Blog, Tech: 31.10.25Cybersécurité & Conformité : une alliance stratégique pour construire la résilience – Entretien avec Nicolas Vernaz, Redstone Consulting SA

Phishing, ransomware, intelligence artificielle… Les menaces évoluent, les failles humaines persistent, et les entreprises, en particulier les PME, restent en première ligne. Dans ce contexte, la conformité et la cybersécurité ne peuvent plus être traitées comme deux sujets distincts.

À l’occasion du Cybersecurity Awareness Month, Synergix donne la parole à Nicolas Vernaz, fondateur de Redstone Consulting SA, expert en protection des données et en cybersécurité réglementaire. Retour sur une collaboration exemplaire et un état des lieux lucide, sans concession, sur la sécurité numérique en entreprise.

En 2019, Synergix mandate Redstone pour réaliser un audit RGPD. L’objectif ? Réaliser un état des lieux complet de la conformité à la réglementation européenne en matière de protection des données. Les résultats mettent en évidence plusieurs axes d’amélioration.

Mais ce qui distingue cette collaboration, c’est la posture de Synergix : une forte réactivité et une capacité à transformer des recommandations en actions concrètes sans délai.

Cette approche est rare. Elle témoigne d’une vraie culture interne autour de la conformité et d’une compréhension rapide des enjeux.

Cette réactivité et cette rigueur ont permis une transition fluide vers la nouvelle Loi suisse sur la protection des données (nLPD), avec un delta minimal à couvrir.

« Le travail préparatoire effectué en 2019 nous a permis d’aborder la nLPD avec sérénité. Les ajustements à effectuer étaient minimes. »

Synergix s’est appuyée sur des modèles fournis par Redstone pour structurer sa documentation.

« C’était de l’accompagnement ponctuel, pas du pilotage. On a validé leurs livrables, parfois relu des contrats ou documents sensibles. Mais leur autonomie a fait la différence. »

À retenir : Se mettre en conformité ne consiste pas simplement à compléter un modèle de registre. C’est une démarche structurée, documentée, auditable et surtout, pérenne.

Depuis plusieurs années, deux types d’attaques dominent le paysage cyber :

• Le phishing (ou hameçonnage), sous toutes ses formes
• Le ransomware, qui chiffre les systèmes et exige une rançon

L’intelligence artificielle a fait évoluer ces attaques : certaines entreprises reçoivent aujourd’hui des appels avec des voix synthétiques très convaincantes.

Nicolas Vernaz observe une sophistication accrue des attaques : « On discute parfois avec un robot sur WhatsApp, sans s’en rendre compte. L’IA a complexifié l’histoire. »

Et l’effet est tangible : « Je n’ai pas un seul client qui n’ait souffert d’une attaque ces 18 derniers mois. C’est devenu systémique. »

Le ransomware reste un fléau récurrent : « On chiffre tout, et on demande une rançon en bitcoin. Mais aujourd’hui, ça va plus loin : il y a souvent aussi fuite de données. »

Ces intrusions engendrent des conséquences juridiques majeures, en particulier lorsqu’elles touchent des données personnelles.

Qu’il s’agisse d’un clic sur un lien malveillant, d’un mot de passe trop faible ou d’un contournement de procédures dans l’urgence, le facteur humain reste la principale faille.

Entre 95 et 99 % des cyberattaques exploitent une erreur humaine. C’est une constante.

Même les processus de contrôle les plus stricts peuvent être contournés sous pression : « Certaines entreprises imposent une double validation des paiements, mais dans l’urgence, cette règle est parfois ignorée et c’est à ce moment précis que la faille se crée. »

Face à la montée en puissance de l’IA, les collaborateurs sont encore plus exposés : « Les attaques sont plus crédibles, plus ciblées. Même des profils formés peuvent tomber dans le piège. »

Nicolas insiste aussi sur le rôle de la culture d’entreprise : « La formation seule ne suffit pas. Il faut des process vivants, des alertes régulières, une implication de tous les niveaux hiérarchiques. »

La conformité n’est pas un “plus” ou une option stratégique : c’est une obligation légale. Et dans un contexte numérique, les sanctions peuvent être financières, juridiques et réputationnelles. Ce qui distingue les entreprises matures, ce n’est pas qu’elles s’y conforment c’est qu’elles s’y conforment de manière structurée, documentée, traçable.

Une bonne posture de conformité permet de mieux gérer une crise cyber. Et à l’inverse, sans rigueur en cybersécurité, la conformité reste théorique.

Il insiste sur la notion de socle : « Pour bien sécuriser, il faut déjà bien documenter, bien structurer, bien classifier. Ce sont des bases de conformité… mais aussi de cyber. »

Rigueur avant tout : Se mettre en conformité ne se résume pas à cocher quelques cases. C’est un processus rigoureux, exigeant, souvent long et c’est précisément ce qui lui donne de la valeur. La conformité véritable repose sur des procédures, des preuves, de la documentation, des mises à jour régulières.

Il existe des mesures simples, à coût très modéré, qui peuvent être mises en place rapidement.

Voici les « quick wins » cités par Nicolas Vernaz :

• Antivirus de dernière génération
• Chiffrement des disques
• Formations gratuites en ligne
• Sensibilisation continue des équipes
• « Ces gestes ne coûtent presque rien par poste, mais leur efficacité est démontrée. »

Il évoque aussi un écueil courant en matière de mots de passe : « À force d’imposer des règles trop strictes, on obtient l’effet inverse. Les collaborateurs finissent par noter leurs mots de passe sur un post-it, ou les réutilisent sur plusieurs comptes. »

Le bon compromis ? « Un mot de passe robuste (12 caractères), renouvelé deux fois par an, et un bon gestionnaire centralisé. »

Chez Synergix, ces pratiques ont été mises en œuvre progressivement, avec l’accompagnement des équipes IT internes.

Pas de rupture technologique ces dernières années, selon Nicolas, mais une accessibilité croissante à des outils auparavant réservés aux grandes structures.

Ce qui était réservé aux grandes entreprises il y a 10 ans est aujourd’hui envisageable pour certaines PME. C’est une avancée significative.

C’est notamment le cas des SOC (Security Operations Centers) externalisés : « Ces outils permettent de centraliser les logs, détecter les anomalies, alerter automatiquement. »

Ces services sont aujourd’hui disponibles en mode SaaS, à des tarifs abordables pour des structures de taille moyenne. Une opportunité que de nombreuses PME ignorent encore.

Le véritable moteur d’une stratégie cybersécurité efficace, c’est l’engagement de la direction. Tant que les enjeux sont perçus comme techniques ou secondaires, les avancées restent marginales. Or, la cybersécurité est devenue un enjeu de gouvernance, un facteur de résilience à part entière.

« Le point de bascule, c’est l’implication du top management. Tant que la cybersécurité est perçue comme une ligne de coût parmi d’autres, rien ne bouge. »

Selon Nicolas Vernaz, ce changement de posture est indispensable pour débloquer les moyens, définir une gouvernance claire et inscrire la sécurité numérique dans les priorités durables.

Ce n’est plus une question de “si” une attaque va survenir, mais de “quand”. Je le disais déjà il y a douze ans. Aujourd’hui, c’est devenu une évidence.

Chez Synergix, nous croyons à une conformité active et utile, et à une cybersécurité concrète, adaptée, accessible.

Notre collaboration avec Redstone s’inscrit dans cette dynamique. Ensemble, nous avons montré qu’il était possible d’allier rigueur, autonomie, et efficacité. Sans complexifier à l’excès. Sans multiplier les couches. Mais en agissant, de manière structurée.

Ce n’est pas en multipliant les outils qu’on devient plus sûr. C’est en alignant les process, les personnes et les objectifs.

Simplifier la complexité, c’est aussi ça : permettre à chaque entreprise, à son niveau, d’être mieux préparée.