Forum InCyber FIC : ce que les DSI ramènent vraiment de Lille
En bref, ce que les DSI et RSSI retiennent d’InCyber Lille 2026 :
- La cybersécurité de confiance devient un sujet central de gouvernance au COMEX, au même titre que la performance financière et de plus en plus liée aux indicateurs de confiance numérique.
- La menace quantique met fin à l’illusion du « harvest now, decrypt later » gérable plus tard : la dette cryptographique devient une dette stratégique pour toute entreprise numérique.
- La maîtrise des dépendances numériques (cloud, fournisseurs, chaînes logicielles) conditionne désormais la résilience opérationnelle et la gestion de crise cyber.
- Les communautés professionnelles, du Campus Cyber à LinkedIn, structurent une nouvelle intelligence collective de la filière numérique et de l’écosystème cyber en France.
Au delà des keynotes, le Forum InCyber FIC à Lille a surtout servi de stress test grandeur nature pour les stratégies de cybersécurité des entreprises françaises. Dans les allées du salon forum, entre un stand d’éditeur de cybersecurite et un espace de démonstration OSINT, les DSI et RSSI croisés résumaient la tonalité générale en une phrase simple mais lourde de sens : la cybersécurité n’est plus un sujet d’experts, c’est un sujet de gouvernance. Ce retour d’expérience façon InCyber Lille s’est cristallisé autour de trois lignes de force qui impactent directement vos arbitrages budgétaires et vos feuilles de route numériques.
La première ligne de force concerne la fin de l’illusion du « harvest now, decrypt later » gérable plus tard, avec la montée en puissance du quantique qui bouscule la cryptographie classique. Sur plusieurs stands d’éditeurs européens, de Thales à Atos en passant par des acteurs plus spécialisés, les démonstrations de cryptographie post quantique n’étaient plus présentées comme une innovation de laboratoire mais comme des services prêts à être intégrés dans les architectures des entreprises ; ce glissement du discours marketing vers des roadmaps datées a marqué les RSSI aguerris. Pour un DSI, ce retour d’InCyber Europe impose donc de reclasser la dette cryptographique au rang de dette stratégique, au même niveau que les grands chantiers de modernisation du système d’information et de transformation numérique.
Deuxième ligne de force, la cybersécurité comme sujet de gouvernance au COMEX s’est imposée dans presque toutes les tables rondes, notamment celles animées par des cabinets comme Wavestone ou des analystes de Gartner et Forrester. Quand Arnaud Martin, directeur de la sécurité des systèmes d’information du groupe Caisse des Dépôts, rappelle lors de la session « Gouvernance cyber et résilience numérique » que « avec DORA et NIS2, la cybersécurité devient un sujet de gouvernance », il ne parle pas de conformité abstraite mais de responsabilité personnelle des dirigeants et de risques cyber directement corrélés aux valorisations boursières ; ce déplacement du centre de gravité oblige les DSI à articuler différemment leurs messages, en parlant numéraire, continuité d’activité et confiance numérique plutôt que pare feu et vulnérabilités. Troisième ligne de force enfin, la cartographie des dépendances numériques est passée du statut de bonne pratique à celui de prérequis pour toute stratégie de résilience crédible, ce que les retours de terrain des RSSI de grands groupes comme EDF, Airbus ou BNP Paribas ont confirmé sans détour, avec des ordres de grandeur concrets (par exemple des plans de remédiation étalés sur 18 à 24 mois et des exercices de gestion de crise menés au moins une fois par an).
Fin du « harvest now, decrypt later » : ce que change vraiment le quantique
Sur le Forum InCyber à Lille, la menace quantique n’était plus un sujet théorique réservé aux cryptographes académiques. Les démonstrations de calcul quantique appliqué à la cryptanalyse, même encore limitées, ont suffi à convaincre les DSI présents que la stratégie « on chiffrera mieux demain » ne tient plus face à des acteurs capables de stocker aujourd’hui des flux chiffrés pour les déchiffrer plus tard ; ce basculement est au cœur du thème « maîtriser nos dépendances numériques », car vos dépendances cryptographiques sont désormais des dépendances business. Dans ce contexte, l’édition 2026 met en lumière une exigence claire pour les entreprises françaises et européennes : planifier dès maintenant la migration vers des algorithmes post quantiques validés par des organismes de référence, plutôt que d’attendre un hypothétique standard unique.
Les annonces des éditeurs et intégrateurs au salon forum ont donné quelques signaux utiles pour vos achats IT, même si le tri s’impose entre marketing et substance. Certains acteurs de la cybersecurite en France, comme les équipes de Thales, d’Orange Cyberdefense ou de Capgemini, ont présenté des offres de services structurées autour de la cryptographie post quantique, intégrant inventaire des usages, priorisation des flux critiques et accompagnement à la mise en œuvre ; d’autres se sont contentés d’apposer le mot quantique sur des solutions existantes, sans réelle prise en compte des contraintes de performance ou de compatibilité applicative. Pour un DSI, la grille de lecture issue de Lille Palais est simple : privilégier les partenaires capables de fournir un plan de migration chiffré, avec des KPI de performance et de sécurité mesurables, plutôt que des promesses générales d’innovation.
La dimension réglementaire renforce encore cette urgence, avec la Loi Résilience qui transpose NIS2 et les exigences de DORA pour les services financiers. Sur plusieurs conférences animées par des RSSI de banques et d’assureurs, la cryptographie a été abordée non comme un sujet purement technique mais comme un pilier de la confiance numérique, au même titre que la protection des données personnelles ou la gestion de crise ; cette approche rejoint les travaux menés dans le cadre du programme Cyber CNI Research Update piloté par EDF Labs avec Airbus et Astek, où la résilience des infrastructures critiques repose sur une combinaison de cryptographie robuste, de supervision avancée et de scénarios de bascule maîtrisés. Pour les DSI d’ETI et de grands groupes, le message est limpide : la dette cryptographique doit être traitée comme une dette de résilience, avec un plan pluriannuel, un budget identifié et une gouvernance partagée entre IT, sécurité et métiers, à l’image des premiers pilotes de migration post quantique présentés sur le forum InCyber Europe (horizons de 12 à 18 mois pour sécuriser les flux les plus sensibles, avec des périmètres clairement définis et des résultats documentés).
Dépendances numériques : de la cartographie théorique au pilotage opérationnel
Le thème central du Forum InCyber FIC à Lille, « maîtriser nos dépendances numériques », a trouvé une résonance très concrète dans les échanges de couloir entre DSI, RSSI et responsables métiers. Derrière l’expression dépendances numériques se cachent des réalités très opérationnelles : dépendance à quelques fournisseurs de cloud, à des chaînes d’approvisionnement logicielles opaques, à des intégrateurs uniques ou à des compétences rares concentrées sur un petit nombre de personnes ; ce sont ces dépendances qui transforment un incident technique en crise systémique, comme plusieurs retours d’expérience l’ont illustré, notamment dans les secteurs de l’énergie, de la santé et de la finance. Le bilan d’InCyber Lille met ainsi en avant une conviction partagée par les praticiens les plus expérimentés : sans cartographie fine des dépendances, la résilience reste un slogan.
Concrètement, les méthodes présentées à Lille Palais des Congrès convergent vers une approche en trois temps, que les DSI peuvent adapter à leur contexte. Premier temps, établir un inventaire des actifs numériques et des flux critiques, en s’appuyant sur des outils de CMDB enrichis, des solutions de découverte automatique et des capacités d’OSINT interne pour identifier les usages non référencés ; deuxième temps, cartographier les dépendances numériques en couches, depuis les infrastructures physiques jusqu’aux services métiers, en intégrant les fournisseurs externes, les API, les solutions SaaS et les prestataires de services managés. Troisième temps enfin, qualifier les risques cyber associés à chaque dépendance, en combinant des critères de probabilité, d’impact business, de contraintes réglementaires et de confiance numérique, afin de prioriser les plans de remédiation et les scénarios de continuité.
Les retours de RSSI de grands groupes français présents au Campus Cyber et à InCyber Europe ont souligné un point souvent absent des slides de consultants. La cartographie des dépendances numériques n’a de valeur que si elle est reliée à des décisions d’architecture, à des clauses contractuelles et à des exercices réguliers de gestion de crise, impliquant les métiers et les fournisseurs critiques ; plusieurs DSI ont ainsi expliqué comment ils avaient intégré ces cartes dans leurs comités de pilotage, pour arbitrer entre redondance multi cloud, diversification des intégrateurs et renforcement des capacités internes. Dans cette perspective, la vraie métrique n’est pas le nombre de diagrammes produits mais la vitesse à laquelle une entreprise peut isoler une dépendance compromise, basculer sur une alternative et maintenir la qualité de service pour ses clients finaux, avec des objectifs concrets de temps de bascule mesurés lors d’exercices de crise (par exemple moins de deux heures pour un service numérique prioritaire).
Ce que les couloirs de Lille disent de la gouvernance cyber
Loin des grandes scènes, les conversations dans les couloirs d’InCyber Lille ont livré une image plus nuancée de la maturité réelle des entreprises françaises en matière de cybersécurité. Plusieurs RSSI de groupes industriels et de services ont confié que, malgré des budgets en hausse et des feuilles de route ambitieuses, la cybersécurité de confiance reste fragile tant que les arbitrages COMEX continuent de privilégier les projets visibles de transformation numérique au détriment des chantiers de fond ; ce décalage entre discours officiel et réalité opérationnelle est apparu dans de nombreux échanges informels, notamment autour des enjeux de gestion de crise et de protection des données. Le forum met ainsi en lumière une tension structurante pour les DSI : comment concilier l’accélération de l’innovation numérique avec l’exigence de confiance numérique, sans sacrifier ni la performance ni la résilience.
Un autre enseignement fort des discussions à Lille concerne la place croissante des communautés professionnelles et des réseaux comme LinkedIn dans le partage d’expériences concrètes. Plusieurs responsables sécurité ont expliqué comment ils utilisaient ces espaces pour tester des idées, benchmarker des solutions ou identifier des talents, en complément des dispositifs plus institutionnels comme le Campus Cyber ou les groupes de travail sectoriels ; cette dynamique d’engagement de communauté, très visible sur le salon forum, contribue à faire émerger des pratiques plus pragmatiques, loin des discours trop lisses de certaines ESN. Pour les DSI, l’événement suggère de structurer davantage cette participation, en encourageant leurs équipes à contribuer à ces échanges tout en cadrant les règles de confidentialité, de représentation de l’entreprise et de protection des données sensibles.
Enfin, les couloirs de Lille Palais ont rappelé une vérité simple que les slides oublient souvent. La cybersécurité n’est pas seulement une affaire de technologies, d’intelligence artificielle appliquée à la détection de menaces ou de solutions d’OSINT sophistiquées, mais d’alignement entre valeurs numériques de l’entreprise, attentes des clients finaux et responsabilités des dirigeants ; plusieurs DSI ont insisté sur la nécessité de relier explicitement les investissements de sécurité aux promesses faites aux clients, qu’il s’agisse de disponibilité des services, de protection des données ou de transparence en cas d’incident. Dans cette optique, le Forum InCyber FIC invite les directions des systèmes d’information à assumer un rôle plus politique au sein du COMEX, en portant une vision de la confiance numérique qui dépasse la seule conformité et s’ancre dans la stratégie globale de l’entreprise, en cohérence avec les attentes de la filière numérique en France et en Europe.
Questions fréquentes sur le Forum InCyber FIC et la résilience cyber
Comment un DSI peut il prioriser les chantiers issus du Forum InCyber FIC ?
La première étape consiste à relier chaque enseignement du Forum InCyber FIC à un risque ou à une opportunité business clairement identifiés. Ensuite, il est utile de classer les chantiers en trois catégories : dette cryptographique à résorber, dépendances numériques à cartographier et gouvernance de la cybersécurité à renforcer ; cette structuration permet de présenter au COMEX un plan d’action lisible, avec des jalons, des budgets et des indicateurs de succès. Enfin, le DSI doit ancrer ces priorités dans les cycles budgétaires existants, en évitant de créer une feuille de route parallèle déconnectée des autres programmes de transformation numérique.
Quel est l’impact concret de la menace quantique sur les décisions d’architecture ?
La menace quantique impose de considérer la cryptographie comme un composant d’architecture évolutif, et non comme un choix figé pour la durée de vie d’un système. Concrètement, cela signifie privilégier des architectures modulaires permettant de remplacer plus facilement les bibliothèques cryptographiques, de segmenter les flux critiques et de limiter la durée de vie des secrets ; les DSI doivent également exiger de leurs fournisseurs des feuilles de route claires sur la prise en charge des algorithmes post quantiques. Enfin, l’impact se traduit par la nécessité de mener des inventaires détaillés des usages de la cryptographie, afin d’identifier les zones les plus sensibles à migrer en priorité.
Comment aborder la cartographie des dépendances numériques dans une grande entreprise ?
Dans une grande entreprise, la cartographie des dépendances numériques doit être traitée comme un programme pluriannuel, piloté conjointement par la DSI, la direction de la sécurité et les métiers. Il est recommandé de commencer par un périmètre restreint mais critique, par exemple une chaîne de valeur métier ou un ensemble d’applications supportant des services essentiels, afin de tester la méthode et les outils ; cette approche incrémentale permet de démontrer rapidement la valeur de la cartographie pour la gestion de crise et les arbitrages d’architecture. À terme, l’objectif est d’intégrer ces cartes dans les processus de gouvernance, de gestion des changements et de revue des fournisseurs.
Quel rôle jouent les communautés professionnelles dans la montée en maturité cyber ?
Les communautés professionnelles, qu’elles soient structurées autour du Campus Cyber, de groupes sectoriels ou de réseaux comme LinkedIn, jouent un rôle clé dans le partage de retours d’expérience concrets. Elles permettent aux DSI et aux RSSI de confronter leurs pratiques, de benchmarker des solutions et d’identifier des signaux faibles sur les menaces ou les innovations émergentes ; cette intelligence collective complète utilement les analyses des cabinets comme Gartner ou Forrester. Pour en tirer pleinement parti, les entreprises doivent encourager la participation de leurs équipes tout en définissant un cadre clair de représentation et de confidentialité.
Comment articuler cybersécurité, innovation et attentes des clients finaux ?
Articuler cybersécurité, innovation et attentes des clients finaux suppose de traiter la sécurité comme un attribut de qualité de service, et non comme un frein aux projets. Les DSI peuvent y parvenir en intégrant des exigences de sécurité dès la conception des produits numériques, en mesurant l’impact des mesures de protection sur l’expérience utilisateur et en communiquant de manière transparente sur les engagements de confiance numérique ; cette approche renforce la crédibilité de l’entreprise et réduit le risque de tensions entre équipes métiers et équipes de sécurité. Au final, la cybersécurité devient un levier de différenciation, en particulier dans les secteurs où la confiance et la protection des données sont des critères de choix déterminants pour les clients.
Pour rendre ces enseignements immédiatement actionnables, un DSI peut structurer ses décisions autour de quelques repères chiffrés :
- Consacrer entre 10 et 15 % du budget de cybersécurité annuel à la réduction de la dette cryptographique (inventaire, pilotes post quantiques, mises à jour d’architectures).
- Viser une couverture d’au moins 80 % des dépendances numériques critiques cartographiées sur un horizon de 24 mois.
- Définir 5 à 7 KPI de confiance numérique suivis en comité de direction, par exemple : temps moyen de bascule en mode dégradé, taux de disponibilité des services numériques, délai de notification en cas d’incident, niveau de conformité DORA/NIS2, satisfaction des clients finaux sur la transparence en matière de protection des données.
