Berlin dans le noir : pourquoi la résilience physique doit devenir une priorité absolue pour les conseils d'administration

La récente panne d'électricité à Berlin a mis en lumière une faille majeure : nous investissons massivement dans la cybersécurité, mais nous négligeons la sécurité physique de nos infrastructures critiques. Johan Vrydag, Country Manager chez BauWatch, livre son analyse stratégique sur l'augmentation des menaces physiques en Belgique et l'impact de la nouvelle directive européenne CER.

Début janvier 2026, Berlin a été le théâtre d'un incident contre lequel de nombreux professionnels de la sécurité mettaient en garde depuis longtemps. Un acte de sabotage délibéré sur le réseau électrique a privé d'électricité des dizaines de milliers de personnes pendant plusieurs jours, en pleines conditions hivernales de gel. Il ne s'agissait pas d'une défaillance du système ou d'une malheureuse coïncidence. Un pont de câbles stratégiquement situé a été volontairement incendié, paralysant ainsi des infrastructures critiques.

Cet incident doit être pris pour ce qu'il est réellement : une démonstration flagrante de la vulnérabilité de nos sociétés lorsque la sécurité physique est négligée.

Partout en Europe, et assurément en Belgique, les gouvernements et les organisations ont massivement investi dans la cybersécurité ces dernières années. La mise en œuvre de la directive NIS2 a accéléré la maturité numérique, amélioré les capacités de surveillance et renforcé les défenses contre les cyberattaques. Ces investissements étaient nécessaires et précieux.

Cependant, le black-out de Berlin a révélé un déséquilibre fondamental. La résilience numérique seule ne protège pas les infrastructures critiques lorsque les actifs physiques restent vulnérables. Les pare-feux n'arrêtent pas les incendiaires. Le chiffrement ne protège pas un tracé de câbles sans surveillance. Une solide posture numérique n'est d'aucun secours si une seule intervention physique suffit à couper l'électricité, la connectivité et les services essentiels.

Le risque n'est pas hypothétique

Ce risque n'a rien d'hypothétique. Plusieurs événements survenus en Belgique ont confirmé que les menaces physiques pesant sur les infrastructures critiques sont bien réelles et en constante augmentation.

En mer du Nord, les forces navales belges ont dû intervenir à plusieurs reprises lorsque des navires étrangers ont été surpris en train de cartographier les points de raccordement de parcs éoliens offshore et de câbles de données sous-marins. Autour d'Anvers et de Bruxelles, les services de sécurité ont exprimé leurs inquiétudes face aux risques d'espionnage et de sabotage dans les centres de données, où les contrôles d'accès physiques accusaient souvent un sérieux retard par rapport aux protections numériques. Plus tard, des dégradations ciblées sur des installations ferroviaires techniques de l'axe Bruxelles-Luxembourg ont provoqué des jours de perturbation. Cela montre à quel point les assaillants comprennent précisément quels composants physiques génèrent un impact sociétal maximal.

Le point commun de ces incidents ne réside pas dans leur sophistication technologique, mais bien dans leur intention stratégique. Les attaquants ciblent rarement des sièges sociaux lourdement gardés. Ils se focalisent sur des actifs physiques isolés, non surveillés et sous-estimés, tels que des ponts de câbles, des sous-stations, des points de distribution et des armoires techniques isolées.

L'impact d'un effet cascade

L'impact de telles attaques dépasse de loin le cadre d'une panne temporaire. Les coupures d'électricité se transforment rapidement en un effet cascade : perte des télécommunications, paralysie des transports, compromission des soins de santé et effritement de la confiance publique. Pour les gouvernements, cela devient une question de résilience nationale. Pour les organisations, c'est une question de continuité, de responsabilité et de réputation.

L'introduction de la directive européenne CER (Résilience des entités critiques) marque un tournant décisif. Pour la première fois, les exploitants d'entités critiques sont explicitement tenus de traiter la résilience physique comme une responsabilité centrale, et non plus comme un problème secondaire. Il ne s'agit pas d'un simple exercice de conformité administrative. C'est une opportunité stratégique de réévaluer l'exposition aux risques, de hiérarchiser les investissements et d'aligner les mesures de sécurité sur les scénarios de menaces réelles.

D'une possibilité à une gestion du temps

D'un point de vue commercial et de gouvernance, la question clé a changé. Il ne s'agit plus de savoir si une infrastructure critique peut devenir une cible. Les preuves sont déjà là. La question est de savoir à quelle vitesse les risques sont identifiés, atténués et gérés avant qu'un incident ne se produise.

Les organisations qui agissent de manière proactive ne se contenteront pas de répondre aux attentes réglementaires. Elles renforceront leur résilience opérationnelle, protègeront la confiance des parties prenantes et réduiront les coûts à long terme liés aux interruptions et à la reprise d'activité.

Ma recommandation aux dirigeants et aux décideurs politiques est simple. Commencez dès maintenant. Cartographiez vos actifs physiques critiques. Identifiez les maillons faibles. Testez vos capacités de réaction et veillez à ce que la sécurité physique soit pleinement intégrée dans votre stratégie globale de résilience.

Si vous souhaitez comprendre où se situent les plus grandes vulnérabilités physiques de votre organisation et comment y remédier conformément aux normes européennes actuelles, je serais ravi d'en discuter avec vous. Assurer la résilience aujourd'hui est le moyen le plus efficace d'éviter le black-out de demain.