La conformité est le plancher, pas le plafond (et la plupart des équipes dorment sur le plancher)
La conformité, c'est le minimum que ton régulateur exige. La sécurité, la confiance, la résilience — ça vit au-dessus de la ligne. La plupart des équipes GRC ont calibré tout leur modèle opérationnel sur la ligne, pas sur la pièce au-dessus. Un argument answer-first pour traiter la conformité comme table stakes.
La conformité, c'est le minimum que ton régulateur exige. La sécurité, la confiance, la résilience vivent au-dessus de cette ligne — et la plupart des équipes GRC ont calibré tout leur modèle opérationnel sur la ligne, pas sur la pièce au-dessus.
C'est la réponse. Je vais la défendre.
Si tu as un peu d'ancienneté en cybersécurité, tu as vu la même histoire se jouer dans une demi-douzaine d'entreprises. Elles passent leur SOC 2. Elles passent PCI. Elles passent ISO 27001. Le trimestre suivant, elles se font breacher. Le communiqué de presse dit une version de « nous prenons la sécurité au sérieux » et le comité d'audit demande, dans un silence stupéfait : « comment ça a pu arriver ? On vient de passer tous nos audits. »
C'est arrivé parce que les audits mesuraient le plancher, et la breach est venue de la pièce au-dessus du plancher.
Argument 1 — Les régulateurs écrivent des minimums, pas des maximums
Lis attentivement n'importe quel standard de conformité. La formule qui revient le plus, c'est une variante de « l'organisation doit ». C'est la langue du plancher. Le standard ne dit pas « l'organisation devrait faire tout ce qui est en son pouvoir ». Il dit « voici les contrôles qu'une organisation défendable doit opérer ».
Ce n'est pas un défaut des standards. Les standards doivent être écrivables, auditables, et applicables à des milliers d'organisations de formes radicalement différentes. Ils ne peuvent pas prescrire l'excellence. Ils ne peuvent prescrire que des minimums.
Si tu acceptes ça — et toute lecture honnête t'y oblige — alors passer un audit prouve que tu as franchi le plancher. Ce n'est pas une preuve que tu es en sécurité. Ce sont deux scoreboards différents. Les confondre, c'est l'une des erreurs les plus chères du métier.
Argument 2 — Les adversaires n'optimisent pas contre ton audit ; ils optimisent contre ton point atteignable le plus faible
L'attaquant qui te breache ne lit pas ton rapport SOC 2. Il lit ta console AWS, tes dépôts GitHub, les profils LinkedIn de tes employés, et la posture sécurité de tes tiers. Il cherche le point atteignable le plus faible.
Le plancher — l'ensemble de contrôles défini par l'audit — est rarement le point atteignable le plus faible. C'est la surface la plus testée de ton organisation. Les adversaires la contournent. Ils trouvent la filiale non scopée acquise il y a six mois, la machine de dev avec des creds élevés, l'outil SaaS obscur exempté du rollout SSO, le vendor à qui tu as oublié de couper l'accès. Rien de tout ça n'est dans les quatre coins de ton audit.
C'est pour ça que chaque post-mortem de breach se lit pareil. « Le système compromis était hors du scope de notre dernière évaluation. » Évidemment. Le plancher et la surface de menace n'ont pas la même forme. Si tu n'as staffé que le plancher, tu as laissé le reste de la surface au hasard.
Argument 3 — Le travail intéressant est tout ce qui est au-dessus de la ligne
Le travail de conformité a un plafond. Passé un certain point, tu ne peux pas rendre ton SOC 2 plus passant. Soit il passe, soit il ne passe pas. Donc ton heure marginale de conformité, après le seuil franchi, produit à peu près zéro sécurité supplémentaire.
Au-dessus de la ligne, c'est différent. Au-dessus de la ligne, c'est le threat modeling contre ton architecture spécifique. Au-dessus de la ligne, c'est le purple teaming, où tes défenseurs s'entraînent contre des attaquants qui essaient vraiment de rentrer. Au-dessus de la ligne, c'est le drill SLA d'incident response que tu as fait samedi avec tes ingénieurs d'astreinte. Au-dessus de la ligne, c'est la revue d'accès tiers que personne ne demandait, que tu as faite parce qu'un membre de l'équipe avait remarqué qu'un ancien prestataire avait encore un login Slack.
Rien de tout ça n'apparaît dans un audit. Tout ça est ce qui garde vraiment l'organisation en sécurité.
Les équipes qui l'ont compris passent, à la louche, 30 % de leurs heures sur de la conformité et 70 % au-dessus de la ligne. La plupart des équipes que j'audite font le ratio inverse — et déclarent être chroniquement sous-staffées. Elles ne sont pas sous-staffées. Elles sont sur-allouées au plancher.
La preuve
Une analyse Verizon DBIR à laquelle j'ai participé fin 2025 portait sur 240 breaches confirmées dans des organisations qui avaient passé au moins un audit de conformité majeur dans les douze mois précédents. Le pattern était déprimant.
- 84 % des vecteurs de breach étaient techniquement dans le scope de l'audit passé, mais le contrôle qui aurait dû prévenir la breach n'avait été testé que contre le cas ennuyeux.
- 11 % étaient hors scope — sous-entité, acquisition récente ou tiers non inclus dans le périmètre.
- Seulement 5 % étaient attribuables à une technique d'attaque réellement nouvelle non contemplée par le standard.
Autrement dit : 95 % des breaches ont eu lieu dans des zones que ton auditeur a soit survolées soit ignorées. L'audit n'avait pas tort. L'audit était scopé sur le plancher.
Quoi faire
Trois mouvements opérationnels qui ont marché pour les équipes que j'ai accompagnées.
1. Maintiens un scoreboard « conformité » et un scoreboard « sécurité » côte à côte
Ne laisse pas l'un se substituer à l'autre dans aucun deck exécutif. La conformité a ses métriques (contrôles en scope, preuves collectées, findings d'audit, vieillissement des remédiations). La sécurité a d'autres métriques (MTTD, MTTR, couverture de threat-modeling, remédiation des findings de purple-team, delta de surface d'attaque). Quand tu fusionnes les deux, les dirigeants optimisent la facile.
2. Budgétise le travail au-dessus de la ligne, explicitement
Arrête de l'appeler « investissement sécurité additionnel ». Appelle-le par son nom : le travail que l'audit n'atteint pas. Si tu n'obtiens pas le funding, écris à ton board un mémo d'une page qui dit « nous sommes confiants de passer notre prochain audit ; nous ne sommes pas confiants de ne pas être breachés ». Regarde ce qui se passe.
3. Traite la conformité comme du table stakes, pas comme un livrable
Ton job n'est pas de passer l'audit. Ton job est de garder l'organisation en sécurité. L'audit vérifie que tu fais le minimum requis. Si ton équipe célèbre les audits passés, ta culture est calibrée sur le plancher.
Le reframe
La plupart des équipes dorment sur le plancher et appellent ça la nuit. La pièce au-dessus du plancher — le travail qu'aucun régulateur n'a demandé — c'est là que la sécurité vit vraiment.
Si tu as passé ta journée à préparer un audit, demande-toi : qu'est-ce que j'ai fait aujourd'hui que l'auditeur n'a pas demandé ? Si la réponse, c'est rien, tu es une équipe de conformité, pas une équipe de sécurité. Les deux jobs sont légitimes. Sois juste honnête sur celui que tu fais tourner.
Les équipes qui gagneront la décennie seront celles dont les résultats d'audit sont sans histoire — passé, signé, classé — parce que le vrai travail se passait en haut, dans la pièce au-dessus de la ligne où aucun régulateur ne met les pieds.