Trois ans à signer des rapports d''audit qui commençaient par les pare-feux et finissaient par l''AD. Aujourd''hui je commence par les fichiers package-lock.json, les workflows GitHub Actions et la liste des paquets pip installés sur les builders. Ce n''est pas une lubie : c''est l''unique endroit où les attaquants gagnent vraiment du terrain en 2026.

Ce que la semaine du 5 au 12 mai 2026 a confirmé

Mini Shai-Hulud sur TanStack le 11 mai. Avant ça, PCPJack sur les clusters Kubernetes exposés. Avant ça, Trellix piraté avec exfiltration de code source. n8n CVSS 10.0, Spring AI trois HIGH, AzuraCast RCE 8.8, OpenCTI takeover non-auth, FastGPT 9.8. Et je ne parle même pas de l''affaire Instructure qui a balayé 275 millions de comptes étudiants. En une semaine.

Le point commun de toutes ces affaires n''est pas le périmètre technique attaqué. C''est le périmètre social. Des bibliothèques tierces, des plateformes d''orchestration auto-hébergées, des frameworks LLM, des outils de threat intelligence : autant de briques qu''aucune équipe sécurité ne maintient elle-même mais que toute organisation moderne consomme massivement. Le ROI de l''attaquant qui compromet une dépendance largement diffusée est d''un ou deux ordres de grandeur supérieur à celui de l''attaquant qui phishe un comptable.

Cette concentration n''est pas une surprise. Elle était annoncée depuis SolarWinds en 2020, depuis Log4Shell en 2021, depuis xz utils en 2024. Ce qui change en 2026, c''est l''industrialisation. TeamPCP a publié 84 versions npm en six minutes le 11 mai. Ce n''est pas un attaquant qui bricole un soir, c''est un harnais d''automatisation prêt à dégainer dès qu''une fenêtre s''ouvre.

Pourquoi mes anciens audits passaient à côté

Quand je commençais une mission audit en 2022, je passais quatre jours sur cinq sur les fondamentaux : politiques de mots de passe, segmentation réseau, durcissement Active Directory, gestion des comptes à privilèges, sauvegarde, plan de reprise. Le cinquième jour, je validais quelques scans Nessus sur les actifs externes et je rédigeais. Le rapport sortait propre, le client signait, le RSSI avait sa to-do list pour l''année.

Ce que je ne couvrais pas, ou très mal, c''était la dette logicielle. La liste des dépendances tirées par les pipelines CI. Les workflows GitHub Actions qui tournaient avec des permissions étendues sans qu''on sache qui les avait écrites. Les images Docker base utilisées par les développeurs sans signature. Les bases vectorielles déployées en quelques heures pour un POC RAG et oubliées en production. Les jetons npm publiés dans des secrets de dépôt par un développeur parti il y a deux ans.

Quand un de mes clients s''est fait toucher en 2024 par une compromission via un paquet npm typo-squatté, j''ai mis trois jours à reconstituer la chaîne d''exposition. Trois jours où le client perdait de l''argent et où j''apprenais sur le tas que mon audit de référence ne couvrait pas 80% du problème réel.

Ma méthode actuelle

Maintenant, je commence systématiquement par trois questions, posées avant même de regarder le réseau ou l''AD :

Première question : qui peut publier sur vos registres internes ? Cela couvre l''Artifactory, le Nexus, le GitLab Container Registry, le PyPI privé, la registry npm interne. La réponse est presque toujours floue. Les plus matures ont une réponse précise sur deux registres et une réponse vague sur les six autres. Cette dispersion est le terreau parfait pour qu''un attaquant publie une dépendance interne piégée et la diffuse via des CI mal configurés.

Deuxième question : combien de vos workflows CI ont des secrets de production exposés en variables d''environnement ? Cela permet d''évaluer la surface de vol par exfiltration silencieuse. Un secret qui n''est exposé qu''à la phase de déploiement, ou qui est récupéré en runtime via un coffre dédié type HashiCorp Vault ou AWS Secrets Manager, est moins exposé qu''un secret AWS_SECRET_ACCESS_KEY balancé en clair dans toutes les jobs CI.

Troisième question : depuis quand n''avez-vous pas tourné les jetons d''accès npm, PyPI, Docker Hub, GitHub PAT utilisés par vos pipelines ? Un jeton qui n''a pas tourné depuis 18 mois est un jeton qui a été observé par tous les développeurs, ex-développeurs, contractuels et stagiaires qui ont travaillé sur le projet pendant cette période. La probabilité qu''il ait fuité est non nulle, et croît avec le temps.

Mon avis d'expert

Je signe encore des rapports qui finissent par recommander la sauvegarde et la formation utilisateur. Ce sont des fondamentaux, pas du folklore. Mais en 2026, si je passe plus de temps sur la politique de mot de passe Active Directory que sur l''inventaire des paquets npm de votre frontend, je vous arnaque. Les attaquants ne vont plus chercher Kerberos en premier. Ils vont chercher votre dernière dépendance ajoutée et votre dernier workflow GitHub Actions modifié.

Ce que les RSSI doivent ajouter à leur tableau de bord en 2026

Trois indicateurs minimum, à mon sens, pour une organisation qui consomme du logiciel tiers :

Le délai moyen entre la publication d''une CVE critique sur une dépendance utilisée et son patch effectif en production. Ce délai était mesuré en semaines en 2020. En 2026, il doit se mesurer en heures pour les CVE CVSS supérieures à 9. Si votre organisation met deux semaines à patcher une dépendance critique, vous êtes dans la moyenne historique. Vous êtes aussi exposés à toute campagne moderne qui exploite la fenêtre des 72 premières heures.

Le pourcentage de pipelines CI dont les secrets ont tourné dans les six derniers mois. Cible raisonnable : 100%. Cible observée chez la majorité des PME et ETI françaises : moins de 30%. C''est l''écart le plus criant entre la maturité affichée et la réalité opérationnelle.

Le nombre de dépendances tierces consommées par les applications critiques, et la part qui fait l''objet d''un suivi actif (alerte vulnérabilités, MAJ régulière). Beaucoup d''organisations découvrent qu''elles tirent 1 200 paquets npm en transitif sur une application qui en déclare 40. Sans automation type Dependabot ou Snyk, ces 1 200 dépendances sont des angles morts.

Ce que cela change pour les équipes qui n''ont pas les moyens d''une DevSecOps complète

L''objection que j''entends le plus souvent en PME : "on n''a pas les ressources pour une plateforme SAST/DAST/SCA, on fait avec ce qu''on a". C''est légitime. Mais trois quarts du chemin se font sans plateforme. Configurer Dependabot sur GitHub coûte zéro, alerte sur les CVE des dépendances directes, et fait des PR de mise à jour automatiques. Ajouter une étape pip-audit ou npm audit dans les pipelines coûte cinq lignes de YAML. Forcer le pinning strict des dépendances par lockfile coûte une discipline d''équipe, pas un budget. Activer la double authentification sur les comptes mainteneurs npm coûte deux minutes par compte.

Le seuil d''investissement minimum pour passer d''un état de cécité totale à un état de visibilité raisonnable sur sa supply chain logicielle est très bas en 2026. Ce qui manque, ce n''est presque jamais l''argent : c''est l''arbitrage et la priorité.

Conclusion

Si vous me demandez aujourd''hui de réaliser un audit cyber pour votre organisation, attendez-vous à ce que je passe la première journée non pas dans votre datacenter, mais dans vos dépôts Git, vos pipelines CI, vos registres de paquets internes et vos plateformes d''orchestration. Ce n''est pas un effet de mode lié à mai 2026. C''est un changement de centre de gravité du risque cyber qui s''installe depuis cinq ans et qui s''est définitivement imposé cette semaine. La porte d''entrée principale de votre SI n''est plus votre Active Directory : c''est votre fichier package-lock.json.

Besoin d'un audit ciblé sur votre chaîne d'approvisionnement ?

Discutons de votre contexte précis : pipelines CI, dépendances logicielles, plateformes d'orchestration. Audit en quelques jours, restitution opérationnelle.

Prendre contact