L'ANSSI forme au pilotage de la remédiation : pourquoi trouver la faille ne suffit plus.
En juin 2026, l'ANSSI a publié un nouveau référentiel de formation à destination des organismes de formation continue. Son intitulé : « Pilotage de la remédiation ». Les formations qui s'y conformeront pourront prétendre au label SecNumedu-FC - dix-sept l'ont obtenu en 2025.
L'annonce est passée inaperçue en dehors du milieu. Elle mérite mieux, parce qu'elle acte une vérité que le marché de la cybersécurité préfère souvent contourner : identifier un problème et le résoudre sont deux métiers différents.
La remédiation, c'est quoi exactement
Le mot est technique, l'idée ne l'est pas.
Un audit révèle des vulnérabilités. Une réponse à incident constate une compromission. Dans les deux cas, on obtient un diagnostic : voici ce qui ne va pas, voici par où l'on peut entrer, voici ce qui a été touché.
La remédiation, c'est tout ce qui vient après. Reprendre le contrôle, refermer les portes, reconstruire ce qui doit l'être, et vérifier que l'attaquant n'a pas conservé un accès. Ce n'est pas un geste technique isolé - c'est un chantier qui se pilote, avec des priorités, des arbitrages et un ordre d'exécution.
Que l'agence nationale juge nécessaire de créer un référentiel de formation dédié en dit long : ce n'est pas un réflexe naturel, même chez les professionnels.
Le rapport qui ne sert à rien
C'est le scénario le plus courant, et le plus coûteux.
Une entreprise commande un audit. Elle reçoit un document - souvent épais, souvent technique, parfois brillant. Trente, quarante, cinquante constats. Le dirigeant le parcourt, ne comprend pas la moitié, le transmet à son prestataire informatique. Le prestataire le pose sur une pile. Six mois plus tard, rien n'a bougé.
L'entreprise a payé pour savoir. Elle n'a pas payé pour être protégée. Et elle est exactement aussi exposée qu'avant, avec en prime un document qui prouve qu'elle savait - ce qui, en cas de litige, n'aide pas.
Le problème n'est pas la qualité de l'audit. Le problème est que le livrable s'arrête là où le travail commence.
Ce que ça change pour une PME
L'existence d'un référentiel d'État sur le pilotage de la remédiation valide ce qu'un dirigeant devrait exiger de tout prestataire qui lui vend un audit.
Un livrable hiérarchisé. Pas une liste : un ordre. Ce qu'il faut traiter cette semaine, ce mois-ci, ce trimestre — et pourquoi, en fonction de ce que ça coûterait à l'entreprise.
Un langage double. Une synthèse compréhensible par le dirigeant, un volet exploitable par la personne qui tient l'infrastructure. Un rapport qui ne s'adresse qu'à l'un des deux ne sera pas appliqué.
Un contrôle après coup. La question qui compte n'est pas « avez-vous corrigé ? » mais « avez-vous vérifié que c'était corrigé ? ». Ce sont deux choses différentes, et seule la seconde a une valeur.
Une restitution de vive voix. Un rapport envoyé par mail sans explication a une espérance de vie de quelques minutes. Un rapport présenté, discuté, dont chaque priorité est justifiée, devient un plan de travail.
Le constat n'est pas le but
Ce qu'une entreprise achète en réalité, ce n'est pas la connaissance de ses failles - c'est de ne plus les avoir. La distinction paraît évidente écrite comme ça. Elle est pourtant la ligne de partage entre un prestataire qui vend un document et un prestataire qui vend un résultat.
Que l'ANSSI structure désormais la formation à ce métier confirme que le sujet est réel, et qu'il ne s'improvise pas.
Source : ANSSI, « Publication d'un nouveau référentiel de formation dédié au pilotage de la remédiation » (juin 2026).