Contexte

Tout commence par un message du responsable support. Laconique, presque gêné : « On a besoin d’une dérogation pour Netflix… pour le DG. » À ce moment-là, je lève les yeux de mon écran. Pas par surprise, mais parce que je sens déjà l’embrouille arriver. Quand la cybersécurité entre dans une discussion sur Netflix, ce n’est jamais pour de bonnes raisons.

Quelques minutes plus tard, c’est l’assistante du DG qui m’appelle directement. Ton poli, mais urgence très claire : « Est-ce qu’on peut faire une exception pour Netflix ? C’est assez urgent. » Là, le signal est net. Quand l’assistante du DG appelle pour Netflix, ce n’est plus un sujet technique, c’est devenu un irritant au plus haut niveau. Et ça, en cybersécurité, ce n’est jamais anodin.

Le plus ironique dans l’histoire, c’est que je n’ai jamais interdit Netflix. Aucune règle formelle, aucune politique écrite, aucun arbitrage sécurité en ce sens. Pourtant, tout le monde est convaincu que « la cyber » a encore frappé. À ce stade, une chose devient claire : la cybersécurité sert surtout de prétexte commode pour justifier un blocage qui n’a rien à voir avec elle.

Problème

C’est un cas classique : on a utilisé la cybersécurité pour bloquer un usage. Pas parce qu’une analyse de risques sérieuse l’a justifié, mais parce que bloquer, c’est plus simple. La cyber devient alors un parapluie pratique. On s’en sert pour éviter de poser les vraies questions techniques ou opérationnelles. Et, comme souvent, quand ça coince, c’est vers le RSSI que tout le monde se tourne.

Soyons honnêtes deux minutes : est-ce que Netflix est vraiment un risque cyber majeur ? On parle d’un service grand public, massivement utilisé, correctement maintenu, accessible partout. Ce n’est ni un malware exotique ni un shadow IT incontrôlé. Confondre confort, bande passante et cybersécurité, c’est diluer le message. À force de tout appeler « risque cyber », on finit par perdre toute crédibilité sur les vrais sujets.

Et puis, il y a un fait simple qu’on oublie parfois trop vite : c’est le DG. À un moment, c’est lui le patron. La cybersécurité n’est pas au-dessus de la gouvernance de l’entreprise. Elle éclaire, elle alerte, elle propose des cadres, mais elle ne décide pas seule. Utiliser la cyber pour imposer un blocage sans arbitrage explicite, surtout face à la direction générale, c’est se tromper de combat.

Étapes

1. Gérer l’urgence, même si ce n’est pas élégant
   La première chose à faire est d’éteindre l’incendie. Netflix est débloqué temporairement, via une dérogation validée par le DSI. Ce n’est pas très orthodoxe, mais c’est assumé. Quand un sujet arrive jusqu’au DG, la priorité n’est plus de faire de la pédagogie, mais de restaurer le service. La cybersécurité ne gagne rien à s’arc-bouter sur une position rigide dans une situation qui relève clairement de l’urgence opérationnelle.

2. Identifier pourquoi Netflix a été bloqué
   Une fois la pression retombée, il faut comprendre. Qui a bloqué Netflix ? Sur quelle base ? Est-ce un vrai risque cyber identifié ou une règle générique appliquée sans discernement ? Dans ce cas précis, aucune analyse de risques sérieuse n’existe. Juste une décision technique prise « par précaution ». Autrement dit, un blocage par défaut, sans arbitrage ni validation sécurité formelle.

3. Découvrir que le vrai sujet n’est pas la cyber
   En creusant un peu, la réalité apparaît rapidement : le problème n’est pas Netflix, mais la bande passante. Pour éviter de traiter un sujet de capacité réseau, tout a été bloqué. Netflix compris. La cybersécurité a servi d’alibi commode pour masquer un problème d’infrastructure. Classique. Et dangereux, car cela décrédibilise la fonction sécurité auprès des décideurs.

4. Identifier qui a invoqué la cybersécurité comme excuse
   Il faut alors retrouver l’origine de la décision. Non pas pour sanctionner, mais pour comprendre. Quelqu’un a estimé que dire « cyber » ferait passer la pilule plus facilement. Ce réflexe est courant dans les équipes IT : la cybersécurité est perçue comme une autorité abstraite, difficilement contestable. Sauf que lorsque la direction générale est impactée, ce raccourci explose immédiatement.

5. Recentrer le discours sur les vrais risques cyber
   Une discussion s’impose. Calmement. Netflix n’est pas le sujet. Le vrai enjeu, c’est de rappeler ce qu’est un risque cyber, et ce que ce n’est pas. Tout bloquer n’est pas une stratégie. La sécurité n’est pas là pour compenser des faiblesses techniques non traitées ailleurs. À force d’utiliser la cyber comme argument fourre-tout, le message devient inaudible.

6. Faire corriger la justification du blocage
   La règle est revue, mais surtout, la raison invoquée change. On arrête de dire « cybersécurité » quand il s’agit de bande passante ou de qualité de service. Mal nommer un problème empêche de le résoudre correctement. Et expose inutilement le RSSI en première ligne sur des sujets qui ne relèvent pas de son périmètre.

7. Traiter enfin le vrai sujet : la bande passante
   Dernière étape, et pas la moindre : s’attaquer au fond du problème. Analyse des usages, pics de consommation, dimensionnement réseau. C’est moins vendeur que de parler cyber, mais infiniment plus utile. En aidant les équipes à traiter la disponibilité plutôt que de tout bloquer, on évite que la cybersécurité soit instrumentalisée à nouveau pour masquer des choix d’architecture non assumés.

Recommandations

Le patron reste le patron

C’est une réalité simple, mais qu’il faut parfois rappeler. Le DG n’est pas un utilisateur comme les autres. La cybersécurité n’est pas là pour imposer des blocages par principe, surtout sans arbitrage explicite. Elle éclaire les risques, propose des options et s’inscrit dans la gouvernance. Une sécurité efficace sait composer avec la hiérarchie, pas s’y opposer frontalement.

Choisir ses combats cyber

Tout ne mérite pas un combat. En tant que RSSI, il faut savoir où mettre son énergie. Bloquer Netflix n’est pas stratégique quand des sujets bien plus critiques attendent : identités, sauvegardes, exposition cloud, incidents réels. À force de se battre sur des usages marginaux, on s’épuise et on brouille les priorités. La cybersécurité gagne en impact quand elle se concentre sur l’essentiel.

Passer les messages aux équipes IT

Il est indispensable d’aider les équipes IT à arrêter de tout bloquer « au nom de la cybersécurité ». Ce réflexe est compréhensible, mais dangereux. La cyber ne doit pas devenir un prétexte pour masquer des problèmes de capacité, d’architecture ou de gouvernance technique. Clarifier ce qui relève de la sécurité protège tout le monde. Et surtout, cela évite d’exposer inutilement le RSSI sur des décisions qu’il n’a jamais prises.

Conclusion

Débloquer Netflix pour le DG n’est pas un échec de la cybersécurité. C’est un rappel salutaire. La sécurité n’est pas là pour bloquer par réflexe, ni pour servir d’alibi à d’autres sujets mal traités. Elle est là pour éclairer, arbitrer et aider l’entreprise à fonctionner sans se mentir. En tant que RSSI, savoir gérer ce type de situation, c’est faire preuve de maturité : comprendre la hiérarchie, choisir ses combats et refuser que la cybersécurité soit instrumentalisée. À force de vouloir tout bloquer, on finit par affaiblir le message sur les vrais risques. Et ça, c’est le vrai danger.

👉 N’hésitez pas à nous contacter pour discuter de votre projet cybersécurité ou pour obtenir des informations supplémentaires sur Cyberlead.

Echanger avec notre équipe

Si l’article vous a plu, n’hésitez pas à le faire circuler dans votre réseau : un simple partage nous aide beaucoup.

Partager