Introduction#
La dépendance aux sentiers explique pourquoi les organisations peinent souvent à s’éloigner de solutions obsolètes ou de processus rigides, même lorsque des alternatives meilleures existent. Chaque choix que nous faisons trace une voie pour l’avenir. Certaines décisions ont des impacts mineurs, tandis que d’autres peuvent avoir des conséquences majeures pour une personne, une entreprise, voire un pays. Certains choix peuvent devenir effectivement irréversibles, même s’ils étaient initialement considérés comme « temporaires ». Comprendre ce concept est essentiel pour les dirigeants informatiques et les professionnels de la sécurité, car les choix que nous faisons aujourd’hui façonneront les risques, les coûts et les opportunités de demain.
Qu’est-ce que la dépendance aux sentiers ?#
« La dépendance aux sentiers est un concept des sciences sociales, désignant des processus où des événements ou des décisions passés contraignent les événements ou décisions ultérieurs. » — Wikipédia
Une fois qu’un certain sentier est choisi, il devient de plus en plus coûteux ou complexe de changer de direction, même si des options supérieures apparaissent. Des exemples classiques incluent la disposition du clavier QWERTY ou la domination de certains systèmes d’exploitation. Une fois qu’une norme est largement adoptée, l’écosystème environnant renforce sa position, rendant les alternatives plus difficiles à mettre en œuvre.
En résumé : l’histoire compte.
La dépendance aux sentiers dans la technologie#
Dans le domaine de l’informatique, la dépendance aux sentiers se manifeste dans plusieurs contextes :
- Systèmes hérités : De nombreuses organisations exécutent encore des opérations critiques sur des plateformes obsolètes, car les remplacer nécessiterait des investissements colossaux, des temps d’arrêt et une reconversion des équipes.
- Verrouillage fournisseur : Une fois qu’une entreprise s’engage auprès d’un fournisseur comme Microsoft, AWS ou Oracle, changer devient extrêmement coûteux, non seulement financièrement, mais aussi en termes de compétences, d’intégrations et de processus.
- Un exemple récent est la ville de Lyon : en juin 2025, Lyon a résilié son abonnement à Microsoft Office 365 pour « ne plus être dépendante des solutions logicielles états-uniennes et acquérir une véritable souveraineté numérique ». Cette décision oblige les employés à apprendre de nouveaux outils et peut nécessiter un temps d’adaptation, mais elle réduit la dépendance, diminue les coûts et encourage le développement des compétences (Next INK, juin 2025).
- Protocoles et normes : Une fois qu’une technologie est adoptée (TCP/IP, normes Wi-Fi, algorithmes de chiffrement), tout l’écosystème se construit autour, rendant les alternatives plus difficiles à envisager. Ces sentiers ont souvent du sens au moment de leur adoption, mais peuvent ensuite limiter l’innovation ou la flexibilité.
La dépendance aux sentiers en cybersécurité#
La cybersécurité est également façonnée par la dépendance aux sentiers, parfois de manière à affaiblir la résilience :
- Cadre de gouvernance : Le choix de l’ISO 27001, du NIST ou du CIS fixe souvent le ton pour toutes les politiques et audits futurs. Changer de cadre plus tard est rare et coûteux.
- Outils de gestion des risques : La structure de votre premier registre des risques ou outil GRC détermine souvent comment les risques sont évalués pendant des années, même si la méthodologie n’est pas optimale.
- Sécurité axée sur la conformité : Certaines entreprises se concentrent strictement sur le respect des réglementations, mais échouent à s’adapter aux menaces évolutives, car elles sont enfermées dans la logique de « réussir l’audit » plutôt que de réduire véritablement les risques. Dans chaque cas, les choix passés peuvent silencieusement définir la posture de sécurité future d’une organisation.
Pourquoi est-ce important ?#
La dépendance aux sentiers n’est pas intrinsèquement mauvaise. Elle peut créer de la stabilité, de la cohérence et des économies d’échelle. Mais si les organisations ne la reconnaissent pas, elles risquent :
- Une dette de sécurité : Les processus de sécurité obsolètes accumulent des risques au fil du temps, à l’image de la dette technique.
- Un manque de flexibilité : Verrouillées auprès de fournisseurs, de cadres ou de systèmes hérités, les entreprises peuvent avoir du mal à réagir rapidement aux nouvelles menaces.
- Des coûts cachés : Ce qui semble efficace aujourd’hui peut devenir une contrainte coûteuse demain. Prendre conscience de la dépendance aux sentiers permet aux dirigeants de la gérer activement : réexaminer les décisions héritées, remettre en question si les cadres servent toujours l’organisation, et intégrer de l’adaptabilité dans les processus et les architectures.
Prendre conscience de la dépendance aux sentiers permet aux dirigeants de la gérer activement : réexaminer les décisions héritées, remettre en question si les cadres servent toujours l’organisation, et intégrer de l’adaptabilité dans les processus et les architectures. Se contenter de dire « c’est comme ça qu’on a toujours fait » n’est pas un argument valable en soi. Cette phrase, souvent invoquée par habitude ou par peur du changement, ignore les risques accumulés et les opportunités manquées. Une approche proactive consiste à évaluer régulièrement si les choix passés restent pertinents face aux défis actuels et futurs.
Conclusion#
La dépendance aux sentiers n’est pas entièrement négative : elle peut créer de la stabilité et des normes partagées au sein d’une organisation. Cependant, si elle n’est pas maîtrisée, elle peut entraîner une dette de sécurité, un verrouillage par les fournisseurs et un manque d’agilité face aux nouvelles menaces. On peut la voir comme une habitude : certaines sont bénéfiques, d’autres encombrantes, et certaines difficiles à défaire.
Pour les architectes, les RSSI et les stratèges IT, l’enjeu est la prise de conscience : remettre activement en question les choix hérités, réévaluer les cadres et intégrer de la flexibilité dans la gouvernance et les infrastructures. En reconnaissant comment les choix d’hier influencent les stratégies d’aujourd’hui, les organisations peuvent prendre des décisions plus intelligentes et plus résilientes pour l’avenir.