Aujourd’hui, cette ère est révolue. L’évolution des architectures cloud, de la conteneurisation et de l’automatisation a obligé la sécurité à sortir de sa tour d’ivoire pour s’intégrer directement au cœur du développement et des opérations.

Nous vous proposons un article de veille qui vise à anticiper les tendances émergentes en matière de cybersécurité en 2026.

La convergence DevOps et sécurité : naissance du DevSecOps

Le premier grand tournant a été la coopération entre les équipes DevOps et sécurité. L’époque où les développeurs livraient du code pendant que la sécurité jouait au gendarme est terminée.

Cette collaboration, incarnée par le concept de DevSecOps, repose sur deux piliers essentiels :

• La flexibilité des équipes de sécurité, capables d’adapter leurs pratiques aux cycles agiles et aux pipelines CI/CD (Continuous Integration / Continuous Delivery).
• La sensibilisation des développeurs et des opérateurs aux enjeux de sécurité, afin d’éviter les “shadow tools” (outils non approuvés) et les contournements des contrôles.

Concrètement, cela se traduit par des pipelines intégrant des outils d’analyse automatique tels que SonarQube, Trivy ou Snyk pour scanner le code et les dépendances avant chaque déploiement.

L’IA peut d’ailleurs intervenir ici comme reviewer intelligent, capable de détecter des patterns dangereux dans le code, de suggérer des correctifs conformes aux bonnes pratiques OWASP, ou de prioriser les vulnérabilités selon leur impact.

Certaines entreprises vont encore plus loin en automatisant les tests d’intrusion internes (pentests continus) via des frameworks comme Gauntlt ou Metasploit intégrés dans leurs pipelines CI/CD, validant ainsi la robustesse du code avant sa mise en production.

Ce changement culturel est profond : la sécurité n’est plus une étape bloquante mais une compétence partagée. Elle devient un composant organique du cycle de vie logiciel, où chaque commit est une opportunité d’amélioration continue.

Les normes : la confiance comme valeur centrale

Un autre pilier de la maturité en cybersécurité repose sur la normalisation et la conformité, à travers des référentiels et standards internationaux qui guident les organisations dans leurs pratiques de sécurité :

• ISO 27001 : gestion de la sécurité de l’information.
• NIS/NIS2 : directive européenne sur la sécurité des réseaux et systèmes d’information.
• HDS : Hébergement de Données de Santé.

Dans un contexte où la confiance devient un argument commercial majeur, une entreprise certifiée inspire davantage de crédibilité. Par exemple, un prestataire cloud conforme à ISO 27017 (sécurité spécifique au cloud) peut prouver que ses processus de chiffrement, de gestion d’accès et de journalisation sont rigoureusement encadrés.

De même, les acteurs du secteur de la santé ou de la finance adoptent désormais des politiques de sécurité auditées en continu, avec des contrôles basés sur des frameworks comme CIS Controls ou NIST CSF.

Mais au-delà des référentiels et des cadres de conformité, la solidité d’une stratégie de cybersécurité repose sur quatre dimensions complémentaires : organisationnelle, humaine, physique et technologique. Les normes ne sont que des guides si ces piliers ne sont pas équilibrés.

La gouvernance et la gestion des accès (organisationnel), la sensibilisation des collaborateurs (humain), la protection des infrastructures (physique) et la mise en œuvre des solutions techniques (technologique) doivent fonctionner de concert pour donner sens et cohérence à la sécurité.

L’impact est tangible : au lieu d’être perçues comme un coût ou une contrainte, les normes deviennent un levier de compétitivité. Elles facilitent l’obtention de marchés publics, rassurent les partenaires internationaux et favorisent la mise en conformité avec des textes législatifs comme le RGPD, qui impose des exigences fortes de transparence et de protection des données personnelles.

La normalisation, loin d’être un frein à l’innovation, crée un socle de confiance sur lequel les entreprises peuvent bâtir des solutions plus sûres et plus évolutives.

Sauvegarde et souveraineté numérique : la résilience comme enjeu stratégique

Aucune défense n’est infaillible. Une stratégie de sécurité complète repose sur un principe simple mais souvent négligé : la sauvegarde.

Les attaques par ransomware, comme celles subies par la ville de Lille ou par des hôpitaux français ces dernières années, rappellent brutalement qu’un backup fiable et testé vaut mieux qu’un plan de communication post-crise.

Pour assurer cette fiabilité, de nombreuses organisations appliquent désormais la règle dite 4-2-1 : quatre copies des données, stockées sur deux types de supports différents, dont au moins une conservée hors site.

Cette approche, évolution de la règle historique 3-2-1, ajoute une couche de sécurité supplémentaire en maintenant une copie immutable, c’est-à-dire non modifiable et protégée contre toute suppression, même par un compte administrateur. Elle renforce la résilience face aux ransomwares modernes, qui ciblent désormais aussi les sauvegardes elles-mêmes.

Lorsqu’un incident survient, la réponse suit une séquence précise : détection, déclaration, investigation, gestion de crise, puis retour d’expérience. Cette méthodologie permet d’isoler rapidement la menace, d’en limiter la propagation, de restaurer les services critiques et de tirer des leçons concrètes pour renforcer les défenses. La maturité d’une organisation ne se mesure donc pas à sa capacité à éviter les incidents, mais à la manière dont elle les gère et en apprend.

Mais la question ne se limite plus à la technique. Elle touche désormais à la souveraineté numérique. De plus en plus d’entreprises européennes optent pour des fournisseurs conformes au label SecNumCloud de l’ANSSI, ou pour des solutions locales comme OVHcloud, Scaleway ou Outscale.

L’objectif étant de limiter leur exposition à des lois extraterritoriales telles que le Cloud Act américain. Certaines mettent en place des stratégies hybrides : données critiques hébergées sur un cloud souverain, workloads dynamiques sur AWS ou Azure, le tout orchestré via des outils open source garantissant une portabilité (Terraform, Ansible, etc.).

La sauvegarde devient ainsi un symbole de souveraineté autant qu’un mécanisme de résilience. Des tests de restauration automatisés, des solutions de snapshot immuables et le stockage chiffré en environnement isolé (air gap) font désormais partie des exigences minimales. Dans un monde où la dépendance numérique s’accroît, protéger les données, c’est préserver l’autonomie.

La multiplication des vulnérabilités : l’effet Docker

La conteneurisation a bouleversé l’informatique moderne. Des outils comme Docker, Podman et Kubernetes ont rendu le déploiement rapide, portable et reproductible. Mais cette agilité a un prix car chaque conteneur est une mini-distribution Linux, souvent basée sur des images publiques non mises à jour.

Les CVE (Common Vulnerabilities and Exposures) se multiplient dans ces environnements. Une simple image python:3.12-slim peut contenir plusieurs bibliothèques système vulnérables, si elle n’est pas reconstruite régulièrement. En 2024, une étude de Sysdig a révélé que plus de 80 % des images Docker disponibles sur Docker Hub contenaient au moins une vulnérabilité critique. L’attaque SolarWinds a d’ailleurs montré comment une chaîne de dépendances non maîtrisée peut se transformer en cheval de Troie à l’échelle mondiale.

La réponse à ce problème passe par une approche “shift left”. Les scans de sécurité doivent s’effectuer dès la phase de build, avec des outils comme Grype, Clair ou Trivy, combinés à des politiques d’approbation internes. Les entreprises intègrent également la signature d’images (par exemple via Cosign ou Notary) pour garantir l’intégrité des builds et prévenir l’injection de code malveillant.

Dans cette logique, des acteurs comme Chainguard vont encore plus loin en proposant des images « zéro-CVE » signées et reconstruites automatiquement. Leurs registres sécurisés reposent sur des normes telles que SLSA (Supply-chain Levels for Software Artifacts) et des outils comme Sigstore, garantissant la traçabilité complète des dépendances et la conformité aux exigences de sécurité des chaînes logicielles modernes.

Les registres privés, les politiques d’expiration automatique et les audits réguliers deviennent des pratiques standards. La sécurité n’est plus un contrôle d’entrée, mais un fil rouge tout au long du cycle de vie du conteneur.

L’intelligence artificielle : l’assistante du quotidien

La dernière révolution en date, et probablement la plus profonde, est celle de l’intelligence artificielle appliquée à la cybersécurité. Face à l’explosion du volume de données et d’alertes, souvent plusieurs milliers par jour dans les grands SOC (Security Operations Centers), l’IA devient une alliée incontournable.

Les systèmes d’analyse comportementale basés sur le machine learning peuvent détecter des déviations dans les logs ou les accès utilisateurs avant même qu’un incident ne survienne. Des plateformes comme Microsoft Sentinel, Darktrace ou Splunk Phantom exploitent déjà des modèles d’IA pour corréler les événements, générer des alertes pertinentes et réduire le bruit opérationnel.

L’IA ne se contente plus d’observer : elle agit. Elle peut ouvrir automatiquement un ticket Jira, bloquer une adresse IP suspecte via un playbook Ansible, ou générer un rapport de vulnérabilités prêt à être validé par un analyste.

Mieux encore, des outils génératifs peuvent assister les développeurs dans la remédiation. Lorsqu’un scan de code détecte une faille XSS ou SQL, un modèle comme GitHub Copilot ou OpenAI Codex peut suggérer un patch conforme aux recommandations OWASP.

D’autres plateformes comme Rovo, intégrée à la suite Atlassian, exploitent également l’IA pour assister les équipes dans la documentation, l’audit et la coordination des tâches de sécurité. Reliée à Jira, Confluence ou Bitbucket, elle permet d’unifier les informations issues des pipelines, des scans ou des incidents, et de transformer les alertes en actions concrètes au sein du cycle DevSecOps.

L’IA agit alors comme un exosquelette cognitif, déchargeant les humains des tâches répétitives pour leur permettre de se concentrer sur les analyses critiques.

Cependant, cette automatisation nécessite un encadrement éthique et technique strict. Une IA mal configurée ou biaisée peut faussement signaler des menaces, voire ignorer des anomalies subtiles. Le futur de la sécurité sera donc hybride : une collaboration étroite entre la machine et l’humain, où chacun renforce l’autre.

Pour aller plus loin : AIOps : comment l’intelligence artificielle transforme la gestion des opérations IT ?

Conclusion : de la forteresse au système vivant

La cybersécurité n’est plus un service en bout de chaîne. Elle s’est transformée en une culture partagée, intégrée et intelligente. Entre intégration DevSecOps, normalisation internationale, souveraineté numérique et assistance par l’IA, elle forme désormais un écosystème adaptatif, en perpétuelle évolution.

Le monde numérique de demain ne sera pas exempt de risques. Mais il sera plus conscient, plus réactif et plus résilient, non pas parce qu’il élimine la menace, mais parce qu’il apprend à vivre avec elle, à la comprendre, et à s’y adapter.

Wallix Bastion : la référence européenne du bastion d’accès

Une solution robuste, certifiée et sans agent

Wallix Bastion s’est imposé comme l’une des références européennes en matière de gestion des accès à privilèges (PAM).

La solution brille par sa capacité à centraliser, contrôler et tracer les connexions sensibles. Elle offre des fonctionnalités avancées :

• enregistrement et relecture des sessions,
• gestion automatisée des mots de passe et des clés SSH,
• contrôle d’accès granulaire,
• conformité aux principales normes réglementaires.

Sa force réside également dans son approche “sans agent”, facilitant le déploiement dans des environnements critiques (secteur public, OT, infrastructures sensibles). Son origine française et ses certifications renforcent sa réputation de solution souveraine.

Pour aller plus loin : Tout comprendre des comptes à privilèges : le maillon faible à renforcer

Un coût élevé mais justifié pour les grandes organisations

Cette efficacité a toutefois un prix. Le modèle de licence de Wallix Bastion peut s’avérer coûteux et complexe, surtout pour les structures de taille moyenne.

Pour les grandes organisations, cet investissement se justifie par la réduction des risques, la traçabilité et la conformité offertes. En revanche, les entreprises plus modestes pourront se tourner vers des alternatives open source plus légères et économiques.

Wallix Bastion reste donc un choix stratégique : performant, mais exigeant en termes de budget.

Alternatives open source viables aux bastions propriétaires

Teleport : la référence open source multi-protocoles

Une plateforme complète pour SSH, Kubernetes et bases de données

Teleport est une solution open source qui centralise les connexions SSH, Kubernetes, bases de données et applications internes.
Elle utilise des certificats éphémères à la place des clés statiques, réduisant les risques de compromission et simplifiant la rotation des identités.
Teleport inclut aussi le contrôle d’accès basé sur les rôles (RBAC), le MFA, et l’audit des sessions, garantissant une traçabilité complète.

Les limites techniques et commerciales de Teleport

Sa mise en place demande une expertise technique : le déploiement s’appuie sur plusieurs composants (serveur d’authentification, proxy, nœuds).
Depuis la version 16, les binaires de la “Community Edition” sont soumis à une licence commerciale restrictive, bien que le code reste sous AGPL v3.
Teleport reste donc une solution idéale pour les entreprises intermédiaires maîtrisant l’administration système et souhaitant un bastion audité et moderne.

Pritunl Zero : le bastion Zero Trust léger et intégré

Une approche moderne centrée sur le Zero Trust

Pritunl Zero repose sur une architecture Zero Trust pour sécuriser les accès SSH et les applications internes.
Il délivre des certificats temporaires signés par une autorité centrale, ce qui élimine les clés statiques et renforce la sécurité.
L’outil s’intègre avec des fournisseurs d’identité tels que Azure AD, Google, Okta ou Auth0, pour appliquer SSO et MFA.

Une solution adaptée à des usages ciblés

Bien que performante, Pritunl Zero reste limité à SSH et aux applications web.
Sa communauté est restreinte et sa licence hybride peut poser problème pour certains usages commerciaux.
Il s’adresse surtout à des organisations intermédiaires ou à des projets pilotes cherchant à expérimenter le modèle Zero Trust à moindre coût.

Bastillion : une console SSH simple et efficace

Une solution pratique pour centraliser les connexions SSH

Bastillion est une console web permettant de centraliser la gestion des connexions SSH.
Elle gère les clés publiques, enregistre les sessions et ajoute une couche TLS/SSL pour renforcer la sécurité.

Ses atouts :

• authentification à deux facteurs (Google Authenticator, FreeOTP),
• commandes multi-hôtes,
• interface simple et intuitive.

Les limites liées à la couverture fonctionnelle

Bastillion reste focalisé sur SSH, sans gestion native d’autres protocoles (bases de données, Kubernetes, etc.).
Sa licence Prosperity Public License n’est pas entièrement open source, ce qui peut limiter certains usages.
C’est une solution légère et fiable pour de petites équipes, mais peu adaptée aux environnements complexes.

Alternatives opens source plus risquées

WebTerminal : polyvalent et rapide à déployer

Une solution tout-en-un accessible par navigateur

WebTerminal, développé par Jimmy201602, offre une interface web unifiée pour gérer les protocoles SSH, RDP, VNC, Telnet et SFTP.
Sous licence LGPL-3.0, il propose des fonctions d’audit, d’enregistrement et de relecture de sessions.
Son déploiement via Docker Compose le rend attractif pour les petites équipes recherchant un outil rapide à mettre en place.

Des risques accrus sur la surface d’attaque

L’intégration de multiples protocoles dans une interface web augmente la surface d’exposition aux vulnérabilités.
Reposant sur Django et WebSockets, le projet dépend fortement de la sécurité du framework.
De plus, la communauté limitée et l’absence d’écosystème mature restreignent la confiance pour un usage en production critique.

Conclusion : quel bastion choisir selon vos besoins ?

Le choix d’une solution de bastion dépend de vos priorités en matière de sécurité, de votre budget et de vos ressources internes.

• Wallix Bastion : la référence pour les grandes entreprises soumises à des obligations de conformité.
• Teleport et Pritunl Zero : des alternatives open source puissantes, modernes et flexibles.
• Bastillion : une solution simple et légère pour la gestion SSH.
• WebTerminal : une option polyvalente mais risquée, à réserver aux environnements non critiques.

Dans tous les cas, l’objectif reste identique : protéger et tracer les accès privilégiés pour renforcer la sécurité globale de votre système d’information.

Pour les ingénieurs sécurité, se spécialiser dans l’IAM représente bien plus qu’une compétence technique : c’est un véritable levier de carrière. Ce métier en pleine expansion combine expertise technique, compréhension des enjeux business et connaissance des normes de conformité.

Dans cet article, nous allons explorer en profondeur ce qu’est l’IAM, pourquoi c’est un métier d’avenir et quelles compétences développer pour en faire une spécialité professionnelle porteuse.

Qu’est-ce que l’IAM ?

L’IAM (Identity and Access Management) regroupe l’ensemble des processus, technologies et politiques permettant de gérer les identités numériques et de contrôler les accès aux systèmes d’information. Concrètement, il s’agit de s’assurer que les bonnes personnes disposent du bon niveau d’accès aux bonnes ressources, au bon moment.

Cela va bien au-delà de la simple création d’un identifiant et d’un mot de passe. L’IAM couvre un spectre complet :

1. Authentification – Vérifier l’identité de l’utilisateur, avec des méthodes modernes comme le MFA (authentification multifacteur), les clés FIDO2 ou la biométrie.
2. Autorisation – Déterminer les droits exacts d’accès selon les rôles et responsabilités.
3. Provisioning & Deprovisioning – Créer, mettre à jour et supprimer les comptes utilisateurs en fonction du cycle de vie (arrivée, mobilité interne, départ).
4. Gouvernance des identités – Garantir la conformité avec les réglementations (RGPD, ISO 27001, SOX) et tracer les actions pour les audits.
5. Supervision et analyse – Détecter les comportements anormaux et prévenir les attaques par compromission d’identifiants.

En clair, l’IAM est la brique qui relie la cybersécurité, la productivité des utilisateurs et la conformité réglementaire.

Pourquoi l’IAM est un métier d’avenir ?

Les chiffres parlent d’eux-mêmes : selon Gartner, d’ici 2026, plus de 80 % des organisations auront mis en place une stratégie IAM centralisée, contre moins de 50 % en 2021. Plusieurs facteurs expliquent cet essor :

• Explosion du cloud : les identités ne sont plus limitées à l’Active Directory interne ; elles s’étendent aux environnements multi-cloud et aux partenaires externes.
• Zero Trust : le paradigme de sécurité moderne repose sur l’identité comme nouveau périmètre de sécurité.
• Multiplication des cyberattaques : le vol d’identifiants est l’un des vecteurs d’attaque les plus courants. Renforcer la gestion des identités devient critique.
• Réglementations de plus en plus strictes : RGPD, DORA, NIS2 imposent une traçabilité fine des accès.
• Expérience utilisateur : les collaborateurs attendent des solutions simples comme le Single Sign-On (SSO) pour réduire la friction.

Résultat : les entreprises recherchent activement des experts capables de concevoir et d’opérer des architectures IAM robustes et évolutives.

Les missions d’un ingénieur IAM

Se spécialiser en IAM ouvre la porte à des missions variées et stimulantes :

• Déploiement de solutions IAM (Azure AD, Okta, Ping Identity, ForgeRock, CyberArk).
• Mise en place de politiques Zero Trust et d’authentification adaptative.
• Automatisation du cycle de vie des identités pour améliorer l’efficacité RH et IT.
• Intégration avec des systèmes tiers (SaaS, applications métier, partenaires).
• Gestion des habilitations avec un modèle RBAC (Role-Based Access Control) ou ABAC (Attribute-Based Access Control).
• Audit et reporting pour garantir la conformité et réduire les risques.

C’est un métier à la croisée de la technique et de la gouvernance, qui exige de comprendre à la fois les besoins de l’entreprise et les contraintes de sécurité.

Les compétences clés pour un ingénieur IAM

Pour exceller dans ce métier, plusieurs compétences sont incontournables :

• Maîtrise des protocoles IAM : SAML, OAuth 2.0, OpenID Connect, SCIM.
• Connaissance des solutions du marché : Azure AD, Okta, Ping Identity, SailPoint, CyberArk.
• Compétences en scripting et automatisation : PowerShell, Python, API REST.
• Notions de gouvernance et conformité : gestion des risques, RGPD, audits.
• Approche Zero Trust : savoir concevoir une architecture basée sur l’identité.
• Soft skills : communication avec les équipes métiers, pédagogie, gestion de projet.

Comment se former à l’IAM ?

Plusieurs parcours permettent de se spécialiser :

• Certifications techniques :
  • Microsoft Certified : Identity and Access Administrator Associate (SC-300)
  • Okta Certified Professional
  • Ping Identity Certified Specialist
  • CyberArk Trustee/Defender
• Certifications de gouvernance :
  • Certified Identity and Access Manager (CIAM)
  • Certified Information Systems Security Professional (CISSP) avec concentration IAM
• Formation pratique : participation à des projets IAM en entreprise, mise en place de lab en environnement cloud, suivi de MOOC spécialisés (Coursera, Pluralsight).

Se former en continu est essentiel dans ce domaine, car les solutions IAM évoluent rapidement et les menaces se perfectionnent constamment : rester à jour est la clé pour rester pertinent et efficace en tant qu’ingénieur IAM.

Perspectives de carrière pour un ingénieur IAM

L’IAM est un secteur en forte croissance, avec des postes très demandés :

• Expert IAM
• Architecte IAM
• Consultant en gouvernance des identités
• Responsable sécurité des identités (IAM Manager)
• Expert Zero Trust

Les salaires suivent cette tendance : un ingénieur IAM expérimenté peut prétendre à une rémunération supérieure à la moyenne des autres profils cybersécurité, en raison de la rareté des compétences.

Conclusion

Se spécialiser en IAM représente aujourd’hui bien plus qu’un simple choix technique : c’est un véritable investissement sur l’avenir. En se positionnant sur cette expertise, les ingénieurs sécurité participent activement à la transformation numérique des organisations, tout en jouant un rôle clé dans la protection de leurs données les plus sensibles. L’IAM permet de concilier innovation, conformité et cybersécurité, tout en offrant de nombreuses perspectives d’évolution professionnelle. Dans un monde où l’identité est devenue le nouveau périmètre de sécurité, l’IAM s’impose comme un domaine stratégique et passionnant pour quiconque souhaite façonner l’avenir de la cybersécurité.

Les organisations ne cherchent plus seulement à se protéger ; elles veulent piloter la sécurité comme un levier de performance et de résilience, aligné sur les risques métiers. IAM, DevSecOps, Zero Trust, indicateurs de pilotage… Autant de briques qui ne prennent tout leur sens qu’au sein d’une stratégie globale, portée au plus haut niveau de l’entreprise.

Cet article s’appuie sur les chiffres et enseignements issus de l’enquête « Tendances Infrastructures IT 2025 », menée par Synapsys en partenariat avec le CRiP.

Des piliers opérationnels identifiés par la veille cybersécurité

IAM : maîtriser les accès dans un SI de plus en plus fragmenté

Au cœur des priorités identifiées par notre veille cybersécurité, la gestion des identités et des accès (IAM) constitue le socle d’une stratégie de sécurité solide. Dans un contexte où les environnements cloud, SaaS et legacy coexistent, le moindre privilège et la traçabilité des accès deviennent des impératifs. Mal gérés, les droits d’accès sont une porte d’entrée directe pour les attaques internes comme externes.

Un IAM bien conçu permet :

• De cartographier et rationaliser les droits à l’échelle du SI,
• D’identifier rapidement les comptes à risque (dormants, sur-privilégiés),
• De renforcer les contrôles sur les accès à privilèges dans les environnements critiques.

DevSecOps : intégrer la sécurité dès les premières lignes de code

La veille cybersécurité met en lumière la lente mais nécessaire adoption des principes DevSecOps dans les organisations. L’approche DevSecOps, encore peu mature dans de nombreuses organisations, permet d’éviter le « rework » coûteux post-déploiement.

Intégrer la sécurité dans les chaînes CI/CD, c’est :

• Appliquer les principes du DevSecOps pour réduire les vulnérabilités dès la phase de développement, dans un contexte de cycles toujours plus courts,
• Responsabiliser collectivement les équipes dev, ops et sécurité, en instaurant une culture partagée où la sécurité est traitée dès la conception,
• Garantir une meilleure traçabilité des actions et un contrôle continu des risques, sans ralentir l’agilité des projets.

Pour aller plus loin : Mesurez votre maturité DevSecOps

Audit et pilotage : ne plus piloter à l’aveugle

La multiplication des audits et des indicateurs de pilotage ressort également des tendances observées dans notre veille cybersécurité. Un audit de sécurité reste une étape clé : plus d’un tiers des décideurs l’identifient comme une priorité pour évaluer la robustesse de leur SI.

Ce n’est pas l’audit en lui-même qui réduit les risques, c’est sa capacité à déclencher des actions concrètes, à objectiver les décisions et à mesurer les progrès. Les organisations les plus matures industrialisent cette démarche :

• Une mesure régulière des indicateurs clés de performance (KPI) liés à la sécurité (taux de remédiation, détection, couverture IAM…),
• Une harmonisation des pratiques entre les entités du groupe, pour éviter les écarts de maturité ou les angles morts,
• Un alignement clair entre la cybersécurité et les objectifs métiers, pour piloter par la valeur et justifier les priorités budgétaires.

Ainsi, la cybersécurité évolue d’une posture de réaction aux incidents à un véritable atout de résistance opérationnelle, capable de soutenir les projets IT de l’entreprise tout en contrôlant les risques.

Le facteur humain reste central

Notre veille cybersécurité souligne également un consensus : la dimension humaine reste le maillon faible. 60 % des responsables IT misent désormais sur la formation et la sensibilisation continue. Phishing ciblé, manipulation sociale, compromission par négligence : les maillons faibles sont souvent humains.

Former et sensibiliser les collaborateurs est devenu indispensable :

• Cela réduit directement le taux de clic sur les campagnes de phishing,
• Cela permet d’installer des réflexes sécurité durables,
• Cela inscrit la cybersécurité dans la culture d’entreprise.

Pour maximiser cet impact, il est essentiel d’investir dans des programmes de sensibilisation continue, adaptés aux différents profils et métiers. Il faut également simuler régulièrement des attaques, comme des campagnes de phishing, pour tester la vigilance des équipes et renforcer leurs réflexes face aux menaces réelles. Enfin, instaurer une démarche participative où chaque collaborateur comprend son rôle dans la sécurité de l’entreprise transforme la vulnérabilité humaine en un véritable levier de défense.

Pour aller plus loin : Cybermoi/s : sensibilisation à la cybersécurité en entreprise

Menaces, complexité, réglementation : les enseignements clés de la veille cybersécurité

L’année 2024 a vu une explosion des cyberattaques industrielles, plus rapides, plus ciblées, et soutenues par l’intelligence artificielle. Parallèlement, les environnements IT se complexifient, rendant la gouvernance cybersécurité plus difficile. Enfin, les régulations se renforcent : NIS2, DORA, RGPD… autant d’évolutions suivies de près par notre veille cybersécurité.

Face à cette triple pression (menace, complexité et cadre réglementaire), il devient crucial d’adopter une posture proactive et structurée.

Il ne s’agit plus seulement de protéger, mais d’anticiper, de piloter avec précision et de démontrer en permanence la résilience de son organisation. C’est un impératif stratégique, indispensable pour assurer la pérennité et la compétitivité de l’entreprise dans un monde numérique toujours plus exposé.

Ce qu’une DSI doit prioriser aujourd’hui

1. Déployer un IAM robuste, transverse et dynamique, intégrant les environnements cloud et SaaS.
2. Renforcer la culture DevSecOps, en injectant la sécurité dès les phases de build.
3. Outiller l’audit et le pilotage, avec des indicateurs orientés risque métier.
4. Sensibiliser en continu, avec des campagnes ciblées, mesurables, et intégrées dans les parcours RH.
5. Améliorer la détection et la réponse, en consolidant EDR, XDR, SIEM, SOAR dans une logique intégrée.
6. Adopter une posture Zero Trust, en vérifiant systématiquement chaque utilisateur, chaque appareil, chaque transaction.

Comment mettre en place une veille cybersécurité efficace ?

Pour accompagner ces transformations, mettre en place une veille cybersécurité régulière et structurée devient indispensable. Voici les bonnes pratiques recommandées :

• S’appuyer sur des sources fiables : CERT-FR, ANSSI, éditeurs spécialisés, cabinets d’analyse, forums professionnels.
• Automatiser la veille avec des outils dédiés pour ne manquer aucune alerte.
• Suivre les évolutions réglementaires et normatives (NIS2, DORA, ISO 27001…).
• Intégrer la veille dans les rituels des équipes IT et sécurité pour une mise à jour continue des connaissances.

La veille cybersécurité est un levier de résilience, mais aussi d’anticipation stratégique. Elle permet aux DSI de rester en alerte, d’aligner la cybersécurité sur les enjeux métiers et de transformer une obligation en véritable avantage concurrentiel.

Avec la menace permanente des cyberattaques, la continuité des services IT est un enjeu majeur pour les entreprises qui n’ont plus le luxe d’opposer exploitation (Run) et sécurité. C’est dans ce contexte qu’émerge une approche résolument moderne et stratégique : SecOps.

Mais que signifie réellement cette alliance entre le run et la cybersécurité ? Pourquoi ce modèle hybride séduit-il autant les entreprises… et les experts IT ? Décryptage complet d’une approche qui redéfinit les rôles, les compétences, et les trajectoires de carrière dans l’IT.

Qu’est-ce que le SecOps ?

SecOps, contraction de Security Operations, désigne l’intégration de la cybersécurité dans les opérations informatiques quotidiennes. Loin d’être un simple acronyme « tendance », c’est une culture d’organisation qui vise à :

• Améliorer la sécurité des environnements en production « by design »
• Fluidifier la collaboration entre équipes exploitation (Run), réseau, système, cloud et sécurité
• Réduire le temps de réaction face aux incidents et attaques
• Assurer la conformité réglementaire en continu

C’est une extension naturelle du DevSecOps, mais adaptée aux environnements de production et de maintien en conditions opérationnelles (MCO).

Concrètement, que recouvre une approche SecOps ?

Un environnement SecOps repose sur trois piliers : technologie, processus, culture.

1. La technologie : de la supervision à la remédiation automatisée

Le socle technologique d’un dispositif SecOps repose sur des outils capables de :

• Surveiller les activités réseau et système en temps réel
• Corréler les événements suspects à grande échelle
• Déclencher des alertes intelligentes et des actions correctives

Parmi les solutions fréquemment utilisées :

• SIEM (Splunk, ELK, QRadar) : collecte et analyse de logs
• EDR/XDR : détection de menaces aux endpoints
• SOAR : orchestration des réponses automatisées
• Scripts personnalisés (Python, PowerShell) pour l’analyse et la remédiation
• Outils d’IaC (Terraform, Ansible) pour sécuriser les déploiements

2. Les processus : intégrer la sécurité au quotidien

SecOps implique une évolution des pratiques d’exploitation. Concrètement :

• Le durcissement des systèmes devient systématique (suppression des comptes par défaut, segmentation réseau…)
• Les patchs de sécurité sont intégrés aux cycles de vie ITIL (gestion des changements, des incidents, des problèmes)
• Les vérifications de conformité sont automatisées et récurrentes
• La gestion des accès fait l’objet d’une attention constante : least privilege, authentification forte, revue périodique

3. Culture : vers une responsabilisation collective

C’est probablement le point le plus complexe et le plus transformateur.

• L’approche SecOps sort la cybersécurité du seul périmètre du RSSI.
• Les équipes run deviennent des acteurs de la sécurité, et plus seulement des opérateurs techniques.
• On assiste à une montée en compétences, une prise d’initiative, et une sensibilisation accrue aux enjeux de risques.

Pourquoi les experts IT s’intéressent (et doivent s’intéresser) au SecOps ?

1. Une montée en compétence naturelle et valorisante

Travailler en SecOps permet d’enrichir son profil technique avec des compétences sécurité recherchées :

• L’analyse de logs et d’incidents de sécurité
• L’automatisation de la détection de vulnérabilités
• La connaissance des normes ISO 27001, NIS2, RGPD
• Le scripting de remédiation (Bash, Python, PowerShell)

Exemple métier : un administrateur Linux qui maîtrise la gestion des logs système peut apprendre à identifier des tentatives d’escalade de privilèges ou des connexions SSH suspectes, et automatiser la réponse via un playbook SOAR.

2. Un rôle clé dans la stratégie d’entreprise

Les environnements SecOps sont souvent plus proches des enjeux métier : continuité d’activité, gestion de crise, protection des données critiques. Cela donne au collaborateur une vision plus stratégique de son métier, loin de l’image du technicien invisible.

3. Une employabilité accrue sur le marché

Les recruteurs recherchent de plus en plus des profils capables de faire le lien entre production et sécurité.
Un ingénieur exploitation ayant une fibre SecOps devient un atout rare et précieux sur le marché de l’emploi.

Quelles formations, certifications et expériences pour se positionner en ingénieur SecOps ?

Se positionner sur un rôle ou une mission à dominante SecOps ne nécessite pas nécessairement de repartir de zéro : il s’agit souvent de capitaliser sur des acquis techniques, tout en ajoutant une couche de compétences sécurité. Le profil idéal conjugue compréhension opérationnelle des systèmes avec une conscience aiguisée des risques cyber.

Les formations SecOps à considérer

• Formations en cybersécurité appliquée à la production (CNAM, Efrei Executive, CyberUni…)
• Mastères spécialisés ou parcours courts (type CESI, ISEP, IMT) sur la sécurité des SI ou la gestion des incidents
• MOOCs ou formations en ligne ciblées sur des plateformes comme OpenClassrooms, TryHackMe ou Coursera
• Formation ITIL avec un volet sécurité pour comprendre l’intégration des risques dans les processus opérationnels

Ces parcours ne visent pas à former des pentesters, mais à donner des réflexes sécurité à des profils infrastructure, réseau ou cloud.

Les certifications valorisantes

Il existe plusieurs certifications clés pour un ingénieur SecOps :

• CompTIA Security+ : parfaite pour les profils juniors souhaitant acquérir une base solide
• Certified SOC Analyst (CSA) : orientée détection et monitoring, souvent accessible en formation continue
• SSCP (Systems Security Certified Practitioner) : très adaptée aux techniciens systèmes ou réseaux
• ISO 27001 Lead Implementer / Auditor : utile pour les missions mêlant sécurité et conformité
• CySA+ ou CEH (Certified Ethical Hacker) : plus techniques, pour les profils souhaitant aller plus loin

Il est également intéressant de valoriser des certifications déjà détenues en exploitation (Linux+, RHCE, Azure/AWS, Cisco) en les complétant par un volet sécurité.

Les expériences à mettre en avant

Les expériences suivantes sont particulièrement valorisées pour un ingénieur SecOps :

• La gestion d’un système de supervision ou de logs (ELK, Zabbix, Prometheus…) avec intégration sécurité
• Une participation active à des audits ou à des campagnes de remédiation
• Des astreintes en environnement sensible ou certifié (banques, industrie, secteur public)
• Des migrations vers le cloud sécurisées (ex : durcissement post-déploiement, IAM cloud…)
• La contribution à des plans de reprise d’activité (PRA) ou de gestion de crise cyber

Quelle place pour le SecOps dans les projets IT d’aujourd’hui ?

L’approche SecOps s’impose progressivement comme un standard dans les environnements IT modernes. Dans un contexte où les incidents de sécurité peuvent avoir des impacts opérationnels majeurs, les projets IT intègrent désormais la cybersécurité dès les phases d’exploitation.

Voici quelques exemples concrets de la manière dont SecOps s’intègre aux projets :

Ce type d’approche est désormais attendu dans de nombreux secteurs (finance, santé, industrie, services publics) et concerne aussi bien des projets de transformation, de migration vers le cloud, que des initiatives de durcissement ou de conformité.

En clair, SecOps n’est plus une spécialité isolée, mais une compétence transverse, qui structure et sécurise tous les projets à fort enjeu.

Comment adopter une démarche SecOps dans une organisation IT ?

L’adoption d’une démarche SecOps peut se faire progressivement, par étapes, en fonction de la maturité des équipes et des environnements existants.

Voici quelques leviers concrets :

• Identifier des points de friction récurrents entre équipes run et sécurité, et co-construire des solutions
• Centraliser les logs dans un SIEM, même basique, pour mieux comprendre les comportements système
• Automatiser les tâches répétitives et à faible valeur (patching, alerting, revue des accès)
• Sensibiliser les équipes IT aux enjeux de sécurité métier, pas uniquement techniques
• Mettre en place des indicateurs partagés : temps moyen de remédiation, niveau de conformité, taux d’incidents détectés en interne

Ce changement d’approche se fait souvent par petits pas, mais ses bénéfices sont rapidement visibles en termes de fiabilité, de coordination et de performance globale.

Le SecOps : un tournant stratégique pour les professionnels de l’IT

Le modèle SecOps incarne une évolution naturelle mais profonde de la gestion des systèmes d’information. En intégrant la cybersécurité au cœur des opérations, il fait tomber les silos, responsabilise davantage les équipes techniques, et remet la résilience au centre des priorités IT. Cette approche ne repose pas uniquement sur des outils ou des processus, mais sur une véritable culture de collaboration, de vigilance et de montée en compétence.

Pour les professionnels du run, du système, du réseau ou du cloud, SecOps représente une opportunité claire : celle d’élargir leur périmètre d’action, d’évoluer vers des rôles plus stratégiques, et de renforcer leur valeur sur le marché. Dans un monde où la continuité de service est devenue vitale et les menaces omniprésentes, savoir faire le lien entre exploitation et sécurité devient un atout incontournable.

Adopter une posture SecOps, c’est choisir d’être acteur de la transformation numérique, et non simple exécutant. C’est prendre part à une nouvelle vision de l’IT : plus fluide, plus résiliente, plus responsable. Et c’est, plus que jamais, se positionner comme un professionnel complet et en phase avec les enjeux technologiques d’aujourd’hui… et de demain.

Le mois de la Cybersécurité c’est quoi ?

Le mois de la cybersécurité (Cybermoi/s)est une initiative mondiale visant à promouvoir les bonnes pratiques en matière de cybersécurité, il s’agit d’un événement annuel, généralement organisé en octobre.

Définir des objectifs clairs 

Avant de lancer le mois de cybersécurité, il est important de définir un thème et des objectifs précis.

• Augmenter la sensibilisation aux bonnes pratiques (gestion des mots de passe, détection des tentatives de phishing…).
• Réduire les erreurs humaines, première cause des incidents de cybersécurité.
• Encourager l’engagement de tous dans une démarche d’amélioration continue.

Pour aller plus loin : Passwordless : vers la fin des mots de passe traditionnels ?

Mobiliser la direction et les équipes

Le succès de cette initiative repose sur l’adhésion de la direction et l’engagement des managers. Une communication en amont sur les enjeux et les bénéfices, permettra de créer un climat de confiance et d’intérêt autour du programme.

Préparer un planning engageant

Impliquer votre service de communication, et si besoin à une agence spécialisée, pour garantir des supports attrayants. Variez les formats et les canaux pour maximiser l’impact vos messages de sensibilisation à la cybersécurité.

Établissez un calendrier détaillé des événements que vous souhaitez organiser, ci-dessous quelques exemples :

• Teaser de lancement pour éveiller la curiosité.
• Ateliers interactifs et collaboratifs sur les cyberattaques et les bonnes pratiques.
• Escape game cybersécurité pour apprendre de façon ludique.
• Cyber Quiz quotidien avec récompenses à la clé.
• Conférences avec des intervenants externes.
• Vidéos courtes et dynamiques (1 à 3 min) : Les vidéos sont un excellent moyen d’attirer l’attention et de rendre les messages accessibles à tous. 
• Posters et affiches diffusés sur site ou par voie numérique.
• Simulations de phishing : organiser un test réaliste avant et après le mois de la Cyber pour mesurer l’impact de ce dernier sur la vigilance des équipes et leur sensibilisation.
• Écrans de veille informatifs diffusant des conseils pratiques

 Il est également pertinent de réaliser des benchmarks avec d’autres entreprises pour situer le niveau de maturité de votre organisation.

Suivre et mesurer l’efficacité de votre sensibilisation à la cybersécurité

Pour mesurer l’impact du mois de cybersécurité, vous pouvez suivre plusieurs indicateurs :

• Taux de participation : nombre de participants vs nombre d’employés.
• Résultats des simulations de phishing : taux de clic sur les emails test.
• Feedbacks utilisateurs.
• Évolution des incidents ou comportements à risque

Analyser et ajuster

À la fin du mois :

• Analysez les résultats.
• Identifiez les points forts qui ont contribué au succès de l’initiative ainsi que les axes d’amélioration pour affiner les actions futures.
• Intégrez ces enseignements dans la stratégie globale de la cybersécurité de l’entreprise afin de pérenniser la culture de la cybersécurité sur le long terme.

Pérenniser la culture de cybersécurité

Le mois de la cybersécurité est un excellent point de départ, mais il est essentiel de maintenir la dynamique :

• Suivi régulier : Organisez des rappels trimestriels ou semestriels pour maintenir le niveau de vigilance.
• Mise à jour des formations : Adaptez les contenus aux évolutions des menaces et aux retours d’expérience.
• Intégration dans les processus RH : Intégrez la cybersécurité dans les formations d’intégration.
• Ambassadeurs de cybersécurité : Identifiez et formez des champions de la sécurité au sein de chaque département pour relayer les messages et encourager l’adoption des bonnes pratiques.

Conclusion

La réussite du Mois de la Cybersécurité repose sur une préparation soignée, une communication engageante et l’implication de l’ensemble des collaborateurs. Pour en renforcer l’impact, il convient de proposer des actions variées, accessibles et en phase avec les différents profils de l’entreprise.

Plus qu’une simple campagne de sensibilisation à la cybersécurité, cet événement doit s’inscrire dans une dynamique continue de formation. Formats ludiques, interactions concrètes et ancrage dans les enjeux métier sont autant de leviers pour mobiliser durablement.

Le Mois de la Cybersécurité marque ainsi le début d’un engagement collectif : bâtir une culture de sécurité solide, où chacun joue un rôle actif dans la protection des données et des systèmes.

Questions à se poser avant de mettre en place le Mois de la Cybersécurité dans votre entreprise

Le Mois de la Cybersécurité (Cybermoi/s), c’est quoi exactement ?

C’est une initiative mondiale qui se tient chaque année en octobre. Son objectif est de promouvoir les bonnes pratiques en cybersécurité auprès des collaborateurs à travers des actions pédagogiques, ludiques et engageantes.

Pourquoi organiser un Cybermoi/s en entreprise ?

Pour réduire les erreurs humaines, renforcer la vigilance des équipes face aux cybermenaces et ancrer durablement une culture de sécurité. C’est aussi l’occasion de mobiliser les équipes autour d’un projet transversal à forte valeur ajoutée.

Quels indicateurs suivre pour mesurer l’efficacité de l’initiative ?

Les taux de participation, les résultats des simulations de phishing, les feedbacks des utilisateurs et l’évolution des comportements à risque sont des indicateurs clés. Ils permettent d’ajuster les actions et de renforcer la stratégie de sécurité globale.

Comment maintenir l’élan après le mois de sensibilisation à la cybersécurité?

Il est recommandé de planifier des rappels réguliers, de mettre à jour les formations en continu, d’intégrer la cybersécurité dans les parcours d’intégration, et de s’appuyer sur des ambassadeurs cybersécurité dans chaque service pour relayer les bonnes pratiques au quotidien.

L’Identity and Access Management (IAM) est devenu un élément central pour les entreprises cherchant à sécuriser leurs systèmes d’information et à protéger les données sensibles. Avec l’augmentation des cybermenaces et les exigences de conformité toujours plus strictes, il est crucial de gérer efficacement les identités et les accès pour réduire les risques et améliorer la sécurité globale.  

D’après l’étude de Verizon en 2023, près de 50% des brèches dans les systèmes d’informations ont pour point de départ l’utilisation d’informations d’identification volées.  

Une des pistes étudiées pour accroître la sécurité d’accès au SI est la mise en place d’une authentification sans mot de passe, plus communément appelée « Passwordless ».  

Le passwordless se définit par une technique qui consiste à s’affranchir totalement des mots de passe classiques pour l’ensemble des comptes en les remplaçant par des technologies plus fiables ou plus performantes. 

Quelles sont les technologies utilisées par le passwordless ? 

Le passwordless fonctionne à travers plusieurs technologies :  

• Facteurs biométriques : utilisation de caractéristiques physiques uniques grâce à la reconnaissance faciale ou aux empreintes digitales. 
• Jetons matériels : ces jetons ou ces cartes à puce sont des dispositifs physiques que les utilisateurs peuvent utiliser pour l’authentification biométrique, ajoutant une couche supplémentaire de sécurité dans un monde sans mot de passe.
• Les jetons logiciels et les applications mobiles peuvent générer ou recevoir des mots de passe à usage unique et des codes de vérification. Permettant de transformer un objet très commun en outil de sécurité. 
• Codes temporaires : un système utilisé dans de nombreuses offres de services, est l’utilisation de codes temporaires, communiqués à l’utilisateur lors de l’authentification. On peut aussi prendre l’exemple d’un mail contenant un lien pour valider la connexion. 

Pourquoi choisir le passwordless ? 

Sécurité accrue 

Le passwordless se définit par un système de gestion d’accès qui présente plusieurs avantages notables, comme l’amélioration de la sécurité et de l’expérience utilisateur. Grâce à cette suppression de mots de passe, les risques d’attaques par phishing sont grandement réduits, ainsi que les failles liées aux mots de passe faibles et surutilisés.  

Les hackers ne peuvent plus deviner ou voler un mot de passe qui n’existe pas, rendant ainsi les attaques par force brute ou par hameçonnage beaucoup moins efficaces. De plus, certaines méthodes, comme l’authentification biométrique, sont intrinsèquement difficiles à falsifier. Par exemple, les empreintes digitales et la reconnaissance faciale utilisent des caractéristiques uniques et difficiles à reproduire. 

Meilleure expérience utilisateur 

Avec le passwordless, l’utilisateur n’a plus besoin de se souvenir d’un mot de passe complexe ou de devoir en changer régulièrement. Son accès s’en trouvera fluidifié, permettant une adhésion plus forte aux processus de sécurité.  

Les méthodes passwordless simplifient l’accès aux services en ligne, en offrant une expérience utilisateur fluide et sans friction. Les utilisateurs peuvent se connecter rapidement et facilement, sans avoir à se soucier de la gestion des mots de passe. Par exemple, un utilisateur peut simplement utiliser son empreinte digitale ou un lien de connexion envoyé par e-mail pour accéder à son compte. 

Réduction des coûts 

Un des avantages du passwordless qui peut exister, même s’il est moins évident, est la réduction des coûts d’helpdesk. D’après une étude de Gartner entre 20 et 50% de tous les appels helpdesk concernent les réinitialisations de mots de passe. En supprimant ces derniers, il serait logique de réduire de manière conséquente le nombre de tickets arrivant chaque jour.  

Il faut toutefois se dire que cette baisse voit aussi arriver une hausse de demande par rapport aux autres facteurs d’authentifications et qu’il devient de plus en plus commun d’avoir en place un système de réinitialisation de mots de passe automatique en self-service. Cet avantage est donc assez contextuel et ne doit pas être la source majeure d’une transition vers ce système. 

Comment implémenter le passwordless ? 

Avant de lancer la transition vers la méthode d’authentification passwordless, il est requis de mettre en place une stratégie solide et de réaliser une étude approfondie du SI en place. Cela nécessitera un catalogue à jour de tous les logiciels utilisés pour savoir s’ils sont compatibles avec les protocoles de modern authentication.  

De plus en plus de logiciels sont compatibles et peuvent déléguer l’authentification à des systèmes pouvant faire du passwordless mais il faut s’assurer qu’il n’y ait pas de logiciels legacy qui ne pourront pas supporter la non-présence d’un mot de passe.  

Un bon nombre de logiciels IAM permettent de mettre en place une gestion des authentifications Passwordless et il peut être intéressant de consulter ceux qui peuvent déjà être en place pour voir les solutions qu’ils offrent. 

Pour commencer votre étude, vous pouvez répondre à ces points : 

• Quelles sont les populations qui doivent passer au passwordless ou quelles sont celles qui en bénéficieraient le plus dans un premier temps ?
• Quelles sont les méthodes d’authentification qui correspondent le mieux à vos besoins ou exploitent au mieux les technologies déjà présentes ?
• Quel est le niveau d’acceptation des utilisateurs pour les méthodes déjà présentes et comment les faire participer à la mise en place de ce système ? 

Une approche intéressante peut être de commencer à mettre en place une stratégie passwordless pour les administrateurs sur certains comptes à faibles privilèges, puis d’intégrer plus tard des populations qui pourraient avoir plus de réticences à adhérer aux nouvelles méthodes d’authentification.

À lire aussi : IAM : les questions à se poser pour sa stratégie cyber

Quels sont les inconvénients du passwordless ? 

Mise en œuvre de nouveaux moyens d’authentification 

À la différence des mots de passe qui demandent peu d’investissements pour être utilisables, le passwordless nécessite de mettre en place de nouveaux moyens d’authentification. Par exemple, une clé physique, bien que très robuste et facile d’utilisation, peut représenter un coût important en fonction de la taille de l’organisation.  

De plus, une clé physique est facilement perdable et nécessite la mise en place d’un nouveau processus lors de l’arrivée d’un nouveau collaborateur. Le support technique peut également prendre du temps en cas de blocage, et le dépannage est plus complexe. Il est donc essentiel de former les utilisateurs et les administrateurs pour garantir une transition réussie. 

Mise à niveau du parc informatique 

Pour prendre en charge des solutions de biométrie ou de lecture de badge, une mise à niveau du parc informatique peut être nécessaire. Cela peut inclure l’ajout de nouveaux dispositifs et logiciels capables de traiter les données biométriques, ce qui implique des investissements supplémentaires. 

Réticence des utilisateurs 

Les utilisateurs peuvent être réticents à l’adoption du passwordless pour plusieurs raisons. Certains peuvent être réticents au changement et préférer les méthodes traditionnelles. D’autres peuvent ne pas vouloir partager leurs informations biométriques ou utiliser un téléphone personnel pour l’authentification. Enfin, l’utilisation d’une clé physique, qui doit être surveillée et transportée, peut également représenter un obstacle pour certains utilisateurs. 

En somme, bien que la gestion d’accès sans mot de passe offre de nombreux avantages en termes de sécurité et de simplification des processus d’authentification, elle présente également des défis et des inconvénients qui doivent être soigneusement évalués et gérés.

Conseils sur la mise en œuvre du passwordless 

Le mieux est d’intégrer progressivement des solutions passwordless en parallèle avec les mots de passe pour faciliter l’adoption utilisateur et éviter de se lancer dans des solutions trop coûteuses. L’introduction progressive permet aux utilisateurs de se familiariser avec les nouvelles méthodes sans être confrontés à un changement radical, ce qui peut augmenter la résistance. 

Par exemple, une approche graduelle pourrait commencer par implémenter des méthodes passwordless pour des tâches de faible risque, telles que l’accès à des applications internes ou des portails de services. Cela donne aux utilisateurs l’occasion de s’habituer aux nouvelles technologies tout en minimisant les perturbations potentielles. 

Parallèlement, il serait prudent de déployer une solution complète et robuste sur des groupes de population restreints et à risque élevé, tels que les employés ayant accès à des données sensibles ou à des systèmes critiques. En ciblant ces groupes spécifiques, les entreprises peuvent maximiser la sécurité de leurs actifs les plus précieux avec un investissement initial relativement modeste. Par exemple, les départements financiers, les équipes de recherche et développement, et les administrateurs système pourraient bénéficier en priorité de l’authentification passwordless. 

En procédant ainsi, les entreprises pourront évaluer l’efficacité et la fiabilité des solutions passwordless dans des contextes variés et ajuster leur stratégie en conséquence. Cette approche réduit également les risques financiers liés à une mise en œuvre à grande échelle dès le départ, offrant un retour sur investissement plus mesuré et mieux contrôlé. 

Alors qu’il y a quelques décennies, les menaces numériques se limitaient à des virus et des vers informatiques relativement simples, nous sommes aujourd’hui confrontés à des attaques beaucoup plus sophistiquées et critiques.

Chaque jour, des millions de cyberattaques ciblent des particuliers, des entreprises et des institutions gouvernementales. Ces attaques prennent différentes formes : phishing/ransomwares, malwares, usurpation d’identité, et bien d’autres.

Selon une enquête menée en 2025 par Synapsys, 60% des décideurs interrogés considèrent la formation et la sensibilisation à la cybersécurité des collaborateurs comme un enjeu majeur en 2025. On vous en dit plus dans cet article.

Stratégies de sensibilisation à la cybersécurité en entreprise

Les mesures essentielles de sensibilisation à la cybersécurité

• Créer des formations sur mesure en cybersécurité
  • Formations interactives adaptées aux besoins de l’entreprise.
  • Scénarios pratiques, quizz et vidéos explicatives pour maintenir l’engagement des employés.
• Organiser des ateliers interactifs et réguliers de sensibilisation à la cybersécurité
  • Mettre en place des sessions de formation en présentiel ou en ligne pour enseigner les bonnes pratiques en matière de cybersécurité.
  • Aborder des thématiques variées, comme la gestion des mots de passe, la reconnaissance des e-mails frauduleux, l’importance des mises à jour logicielles ou la protection des données personnelles.
  • Inviter des experts ou des partenaires externes pour partager des cas réels d’attaques et leurs impacts.
• Lancer des simulations de phishing
  • Tester régulièrement la vigilance des employés en leur envoyant de faux e-mails de phishing conçus pour imiter les menaces réelles.
  • Analyser les résultats pour identifier les faiblesses et adapter les formations.
  • Mettre en place une stratégie de sensibilisation à la cybersécurité et de communication en fonction des profils identifiés (par exemple, « clickers » pour ceux qui cliquent souvent sur des liens suspects ou « serial failers » pour ceux qui échouent régulièrement).
• Capitaliser sur le mois de la cybersécurité
  • Profiter du mois de la cybersécurité pour renforcer les actions de sensibilisation.
  • Déployer une campagne multimédia (posters, vidéos, économiseurs d’écran…) pour rappeler les bonnes pratiques de manière visuelle et percutante.
  • Organiser des événements ludiques, comme des concours, des quiz, des jeux pour renforcer l’engagement des employés.
• Impliquer et sensibiliser les dirigeants à la cybersécurité
  • Faites de la cybersécurité une priorité au sein de la direction.
  • Encourager les dirigeants à participer activement aux initiatives de sensibilisation à la cybersécurité pour montrer l’exemple et souligner l’importance du sujet.

Sensibilisation à la cybersécurité pour les particuliers

Avant même d’être sensibilisé à la cybersécurité dans le cadre de l’entreprise, il est crucial de l’être en tant que particulier, en adoptant des gestes de prudence et en étant conscient des menaces auxquelles nous sommes confrontés.

Voici quelques bonnes pratiques qu’il est intéressant de respecter :

• Créer des mots de passe robustes : un bon mot de passe contient au moins 12 caractères, mélangeant majuscules, minuscules, chiffres et symboles.
• Utiliser un gestionnaire de mots de passe pour éviter les oublis.
• Reconnaître les attaques de phishing : se méfier des e-mails ou messages qui demandent des informations personnelles ou financières. Vérifier les adresses et éviter les clics suspects.
• Mettre à jour ses appareils : activer les mises à jour automatiques.
• Protéger son Wi-Fi : configurer un mot de passe sécurisé.

Pour aller plus loin : Attaques d’ingénierie sociale : comment les prévenir ?

Pourquoi la sensibilisation à la cybersécurité est-elle incontournable ?

La sensibilisation à la cybersécurité n’est pas simplement un choix, mais une nécessité. Les entreprises perdent des milliards chaque année à cause des violations de données. Pour les particuliers, les conséquences peuvent être tout aussi dévastatrices, allant de la perte d’informations personnelles à des atteintes financières importantes ou encore à l’usurpation d’identité.

La plupart des cyberattaques exploitent des failles humaines : clics imprudents, mots de passe faibles ou absence de vigilance. La sensibilisation à la cybesécurité permet de réduire ces risques et de transformer les utilisateurs en véritables gardiens de leur propre sécurité numérique.

Avec l’essor du télétravail, les connexions depuis des réseaux domestiques souvent moins sécurisés représentent des cibles faciles pour les cybercriminels.

Sensibiliser les collaborateurs à la cybersécurité, y compris dans leur vie privée, est essentiel pour renforcer la sécurité globale de l’entreprise. Les comportements numériques adoptés à domicile influencent directement les pratiques professionnelles.

Une vigilance accrue à la maison devient ainsi une véritable barrière contre les risques touchant les actifs stratégiques de l’entreprise.

Exemples de cyberattaques récentes et leurs conséquences

Microsoft (2024) : une attaque DDoS provoque une panne mondiale

Le 30 juillet 2024, Microsoft a subi une panne mondiale affectant les services Azure et Outlook. L’entreprise a confirmé que cette interruption était due à une attaque DDoS, rendant de nombreux services inaccessibles pendant plusieurs heures. L’attaque a mis en évidence des vulnérabilités dans les mécanismes de défense de Microsoft, qui, dans ce cas, ont involontairement aggravé la situation en raison d’une erreur d’implémentation.

Source : Forbes

Viamedis & Almerys (2024) : fuite des informations personnelles de 33 millions d’assurés français

En février 2024, les opérateurs de tiers payant Viamedis et Almerys ont subi une cyberattaque entraînant la divulgation des informations personnelles de 33 millions d’assurés français. Les données compromises comprenaient les numéros de Sécurité Sociale, les garanties contractuelles et les informations des ayants droit. La CNIL a alerté sur les risques accrus d’usurpation d’identité et d’escroqueries ciblant les victimes de cette attaque.

Source : Violation de données de deux opérateurs de tiers payant : la CNIL ouvre une enquête et rappelle aux assurés les précautions à prendre | CNIL

Marriott (2022) : exfiltration de 20 Go de données sensibles suite à une attaque par ingénierie sociale

En juillet 2022, des pirates ont accédé à un serveur d’un hôtel Marriott dans le Maryland, exfiltrant environ 20 Go de données sensibles, y compris des informations sur les cartes de crédit des clients et des documents internes confidentiels. L’attaque a été facilitée par une technique d’ingénierie sociale, où un employé a été trompé pour fournir un accès à son ordinateur.

Sources : The biggest cyber attacks of 2022 | BCS ; Marriott Hotels Suffers Second Data Breach in 2022 – IT Security Guru

L’important de la sensibilisation à la cybersécurité

Dans un monde hyperconnecté, la cybersécurité concerne tout le monde. Protéger nos données et nos activités nécessite une vigilance constante et un engagement collectif.

En sensibilisant chacun à la cybersécurité, que ce soit à la maison ou au travail, nous réduisons considérablement les menaces. Une personne informée est une personne mieux protégée.

Pour aller plus loin

Article – Gestion des identités dans l’IT : sécuriser son SI avec l’IAM

Article – Sécurité Cloud : quels sont les outils et les bonnes pratiques ?

L’évaluation de la maturité DevSecOps à travers un cadre structuré permet de comprendre où se situe actuellement l’organisation dans l’intégration de la sécurité dans les pratiques DevOps et identifier les domaines nécessitant des améliorations.

Premièrement, cela aide à identifier les lacunes dans les pratiques de sécurité actuelles et à prioriser les actions à entreprendre pour les combler. En mesurant la maturité, l’organisation peut établir une feuille de route claire pour améliorer continuellement la sécurité tout au long du cycle de vie du développement logiciel.

Deuxièmement, cela permet de suivre les progrès réalisés au fil du temps. En évaluant régulièrement la maturité DevSecOps, on peut voir comment les initiatives de sécurité évoluent et s’assurer qu’elles restent alignées avec les objectifs de l’organisation.

Enfin, cela favorise une culture de sécurité. En intégrant la sécurité dès le début et en la considérant comme une partie intégrante du processus DevOps, l’organisation encourage une collaboration plus étroite entre les équipes de développement, d’exploitation et de sécurité.

Les « DevSecOps Maturity Model » présentés dans cet article doivent être utilisés comme des boussoles qui permettent de guider l’organisation à travers 3 questions :

• Quel est mon niveau actuel ?
• De quel niveau ai-je besoin ?
• Que dois-je mettre en place ?

OWASP DevSecOps Maturity Model (DSOMM)

Le modèle OWASP DevSecOps Maturity Model (DSOMM) est un cadre structuré conçu pour aider les organisations à intégrer la sécurité de manière fluide dans leurs pratiques DevOps. Il vise à introduire la sécurité dès le début du cycle de vie du développement logiciel, en étendant la collaboration entre les équipes de développement, d’exploitation et de sécurité.

Le DSOMM se structure autour de quatre piliers principaux :

• Culture : Promouvoir la sécurité au sein des équipes.
• Automatisation : Automatiser les tests de sécurité pour détecter les vulnérabilités.
• Monitoring : Surveiller en continu les menaces et apporter une réponse rapide aux incidents.
• Gouvernance : Mettre en place des politiques, normes et réglementations claires.

Le modèle DSOMM offre une structure claire et spécifique à la sécurité, facilitant son application dans les pratiques DevSecOps, mais peut devenir complexe à gérer pour les grandes entreprises et manque de support officiel continu.

Gartner DevSecOps Maturity Model

Le modèle de maturité DevSecOps de Gartner est organisé en cinq dimensions distinctes, chacune abordant un domaine clé du DevSecOps :

1. Compétences et connaissances en sécurité : l’amélioration des compétences en sécurité des équipes de développement à travers des formations et des ressources spécifiques.
2. Activation des développeurs : Il s’agit de fournir aux développeurs les outils et les environnements nécessaires pour intégrer la sécurité dans leur flux de travail quotidien.
3. Conception sécurisée et évaluation des menaces : l’intégration de la sécurité dès la phase de conception et l’évaluation continue des menaces potentielles.
4. Pratiques de sécurité automatisées : L’automatisation des tests de sécurité et des processus de détection des vulnérabilités.
5. Sécurité de la chaîne d’approvisionnement logicielle : sécuriser l’ensemble de la chaîne d’approvisionnement logicielle, en s’assurant que tous les composants utilisés sont sécurisés et conformes aux normes de sécurité.

Le modèle de Gartner est reconnu pour sa flexibilité, permettant son adaptation à différents types d’organisations. Cependant, il est souvent derrière un paywall, ce qui peut limiter l’accès aux détails du modèle. Il faut noter qu’il s’agit d’un modèle reconnu sur le marché et souvent utilisé comme un standard.

BSIMM (Building Security In Maturity Model)

Le modèle BSIMM (Building Security In Maturity Model) est un cadre descriptif conçu pour aider les organisations à mesurer et améliorer leurs initiatives de sécurité logicielle. Contrairement aux modèles prescriptifs qui fournissent une liste de tâches à mettre en œuvre, le BSIMM est basé sur l’observation des pratiques réelles utilisées par des centaines d’organisations à travers diverses industries.

Le BSIMM se concentre sur la compréhension de ce que font réellement les organisations réussies pour sécuriser leurs logiciels. Il fournit un ensemble complet d’activités regroupées en domaines spécifiques qui servent de référence. En comparant leurs propres pratiques de sécurité à ces observations, les organisations peuvent identifier les lacunes, prioriser les améliorations et aligner leurs efforts sur les pratiques éprouvées de l’industrie.

Les principaux avantages du BSIMM incluent sa large couverture des pratiques de sécurité logicielle et sa capacité à permettre le benchmarking des pratiques avec celles d’autres entreprises. Cependant, il n’est pas spécifiquement conçu pour le DevSecOps, ce qui peut nécessiter une adaptation spécifique, et il peut être complexe en raison de son niveau de détail.

DevOps Institute DevSecOps Capability Maturity Model

Le modèle de maturité DevSecOps du DevOps Institute se distingue par son approche holistique, couvrant plusieurs dimensions essentielles.

Il se compose de quatre niveaux de maturité, chacun représentant une progression dans l’intégration des pratiques de sécurité. Les dimensions clés incluent la culture, l’automatisation, la gouvernance et la résilience. Le modèle met l’accent sur la formation continue et l’amélioration des compétences en sécurité des équipes de développement.

Cependant, il est important de noter que ce modèle peut présenter certaines limitations, notamment une documentation moins abondante comparée à d’autres modèles plus établis. De plus, étant relativement nouveau, il peut manquer de maturité par rapport à d’autres cadres plus anciens.

SAMI (Security Assurance Maturity Model for DevOps)

Le modèle SAMI (Security Assurance Maturity Model for DevOps) est un modèle qui dispose d’une orientation forte sur la sécurité et sa flexibilité, permettant son application à différents environnements DevOps.

Les avantages du modèle SAMI incluent une excellente couverture de la gestion des dépendances logicielles et une spécificité pour les pratiques DevSecOps. Cependant, il présente aussi des inconvénients, tels qu’une utilisation limitée et une documentation moins abondante comparée à d’autres modèles plus connus.

Microsoft DevSecOps Maturity Model

Le modèle de maturité DevSecOps de Microsoft se distingue par son adaptabilité et sa simplicité, ce qui le rend facile à mettre en œuvre et à adapter selon la taille et le type d’organisation.

Le modèle de maturité DevSecOps de Microsoft se concentre sur plusieurs dimensions clés :

• Gestion des secrets : Assurer la protection des informations sensibles.
• Protection des applications en temps réel : Utiliser des mécanismes de protection pour détecter et prévenir les attaques en temps réel.
• Gestion des informations et des événements de sécurité : Collecter et analyser les données de sécurité pour une réponse rapide aux incidents.
• Analyse des composants logiciels : Évaluer les composants logiciels pour détecter les vulnérabilités.
• Tests de sécurité des applications : Inclure des tests statiques et dynamiques pour identifier les failles de sécurité.

Le modèle de maturité de Microsoft est conçu pour réduire les risques, optimiser l’efficacité, et aligner la sécurité avec les objectifs commerciaux. Cependant, il est plus adapté aux écosystèmes Microsoft et peut manquer de détails spécifiques par rapport à certains autres modèles.

Sonatype DevSecOps Maturity Model

Le modèle de maturité DevSecOps de Sonatype met l’accent sur la gestion des composants logiciels et des dépendances, ce qui est crucial pour assurer la sécurité tout au long du cycle de vie du développement logiciel.

Le modèle de Sonatype se concentre sur plusieurs dimensions clés :

• Gestion des composants : Il met l’accent sur l’identification et la gestion des dépendances logicielles, en s’assurant que tous les composants utilisés sont sécurisés et conformes aux normes de sécurité.
• Automatisation : L’automatisation des tests de sécurité et des processus de détection des vulnérabilités est cruciale pour garantir une sécurité continue et efficace.
• Culture de sécurité : Promouvoir une culture de sécurité au sein des équipes de développement et d’exploitation pour intégrer la sécurité dès le début du cycle de vie du développement logiciel.
• Surveillance continue : Surveiller en continu les menaces et apporter une réponse rapide aux incidents.

Les avantages du modèle Sonatype incluent une excellente couverture de la gestion des dépendances logicielles et une spécificité pour les pratiques DevSecOps. Cependant, il présente aussi des inconvénients, tels qu’une portée limitée par rapport à d’autres modèles plus larges et une concentration principalement sur la gestion des composants.

NIST Cybersecurity Framework (Adaptation for DevSecOps)

Lorsqu’il est adapté pour le DevSecOps, le NIST Cybersecurity Framework (CSF) aide les organisations à intégrer la sécurité dans leurs pratiques DevOps de manière structurée et efficace.

Le modèle NIST CSF pour DevSecOps se concentre sur plusieurs aspects clés :

• Identification : Comprendre et gérer les risques de cybersécurité pour les systèmes, les actifs, les données et les capacités.
• Protection : Mettre en place des mesures de sécurité pour garantir la livraison continue de services critiques.
• Détection : Développer et mettre en œuvre des activités appropriées pour identifier la survenue d’un événement de cybersécurité.
• Réponse : Prendre des mesures appropriées après la détection d’un incident de cybersécurité.
• Récupération : Maintenir des plans de résilience et restaurer les capacités ou services affectés par un incident de cybersécurité.

Les avantages du modèle NIST CSF incluent sa réputation solide et son alignement avec les normes de sécurité, ce qui aide les organisations à respecter les réglementations. Cependant, il n’est pas spécifiquement conçu pour le DevSecOps, ce qui peut nécessiter une adaptation importante pour une application DevSecOps.

Comment choisir son DevSecOps Maturity Model ?

Pour choisir un modèle de maturité DevSecOps adapté à son organisation, il est essentiel de prendre en compte plusieurs critères clés :

1. Alignement avec les objectifs de l’organisation : Il est crucial que le modèle choisi soit en phase avec les objectifs stratégiques et commerciaux de ton organisation. Cela garantit que les efforts en matière de sécurité soutiennent les priorités globales de l’entreprise.
2. Niveau de maturité actuel : Évaluer le niveau de maturité actuel de l’organisation en matière de DevSecOps est une étape fondamentale. Cela permet de comprendre les forces et les faiblesses existantes et de définir un point de départ clair.
3. Flexibilité et adaptabilité : Le modèle doit être suffisamment flexible pour s’adapter aux spécificités de l’organisation, qu’il s’agisse de la taille, de la structure ou des technologies utilisées. Un modèle adaptable facilite l’intégration progressive des pratiques DevSecOps.
4. Couverture des pratiques de sécurité : Il faut s’assurer que le modèle couvre un large éventail de pratiques de sécurité pertinentes pour l’environnement en question. Cela inclut la gestion des composants logiciels, l’automatisation des tests de sécurité, et la surveillance continue.
5. Soutien et documentation : La disponibilité de ressources, de documentation et de support est essentielle pour la mise en œuvre efficace du modèle. Un modèle bien documenté et soutenu par une communauté active peut grandement faciliter l’adoption et l’amélioration continue.
6. Benchmarking et comparaison : Choisir un modèle qui permet de comparer les pratiques de l’organisation avec celles d’autres entreprises peut être très bénéfique. Cela aide à identifier les meilleures pratiques et à s’inspirer des réussites d’autres organisations.

DevSecOps Maturity Model : lequel retenir ?

• Modèles spécifiques à la sécurité (OWASP, SAMI, Sonatype) : Idéal pour les organisations qui cherchent à renforcer leur intégration de la sécurité dans DevOps, mais peuvent être limités par leur spécialisation.
• Modèles généraux (Gartner, Microsoft, NIST CSF) : Offrent une grande flexibilité et sont souvent plus faciles à adapter, mais peuvent manquer de détails spécifiques à DevSecOps.
• Modèles bien établis (BSIMM, NIST CSF) : Fournissent une couverture complète et sont bien reconnus, mais peuvent nécessiter des efforts supplémentaires pour une application DevSecOps.

Chaque modèle a ses propres forces et faiblesses, et le choix du modèle le plus adapté dépendra des besoins spécifiques de votre organisation, de son contexte, et de son niveau de maturité actuel en DevSecOps.

Pour aller plus loin

Article – Checklist d’un audit DevOps / DevSecOps

Article – Comment mettre en œuvre une approche DevSecOps ?

Microsoft rend obligatoire l’authentification multifacteur pour ses portails d’administration Azure et Microsoft 365. En imposant la MFA, l’objectif est clair : mieux protéger les administrateurs et les utilisateurs des menaces croissantes de cybersécurité. Cette obligation, qui s’inscrit dans le cadre de l’initiative Secure Future, vise à réduire drastiquement les risques de piratage, en particulier les attaques de phishing, qui continuent de cibler les comptes non protégés.  

L’authentification multifacteur constitue une barrière de sécurité supplémentaire, en exigeant non seulement un mot de passe, mais également un deuxième facteur de vérification, comme un code envoyé sur un smartphone ou une authentification biométrique.

Selon Microsoft, cette mesure pourrait prévenir jusqu’à 90 % des attaques visant les comptes administrateurs. Les comptes non protégés sont souvent la cible privilégiée des hackers, et la MFA permet de bloquer la majorité des tentatives d’accès frauduleuses.

MFA Microsoft : qui est concerné par l’obligation de la MFA ?

L’obligation d’activer la MFA par Microsoft s’applique aux : 

• Utilisateurs se connectant aux outils de gestion Microsoft tels que le Portail Azure, Microsoft Intune, Azure PowerShell, Azure CLI et l’API Graph
• Administrateurs gérant les accès et les configurations
• Comptes d’accès d’urgence, souvent utilisés en cas de besoin critique
• Comptes d’utilisateurs mal utilisés, souvent employés comme comptes de services notamment pour automatiser des tâches ou exécuter des scripts 

A noter que les identités non humaines, comme celles utilisées pour les processus non interactifs, ne sont pas affectées par cette obligation. 

MFA Microsoft : les ressources affectées par la MFA obligatoire

L’obligation d’activer l’authentification multifacteur (MFA) par Microsoft ne concerne pas uniquement les portails d’administration principaux, mais impacte un ensemble d’outils de gestion utilisés quotidiennement par les administrateurs pour gérer leurs environnements Azure et Microsoft 365.

Voici les principales ressources affectées par cette mesure de Microsoft : 

• Centre d’administration Microsoft
• Interface de ligne de commande Azure (Azure CLI)
• Azure PowerShell
• Infrastructure as Code (IaC)
• Application mobile Azure
• Portail Azure 

MFA Microsoft : calendrier de mise en œuvre

La mise en place de la double authentification obligatoire se fera en deux vagues successives : 

Première vague (15 octobre 2024) 

Cette phase couvrira les principaux portails d’administration, tels que le Portail Azure, le Centre d’administration Intune, et le Centre d’administration Microsoft Entra. Tous les utilisateurs se connectant à ces portails devront activer la MFA. 

Deuxième vague (début 2025) 

Elle inclura des outils plus techniques, tels que Azure CLI, Azure PowerShell, l’application mobile Azure ainsi que les outils d’Infrastructure as Code (IaC). 

Actions recommandées par Microsoft pour une transition réussie de la MFA

Afin d’assurer une transition sans encombre, Microsoft recommande plusieurs actions pour les administrateurs et équipes IT : 

1. Activation immédiate de la MFA pour anticiper les changements et éviter des interruptions de service après les dates butoirs. L’activation est facilitée par des paramètres de sécurité par défaut, accessibles même aux organisations disposant d’un compte Entra ID Free. 

2. Mise en place d’une stratégie d’accès conditionnel. Cette stratégie assure que seules les connexions respectant certaines conditions (comme un appareil conforme ou un emplacement sécurisé) peuvent accéder aux ressources sensibles. 

3. Sécurisation des comptes d’urgence avec une clé de sécurité FIDO2 ou un jeton OTP logiciel. Il est fortement recommandé de tester ces comptes avant l’application de la MFA obligatoire pour éviter toute coupure d’accès en cas d’urgence. 

Dans le cadre d’une stratégie de gestion des identités et des accès (IAM) dans un environnement IT, il est important de respecter le principe de « Need to Know » (besoin d’en connaître) consistant à aligner les besoins aux privilèges instaurés. Ce n’est pas parce qu’un utilisateur est admin IT qu’il doit avoir accès à des informations métiers par exemple, même s’il peut avoir le pouvoir de s’accorder les droits. Il faut s’assurer dans sa politique IAM que personne n’ait de droits qui outrepassent sa fonction.

IAM : maîtriser l’inventaire de ses outils et de son parc IT

Dans l’IT, on ne peut sécuriser des réseaux, des serveurs ou des machines dont on ignore l’existence. Effectivement, beaucoup d’audit ou de pentests révèlent des machines avec des protocoles legacy obsolètes. Par exemple, il peut s’agir d’une machine Test1234 créée par un développement ou un utilisateur admin à l’époque, qui n’a jamais été supprimée et qui dispose de certains accès.

Pour développement une stratégie IAM dans son environnement IT, il est essentiel de maîtriser son parc de bout en bout, ce qui peut être très difficile chez des grands comptes qui disposent de machines masterisées ou décommissionnées tous les jours. Cela constitue un très gros vecteur de risque dans l’IT.

Souvent, quand on réalise des projets IT de move-to-cloud ou de move-to-another-datacenter, on peut mener un audit et découvrir l’existence de matériels oubliés qu’on ne soupçonnait plus, mais qui sont une porte d’entrée ouverte vers son SI.

IAM : maîtriser ses processus d’attribution et de revue des privilèges

Le « privilege creep » (ou « accumulation des privilèges ») se caractérise par l’accumulation progressive et non contrôlée de privilèges ou de droits d’accès par des utilisateurs au fil du temps, dus à :

• Changement de postes ou de responsabilités : lorsqu’un employé change de poste ou de responsabilités dans l’IT, il peut conserver les privilèges associés à son ancien rôle en plus de ceux nécessaires pour son nouveau poste.
• Manque de révision des privilèges : si les privilèges ne sont pas régulièrement réévalués et mis à jour, un utilisateur peut accumuler des droits d’accès dont il n’a plus besoin.
• Attribution temporaire des droits : parfois, des privilèges supplémentaires sont accordés temporairement pour un projet ou une tâche spécifique, mais ils ne sont pas révoqués une fois le projet terminé.

Les conséquences du « privilege creep » peuvent être sérieuses. Cela peut entraîner des risques de sécurité importants, comme un accès non autorisé à des informations sensibles ou des systèmes critiques, augmentant ainsi la surface d’attaque pour des acteurs malveillants internes ou externes. De plus, cela complique la gestion des accès et la conformité avec les régulations de sécurité.

C’est un élément à prendre en compte dans la gestion de sa stratégie IAM au sein de son environnement IT.

S’assurer d’être à l’état de l’art via l’audit et la veille sur l’IAM

Il est important de réaliser de l’audit et de la veille régulière afin de s’assurer d’être à l’état de l’art en matière de gestion des identités et des accès (IAM), de cybersécurité et d’évolution IT en général.

Nous sommes dans un secteur qui évolue très rapidement, tant en termes d’outils que d’attaques et de nouvelles failles peuvent être décelées quotidiennement.

Disposer d’équipes IT de cyberdéfense (SOC et CERT) pour construire sa stratégie IAM

Que vous soyez un grand compte ou même une entreprise plus petite avec un SOC externe, il est important de disposer d’équipes IT de cyberdéfense qui vont analyser les potentielles attaques et faiblesses :

• SOC (Security Operations Center) : c’est une équipe centralisée qui a pour objectifs de superviser, détecter, analyser et répondre aux incidents de sécurité en temps réel. Le SOC surveille les réseaux, les serveurs, les endpoints, les bases de données, les applications, les sites web et autres systèmes en temps réel pour identifier toute activité suspecte ou malveillante. Il utilise des outils de surveillance de la sécurité, tels que les SIEM (Security Information and Event Management), pour collecter et analyser les données.
• CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) : c’est une équipe spécialisée dans la réponse aux incidents de sécurité. Le CERT se concentre principalement sur la coordination entre les différentes parties prenantes, la gestion des alertes et des avis de sécurité, ainsi que l’analyse post-incident pour proposer des recommandations et des améliorations.

Explorer les outils IAM proposés par les CSP

Les Cloud Service Provider (CSP) proposent de nombreux outils pour gérer les identités et les accès (IAM). Les outils IT, presque trop nombreux, doivent être explorés par les organisations car ils proposent des solutions clé en main pour améliorer la sécurité. D’où le fait de s’assurer d’être à l’état de l’art du marché pour exploiter les outils adaptés à son périmètre, ses contraintes réglementaires et son secteur d’activité (si l’entreprise fait du paiement pour du PCI DSS, du HDS pour des données de santé, etc.)

Réaliser des campagnes de sensibilisation et de fishing 

Il est important de garder une « hygiène cyber » au sein de son entreprise et de réaliser très régulièrement des campagnes de communication et de fishing pour sensibiliser les utilisateurs aux risques cyber.

La sensibilisation est un point essentiel, notamment à une époque où de plus en plus d’utilisateurs peuvent être amenés à se servir d’appareils professionnels pour réaliser des tâches personnelles, ou l’inverse.

Ces campagnes de sensibilisation et de fishing sont également un levier pour faire prendre confiance aux utilisateurs des risques et des impacts en matière de cyber, notamment en regard à la recrudescence de cyberattaques. À titre d’exemple, un téléchargement malheureux d’une pièce jointe non vérifiée peut possiblement faire perdre leur emploi à des centaines ou des milliers de personnes dans les cas les plus graves.

L’Identity and Access Management (IAM) est une démarche essentielle pour garantir la cyber sécurité des SI des organisations. L’IAM se définit comme un ensemble de politiques, de processus et d’outils qui permettent de gérer les identités numériques et de contrôler l’accès aux ressources de l’entreprise.

Avec l’IAM au service de la cyber, les entreprises peuvent s’assurer que seules les personnes autorisées accèdent aux données dont elles ont besoin, réduisant ainsi les risques de violations de sécurité.

IAM : des enjeux complexes en matière de cyber

Annuaires décentralisés

Beaucoup de grandes organisations se développent avec de la croissance externe, et accumulent à travers les fusions et acquisitions un legacy parfois complexe. En matière d’IAM, les entreprises peuvent se retrouver avec de nombreux annuaires disparates, complexes et décentralisés, ce qui amène des risques cyber importants. 

La décentralisation des annuaires peut engendrer de nombreuses problématiques en cyber, et cette gestion des risques conduit souvent les entreprises à entreprendre un projet d’unification de la gestion des annuaires pour réduire la surface d’attaque. Des outils tels qu’Entra ID disposent de fonctionnalités permettant de rassembler différents annuaires en un seul endroit, facilitant ainsi leur centralisation. 

Des méthodes d’authentification disparates

L’accumulation du legacy conduit également les entreprises à s’exposer à des méthodes d’authentification très disparates selon les entités.

La question se pose alors de savoir si l’on doit accorder l’accès aux données et aux outils de l’entité principale à une entité récemment acquise, qui dispose d’un niveau de sécurité plus faible, ou si l’on doit mettre à niveau l’entité acquise afin de l’autoriser à accéder aux données une fois que ses systèmes d’authentification sont sécurisés.

Effectivement, l’utilisation de systèmes d’authentification multiples et complexes augmente les surfaces d’attaque, car plusieurs systèmes d’authentification sont utilisés au sein de différentes entités.

IAM et cyber : les questions à se poser

Comment définir ce qui doit être sécurisé ?

Une gouvernance IAM efficace en matière de cyber se compose de politiques de sécurité, d’outils de détection (IDS, IPS, EDR, SIEM) et d’équipes SOC ou CSIRT dédiées.

Chaque politique de sécurité doit être personnalisée en fonction des différentes typologies de population adressée et leurs usages du SI :

• Les employés internes, 
• Les partenaires,
• Les clients finaux.

Quelles règles donner à son SI ?

Dans le cadre d’une gouvernance des identités et des accès, il est important de disposer des outils permettant de savoir qui s’est authentifié, sur quelle application et à quel moment. Cela permet de suivre exactement l’état de ses identités à un instant T et d’identifier les failles.

Y a-t-il des contraintes réglementaires ?

Dans certains secteurs d’activité, on peut s’exposer à des contraintes réglementaires, comme la RGPD ou même d’autres réglementations spécifiques dans le secteur bancaire par exemple. Ces contraintes imposent aux entreprises d’avoir des politiques permettant de détecter qui fait quoi et à quel moment et d’avoir le moyen de récupérer et d’auditer les données.

Quels sont les outils IAM ?

Parmi les typologies d’outils permettant de gouverner les identités, on retrouve les outils de gestion d’accès, les outils de gestion des identités, puis des outils de gouvernance plus globaux qui permettent de réaliser des revues des habilitations. On parle souvent des « 3A de la gestion d’identité » que sont l’authentification, l’autorisation et l’audit.

Pourquoi centraliser les outils IAM ?

Parmi les outils IAM qui permettent d’unifier la gestion des identités, on retrouve Entra ID, AWS Cognito ou Identity Center AWS. Ces outils permettent une forte centralisation afin d’avoir une gestion unique des identités, ce qui peut à la fois être une force et une faiblesse (si jamais un compte centralisé est corrompu, il va être corrompu pour l’intégralité des applications auxquelles il a accès). Ces outils doivent s’accompagner donc d’un durcissement des politiques de gestion des mots de passe ou de MFA, pour une politique cyber efficace.

Pourquoi gérer l’ouverture et la fermeture des accès ?

L’ouverture et la fermeture des accès est une fonctionnalité clé qu’il faut intégrer dans la gouvernance IAM. Lorsqu’un employé change de poste, il va devoir avoir un profil et des accès différents. Il faut donc avoir un suivi des ouvertures et des fermetures d’accès afin de savoir à quelles ressources et applications l’employé a accès.

Audit des accès : comment ça fonctionne ?

En matière d’audit des accès, il est important de disposer d’outils de conformité et de suivi des utilisateurs afin de réduire les risques. Il peut s’agir d’audit interne et de revue des rôles, mais aussi d’audit externe pour éviter de laisser des « comptes oubliés » utilisé à des fins de test par exemple.

Réconciliation de référentiel, quelle importance ?

La réconciliation de référentiel est également un point important à aborder lorsque l’on aborde la stratégie IAM, notamment dans des environnements grands comptes. Cela permet d’éviter d’avoir des utilisateurs présents dans plusieurs référentiels distincts car ils ont changé d’entité.

IAM : rappel des risques cyber pour les entreprises

Les cyberattaques par ingénierie sociale montent en puissance. On assiste ces dernières années à une recrudescence des tentatives d’attaques de types ransomware, chantage, déni de service … qui sont de l’ordre psychologique (et non technique). En matière d’IAM, les risques cyber les plus importants sont l’usurpation d’identité, le vol de données, l’introduction de malware, de ransomware, etc.

En matière de gestion des identités et des accès, la question n’est pas de savoir « si » mais « quand » je vais me faire attaquer. En 2023, plus de 49% du trafic internet mondial était effectué par des bots. En 2024, on dépasse les 50%. Il y a par défaut des dizaines de millions d’ordinateurs qui sont programmés pour essayer de rentrer là où ils peuvent trouver un accès.

À titre d’exemple, MGM est une entreprise de casino qui a subi récemment une cyberattaque d’ingénierie sociale. Pour mettre la main sur certaines informations, les pirates ont appelé le support en se faisant passer pour un employé dont ils ont trouvé le nom sur LinkedIn. Ils ont demandé à réaliser un reset de mot de passe, ce qui leur a permis de s’introduire dans le système. C’est ce qu’on appelle le « voice phishing » ou le « vishing ».

Pour aller plus loin avec l’IAM

Article – NTLM vs Kerberos : quelles différences ?

Article – Protocole d’authentification : la fin de NTLM et ses alternatives

Lire aussi : Quelles alternatives à NTLM ?

Fonctionnement du protocole d’authentification NTLM

NTLM est un protocole d’authentification basé sur un « challenge-response ». Lorsqu’un utilisateur tente de se connecter à un système ou d’accéder à une ressource, le serveur lui envoie un challenge. 

L’utilisateur répond alors avec un message contenant : 

• Le domaine ;
• Le nom d’utilisateur du client ;
• La réponse au « challenge », qui contient le hash du mot de passe de l’utilisateur. 

C’est ce dernier message qui est le plus critique, puisqu’il contient un secret. 

Kerberos vs NTLM : les avantages et inconvénients du protocole NTLM

Avantages de NTLM

• Facilité de mise en œuvre et de gestion : NTLM est simple à configurer et ne nécessite pas d’infrastructure centrale complexe. 
• Compatibilité avec les systèmes anciens : NTLM est pris en charge par les versions plus anciennes de Windows.  

Inconvénients de NTLM

• Sécurité : NTLM est considéré comme moins sécurisé que Kerberos car il est vulnérable à certaines attaques, telles que l’interception de hash.
• Performances : NTLM peut ralentir les contrôleurs de domaine, en particulier dans les réseaux de grande envergure. 
• Limitations : même s’il en est le précurseur, NTLM ne prend pas en charge le SSO (single sign-on) ni l’authentification déléguée. 

Fonctionnement de Kerberos

Kerberos, quant à lui, est un protocole d’authentification basé sur des tickets. Il utilise un serveur d’authentification centralisé, appelé Key Distribution Center (KDC), qui comprend deux parties : l’Authentication Server (AS) et le Ticket Granting Server (TGS). 

Le protocole se déroule alors comme suit : 

1. Le client envoie une requête chiffrée au serveur d’authentification (AS). Lorsque l’AS reçoit la requête, il cherche dans la base de données Kerberos le mot-clé à l’aide de l’identifiant utilisateur. Si l’utilisateur a donné le bon mot-clé, l’AS déchiffre la requête. 
2. Après la vérification de l’utilisateur, l’AS émet un Ticket Granting Ticket (TGT) qui est envoyé au client. 
3. Le client envoie ensuite le TGT à un serveur d’émission de tickets. Avec le TGT, le client « explique » la raison de l’accès au serveur hôte. Le TGS déchiffre le ticket avec une clé secrète que l’AS et le TGS ont en commun. 
4. Si le TGT est valide, le TGS émet un ticket de service pour le client. 
5. Le client envoie le ticket de service au serveur hôte. Celui-ci déchiffre le ticket avec la clé secrète qu’il partage avec le TGS. 
6. Si la clé secrète correspond, le serveur hôte autorise l’accès du service au client. Le ticket de service détermine combien de temps l’utilisateur peut utiliser le service. Dès que l’autorisation d’accès au service expire, il peut renouveler le processus d’authentification Kerberos grâce à une commande kinit. 

Kerberos vs NTLM : les avantages et inconvénients de Kerberos

Avantages de Kerberos

• Sécurité : Kerberos est considéré comme plus sécurisé que NTLM grâce à l’utilisation de tickets chiffrés, de l’authentification mutuelle et de l’authentification unique. 
• Performances : Kerberos est plus efficace que NTLM car il utilise des tickets légers et un cache efficace, réduisant ainsi le nombre de requêtes d’authentification. 
• Évolutivité : Kerberos est bien adapté aux environnements d’entreprise à grande échelle et prend en charge un grand nombre d’utilisateurs et de ressources. 
• Compatibilité : Kerberos est compatible avec les systèmes modernes et peut être intégré à différents environnements. 

Inconvénients de Kerberos

• Complexité : Kerberos est plus complexe à configurer et à gérer que NTLM, nécessitant une infrastructure centralisée et une gestion minutieuse des clés et des tickets. 
• Compatibilité avec les systèmes hérités : Kerberos peut ne pas être pris en charge par les systèmes hérités plus anciens. 

NTLM vs Kerberos : les principales différences

Mécanisme de gestion de l’authentification 

NTLM fait le choix d’un mécanisme simple en 3 messages. Tandis que Kerberos utilise en processus en deux parties bien distinctes faisant appel à un service de tickets et à un service d’authentification. 

Hash face au chiffrement

NTLM repose sur le hachage de mots de passe, qui consiste en une fonction à sens unique produisant une chaîne de texte basée sur un fichier d’entrée, tandis que Kerberos a recours au chiffrement, qui implique le codage et décodage d’informations en utilisant respectivement une clé de chiffrement et une clé de déchiffrement. Kerberos propose un niveau de sécurité supérieur à NTLM en mettant en œuvre ces fonctions de chiffrement. 

Complexité et performance 

Le protocole Kerberos présente une architecture plus sophistiquée que NTLM, ce qui engendre une consommation de ressources CPU et mémoire supérieure. Néanmoins, cet aspect est compensé par une augmentation globale des performances grâce à la mise en cache des informations d’authentification, minimisant ainsi les demandes d’authentification ultérieures. 

L’installation initiale de Kerberos peut se révéler ardue, notamment en cas de déploiement sur des architectures réseau complexes, contrairement à NTLM qui bénéficie d’une configuration relativement simple et directe. Par ailleurs, la maintenance évolutive de Kerberos exige davantage d’efforts et de connaissances spécialisées, principalement en termes de gestion des stratégies de sécurité et des autorisations associées. 

NTLM vs Kerberos : quelles conclusions ?

NTLM et Kerberos sont deux protocoles d’authentification largement utilisés, chacun présentant ses propres avantages et inconvénients. NTLM est plus simple et plus facile à mettre en œuvre, mais il offre une sécurité et des performances inférieures à celles de Kerberos. Ce protocole est obsolète depuis le 9 juillet 2024.

Kerberos, d’autre part, est plus sécurisé, évolutif et compatible avec les systèmes modernes, mais il est également plus complexe à configurer et à gérer. 

Pour aller plus loin

Webinar – Gestion des identités : comment se protéger des cyber-risques ?

Article – AWS IAM : renforcer la sécurité et la gestion des identités dans le cloud

Vulnérabilités du protocole d’authentification NTLM 

NTLM est la méthode d’authentification principale utilisée avant Windows 2000. Bien que vulnérable à de nombreuses attaques telles que le « Relay attacks » ou le « brut force », NTLM est toujours largement déployé pour maintenir la compatibilité avec les systèmes plus anciens qui ne peuvent pas utiliser les nouvelles technologies de cryptographie. 

NTLM est un outil d’authentification ancêtre du SSO (Single Sign On) qui permet aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs ressources sans avoir à saisir à nouveau leurs informations d’identification.

En effet, NTLM n’est plus recommandé par Microsoft depuis 2010. Par exemple, ce protocole doit être explicitement activé dans Windows 10 (sorti en 2015) ou Windows Server 2016 (sorti en 2016). Cet ensemble de protocoles d’authentification va être abandonné le 7 juillet 2024, lors de la prochaine mise à jour de Windows 11. Par conséquent, il ne sera plus possible d’utiliser ce dernier afin d’authentifier des utilisateurs.

Usages de NTLM

NTLM a été utilisé afin d’authentifier des utilisateurs sur des applications compatibles avec Active Directory. On pourra citer par exemple les partages de fichiers CIFS ou les imprimantes réseaux.

Cette suite de protocoles a également été utilisée dans nombre d’applications métier. Cela permettait d’avoir une implémentation simple (mais vulnérable) d’une forme de SSO.  

Enfin, NTLMv2, et des outils d’authentification réseaux, tels que Radius et Tacacs fonctionnent bien ensemble. Par conséquent, lorsque l’on souhaitait avoir une authentification unique pour ses utilisateurs, il était le protocole privilégié.

On trouve ainsi NTLMv2 dans l’authentification pour des réseaux WiFi (en sous-jacent de WPA, WPA2, WPA3 enterprise), ou pour des VPN (par exemple OpenVPN est compatible avec Radius). 

Il est donc important de comprendre que l’on peut retrouver NTLM à différents niveaux :  

• Infrastructures serveurs ; 
• Infrastructures réseaux ; 
• Applicatifs métier. 

C’est bien là tout le problème de ces protocoles : ils peuvent être partout, et sont souvent peu visibles.

Alternatives au protocole d’authentification NTLM

Heureusement, il existe diverses manières de sécuriser NTLM, ou de le remplacer :

Kerberos

Kerberos est un protocole d’authentification largement utilisé qui fournit une authentification mutuelle et sécurisée. Il est devenu le protocole d’authentification par défaut dans les environnements Windows modernes, y compris Active Directory. Kerberos utilise des tickets cryptés et des clés secrètes pour authentifier les utilisateurs et les services, offrant une sécurité améliorée par rapport à NTLM.  

Authentification basée sur les certificats

Cette approche utilise des certificats numériques pour authentifier les utilisateurs ou les appareils. Les certificats sont émis par des autorités de certification approuvées et offrent une forme d’authentification plus forte que les noms d’utilisateurs et les mots de passe seuls.

Authentification à deux facteurs (MFA)

MFA ajoute une couche supplémentaire de sécurité à l’authentification en exigeant plusieurs formes distinctes d’authentification (en général deux). Cela peut inclure quelque chose que l’utilisateur sait (comme un mot de passe) et quelque chose qu’il possède (comme un code généré par une application mobile ou envoyé par SMS).  

SAML (Security Assertion Markup Language)

SAML est un cadre d’échange de données ouvert qui permet l’authentification et l’autorisation sécurisées entre les domaines. Il est couramment utilisé pour l’authentification unique (SSO) et la fédération d’identité entre différents fournisseurs d’identité.  

OAuth et OpenID Connect

OAuth est un protocole d’autorisation ouvert qui permet aux utilisateurs d’accorder l’accès à leurs informations à des applications tierces sans partager leurs informations d’identification. OpenID Connect est une couche d’identité basée sur OAuth 2.0 qui fournit une authentification et une gestion des sessions.  

LDAP (Lightweight Directory Access Protocol)

LDAP est un protocole logiciel utilisé pour accéder et gérer les entrées dans un service d’annuaire, tel qu’Active Directory. Bien qu’il ne soit pas un protocole d’authentification en soi, il peut être utilisé en conjonction avec d’autres mécanismes d’authentification pour fournir une authentification et une autorisation sécurisées.  

L’ensemble de ces protocoles doivent à un moment utiliser un canal chiffré, assuré par TLS/SSL. 

Pour aller plus loin

Article – Attaques d’ingénierie sociale : comment les prévenir ?

Article – AWS IAM : renforcer la sécurité et la gestion des identités dans le cloud

Article – Sécurité Cloud : quels sont les outils et les bonnes pratiques ?

Le DevSecOps se matérialise par l’intégration des tests de sécurité à chaque étape du processus de développement logiciel, encourageant la collaboration entre les développeurs, les spécialistes de la sécurité et les équipes opérationnelles pour créer des logiciels efficaces et sécurisés. 

Le DevSecOps se décompose en 3 éléments :

• Développement (Dev) : Planification, codage, création et test des applications. 
• Sécurité (Sec) : Introduction de la sécurité dès le début du cycle de développement. 
• Opérations (Ops) : Publication, surveillance et correction des problèmes liés au logiciel. 

Les avantages du DevSecOps sont les suivants :

• Détection rapide des vulnérabilités : Contrôles de sécurité à chaque étape du développement. 
• Réduction des délais de commercialisation : Automatisation des tests de sécurité. 
• Conformité réglementaire : Adoption de pratiques et technologies de sécurité professionnelles. 
• Développement d’une culture axée sur la sécurité : Sensibilisation et proactivité en matière de sécurité. 
• Développement de nouvelles fonctionnalités en toute sécurité : Collaboration entre les équipes de développement, d’exploitation et de sécurité. 

Le SDLC est un processus structuré guidant les équipes pour produire des applications de haute qualité tout en minimisant les coûts et les erreurs. Le DevSecOps intègre des évaluations de sécurité tout au long du SDLC.

Les pratiques recommandées pour le DevSecOps 

Pour implémenter DevSecOps, il est crucial de mettre en place DevOps et l’intégration continue (CI/CD). DevSecOps intègre la sécurité dans DevOps en effectuant des évaluations de sécurité tout au long du processus CI/CD.

• Sensibilisation à la sécurité : Faire de la sécurité une valeur fondamentale dans la création de logiciels. Les avantages du DevSecOps pour les entreprises sont les suivants :
• Shift left : Vérification des vulnérabilités dès les premières étapes du développement. 
• Shift right : Focus sur la sécurité après le déploiement de l’application. 
• Utilisation d’outils de sécurité automatisés : Intégration d’outils d’analyse de sécurité dans le processus CI/CD. 

Les outils DevSecOps les plus courants

• Static Application Security Testing (SAST) : Analyse des vulnérabilités dans le code source. 
• Software Composition Analysis (SCA) : Automatisation de la gestion des risques liés aux logiciels open source. 
• Interactive Application Security Testing (IAST) : Évaluation des vulnérabilités potentielles dans l’environnement de production. 
• Dynamic Application Security Testing (DAST) : Test de la sécurité de l’application depuis l’extérieur du réseau. 

Le DevSecOps et le développement agile

DevSecOps et le développement agile doivent coexister. Le développement agile permet de réagir rapidement aux changements, tandis que le DevSecOps introduit des pratiques de sécurité dans chaque cycle itératif du développement.

Les défis de déploiement du DevSecOps au sein des entreprises sont les suivants :

• Résistance au changement culturel : adoption de la culture DevSecOps par les équipes existantes. 
• Intégration d’outils complexes : intégration d’outils de sécurité de différents fournisseurs dans le processus de livraison continue. 

Les outils AWS DevSecOps

AWS offre une variété de services et d’outils spécifiquement conçus pour répondre aux exigences des pratiques DevOps. De ce fait, AWS propose des outils pour automatiser la sécurité et la conformité des applications, tels que : (Liste non exhaustive) 

• Amazon Inspector : Gestion automatisée et continue des vulnérabilités. 
• AWS CodeCommit : Gestion du contrôle de la source. 
• AWS Secrets Manager : Gestion et récupération des informations d’identification et des secrets. 
• AWS System parameter Store : Stockage et gestion des configurations et secrets  
• Amazon Detective : Analyse et la visualisation des données pour identifier, enquêter et résoudre les incidents de sécurité. 
• Amazon Cognito : Ajout de fonctionnalités d’authentification, d’autorisation et de gestion des utilisateurs aux applications web et mobiles. 

Les certifications DevSecOps

Les certifications DevSecOps sont essentielles pour valider les compétences en sécurité applicative et en automatisation des processus de protection dans un environnement DevOps. Elles permettent d’intégrer la sécurité dès le début du cycle de développement (Shift Left), d’automatiser les contrôles de sécurité et de gérer les vulnérabilités dans les pipelines CI/CD.

La liste des certifications DevSecOps en 2025 :

1. Certified DevSecOps Professional (CDP)
   • Proposée par Practical DevSecOps
   • Approche très pratique avec des labs
   • Focus sur l’intégration de la sécurité dans CI/CD, l’analyse de code statique/dynamique et la sécurisation des conteneurs et Kubernetes
2. DevSecOps Foundation (DSOF) – DevOps Institute
   • Certification DevSecOps idéale pour débuter
   • Approche théorique sur les fondamentaux, la gestion des risques et les modèles de menaces
3. Certified DevSecOps Engineer (CDE)
   • Avancée et très technique
   • Approfondit l’automatisation des tests de sécurité, la gestion des secrets et la conformité
4. GIAC Cloud Security Automation (GCSA)
   • Spécialisée en DevSecOps cloud
   • Outils couverts : AWS Lambda, Terraform, Kubernetes, CI/CD cloud
5. AWS Certified Security – Specialty
   • Certification DevSecOps axée sur AWS
   • Sécurisation des workloads cloud, IAM, protection des infrastructures DevOps
6. Microsoft Certified: Security, Compliance, and Identity Fundamentals (SC-900)
   • Introduction aux principes de DevSecOps Microsoft Azure et M365
   • Idéale pour comprendre la gouvernance et la conformité en environnement Microsoft

Certification DevSecOps AWS

AWS ne propose pas directement une certification intitulée « AWS DevSecOps », mais plusieurs certifications couvrent les compétences clés du DevSecOps dans un environnement AWS. Voici les principales :

AWS Certified Security – Specialty

La certification la plus proche du DevSecOps

• Valide l’expertise en sécurité des infrastructures AWS
• Couvre la gestion des identités et accès (IAM), la surveillance des menaces (AWS Security Hub, GuardDuty), la gestion des secrets et le chiffrement des données
• Inclut les bonnes pratiques pour intégrer la sécurité dans les pipelines CI/CD (AWS CodePipeline, Lambda)
• Idéale pour les ingénieurs DevSecOps, les architectes cloud et les experts en sécurité

AWS Certified DevOps Engineer – Professional

Axée sur l’automatisation et l’intégration continue :

• Couvre la gestion des déploiements sécurisés, la surveillance et le logging (CloudWatch, AWS Config)
• Intègre des notions de sécurisation des pipelines CI/CD et de gestion des vulnérabilités
• S’adresse aux DevOps souhaitant intégrer des pratiques de sécurité dans les workflows AWS

3. AWS Certified Advanced Networking – Specialty

Pour les experts en sécurité réseau AWS :

• Aborde la protection des infrastructures AWS, la configuration de VPC sécurisés et la gestion des pare-feux
• Inclut des sujets liés à la sécurité réseau dans une approche DevSecOps

En résumé, si on cherche une certification AWS DevSecOps, la meilleure option est AWS Certified Security – Specialty, qui couvre les aspects essentiels de la sécurité DevSecOps sur AWS. Pour un focus plus large sur l’automatisation et l’orchestration sécurisée, AWS Certified DevOps Engineer – Professional peut aussi être pertinente.

Pourquoi obtenir une certification DevSecOps ?

• Meilleure employabilité : forte demande des entreprises pour des profils maîtrisant DevSecOps
• Compétences techniques avancées : automatisation de la sécurité, gestion des menaces et conformité
• Valorisation professionnelle : un atout pour évoluer vers des postes de DevSecOps Engineer ou Security Architect

En 2025, les entreprises recherchent de plus en plus des experts en DevSecOps, capables de sécuriser les infrastructures cloud et les chaînes CI/CD. Obtenir une certification DevSecOps est donc un investissement stratégique pour sa carrière en cybersécurité.

Pour aller plus loin :

Article – Comment mettre en œuvre une approche DevSecOps ?

Article – AWS pour le DevOps : tour d’horizon des outils et services

La sécurité occupe une place de plus en plus prépondérante dans les projets, et selon l’approche DevSecOps ou SecDevOps, son intégration varie significativement. Dans une démarche SecDevOps, la sécurité guide le projet en imposant un ensemble de règles, qu’elles soient juridiques ou spécifiques à une entreprise, plaçant ainsi la sécurité au cœur du développement de logiciel ou d’application.  

L’approche DevSecOps se définit par l’intégration de la sécurité à chaque phase du cycle de développement, en partant d’une initiative originale de l’équipe de développement et en y intégrant progressivement la sécurité tout au long du processus. 

La grande différence entre les approches DevSecOps et SecDevOps réside dans la manière de concevoir la sécurité : le DevSecOps prône l’automatisation et l’intégration systématique des meilleures pratiques de sécurité au sein des cycles de développement, favorisant la collaboration et l’innovation sans pour autant compromettre la vitesse des processus. L’automatisation devient alors un pilier clé de cette approche. En revanche, le SecDevOps peut requérir une refonte radicale des processus de développement, ainsi que de la partie opérationnelle qui en découle, afin de satisfaire des normes de sécurité strictes qui ne s’intègrent pas toujours aisément dans les processus préexistants d’une entreprise. 

Dans le domaine de l’intégration de la sécurité au sein du processus de développement, l’interaction entre les équipes joue un rôle crucial. Le modèle DevSecOps promeut une collaboration équilibrée entre développeurs, opérationnels et experts en sécurité. Le modèle SecDevOps accorde quant à lui une prédominance à l’équipe de sécurité dans le processus de développement. 

Si nous abordons les outils et les pratiques, les deux approches utilisent des ressources similaires, mais avec des orientations différentes. Le SecDevOps favorise des méthodes qui placent la sécurité au centre, conduisant parfois à des processus plus contrôlés, plus restrictifs, et pouvant ralentir le développement. L’objectif du DevSecOps est de trouver un équilibre entre rapidité et sécurité pour atteindre un délai de mise sur le marché qui répond aux besoins commerciaux. 

Le SecDevOps, quant à lui, est intransigeant sur la sécurité, la faisant passer avant toute autre considération, ce qui est caractéristique des entreprises dans les secteurs de la défense, de l’aéronautique et de la banque. Néanmoins, c’est le DevSecOps qui reste le plus visible et le plus répandu dans l’univers du DevOps, symbolisant l’adaptation et l’agilité dans la sécurisation des développements informatiques. 

Pour aller plus loin : Comment piloter le DevSecOps de demain ?

DevSecOps by Design : qu’est-ce que c’est ?

Le DevSecOps s’enracine dans la culture collaborative du DevOps, étendue à la sécurité. Il s’agit de commencer les échanges dès les premières phases du projet, établissant les normes de sécurité et de gouvernance pour anticiper les besoins et les problématiques de sécurité dès le démarrage. Cela permet de concevoir des solutions partagées, et même des stratégies de contournement si nécessaire, en tenant compte des contraintes budgétaires qui pourraient influencer le coût global du projet. 

Il est essentiel d’adapter le niveau de sécurité aux enjeux business du projet. Pour les initiatives critiques et réglementées, le SecDevOps pourrait être plus pertinent, privilégiant la sécurité dès le départ. En revanche, pour les projets avec des risques sécuritaires moins élevés, la pratique du DevSecOps pourrait être privilégiée, intégrant la sécurité de manière plus fluide et adaptable à la progression du projet. 

Définition du DevSecOps : les 5 piliers de la démarche

L’approche DevSecOps va répondre à cinq piliers qui permettent de répondre aux exigences de la sécurité dans le cycle DevOps :  

• Réduction de la vulnérabilité et des surfaces d’attaques : L’objectif est de minimiser autant que possible les vulnérabilités dès le début du développement, afin d’éviter les failles de sécurité qui pourraient survenir après coup. 
• Accélération du time to market : L’ambition est d’accélérer la livraison des projets. Avec DevSecOps, la sécurité est prise en compte dès le début du processus et non après, évitant ainsi les retours en arrière coûteux et chronophages. 
• Collaboration accrue entre les équipes : DevSecOps promeut une synergie entre les développeurs, les opérateurs de sécurité et les autres membres de l’équipe projet, favorisant ainsi un travail d’équipe fluide et efficace. Cela implique également un top management qui soutient et encourage ces pratiques. 
• Réponse aux exigences réglementaires : Que ce soit pour répondre à des réglementations spécifiques à certains secteurs comme la santé, la défense ou la finance, ou à des règles propres à une entreprise, DevSecOps permet de répondre adéquatement aux exigences réglementaires variées, adaptées à chaque contexte. 
• Confiance du client : Au cœur de DevSecOps, il y a la volonté de renforcer la confiance des clients, souvent ébranlée par les risques de cyberattaques ou de pertes de données. Cela s’étend également aux exigences des compagnies d’assurance qui demandent désormais des garanties importantes concernant la sécurité des données, des accès… 

L’approche DevSecOps dans la chaîne CI/CD

Selon le principe de DevSecOps, la sécurité intervient à chaque étape du cycle CI/CD, comme l’exprime le schéma ci-dessous : 

La méthodologie d’implémentation dans la chaîne de développement CI/CD est la suivante :  

• Définir un état des lieux : dans l’élaboration d’une stratégie DevSecOps efficace, il est crucial de commencer par un audit de votre situation actuelle pour déterminer le niveau de maturité sur les différents aspects du cycle de déploiement CI/CD. Cela permet de savoir à quel niveau notre équipe sécurité est mature pour pouvoir s’intégrer aux équipes de développement et aux équipes opérationnelles. 

• Prioriser les chantiers : cela permet de définir les chantiers en fonction des priorités stratégiques de l’entreprise, en mettant en avant les initiatives critiques qui génèrent le plus de valeur. 

• Adopter une approche itérative : les menaces de sécurité évoluent, tout comme les outils pour les contrer. S’enfermer dans un long projet de mise en conformité qui s’étendrait sur des mois, voire des années, pourrait vous laisser à la traîne, avec des solutions obsolètes avant même le déploiement. 

• Formation et sensibilisation : il s’agit d’un processus continu. Les équipes doivent être constamment formées à collaborer et à intégrer la sécurité dans chaque phase du développement et de l’opérationnel. 

• Amélioration continue : l’amélioration continue, testée et ajustée par les retours continus des utilisateurs et des clients, est fondamentale pour une adaptation fluide et efficace aux exigences évolutives. C’est en restant à l’écoute et en ajustant les pratiques que l’on parvient à un alignement parfait entre la sécurité, l’efficacité et les besoins des utilisateurs. 

L’analyse des risques 

Deux éléments sont souvent négligés au démarrage d’un projet :  

• Le paysage des menaces : en fonction de l’outil qui va être déployé, du service concerné, de sa zone géographique, etc. Dans le DevSecOps, différents facteurs doivent être étudiés dans le cadre de la définition du paysage des menaces. L’équipe sécurité, ou une équipe dédiée à l’analyse des risques, doit établir cette étude pour anticiper les menaces potentielles. 
• La Compliance Validation qui englobe toutes les normes de sécurité nécessaires à la livraison du projet suivant les exigences internes et légales.  

Il faut démarrer par une analyse de risque approfondie où tous les risques sont identifiés et priorisés. Une gouvernance prédéfinie par l’équipe de sécurité dictera les règles à suivre pour couvrir les menaces. 

Bien sûr, l’étendue de cette analyse de risque dépend de l’ampleur du projet. Un changement majeur à apporter à une solution nécessitera une réévaluation complète des risques, contrairement à des modifications mineures qui ne justifieraient pas une nouvelle analyse approfondie. 

Une analyse de risque peut coûter cher, c’est pourquoi elle doit être pondérées par rapport aux moyens de l’entreprise. Chaque projet mérite une évaluation du risque, mais il revient au chef de projet et aux équipes de définir la profondeur nécessaire de cette étude. 

Enfin, rassembler les différentes parties prenantes pour une première évaluation des risques est une étape simple et peu coûteuse. Avant de s’engager dans une analyse de risque plus élaborée et onéreuse, il est judicieux d’évaluer si les bénéfices justifieraient son coût et sa complexité ajoutée. 

Pour aller plus loin

Article – NoOps et hyper-automatisation : suite logique du DevOps ?

Article – Quelles sont les certifications et outils DevSecOps ?

Vincent Strubel, Directeur Général de l’ANSSI, a récemment alerté sur le fait que la France est une cible privilégiée des cyberattaques. Avec l’accélération des stratégies go-to-cloud, et la sophistication croissante des menaces, la sécurité cloud est devenue un enjeu central pour les entreprises. Il est donc essentiel d’adopter une approche structurée et proactive pour protéger les infrastructures et les données.

La sécurité cloud par défaut et le modèle de responsabilité partagée

Les principaux fournisseurs de cloud sécurité comme AWS, Azure, Google Cloud Platform (GCP) et AliCloud ont développé des solutions avancées pour garantir une protection robuste. Ces acteurs appliquent un modèle de sécurité par défaut, qui repose sur des protections natives activées automatiquement et sur un modèle de responsabilité partagée (Shared Responsibility Model). Ce modèle définit clairement les rôles :

• Le fournisseur cloud assure la sécurité de l’infrastructure sous-jacente : accès physique aux datacenters, application des correctifs de sécurité et intégrité globale de la plateforme.
• Le client est responsable de la configuration et de la sécurité de ses données, applications et accès.

Cloud et Zero Trust : une approche indispensable

Une idée reçue répandue consiste à croire que le cloud est moins sécurisé qu’un environnement on-premise. En réalité, c’est l’utilisation du cloud sécurisé qui détermine son niveau de protection. Le concept de Zero Trust est essentiel : il repose sur le principe du « Ne jamais faire confiance, toujours vérifier ».

Les quatre piliers du Zero Trust sont :

• Sécurité périmétrique : contrôle strict des accès aux ressources.
• Certificats et authentification multi-facteurs : renforcement de la vérification d’identité.
• Gestion des droits et des utilisateurs : application du principe du moindre privilège.
• Chiffrement des données : protection des flux de données et stockage sécurisé.

La comparaison entre un château fort et un aéroport illustre bien les différences d’approche. Alors que la sécurité on-premise repose sur un unique périmètre fortifié, le cloud adopte une stratégie en couches multiples, offrant des niveaux de protection adaptatifs.

L’approche Zero Trust consiste à trouver le niveau de sécurité attendu en fonction des attentes et de la criticité des données ou du service utilisé. Tous les fournisseurs de cloud fournissent l’intégralité des outils pour pouvoir mettre en place tout type de défenses. 

Les piliers de la sécurité cloud

La sécurité cloud repose sur plusieurs fondements stratégiques :

• Conformité et réglementation : respect des normes ISO 27001, GDPR, SOC 2, etc.
• Gestion des identités et des accès (IAM) : contrôler qui peut accéder à quoi et sous quelles conditions.
• Détection et réponse aux menaces : outils comme Microsoft Defender for Cloud ou AWS GuardDuty permettent une surveillance continue.
• Protection des infrastructures : pare-feu, Network Security Groups (Azure), Security Groups (AWS), segmentation réseau.
• Chiffrement des données : chiffrer les données en transit, au repos et en utilisation.
• Gestion des incidents : développement de plans de réponse à incident et simulations d’attaques.

Lorsqu’une entreprise amorce sa migration vers le cloud, une équipe dédiée est généralement constituée.

Cette équipe peut avoir diverses appellations : Cloud Team, CCoE, etc. 

Gouvernance et responsabilités dans un environnement cloud

Lors de la migration vers le cloud, une gouvernance claire est essentielle. Une équipe spécifique, souvent appelée Cloud Center of Excellence (CCoE) ou Cloud Team, doit intégrer des experts en sécurité, notamment des DevSecOps et des RSSI Cloud. Cette gouvernance repose sur une collaboration entre les équipes IT, DevOps et cybersécurité pour garantir un usage sécurisé et conforme aux bonnes pratiques.

Coût et optimisation de la sécurité cloud

Les fournisseurs de services cloud mettent à disposition des outils de sécurité de base, comme les Network Security Groups chez Azure ou les Security Groups chez AWS, généralement sans frais supplémentaires. Cependant, les fonctionnalités avancées comme l’analyse et la surveillance, capables de générer des métriques précises et de détecter activement des attaques ou intrusions, s’accompagnent d’un coût additionnel. 

La subtilité de la sécurité dans le cloud réside dans le fait que les composants essentiels tels que les pare-feu et la gestion des identités sont souvent fournis à des coûts minimaux ou nuls. En revanche, pour des fonctionnalités plus sophistiquées, telles que les tableaux de bord consolidés offrant une vue d’ensemble, les coûts s’appliquent. 

Le véritable enjeu est de déterminer quel est l’investissement minimal requis pour une sécurité efficace dans le cloud. Au-delà de la sécurité, tout aspect lié au cloud doit envisager un volet FinOps pour une gestion optimale des coûts. 

Il est donc crucial, lors de l’évaluation de la maturité de l’entreprise, de bien comprendre quels outils sont utilisés, leur usage et leur finalité. Cela aide à orienter l’usage stratégique de ces outils et à anticiper les implications financières y afférentes. 

Mise en place d’une stratégie de sécurité cloud

Mettre en œuvre une stratégie de sécurité dans le cloud implique plusieurs étapes clés :

1. Audit de sécurité cloud (cloud assessment) : évaluer la maturité de l’organisation.
2. Cartographie des outils de sécurité : identifier les solutions en place.
3. Définition des besoins par profil utilisateur : RSSI, développeur, admin cloud.
4. Plan de remédiation et audits réguliers : mise en place de correctifs continus.
5. Tests et simulations d’incidents : validation des procédures de réponse aux cyberattaques.

Conclusion

La sécurité cloud ne repose pas uniquement sur la technologie, mais aussi sur une bonne gouvernance, une compréhension du modèle de responsabilité partagée et une adoption des meilleures pratiques, notamment le Zero Trust. Une stratégie efficace allie protection proactive, surveillance continue et optimisation des coûts pour garantir un environnement cloud sécurisé et performant.

Pour aller plus loin

Article – Les 6 stratégies de migration vers le cloud (6R)

Article – Lift and Shift, Replatform ou Cloud Native : quelle stratégie de migration cloud ?

Le CRiP, le cercle de confiance des décideurs de l’IT, organise régulièrement des événements qui rassemblent des professionnels de l’IT afin d’échanger sur les dernières tendances et les meilleures pratiques dans le domaine de l’infrastructure et de la production.

Synapsys, avec son adhésion récente au CRiP, marque son engagement à collaborer et à contribuer à la communauté des décideurs IT. Cette collaboration permettra à Synapsys de partager son expertise, d’élargir son influence dans l’industrie et d’explorer de nouvelles opportunités de partenariat.

Synapsys confirme sa participation aux prochains événements organisés par le CRiP, notamment :

• Les Universités du CRiP les 12 et 13 juin,
• CRiP en région à Lille le 21 novembre,
• Les Trophées CTO le 28 novembre
• Et d’autres événements à venir.

Ces occasions seront idéales pour les professionnels IT de rencontrer l’équipe de Synapsys, de découvrir ses services novateurs et de discuter des tendances actuelles et futures de l’IT.

À propos de Synapsys

Synapsys est une entreprise dédiée à la transformation numérique, offrant des services de conseil, d’ingénierie et de services managés. Avec une expertise approfondie dans les domaines du Cloud, du DevOps et du Digital Workplace, Synapsys est un partenaire de confiance pour les entreprises cherchant à optimiser leurs opérations IT.

À propos du CRiP

Le CRiP est une association professionnelle qui fournit une plateforme de confiance pour les décideurs IT. Elle vise à promouvoir le partage de connaissances et l’innovation à travers une série d’événements et d’ateliers centrés sur les défis et les solutions liés à l’infrastructure IT et à la production.

Dans cette quête cruciale de la sécurisation, l’utilisation de règles d’accès conditionnel pertinentes dans Entra, intégrées de manière étroite avec votre MDM Intune, s’avère être une clé maîtresse.

À travers mes expériences et de riches échanges en matière de sécurité, j’ai identifié un top 8 des règles d’accès conditionnel qui, à mes yeux, forment une couche sérieuse de protection. Découvrons ensemble comment ces règles, alliées à la puissance d’Intune, peuvent renforcer la sécurité IT de manière remarquable.

Authentification à deux facteurs (2FA) obligatoire

L’authentification à deux facteurs demeure la première ligne de défense incontournable. Cette règle impose la validation par deux moyens distincts, créant ainsi une barrière robuste contre les accès non autorisés.

Restriction géographique

La restriction géographique limite l’accès en fonction de la localisation de l’utilisateur. En définissant des règles basées sur les plages d’adresses IP, elle renforce la sécurité en restreignant l’accès depuis des zones non autorisées. La cartographie peut être assez complexe à définir mais ça en vaut la chandelle.

Contrôle basé sur la conformité

Les critères de conformité sont définis dans votre MDM Intune. Ce sont des règles de compliance. Selon le résultat de cette compliance, l’utilisateur peut accéder aux ressources ou non. Très pratique, attention toutefois, vous êtes en train de dire que l’appareil sera nécessairement enrôlé dans votre MDM Intune.

Intégration avec Microsoft Defender

L’intégration avec Microsoft Defender constitue un bouclier avancé contre les menaces. En exploitant les fonctionnalités avancées et ce Secure Score depuis la compliance Intune, elle renforce la capacité à identifier et à neutraliser les menaces potentielles en temps réel.

Attention toutefois aux actions d’admins que vous pouvez réaliser sur le poste, Defender peut avoir tendance à monter votre score si vous accédez à des fichiers sensibles ou exécutez des commandes à privilège. 

Acceptation des Conditions d’Utilisation (Terms of Use)

Intégrer la règle d’acceptation des Conditions d’Utilisation (TOU) est une pratique moderne et qui responsabilise. Avant d’accorder l’accès, les utilisateurs doivent explicitement accepter les conditions et les politiques de sécurité, renforçant la conformité et la transparence dans l’utilisation des ressources IT.

Restreindre l’accès aux OS identifiés

Vous n’avez pas d’appareils macOS en entreprise, pourquoi permettre l’accès à vos ressources depuis un mac ? Vous voulez implémenter une règle forçant les appareils mobiles à être conforme ? Ou tout simplement interdire aux mobiles l’accès à des ressources sensibles ? Pensez donc à restreindre l’accès sur les types d’OS que vous avez authentifié.

Bloquer l’Authentification de Base/Legacy

Le blocage de l’authentification de base ou legacy est une mesure cruciale. En éliminant les méthodes d’authentification obsolètes, cette règle renforce la sécurité en réduisant les vulnérabilités potentielles.

Exiger une Politique de Protection des Applications (App Protection Policy)

L’exigence d’une politique de protection des applications implémentée dans Intune ajoute une dimension de sécurité spécifique aux applications. Cette règle garantit que les applications respectent des normes strictes de sécurité, renforçant ainsi la protection des données.

Conclusion sur les règles d’accès conditionnel sous Intune

Ces règles constituent un arsenal solide, mais la véritable force de la sécurité IT réside dans son adaptabilité. Pensez à vous faire un compte qui s’affranchit de ces règles-là. Vous ne voulez pas vous coincer en sciant la branche sur laquelle vous êtes assis. Définissez et créez un compte break-glass en cas de pépin. 

La sécurité est une collaboration constante. Partagez vos réflexions et contribuez à faire évoluer cette liste ! Quelles sont vos règles favorites ?

L’ingénierie sociale regroupe un ensemble de techniques de manipulation utilisées par des acteurs malveillants visant à abuser de la confiance des victimes pour soutirer de l’argent, des informations personnelles ou des accès à des systèmes ou données.

L’ingénierie sociale prédate la cyber et même l’informatique de manière globale. Se renseigner de manière importante sur une personne afin de la manipuler ou de l’amener à faire des actions précises s’apparente à de l’espionnage, ou même du chantage.

On pourrait dans un premier temps penser aux mafias, avec la fameuse phrase clichée « ça serait dommage qu’il arrive un accident à ta femme, Maria, ou que ton magasin brûle ». Il s’agit de menaces dirigées vers des éléments précis de la vie d’une personne.  

L’acteur malveillant s’est ici renseigné sur la vie de sa cible. Il a pu le faire en l’observant de manière régulière, par exemple en fouillant ses poubelles dans lesquelles des documents confidentiels auraient été jetés.

Les réseaux sociaux : une mine inépuisable d’informations pour les attaquants

Les réseaux sociaux facilitent les attaques d’ingénierie sociales en mettant beaucoup d’informations à disposition. La plupart des individus postent volontairement des informations personnelles sur leur vie, leur travail, leurs loisirs… et même au sein des professionnels de la sécurité. 

Récemment, le groupe américain « MGM Resorts » propriétaire d’hôtels et de casinos, a été victime d’une cyberattaque paralysant l’entreprise et faisant perdre à celle-ci plus de huit millions de dollars par jour. Il a ensuite été révélé que les attaquants avaient simplement appelé le helpdesk en se faisant passer pour un employé de l’entreprise, afin de réinitialiser un mot de passe.

Dans un message publié sur X (ex-Twitter), VX Underground avait déclaré : « tout ce que le groupe de ransomware ALPHV a fait pour compromettre MGM Resorts consistait à sauter sur LinkedIn, trouver un employé puis appeler le service d’assistance. Une entreprise évaluée à 33 900 000 000 $ a été vaincue par une conversation de 10 minutes ».¹ 

Dans un autre registre, le Youtubeur « Max Fosh » spécialisé dans l’infiltration d’évènements s’est rendu à la convention internationale de la sécurité 2022 sans y être invité. Avec quelques recherches sur LinkedIn et Instagram, il a récupéré des photos où les badges/passes d’accès étaient visibles. Il a photoshoppé un nom et une entreprise fictive sur un faux badge, puis a pu rentrer à l’évènement, le QR code récupéré étant valide.

Il s’agit d’une infiltration basée sur des techniques d’ingénierie sociale. Avec l’accès à des informations publiques couplées à la montée de l’IA qui rend possible l’usurpation d’identité, distinguer le vrai du faux sera bientôt tout un art.

Attaques d’ingénierie sociale : les dangers de l’IA

Depuis quelques temps, les Cellules de Sécurité Opérationnelle (SOC) voient émerger dans le paysage cyber des menaces de plus en plus crédibles.

Les « IA » offrent de nouveaux défis en matière de cybersécurité et d’ingénierie sociale. Une partie de ce que nous pensons savoir sur les e-mails de phishing doit désormais être revu, car les chatbots permettent une plus grande sophistication dans la « confection » de communications illégitimes.

Prenons l’exemple de ChatGPT, l’IA générative capable de générer de nouvelles données réalistes et souvent indiscernables de celles générées par des êtres humains.  Il y a quelques mois, une équipe de chercheurs de l’Université du Texas à Arlington a publié une étude mettant en évidence l’existence de techniques qui détournent le fonctionnement de ChatGPT afin de générer des ressources malicieuses fonctionnelles : 

• ChatGPT est invité à créer un modèle inspiré de l’organisation ciblée (au lieu de l’imiter). Ce prompt est nécessaire pour leurrer l’IA sur nos intentions et passer outre le code qui interdit de divulguer des informations pouvant être utilisées à mauvais escient. On parle alors de « Jailbreak ».
• ChatGPT conçoit le site web et choisi les informations d’authentification à récupérer puis, crée une fonction permettant d’envoyer ces informations à l’attaquant. 
• ChatGPT génère une première page contenant un QR Code, menant à une seconde page possédant les champs permettant de voler les données sensibles.

Deepfake voix générées par IA 

En 2014, une technique inventée par le chercheur Ian Goodfellow est à l’origine des deepfakes. Il s’agit du GAN (Generative Adverarial Networks).  

Selon cette technologie, deux algorithmes s’entraînent mutuellement : l’un tente de fabriquer des contrefaçons aussi fiables que possible et l’autre tente de détecter les faux. De cette façon, les deux algorithmes s’améliorent ensemble au fil du temps grâce à leur entraînement respectif. 

Couplé à d’autres méthodes de génération de contenu, les deepfakes sont des outils redoutables en augmentation de 13 % de 2021 à 2022 d’après un rapport de l’éditeur VMWare publié en août 2022.  

Dans ce genre de cas, les cybercriminels utilisent le format vidéo (58 %) et audio (42 %). Les canaux utilisés pour lancer des cyberattaques utilisant des deepfakes sont les e-mails (78 %), les messages mobiles (57 %), la voix (34 %) et les réseaux sociaux (34 %).  

Il ne faut pas oublier également les scénarios plus sinistres de manipulation et désinformation tel que celui de mars dernier, où Volodymyr Zelensky apparaissait dans une vidéo truquée dans laquelle le président ukrainien appelait son pays à « rendre les armes ». 

Il convient d’inclure ces nouvelles menaces dans les programmes de sensibilisation afin que chacun puisse comprendre les nouvelles méthodes des cybercriminels et reconnaître les signaux d’alerte.

Parallèlement, il est essentiel de souligner l’importance des moyens complémentaires d’authentification, en mettant en avant des techniques telles que l’authentification multifactorielle.

L’Intelligence Artificielle : une force pour se prémunir des attaques d’ingénierie sociale 

L’Intelligence Artificielle demeure un outil pouvant être exploité à des fins malveillantes, mais aussi de sécurité. Grâce à des technologies de Deep Learning et d’apprentissage automatique, une IA peut :  

• Optimiser l’accès et l’utilisation des données sur des disques durs de surveillance classiques,  
• Conserver en mémoire et dans le temps, le volume d’un contexte de données conséquent, 
• Corréler des sources d’information différentes qu’elles soient issues de données écrite, audio ou encore de vidéos,
• Diminuer la proportion de faux-positifs qui pèsent sur la charge de travail des experts. 

Comme le disait Shakespeare, « rien n’est en soi bon ou mauvais, la pensée le rend tel ». Alors qu’une technologie peut être détournée à des fins malveillantes, il est tout aussi possible de concevoir des moyens innovants pour la détecter. Il s’agit là de l’éternel jeu du chat et de la souris entre les défenseurs et attaquants du monde cyber.

Pour aller plus loin : Gérer les identités et les accès (IAM) dans le cloud

Cet article traite un aspect essentiel des ransomwares qui participe aujourd’hui à leur renommée : la vitesse de chiffrement des données.
En effet, cette dernière n’a eu de cesse de diminuer afin de garantir le succès d’une attaque informatique. Elle a ainsi entraîné un changement dans l’élaboration des mesures de sécurité.

Lors d’une infection d’un poste ou tout autres actions compromettant un système d’informations, plusieurs choix s’offrent aux pirates :

• Exfiltration,
• Corruption ou destruction de données,
• Défacement d’identité,
• Déni de service,
• Ou encore chiffrement de fichiers.

Récemment, le choix le plus courant est de chiffrer la donnée puis de demander une rançon.

Le chiffrement aidé par l’exploitation efficace des composants matériels

En premier lieu, la vitesse de chiffrement des données dépend des performances matérielles telles que la vitesse des disques ou bien l’utilisation de threads CPU (Processeur) dans leur entièreté.
En effet, sur les processeurs disposant de multithreading, la mise en parallèle des tâches de chiffrement permet d’accélérer l’opération. Cependant, la vitesse dépend surtout du mode opératoire de chiffrement choisi.

Dans le cas d’un ransomware, il est courant que les fichiers d’utilisateurs tels que les documents Office, PDF, images, vidéos, fichiers audio, textes et fichiers de code source soient chiffrés, renommés et/ou imprégnés par des marqueurs de fichiers spécifiques (ex : .clop .cuba .lock64 .seth).

Des stratégies de chiffrement sans cesse en recherche de performance

Récemment, une équipe d’experts stratégiques en cybersécurité chez Splunk a testé, lors d’une étude, 10 des grandes familles de ransomware, dont Lockbit^*, Conti et REvil^*, pour chiffrer 100 000 fichiers, soit 45 Go.
La durée médiane du chiffrement de ces informations était de 42 minutes et 52 secondes, Lockbit prenait 5 minutes 50 tandis que les plus longs prenaient jusqu’à près d’une heure.

Ces chiffres sont confirmés directement par un post sur le site Lockbit (voir « Disparu en 52 secondes… et 42 minutes : une analyse comparative de la vitesse de chiffrement des ransomwares »), ces derniers prennent 4 minutes et 28 secondes pour chiffrer 100 Go de données. Leur méthodologie est donc de casser la donnée en fragments de 4 Ko pour ensuite les chiffrer.

Conti, qui prend 17 minutes pour chiffrer 100 Go, le fait différemment en fonction de la taille des fichiers. Pour cela il effectue une recherche par extensions.

Par exemple, pour les petits fichiers d’environ 1 Mo, il n’est généralement pas nécessaire de boucler et de chiffrer plusieurs fois. Le contenu du fichier est directement lu en mémoire puis chiffré.

De même, pour les fichiers moyens de < 5 Mo, Conti ne chiffre que les 1 Mo du début.

Enfin, pour les fichiers de plus de 5 Mo (.vdi, .iso, .bin, …) il ne chiffre qu’une certaine partie du fichier, calculée en fonction de la taille totale.

Dans certains cas, les pirates tels que le groupe Notpeya^* peuvent chiffrer des fichiers système critiques, des partitions de disque ou le MBR (zone d’amorce d’un disque dur).
D’autres ont chiffré les principaux fichiers du système d’exploitation Windows, comme LockerGoga^*.

Une approche de la sécurité adaptée à la rapidité de la menace

Les résultats de ces études ont permis de mettre en évidence les domaines sur lesquels il fallait consacrer des efforts. Il y a encore quelques années, le chiffrement de données pouvait prendre jusqu’à plusieurs jours.
Désormais ce gain de performance sur les stratégies de chiffrement, grâce aux différentes stratégies, a changé l’approche sécurité du processus de détection et de mitigation de la menace. Le chiffrement étant si rapide, il est recommandé de concentrer les efforts sur la détection de l’attaque en amont du chiffrement et ainsi identifier les comportements suspects du réseau lors des phases de reconnaissance ou d’accès initial de l’attaque.

En cas de compromission du SI, une stratégie de limitation de l’étendue des dommages est alors envisageable. Au mieux, une action automatique ou bien la configuration d’une règle prévenant les comportements suspects comme l’exécution de processus, les changements de droits ou la modification de masse sur des fichiers (l’appel API de fonctions spécifiques au chiffrement, etc.) de se produire sur les postes de travail.

Surtout, il est nécessaire d’avoir un plan de sauvegarde des données sur des supports hors-ligne avec des méthodes de récupération éprouvées permettant de retrouver une activité quasi-normale après une attaque par ransomware.

Enfin, et c’est en ça que le mois de la cybersécurité est important ; il est primordial de sensibiliser les collaborateurs afin qu’ils soient une première barrière contre les menaces de cyber-attaques, plutôt qu’un reflet d’une vulnérabilité.

^{*Il s’agit de groupes malveillants dont le nom est souvent associés avec les outils qu’il utilisent pour exploiter les vulnérabilités}

Autrefois l’apanage des spécialistes, la cybersécurité peut se définir ainsi : « La cybersécurité est la mise en œuvre d’un ensemble de techniques et de solutions de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des informations. Cette protection doit couvrir tout le cycle de vie des données, de leur génération et traitement à leur transfert, stockage et élimination. »

Dans cet article, nous allons mettre l’accent sur les problématiques d’hameçonnage (phishing), et de rançongiciels (ransomware), deux types d’attaques qui nous concernent tous. En effet, malgré tous les moyens techniques mis en place afin de contrecarrer les attaques, l’humain reste souvent le maillon faible de la chaîne de sécurité.

C’est pourquoi les pirates exploitent cette faiblesse afin de compromettre un système d’information, cette pratique est celle de l’ingénierie sociale (social engineering). Ici la psychologie joue autant, sinon plus, que la technique.

La pêche aux données

L’hameçonnage ou phishing est une technique d’attaque qui consiste à envoyer un courriel ou SMS à la victime en usurpant l’identité d’un tiers (une entreprise, une administration, etc.), pour l’inciter à réaliser une action telle que communiquer des informations personnelles, professionnelles ou bancaires, ou encore ouvrir un lien ou une pièce jointe infectée par un virus.[1]

La personne cherchant à vous faire cliquer sur un lien malveillant utilisera des artifices pouvant vous faire miroiter un problème technique, financier ou juridique.

Au travail

Nous avons tous déjà reçu ce genre de courriels :

• Votre entreprise a mis en place un système de carte cadeaux pour les fêtes de Noël, afin d’enregistrer votre participation, cliquez sur ce lien.
• Bonjour, je suis « votre N+4 », j’ai besoin d’une information urgente, veuillez m’envoyer le fichier « gestion des paies 2022 » dès que possible.
• Votre mot de passe d’accès à votre compte va expirer dans moins de 24 heures, veuillez cliquer sur le lien suivant pour le modifier.

Ici, le pirate cherchera le plus souvent à tromper votre vigilance en imitant une adresse mail interne, une signature de l’un de vos collègues, ou un message technique se conformant à la charte graphique de l’entreprise. Sans trop vous méfier, vous cliquez machinalement sur le lien présent dans le mail ou fournissez l’information sous peur de représailles de votre management.

Cela peut mener le pirate à agir en votre nom en usurpant votre identité :

• Envoi de fausses communications internes au sein de votre entreprise depuis votre adresse mail,
• Téléchargement de données confidentielles depuis votre adresse email, ou sur les serveurs de l’entreprise,
• Envoi de mails avec une pièce jointe infectée afin de diffuser un programme malveillant,
• Tentative de racket de la personne s’étant fait pirater.

A la maison

Dans un cadre personnel, les types de courriels les plus répandus pourront être :

• Votre colis est bloqué en douane, veuillez cliquer ici afin de régler les frais correspondants afin de le récupérer.
• Une commande de 1248€ a été faite sur votre compte, cliquez ici afin de valider ou non l’opération.
• La sécurité sociale a fait une erreur dans votre décompte annuel ; afin que nous puissions vous rembourser, veuillez nous renvoyer le numéro de votre carte vitale.
• Vous avez été surpris en flagrant délit de consultation de sites pédopornographiques, veuillez-vous justifier en envoyant un email à l’adresse suivante sans quoi votre dossier sera transmis à la brigade de protection des mineurs.

Ainsi, dans ce contexte, ce qui importera pour le pirate est de créer une émotion. Un courriel mentionnant un montant élevé d’une commande que vous n’avez pas faite, une action illégale ou indiquant que votre ordinateur est compromis peut vous faire paniquer ou a minima, vous inquiéter. Une adresse email d’un proche qui aura été piratée vous demandant de l’argent peut déclencher un sentiment d’empathie ou de curiosité.

Vous pouvez également être stressé, fatigué, où faites plusieurs tâches simultanément ; et vous cliquez machinalement sur le lien (vous renvoyant vers le site du pirate qui copie le site de votre vendeur d’électronique préféré ou de la sécurité sociale). Vous envoyez un courriel à l’adresse indiquée, puis vous renseignez les informations demandées, dans l’espoir de voir cette mauvaise nouvelle disparaitre.

Malheureusement vous avez désormais communiqué des informations personnelles à un tiers qui peut en faire l’usage de manière malveillante.

L’usurpation d’identité dans le cadre personnel peut mener aux situations suivantes :

• Commandes frauduleuses via une CB piratée,
• Escroquerie à la carte vitale,
• Revente de vos données personnelles,
• Infection de votre machine avec un rançongiciel.

Le phishing est souvent une porte d’entrée pour le pirate qui veut obtenir « les clés » de votre ordinateur. Son but en soi peut être de récupérer vos données, ou d’infecter votre machine avec un programme malveillant. Celui-ci peut être un virus, un ver, un trojan, un keylogger ou encore, comme décrit ci-après, un rançongiciel (ransomware).

Lors d’une attaque, si le phishing est souvent la porte d’entrée du pirate, le ransomware en est la conséquence.

Quand vos données sont prises en otage : le ransomware

« Une attaque par rançongiciel ou ransomware est une cyber-attaque qui bloque l’accès à l’appareil ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. » [2]

Ce type d’attaque est désormais répandu et connu du grand public. Nul n’est à l’abri, de la PME au très grand groupe privé, en passant par les collectivités locales sans oublier le particulier. Dernièrement un pic d’attaques a pu être constaté contre les hôpitaux ou les mairies.

Les groupes pratiquant ce genre d’attaque cherchent à récupérer des sommes substantielles afin de financer leurs activités. Ces groupes étant même parfois sponsorisés par certains états. Les pirates demandent le versement d’une rançon (la plupart du temps en crypto-monnaie) en échange de la clé de déchiffrement. Cette dernière pourra (selon eux) vous permettre de recouvrer vos données.

Auparavant les pirates se contentaient de bloquer votre ordinateur ; aujourd’hui, ceux-ci téléchargent souvent vos fichiers avant de vous les rendre inaccessibles. La menace de publier ou revendre vos fichiers s’ajoute donc au fait de vous en priver. Les conséquences pour un particulier sont les mêmes que pour le phishing (revente de données bancaires ou sociales sur le marché noir par exemple).

Pour les entreprises, cela peut être dévastateur. Au-delà de l’interruption de service engendrée (et donc du chiffre d’affaires perdu), la perte de crédibilité peut être très forte, sans compter les répercussions légales si des données bancaires ou de santé sont rendues publiques.

Alors, quelles conséquences ?

On peut citer les attaques contre le groupe « Kojima Industries » principal fournisseur de Toyota. Quatorze usines ont été affectées, ce qui a fait baisser la production de 5%, sans compter le manque à gagner, le cours de Toyota en bourse a également été impacté. On parle ici de pertes de 300K$ par heure.[3]

Plus tard en 2022, le studio de jeu vidéo CD Projekt Red a été attaqué. Des secrets industriels et des projets en cours ont été vendus sur le darknet, car l’éditeur a refusé de payer la rançon.[4]

Une infection par un rançongiciel engendre souvent la propagation de celui-ci sur un grand nombre de machines de l’entreprise. Ainsi, sans solution de sécurité efficace et sans cloisonnement des machines, cette propagation peut provoquer une paralysie d’une partie ou de tout le système d’information.

De plus, en cas de violation de données à caractère personnel, vous êtes dans l’obligation de le signaler à la CNIL.[5] Il faut donc se prémunir au mieux de ce genre d’attaque afin d’éviter le « syndrome du cambrioleur » (acheter une alarme après s’être fait cambrioler).

Si l’on peut croire que notre PC personnel est à l’abri d’une telle menace, il n’en est rien. Les attaquants diffusent parfois au hasard leur logiciel dans le but de toucher le maximum de personnes.

En effet, nous gardons souvent sur notre ordinateur des données personnelles précieuses (scan de carte d’identité, de carte vitale, de passeports, d’attestations en tout genre…). Ce sont autant d’éléments qui peuvent servir à usurper notre identité auprès de différents services.

Sans compter d’autres types de fichiers (photos de vacances par exemple) qui pourraient se retrouver sur des sites très peu fréquentables (dark web, revente de photos d’enfants…).[6]

Cependant, l’ANSSI et plusieurs agences étatiques s’accordent sur le fait qu’il ne faut jamais payer une rançon. Lorsque vous rémunérez ce genre d’action malveillante, en plus de n’être aucunement sûr de pouvoir recouvrer vos données, vous encouragez et financez ces pratiques.

Les bons gestes

Que faire face à ces attaques qui peuvent tous nous affecter ? Nous pouvons tenter de nous en prémunir en mettant en place quelques « bonnes pratiques » afin de limiter les risques.

Vous trouverez ci-dessous quelques « gestes d’hygiène numérique » simples parmi lesquels :

• Utilisez un gestionnaire de mot de passe afin d’avoir un mot de passe fort et unique par site ou service.
• Faites des sauvegardes régulières sur un support externe (disque dur, clé USB).
• Vérifiez bien l’adresse électronique de l’expéditeur des emails que vous recevez, en entreprise utilisez la fonction « signaler ce mail » si cette fonction est disponible.
• N’ouvrez pas un document d’une adresse inconnue / Ne cliquez pas sur un lien suspect (en survolant le lien avec votre souris, vous pourrez apercevoir le lien vers lequel vous allez être redirigés).
• N’installez pas d’applications ou de logiciels « piratés » ou dont vous ne pouvez vérifier la provenance avec certitude.
• Ne communiquez pas d’informations sensibles (votre banque ne vous demandera jamais votre numéro de carte bleue ou votre mot de passe !).
• En cas de doute sur un courriel vous indiquant une information concernant un paiement, rendez-vous directement sur le site concerné, ne cliquez pas sur le lien du courriel.
• Si le site ou le service le permet, activez la double authentification (2FA).
• Gardez vos appareils informatiques et les logiciels installés à jour.

Moralité ? Prenez votre temps !

Depuis l’invention et la diffusion du numérique, notre société veut tout, tout de suite. Les mails ou messages sont instantanés, nous sommes connectés en permanence. Dans cette effervescence constante, il est bon de se méfier de ce que nous pouvons recevoir.

Et avant toute chose, faites preuve de bon sens. Un mail inhabituel ? Une affaire très alléchante ? On vous promet un remboursement inopiné ? Si c’est trop beau pour être vrai, c’est sûrement le cas !

Afin que ce mois d’octobre soit placé sous l’égide de la cybersécurité, n’hésitez pas à en parler autour de vous, que ce soit à vos collègues, vos amis, votre famille.

Si cela peut paraître contraignant, le numérique fait désormais partie intégrante de nos vies. Il est de notre devoir (en tant que professionnel de l’informatique) de diffuser ces bonnes pratiques afin que notre « société numérique » soit plus sûre et que toute personne utilisant un terminal informatique se sente en sécurité.

Liens vers les ressources utiles :

[1] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[2] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[3] : https://www.cpomagazine.com/cyber-security/toyotas-supply-chain-cyber-attack-stopped-production-cutting-down-a-third-of-its-global-output/

[4] : https://www.engadget.com/cd-projekt-red-data-breach-online-114047285.html

[5]: Articles 33-1,34 et 55 du RGPD

[6] : https://www.zdnet.com/article/the-latest-dark-web-cyber-criminal-trend-selling-childrens-personal-data/

Le SOC, c’est quoi ?

Le SOC est l’équipe en charge d’assurer la sécurité de l’information dans l’entreprise. Son acronyme correspond à Security Operations Center ou Cellule de Sécurité Opérationnelle en français.

Le SOC peut être une équipe interne dans l’entreprise ou externe chez un prestataire spécialisé opérant à distance, on parle alors de SOCaaS (SOC as a Service).

Le SOC est principalement composé d’analystes qui surveillent un nombre important de composants du SI afin de détecter et qualifier les incidents de sécurité, puis de définir et suivre les plans de réaction.

Les principales missions du SOC

Superviser la sécurité de l’entreprise

L’objectif de cette activité est de suivre en temps réel le SI de l’entreprise afin de réduire au maximum le temps entre une alerte / tentative d’attaque d’un hacker et la réponse qu’on peut apporter en termes de réaction. En cas d’attaque cyber, l’équipe du SOC peut ainsi intervenir immédiatement et limiter les impacts pour l’entreprise, ses employés et ses clients.

Définir et mettre en place les solutions de détection

Cette activité permet de mettre en place une surveillance continue et d’analyser l’activité des données sur les réseaux, les serveurs, les postes de travail, les applications, etc.

Cette activité de détection repose sur le recueil d’évènements, de métriques, de logs, de paquets, etc. sur lesquelles des algorithmes de détection ou de corrélation vont être branchés (solutions SIEM). Depuis quelques années, les capacités de l’intelligences artificielles sont intégrées pour détecter des anomalies comportementales.

Détecter et qualifier des événements de sécurité

Une fois la stratégie de détection activée, le SOC doit analyser l’ensemble des alertes de sécurité levées et déterminer quelles sont celles qui sont avérées. En effet, dans ce domaine d’activité, beaucoup d’alertes sont considérées comme fausses, c’est ce qu’on appelle les faux positifs. Un tri constant est donc nécessaire pour remonter les incidents avérés et déclencher les actions de réaction.

Fournir les plans de réaction

En cas d’incident de sécurité, c’est au SOC de définir le plan de réaction et d’assister les équipes techniques qui réaliseront ces actions préconisées sur les composants concernés. La responsabilité du SOC inclus le suivi du plan de réaction, afin de s’assurer que les failles sont corrigées, les patchs correctifs passés, etc.

Le SOC se doit aussi d’effectuer une veille technologique constante afin d’avoir la capacité de faire face à l’évolution permanente de la menace.

Un point important sur cette veille est le suivi des failles publiques de sécurité (CVE) afin d’alerter en amont les équipes techniques concernées potentiellement par ces CVE. L’objectif est de les faire patcher avant qu’un hacker ne tente de les exploiter.

En conclusion

L’ activité et le niveau de responsabilité d’une équipe SOC lui impose donc d’avoir une vision d’ensemble du SI et de son niveau de sécurité, d’avoir la capacité de coordonner les acteurs impliqués et d’optimiser constamment son système de supervision de la sécurité. C’est à ce prix qu’elle peut garantir un niveau de surveillance et de protection optimal du SI de l’entreprise.

Le centre de compétence en cyber sécurité de Synapsys peut vous accompagner dans la mise en place d’une organisation de type SOC afin d’élever le niveau de protection de votre entreprise.

Synapsys peut accompagner les équipes SOC déjà en place afin de les aider à optimiser leur organisation, ainsi que les scenarii de détection.

Synapsys complète ainsi son offre dans le domaine de la Cyber Sécurité. Plus particulièrement sur le domaine du securityByDesign et de la démarche DevSecOps en devenant partenaire et revendeur des solutions Veracode.

Synapsys apportera ainsi à ses clients son expertise dans la sécurisation des applications, mais aussi l’accompagnement nécessaire dans le déploiement de solutions d’audit de sécurité auprès des équipes Dev, Sec et Ops. Ce partenariat permettra à Veracode de continuer à étendre sa présence en France.

L’objectif de ce partenariat Synapsys – Veracode

Synapsys s’est spécialisé sur plusieurs centres de compétences, dont ceux du DevOps et de la Cyber Sécurité. La démarche DevSecOps est devenue un enjeu majeur pour les entreprises en matière de Cyber Sécurité, et cela se confirme quotidiennement.

Notre partenariat Synapsys – Veracode permet ainsi de poursuivre l’accompagnement auprès d’entreprises ayant besoin de sécuriser leurs développements applicatifs, tout en nous assurant qu’elles soient conformes aux normes de sécurité les plus élevées.

Pourquoi Veracode ?

Synapsys a choisi Veracode comme partenaire pour son statut de leader dans le domaine de l’AST avec un large choix de solutions d’audits et d’accompagnement de premier plan. De plus, Veracode propose une feuille de route technologique claire et pertinente et démontre une forte capacité à s’adapter au plus grand nombre d’organisations.

Les points forts de Veracode :

• Classé n°1 au Forrester 2021 AppSec
• Classé parmi les leaders au Gartner depuis plusieurs années
• Offre la plus complète du marché en matière de solutions d’audits de code
• Accompagnement de qualité des utilisateurs
• Simplicité d’intégration dans une grande majorité de plateforme DevOps

Les chiffres clés :

• Plus de 2500 clients dans le monde (banque, finance, industrie, retail, etc.)
• Taux de faux positifs officiel de 1,1%
• 25 trillions de lignes de code analysées
• Contribution à la correction de plus de 59 millions de failles de sécurité

POC DevSecOps

S’appuyant sur son retour d’expérience, Synapsys a mis en place une offre DevSecOps permettant aux entreprises qui le souhaitent de tester les solutions Veracode.

Ce POC permet aux entreprises de vérifier que leurs solutions d’audit de sécurité applicatif sont au niveau attendu.

L’objectif est également de valider la facilité d’intégration de cette solution dans les plateformes CI/CD et de confirmer que la visibilité donnée au niveau de la sécurité applicative est bien adaptée aux attentes.

Découvrez également notre offre de service cybersécurité, pour vous accompagner tout au long de votre programme de sécurisation du SI.