● Journal du Net 📅 18/03/2026 à 17:23

Cybersécurité 👤 Guido Grillenmeier

🏷️ Tags : ransomware otan phishing deepfake rte stoc

Je travaille depuis plus de 20 ans sur les architectures de sécurité IT dans le monde entier. Si je devais tirer une leçon des innombrables incidents que j'ai analysés, ce serait celle-ci : ce n'est pas la prévention qui sauve une organisation, c'est sa capacité à encaisser le choc. C'est ce que nous appelons la cyber-résilience. Depuis des années, les organisations investissent massivement dans la sécurité périmétrique. Pourtant, la réalité est sans appel : les cybercriminels ne forcent plus les portes, mais ils s'y connectent véritablement. Identifiants volés, tokens compromis, cookies détournés : c'est ainsi qu'ils accèdent aux systèmes critiques. L'identité, talon d'Achille des organisations Active Directory, introduit en 2000, reste l'épine dorsale de la gestion des identités dans la plupart des organisations. Puissant mais complexe, il est difficile à sécuriser entièrement, et reste dans le viseur des attaquants. Avec des outils librement disponibles, même un non-expert peut escalader les privilèges et prendre le contrôle d'un domaine entier. Les environnements hybrides compliquent encore la donne. La quasi-totalité des organisations synchronisent leur Active Directory on-premises avec des environnements cloud comme Microsoft Entra ID. Une attaque qui débute par un phishing sur un poste de travail peut donc se propager rapidement vers le cloud. Des groupes comme Storm-0501 exploitent systématiquement cette voie : infiltration de l'environnement legacy, puis prise de contrôle dans le cloud. Une criminalité organisée et accessible… qui ne laisse personne à l’abri L'écosystème criminel s'est profondément transformé. Là où une expertise technique était autrefois nécessaire, les groupes Ransomware-as-a-Service proposent aujourd'hui des kits d'attaque clés en main. Des courtiers en accès initial vendent des entrées vers des systèmes vulnérables sur le marché souterrain, souvent pour une fraction des dommages qu'ils permettent d'infliger. Il ne faut plus être ingénieur pour paralyser une organisation : un identifiant mal protégé suffit. Continuer à opérer malgré l’attaque Face à cette réalité, l'enjeu n'est plus d'espérer éviter l'attaque, mais de préparer l'organisation à fonctionner malgré elle. Cela passe par ce qu'on appelle la Minimum Viable Company : définir en amont quelles fonctions doivent absolument être maintenues, quelles applications redémarrent en priorité, qui décide, et comment on communique si les systèmes habituels sont inaccessibles. Ces réponses doivent exister avant la crise, et ne peuvent pas s’improviser sous la pression. Malheureusement, je constate encore trop souvent que les plans de continuité ne sont pas accompagnés de simulations régulières. Or, un plan qui n’a jamais été testé n’a aucune valeur réelle. C’est en mettant en situation les équipes qu’on découvre les dépendances cachées, les erreurs de configuration, les chaînes critiques oubliées. L’IA offensive, mais aussi défensive L'intelligence artificielle ajoute une nouvelle dimension à cette équation. Pour les équipes de sécurité, elle permet de détecter des comportements anormaux dans des volumes de données qu'aucun analyste ne pourrait traiter seul. Mais elle est aussi utilisée par les attaquants : phishing sans faute, deepfakes, usurpation vocale. Les attaques gagnent en réalisme, en vitesse, en efficacité, ce qui rend encore plus nécessaire une gouvernance de la résilience, pilotée au plus haut niveau. Les attaquants ne se soucient ni de conformité ni d'éthique. L'IA est pour eux un outil puissant. Pour les défenseurs, cela signifie l'utiliser pour analyser des flux massifs de signaux, tout en gérant l'augmentation des faux positifs qui met les équipes SOC sous pression. La cyber-résilience comme KPI exécutif La cyber-résilience ne peut pas rester l'affaire des seules équipes IT. Elle doit être portée au niveau du conseil d'administration, avec un mandat clair et des ressources dédiées. Un plan de gestion de crise efficace ne tient que si la direction en assume la responsabilité, pas seulement en le validant, mais en le pilotant. Cela implique des décisions concrètes : où sont stockées les informations critiques, comment les sauvegardes sont sécurisées, quels canaux de communication alternatifs existent si les systèmes habituels sont compromis… ? Des incidents récents ont montré que même les appels Teams ou Zoom peuvent être interceptés. Des canaux hors-bande ne sont pas un luxe. Les professionnels de la sécurité deviennent des agents du changement au sein de leurs organisations. Leur mission ne se limite plus à déployer des technologies : il s'agit aussi de transformer la culture, en passant de l'illusion d’une prévention totale à une vision plus réaliste. La cyber-résilience doit devenir un KPI à part entière. Ce n'est pas le fait d'être touché qui définit la survie d'une organisation, c'est la qualité de sa réponse. Et ce n’est pas parce qu’une entreprise n’a jamais été attaquée qu’elle est protégée : c’est peut-être simplement qu’elle n’a pas encore été choisie comme cible prioritaire. Et demain, cela peut changer.

🔗 Lire l'article original 👁️ 1 lecture