Cybersecurity Trapped in a Fear-Driven Cycle, Warns Industry Expert

Despite record investments, growing threat awareness, and increasingly structured security discourse, organizations remain trapped in a persistent sense of insecurity. Each week brings new high-profile incidents—paralyzed companies, exposed data, weakened public institutions—triggering a familiar cycle: awareness, urgency, reaction, then relative calm until the next breach. This pattern is not accidental but the product of a model where fear has become the primary driver, a shared language across vendors, CISOs, and executives that is difficult to escape.

In France, ANSSI reports a continuous rise in significant incidents, with large enterprises and mid-sized firms facing regular—sometimes daily—intrusion attempts. Cybersecurity has become a strategic topic discussed at the highest organizational levels, yet the underlying dynamic remains unchanged.

An Industry Unable to Prove Value Beyond Risk

Unlike sales, marketing, or operations—where value is measured through revenue, conversions, or efficiency—cybersecurity must demonstrate the absence of incidents. This paradox creates a vacuum: organizations have little tangible proof that their investments work until a major attack tests their defenses. Red team exercises have become one of the few available demonstrations, simulating disasters to prove survivability.

This structural difficulty extends to communication. Success stories are invariably tied to negative events—a stopped attack, a contained ransomware, a neutralized threat. Even real, sometimes considerable progress struggles to enter public discourse unless framed within a crisis narrative.

A Systemic Loop Sustained by All Actors

Blaming vendors alone would be reductive. Fear is not just a commercial lever but a systemic mechanism. Security leaders themselves often resort to it, constrained by internal dynamics: budgets are easier to secure after a high-profile breach than through proactive strategy. Fear becomes a tool for organizational alignment.

Boards also participate. A multi-year resilience roadmap often meets measured response, while a recent incident affecting a comparable company triggers immediate attention. Fear simplifies decision-making where strategy requires accountability. Procurement teams follow the same logic, approving major projects primarily after incidents. Alignment is created not in advance but under the pressure of a critical event.

AI Amplifies the Fear Economy

The emergence of artificial intelligence has not reduced this dependence on fear—it has amplified it to unprecedented levels. AI has become the new catalyst for anxiety-driven discourse, with two dominant narratives: attackers augmented by near-limitless capabilities, and organizations condemned to a permanent technological arms race or risk being left behind.

Recent news around Anthropic's Mythos model illustrates this dynamic perfectly. Presented as a technological breakthrough, Mythos can identify and exploit vulnerabilities at unprecedented speed and scale, detecting thousands of critical flaws—some invisible for decades. In tests, it demonstrated the ability to chain multiple vulnerabilities to build complex exploits autonomously. But beyond actual capabilities, it is the narrative framing that matters: Mythos is portrayed as a "super-hacker" surpassing human experts, fueling a perception of uncontrollable threat acceleration.

The paradox is striking: while these technologies could significantly improve detection, remediation, and resilience, they are first perceived and presented as risk factors. AI does not just transform the threat; it amplifies how that threat is told, reinforcing a fear economy already deeply embedded in the sector.

Meanwhile, fundamentals remain unchanged. Known vulnerabilities, misconfigurations, and poor hygiene are still attackers' preferred entry points. But these less spectacular issues struggle to compete with the narrative power of an AI capable of discovering and exploiting flaws at scale in minutes.

Breaking the Cycle: Toward Sustainable Cybersecurity

Breaking this loop does not require eliminating all fear, which retains some rationality. The challenge is to rebalance it with a better ability to express value. This starts with transforming the narrative: cybersecurity is not just about preventing incidents—it enables organizational transformation, secures innovation, accelerates projects, and streamlines operations. These positive dimensions must become visible and understandable.

It also requires evolving metrics. As long as dashboards remain saturated with threats and detections, they will continue to fuel an anxiety-driven view. Measuring resilience, business continuity, containment times, or architectural progress instead allows long-term dynamics to be valued.

Finally, foundational work must be rehabilitated. Segmentation, least privilege, architecture modernization, and security hygiene are low-visibility but critical efforts. Their recognition remains insufficient in an environment dominated by urgency.

Changing the Language to Change the Trajectory

Cybersecurity has become a market structured by fear, to the point where fear is now its common language. While it can create urgency, it does not build resilience. It directs investments toward immediate responses, often at the expense of structural transformations. The result is security perceived as active, but whose real effectiveness remains difficult to assess. Appearance trumps depth.

The real breakthrough will come when trust, mastery, and the capacity for action can mobilize as much as fear does.

*Damien Gbiorczyk is a cyber-resilience expert at Illumio*

La cybersécurité est entrée dans une ère de maturité… sans avoir résolu l’essentiel. Jamais les organisations n’ont autant investi, jamais les menaces n’ont été aussi documentées, jamais les discours n’ont été aussi structurés. Et pourtant, le sentiment d’insécurité demeure, voire s’amplifie.

Chaque semaine apporte son lot d’incidents médiatisés : une entreprise à l’arrêt, des données exposées, une administration fragilisée. Ces événements alimentent une dynamique désormais bien connue : prise de conscience, urgence, réaction. Puis, jusqu’au prochain incident, un relatif retour à la normale.

Ce cycle n’est pas un accident. Il est le produit d’un modèle dans lequel la peur est devenue le principal moteur. Un langage commun à l’ensemble de l’écosystème ( fournisseurs, RSSI, dirigeants ) et dont il devient difficile de s’extraire.

En France, l’ANSSI observe une hausse continue des incidents significatifs, tandis que les grandes entreprises comme les ETI font désormais face à des tentatives d’intrusion régulières, voire quotidiennes. Dans ce contexte, la cybersécurité s’impose comme un sujet stratégique, discuté au plus haut niveau des organisations.

Une industrie incapable de prouver sa valeur autrement que par le risque

Dans la plupart des fonctions de l’entreprise, la valeur se mesure et se raconte aisément. Les ventes s’appuient sur le chiffre d’affaires, le marketing sur les conversions, les opérations sur l’efficacité. La cybersécurité, elle, se retrouve à démontrer… l’absence d’incident.

Ce paradoxe crée un vide. Les organisations disposent de peu de preuves tangibles que leurs investissements fonctionnent réellement, tant qu’aucune attaque majeure ne vient tester les dispositifs en place. Les exercices de type red team deviennent ainsi l’une des rares démonstrations possibles : simuler une catastrophe pour prouver que l’on pourrait y survivre.

Cette difficulté structurelle se reflète aussi dans la manière dont la cybersécurité communique. Les succès mis en avant restent systématiquement liés à des événements négatifs : une attaque stoppée, un rançongiciel contenu, une menace neutralisée. Même les progrès réels, parfois considérables, peinent à émerger dans le débat public dès lors qu’ils ne s’inscrivent pas dans un récit de crise.

Une boucle systémique entretenue par tous les acteurs

Il serait réducteur d’attribuer cette situation aux seuls fournisseurs. La peur n’est pas uniquement un levier commercial ; elle est devenue un mécanisme systémique.

Les responsables de la sécurité eux-mêmes y ont recours, souvent contraints par les dynamiques internes. Dans de nombreuses organisations, l’obtention de budgets reste plus facile à la suite d’une violation médiatisée que dans le cadre d’une stratégie anticipée. La peur devient alors un outil d’alignement organisationnel.

Les conseils d’administration participent également à cette dynamique. Face à une feuille de route de résilience sur plusieurs années, la réaction est souvent mesurée. En revanche, la présentation d’un incident récent touchant un acteur comparable déclenche une attention immédiate. La peur simplifie la décision, là où la stratégie implique une prise de responsabilité.

Les acheteurs, enfin, s’inscrivent dans cette logique en validant des projets structurants principalement après des incidents. L’alignement ne se crée pas en amont, mais sous la pression d’un événement critique.

L’émergence de l’intelligence artificielle n’a pas atténué cette dépendance à la peur ; elle l’a amplifiée à un niveau inédit. L’IA est devenue le nouveau catalyseur du discours anxiogène, avec deux récits dominants : celui d’attaquants augmentés par des capacités quasi illimitées, et celui d’organisations condamnées à suivre une course technologique permanente sous peine d’être dépassées.

Les récentes actualités autour du modèle Mythos, développé par Anthropic, illustrent parfaitement cette dynamique. Présenté comme une rupture technologique, ce modèle est capable d’identifier et d’exploiter des vulnérabilités à une vitesse et une échelle inédites, au point d’avoir détecté des milliers de failles critiques, dont certaines restées invisibles pendant des décennies.

Lors de tests, il a même démontré sa capacité à enchaîner plusieurs vulnérabilités pour construire des exploits complexes de manière autonome . Mais au-delà des capacités réelles, c’est la mise en récit qui interroge. Mythos est présenté comme un « super-hacker » capable de surpasser les experts humains, alimentant une perception d’accélération incontrôlable de la menace.

Le paradoxe est frappant : alors même que ces technologies pourraient améliorer significativement la détection, la remédiation et la résilience, elles sont d’abord perçues et présentées comme des facteurs de risque. L’IA ne transforme pas seulement la menace ; elle amplifie la manière dont celle-ci est racontée, contribuant à renforcer une économie de la peur déjà profondément ancrée dans le secteur.

Pendant ce temps, les fondamentaux n’ont pas changé. L’exploitation de vulnérabilités connues, les erreurs de configuration ou les défauts d’hygiène restent les points d’entrée privilégiés des attaquants. Mais ces sujets, moins spectaculaires, peinent à rivaliser avec la puissance narrative d’une intelligence artificielle capable, en quelques minutes, de découvrir et exploiter des failles à grande échelle.

Sortir du réflexe de la peur pour construire une cybersécurité durable

Briser cette boucle ne suppose pas d’éliminer toute forme de peur, qui conserve une part de rationalité. L’enjeu consiste plutôt à la rééquilibrer par une meilleure capacité à exprimer la valeur.

Cela passe d’abord par une transformation du récit. La cybersécurité ne se limite pas à prévenir des incidents ; elle rend possible la transformation des organisations, sécurise l’innovation, accélère les projets et fluidifie les opérations. Ces dimensions positives doivent devenir visibles et compréhensibles.

Cela implique également de faire évoluer les indicateurs. Tant que les tableaux de bord resteront saturés de menaces et de détections, ils continueront à alimenter une vision anxiogène. À l’inverse, la mesure de la résilience, de la continuité d’activité, des temps de confinement ou des progrès architecturaux permet de valoriser des dynamiques de long terme.

Enfin, il devient nécessaire de réhabiliter le travail de fond. La segmentation, le moindre privilège, la modernisation des architectures ou encore l’hygiène de sécurité constituent des efforts peu visibles, mais déterminants. Leur reconnaissance reste insuffisante dans un environnement dominé par l’urgence.

Changer de langage pour changer de trajectoire

La cybersécurité est devenue un marché structuré par la peur, au point que celle-ci en constitue désormais le langage commun. Si elle permet de créer de l’urgence, elle ne construit pas la résilience. Elle oriente les investissements vers des réponses immédiates, souvent au détriment des transformations structurelles.

Le résultat est une sécurité perçue comme active, mais dont l’efficacité réelle reste difficile à évaluer. L’apparence prime sur la profondeur.

L’enjeu n’est donc pas de nier l’efficacité économique de la peur, mais de s’interroger sur la dépendance qu’elle a créée. Tant que la valeur de la cybersécurité ne pourra être exprimée autrement que par la catastrophe évitée, l’industrie restera enfermée dans ses propres cycles.

La véritable rupture viendra le jour où la confiance, la maîtrise et la capacité d’action sauront mobiliser autant que la peur.

*Damien Gbiorczyk est expert en cyber-résilience chez Illumio

The post La cybersécurité, prisonnière de la peur appeared first on Silicon.fr.