Par Olivier Cristini, CTO du
Groupe Squad.
Il y a quelque chose
d'étrange dans notre secteur : plus on investit, plus on se fait attaquer
!
On le sait, on en parle, et on
continue à peu près comme avant. Ce n'est pas un manque de budget. Ce n'est pas
un manque d'outils. C'est un problème de lucidité.
La plupart des
organisations ont aujourd'hui une posture cyber construite pour un monde qui
n'existe plus : celui où l'entreprise avait un périmètre, un dedans et un
dehors. Ce monde a disparu sous l'effet du cloud, de la mobilité, de
l'externalisation massive et de la convergence IT/OT. Les infrastructures
débordent désormais vers les prestataires, les partenaires, les objets
connectés, les systèmes industriels. Mais nos réflexes défensifs, eux, sont
restés en place.
La conformité nous
donne bonne conscience. Rien de plus.
C'est peut-être la
confusion la plus coûteuse du moment. On produit des audits, on obtient des
certifications, on coche des cases pour NIS2, DORA, ISO 27001, et on en tire la
conclusion implicite qu'on est protégés. Sauf qu'un audit dit ce qu'on était à la
date où il a été conduit. L'attaquant, lui, n'a pas attendu.
Ce décalage n'est pas
anodin : il entretient une illusion de maîtrise qui peut être plus dangereuse
que l'absence de contrôle, parce qu'elle réduit la vigilance. Se conformer est
nécessaire mais confondre conformité et sécurité, c'est une faute stratégique
malheureusement très répandue.
L'économie de l'attaque
a changé de nature
Ce qu'on sous-estime,
c'est la rupture économique en cours. L'IA ne rend pas seulement les attaques
plus sophistiquées, elle en effondre le coût ! Générer des exploits,
personnaliser des campagnes de phishing à grande échelle, automatiser la
reconnaissance : ce qui demandait hier des semaines à une équipe expérimentée
s'exécute aujourd'hui en quelques heures pour quelques centaines d'euros.
Le résultat concret,
c’est que le mouvement latéral (c'est-à-dire le temps qu'il faut à un attaquant
pour se déplacer dans un système après y être entré) est passé de 62 minutes à
moins de 30 minutes en deux ans. La fenêtre de réaction se ferme donc plus vite
qu'on ne la réouvre.
Pendant ce temps, le
coût de la défense reste structurellement élevé. L'asymétrie s'aggrave, et elle
ne se résout pas en achetant un outil de plus.
On sécurise
l'infrastructure. Rarement ce qui compte vraiment.
Voilà un angle mort
qu'on ne discute pas assez : le décalage entre là où les contrôles sont denses
et là où la valeur réelle se trouve. Les équipes sécurisent les endpoints, les
firewalls, les accès réseau. Bref, ce qui est visible et mesurable.
Mais les données
stratégiques, les processus critiques, la propriété intellectuelle (les vrais
"joyaux de la couronne" !) sont souvent moins bien protégés que les
serveurs de fichiers.
L'attaquant raisonne en
valeur, pas en technique. Il cherche à atteindre ce qui compte, pas à vaincre
l'architecture la plus solide. Ce décalage entre notre carte défensive et la
réalité de ce qu'on a à protéger est systématique, et rarement nommé.
L'identité est devenue
le vrai périmètre
Depuis 3 ans, les
grandes compromissions s'appuient en majorité sur des identités valides - pas
sur des zero-days, pas sur des exploits sophistiqués. Des comptes
sur-privilégiés, des droits jamais révoqués, des accès prestataires mal
gouvernés.
Quand l'attaquant entre
avec des identifiants légitimes, la notion d'intérieur et d'extérieur ne veut
plus rien dire. La confiance ne peut plus être un état accordé une fois pour
toutes : elle doit être vérifiée en continu, contextuelle, révocable. C'est un
changement de posture profond et il est encore traité comme un chantier parmi
d'autres dans beaucoup d’entreprises.
Il faut arrêter de
vouloir tout empêcher
C'est probablement la
vérité la plus difficile à formuler dans notre métier : dans un système
complexe, la compromission partielle est inévitable. La vraie question n'est
pas "comment empêcher toute intrusion ?". Elle est "combien de
temps entre l'entrée et la détection, entre la détection et la réponse, entre
la réponse et le retour à la normale ?".
Ces délais ont un coût
direct. 86 % des organisations touchées par une brèche déclarent avoir subi des
perturbations opérationnelles significatives : production arrêtée, services
interrompus, ventes bloquées. La résilience n'est pas un concept flou.
C'est une capacité
opérationnelle concrète, qui se construit, qui se teste, et qui manque encore à
la plupart des organisations.
Les meilleures ne sont
pas celles qui ne se font pas attaquer. Ce sont celles qui absorbent le choc
sans s'effondrer.
Ce que ça change
concrètement
Il ne s'agit pas de
tout remettre à plat. Il s'agit de se recentrer : visibilité réelle sur ce qui
est exposé, pas sur ce qui est déclaré conforme. Identité au cœur de
l'architecture, pas en périphérie. Détection et réponse pensées comme des
capacités qui s'entraînent, pas comme des outils qu'on installe. Et une
question honnête sur ce qu'on protège vraiment, et pourquoi.
C'est ce que j'appelle
la Modern Cybersecurity. Ce n’est pas un catalogue de solutions, mais un
changement de regard sur ce que sécuriser veut dire quand le périmètre a
disparu.