupes comme Salt Typhoon et Linen Typhoon, prioritaires dans les télécommunications nord-américaines, et dans les secteurs commercial, gouvernemental et des services IT, avec une présence "ancrée" pour un avantage géopolitique à long terme. La bonne façon d'interpréter cela en termes de business est que la menace n'est plus seulement criminelle et transactionnelle ; elle peut également être stratégique et persistante.
Lorsque le "pré-positionnement" survient dans l'infrastructure critique, le coût d'une interruption n'est pas seulement du temps d'arrêt. C'est de l'incertitude opérationnelle. Pour les industries régulées ou ayant une infrastructure essentielle, cela contraint à élever le standard minimum de résilience et de surveillance.
Cloudflare décrit une transition d'exploitations discrètes vers des tentatives de scénario de blackout, avec les DDoS comme éventuel précurseur d'opérations plus nuisibles. En termes de gouvernance d'entreprise, cela pousse à déplacer la cybersécurité d'un rapport IT vers une capacité transverse : continuité des affaires, gestion des fournisseurs et préparation à la réponse.
La dure leçon est que le maillon faible est souvent un tiers. Le cas cité par Cloudflare concernant une attaque de chaîne d'approvisionnement touchant plusieurs "tenants" met en évidence le risque systémique : un fournisseur compromis devient un multiplicateur de dommage. Au niveau contractuel, cela pousse à réexaminer les exigences minimales, le suivi partagé et les plans de contingence. Au niveau produit, cela pousse à réduire la dépendance à des intégrations fragiles et à concevoir une segmentation pour que l'échec ne se propage pas.
Ce que le C-level doit assumer : défense continue, pas "projet de sécurité"
Le schéma qui émerge du rapport est opérationnel : attaques automatisées, tentatives massives, fenêtres d'exploitation comprimées et trafic pollué par des bots. Dans ce contexte, traiter la cybersécurité comme un projet avec un début et une fin produit le même résultat que traiter la comptabilité comme un projet.
Pour un PDG, la décision pertinente est de prioriser quelle partie de l'entreprise devient "infrastructure de confiance". Si l'entreprise dépend de comptes, la connexion et la session sont des actifs. Si elle vit de transactions, la vérification est un actif. Si elle dépend de la disponibilité, la mitigation DDoS est un actif. L'investissement ne se justifie pas par peur ; il se justifie par la protection des revenus, la réduction de la fraude, la diminution de la charge opérationnelle de support et la préservation de la marque.
Pour un directeur financier, la langue utile n'est pas "plus d'outils", mais les coûts évités et les coûts convertis : automatiser la détection et la mitigation pour réduire les heures humaines ; standardiser les contrôles pour réduire l'incidence récurrente; et, surtout, faire de la sécurité un composant du coût de service à un client numérique.
Le rapport de Cloudflare ne décrit pas un avenir hypothétique. Il décrit le présent d'une Internet où l'attaque a déjà des processus, une échelle et une automatisation. L'entreprise qui survivra sera celle qui transformera cette réalité en design.
Le succès des prochains gagnants dépendra d'une vérité simple sur le comportement du consommateur : l'utilisateur cherche à contracter continuité et contrôle de son identité numérique, et sanctionnera tout service qui lui transfère le coût invisible d'un Internet armé.
