Glossaire Cybersécurité : 100 Termes Essentiels 2026

Glossaire cybersécurité complet : 100 termes essentiels expliqués — APT, EDR, SIEM, Zero Trust, ransomware, pentest, MITRE ATT&CK. Définitions expertes.

La cybersécurité est un domaine en constante évolution, où la maîtrise du vocabulaire technique constitue un prérequis fondamental pour tout professionnel de la sécurité informatique. Que vous soyez analyste SOC, pentester, RSSI, consultant GRC ou simplement passionné par la sécurité des systèmes d'information, comprendre les termes clés de la cybersécurité vous permet de communiquer efficacement, de mieux appréhender les menaces et de déployer des défenses adaptées. En 2026, le paysage des cybermenaces se complexifie avec l'essor de l'intelligence artificielle offensive, des attaques sur les chaînes d'approvisionnement logicielles et des ransomwares toujours plus sophistiqués. Les réglementations comme NIS 2, le RGPD renforcé et DORA imposent de nouvelles exigences de conformité qui nécessitent une compréhension approfondie des concepts de sécurité. Ce glossaire réunit les 100 termes les plus essentiels de la cybersécurité en 2026, classés par ordre alphabétique. Chaque entrée propose une définition concise suivie d'une explication détaillée couvrant le contexte d'utilisation, les implications pratiques et les outils associés. Des acronymes incontournables comme SIEM, SOC ou EDR aux concepts stratégiques comme le Zero Trust ou la Defense in Depth, ce glossaire constitue une référence complète pour naviguer dans l'écosystème de la cybersécurité moderne. Nous avons enrichi chaque terme avec des exemples concrets, des références aux frameworks reconnus comme MITRE ATT&CK et des liens vers nos articles approfondis pour aller plus loin.

Sommaire alphabétique

A — APT, Attack Surface, Authentication, Authorization
B — Backdoor, Blue Team, Botnet, Brute Force, Bug Bounty, BYOD
C — C2, CASB, CERT/CSIRT, CIA Triad, Compliance, Credential Stuffing, Cryptographie post-quantique, Cryptojacking, CVE, CVSS, Cyber Kill Chain, Cyber Threat Intelligence
D — DDoS, Deepfake, Defense in Depth, DLP, DMZ, DNS Security, Double Extorsion
E — EDR, Encryption, Exploit
F — Firewall, Forensics
G — GRC
H — Hardening, HIDS/NIDS, Honeypot
I — ICS/SCADA, IDS/IPS, Incident Response, Initial Access Broker, IoC, ISMS/SMSI, ISO 27001
L — Lateral Movement, Living Off The Land
M — Malware, MDR, MFA, MITRE ATT&CK
N — NDR, NIST Framework
O — OSINT, OWASP
P — Patch Management, Penetration Testing, Phishing, PKI, Privilege Escalation, Purple Team
R — Ransomware, Ransomware-as-a-Service, Red Team, Remediation, Reverse Engineering, Risk Assessment, Rootkit
S — SASE, SBOM, Security Awareness, Security by Design, SIEM, Sigma Rules, SOC, SOAR, Social Engineering, Spear Phishing, Spoofing, SQL Injection, SSO, Supply Chain Attack
T — Threat Hunting, Threat Modeling, TLS/SSL, Trojan
V — Vulnerability, Vulnerability Management
W — WAF, Wazuh, Wiper
X — XDR, XSS
Z — Zero Day, Zero Trust, ZTNA

A

APT (Advanced Persistent Threat)

Une Advanced Persistent Threat (APT) désigne un groupe d'attaquants, généralement sponsorisé par un État-nation, qui mène des campagnes de cyberespionnage ou de sabotage sur de longues périodes. Contrairement aux cybercriminels opportunistes, les APT disposent de ressources considérables, de compétences techniques avancées et d'une patience stratégique qui leur permet de rester dans un réseau compromis pendant des mois, voire des années, sans être détectés.

Les groupes APT les plus connus incluent APT29 (Cozy Bear), attribué aux services de renseignement russes, APT41 lié à la Chine, ou encore Lazarus Group associé à la Corée du Nord. Ces groupes ciblent principalement les infrastructures critiques, les agences gouvernementales, les entreprises de défense et les organisations détenant de la propriété intellectuelle de valeur. Le cycle d'attaque d'un APT suit généralement la Cyber Kill Chain : reconnaissance approfondie, armement, livraison via spear phishing ou exploitation de vulnérabilités zero-day, installation de backdoors, établissement de communications C2 (Command & Control), mouvement latéral dans le réseau, et enfin exfiltration de données.

Pour se défendre contre les APT, les organisations doivent adopter une approche de détection proactive (Threat Hunting), déployer des solutions EDR/XDR, segmenter leur réseau selon le principe du moindre privilège, et maintenir une veille permanente sur les indicateurs de compromission (IoC) partagés par les CERT nationaux. Le framework MITRE ATT&CK constitue une ressource essentielle pour cartographier les tactiques, techniques et procédures (TTP) utilisées par ces groupes et adapter ses défenses en conséquence.

Attack Surface (Surface d'Attaque)

L'Attack Surface, ou surface d'attaque, représente l'ensemble des points d'entrée potentiels qu'un attaquant peut exploiter pour compromettre un système, un réseau ou une organisation. Elle englobe tous les vecteurs d'attaque possibles, des interfaces réseau exposées aux API accessibles publiquement, en passant par les comptes utilisateur, les ports ouverts, les applications web et les endpoints physiques.

La surface d'attaque se divise traditionnellement en trois catégories. La surface d'attaque numérique comprend les adresses IP, les domaines, les certificats SSL, les applications SaaS, les API REST et GraphQL, les services cloud mal configurés et les dépôts de code publics. La surface d'attaque physique inclut les accès aux locaux, les ports USB, les bornes WiFi et les équipements IoT. La surface d'attaque sociale englobe les employés susceptibles d'être ciblés par du phishing, de l'ingénierie sociale ou des attaques de type deepfake.

L'Attack Surface Management (ASM) est une discipline qui vise à découvrir, inventorier et réduire en continu cette surface d'attaque. Des outils comme Shodan, Censys, ou des plateformes ASM spécialisées permettent de cartographier les actifs exposés et d'identifier les vulnérabilités avant qu'un attaquant ne les exploite. En 2026, avec l'adoption massive du cloud, du travail hybride et de l'IoT, la surface d'attaque des organisations ne cesse de s'étendre, rendant sa gestion plus critique que jamais. La règle d'or est simple : ce que vous ne connaissez pas, vous ne pouvez pas le protéger.

Authentication (Authentification)

L'authentification est le processus de vérification de l'identité d'un utilisateur, d'un appareil ou d'un système avant de lui accorder l'accès à des ressources protégées. C'est la première ligne de défense dans tout système de sécurité informatique, répondant à la question fondamentale : « Êtes-vous bien celui que vous prétendez être ? »

Les mécanismes d'authentification reposent sur un ou plusieurs facteurs : quelque chose que l'utilisateur connaît (mot de passe, code PIN), quelque chose qu'il possède (smartphone, token physique, carte à puce), quelque chose qu'il est (biométrie : empreinte digitale, reconnaissance faciale, iris). L'authentification simple (un seul facteur, généralement le mot de passe) est de plus en plus considérée comme insuffisante face aux attaques de type credential stuffing et password spraying. C'est pourquoi l'authentification multifacteur (MFA) est désormais recommandée, voire imposée par des réglementations comme NIS 2.

Les protocoles d'authentification modernes incluent OAuth 2.0, OpenID Connect (OIDC), SAML 2.0 et FIDO2/WebAuthn pour l'authentification sans mot de passe (passwordless). L'authentification adaptative, ou conditionnelle, ajuste le niveau de vérification requis en fonction du contexte : localisation géographique, appareil utilisé, heure de connexion, comportement de l'utilisateur. Dans une architecture Zero Trust, l'authentification est continue et ne se limite pas à la connexion initiale. Chaque requête est vérifiée, chaque accès est validé, éliminant la confiance implicite traditionnellement accordée aux utilisateurs internes.

Authorization (Autorisation)

L'autorisation est le processus qui détermine les actions qu'un utilisateur authentifié est autorisé à effectuer sur un système. Si l'authentification répond à « Qui êtes-vous ? », l'autorisation répond à « Que pouvez-vous faire ? ». Ces deux concepts sont complémentaires mais distincts, et leur confusion est source de nombreuses vulnérabilités.

Les modèles d'autorisation les plus courants sont le contrôle d'accès basé sur les rôles (RBAC), où les permissions sont attribuées à des rôles plutôt qu'à des individus ; le contrôle d'accès basé sur les attributs (ABAC), qui prend en compte le contexte (heure, localisation, type d'appareil) ; et le contrôle d'accès discrétionnaire (DAC) où le propriétaire d'une ressource définit qui peut y accéder. Dans les environnements Active Directory, l'autorisation repose sur les groupes de sécurité, les GPO et les listes de contrôle d'accès (ACL), dont les abus constituent un vecteur d'attaque majeur.

Le principe du moindre privilège (Least Privilege) est la pierre angulaire d'une bonne gestion des autorisations : chaque utilisateur ne doit disposer que des permissions strictement nécessaires à l'accomplissement de ses tâches. L'autorisation juste-à-temps (JIT) va plus loin en n'accordant les privilèges élevés que temporairement, pour une durée et un périmètre définis. En 2026, les solutions PAM (Privileged Access Management) intègrent de plus en plus l'IA pour détecter les comportements anormaux d'utilisation des privilèges et révoquer automatiquement les accès suspects. Les API modernes utilisent des tokens JWT (JSON Web Tokens) contenant les claims d'autorisation, facilitant la vérification décentralisée des permissions dans les architectures microservices.

B

Backdoor (Porte Dérobée)

Une backdoor est un mécanisme secret, intentionnel ou non, qui permet de contourner les contrôles d'authentification et d'accès normaux pour pénétrer dans un système informatique. Les backdoors peuvent être installées par des attaquants après une compromission initiale pour maintenir un accès persistant, ou être intégrées volontairement par des développeurs malveillants dans du code source.

Les backdoors se présentent sous différentes formes. Les backdoors logicielles peuvent être un compte utilisateur caché, un service réseau non documenté écoutant sur un port spécifique, ou une fonction secrète dans une application. Les backdoors matérielles sont des modifications physiques de composants électroniques, comme des puces supplémentaires sur des cartes mères. Les backdoors dans les firmwares ciblent le BIOS/UEFI des machines, offrant une persistance qui survit à la réinstallation du système d'exploitation.

Dans le contexte des APT, l'installation de backdoors est une étape cruciale de la chaîne d'attaque. Les groupes comme APT41 utilisent des techniques de persistance sophistiquées sur macOS et Linux, tandis que les attaquants ciblant Windows exploitent le registre, les tâches planifiées, les services système ou les Password Filter DLL pour maintenir leurs backdoors. La détection des backdoors nécessite des analyses forensiques approfondies, une surveillance continue des connexions réseau sortantes suspectes, et l'utilisation d'outils de détection d'intégrité des fichiers. Le concept de SBOM (Software Bill of Materials) aide à identifier les composants logiciels potentiellement compromis dans la chaîne d'approvisionnement.

Blue Team (Équipe Bleue)

La Blue Team désigne l'équipe de cybersécurité responsable de la défense d'une organisation contre les cyberattaques. Contrairement à la Red Team qui simule des attaques, la Blue Team surveille, détecte, analyse et répond aux menaces en temps réel. Elle constitue le pilier opérationnel de la sécurité d'un système d'information.

Les missions de la Blue Team englobent la surveillance continue via un SOC (Security Operations Center), la gestion des incidents de sécurité, l'analyse des journaux d'événements, le threat hunting proactif, le durcissement des systèmes, la gestion des vulnérabilités et la mise en place de contrôles de sécurité. Les analystes Blue Team utilisent des outils comme les SIEM (Splunk, Microsoft Sentinel), les solutions EDR/XDR, les IDS/IPS, les firewalls et les outils d'analyse forensique.

En 2026, les compétences requises pour une Blue Team efficace vont bien au-delà de la simple surveillance d'alertes. L'analyste SOC moderne doit maîtriser le detection engineering, la création de règles de corrélation, l'automatisation via SOAR, et l'analyse de malware de base. La Blue Team doit également collaborer étroitement avec la Red Team dans le cadre d'exercices Purple Team pour améliorer continuellement les capacités de détection. Les métriques clés d'une Blue Team performante incluent le MTTD (Mean Time To Detect), le MTTR (Mean Time To Respond) et le taux de faux positifs. La philosophie « assume breach » (présumer la compromission) guide la Blue Team vers une posture de détection proactive plutôt que purement préventive.

Botnet (Réseau de Robots)

Un botnet est un réseau d'appareils informatiques infectés par un malware et contrôlés à distance par un attaquant (le « botmaster ») via une infrastructure de Command & Control (C2). Les machines compromises, appelées « bots » ou « zombies », agissent à l'insu de leurs propriétaires pour exécuter des tâches malveillantes à grande échelle.

Les botnets sont utilisés pour de multiples activités criminelles : attaques DDoS (Distributed Denial of Service) pouvant générer des volumes de trafic massifs, envoi de spam à grande échelle, minage de cryptomonnaies (cryptojacking), vol de données bancaires, diffusion de ransomware ou encore fraude au clic publicitaire. Les botnets modernes comme Emotet, TrickBot ou Mirai (ciblant les objets connectés) ont démontré une capacité de nuisance considérable. En 2026, des botnets IoT ont atteint des records de 31 Tbps lors d'attaques DDoS.

L'architecture des botnets a évolué des modèles centralisés (un serveur C2 unique) vers des architectures peer-to-peer (P2P) plus résilientes, rendant leur démantèlement plus difficile. Certains botnets utilisent des canaux C2 innovants comme les réseaux sociaux, les services cloud légitimes, le DNS ou même la blockchain pour dissimuler leurs communications. La lutte contre les botnets implique une collaboration internationale entre forces de l'ordre, fournisseurs de services internet et éditeurs de sécurité. La détection repose sur l'analyse comportementale du trafic réseau (NDR), la surveillance des requêtes DNS suspectes et l'identification des communications C2 caractéristiques.

Brute Force (Force Brute)

L'attaque par force brute est une méthode d'attaque qui consiste à tester systématiquement toutes les combinaisons possibles d'un mot de passe, d'une clé de chiffrement ou d'un identifiant jusqu'à trouver la bonne valeur. C'est l'une des techniques d'attaque les plus anciennes et les plus simples conceptuellement, mais elle reste redoutablement efficace contre les systèmes mal protégés.

Il existe plusieurs variantes de l'attaque par force brute. L'attaque par dictionnaire utilise une liste prédéfinie de mots de passe courants plutôt que de tester toutes les combinaisons. Le password spraying teste un petit nombre de mots de passe fréquents contre un grand nombre de comptes, évitant ainsi les mécanismes de verrouillage. Le credential stuffing utilise des couples identifiant/mot de passe issus de fuites de données précédentes. Les outils populaires pour ces attaques incluent Hydra, Hashcat, John the Ripper et Burp Suite.

La défense contre les attaques par force brute repose sur plusieurs mesures complémentaires : l'imposition de politiques de mots de passe robustes (longueur minimale de 14 caractères, complexité), le déploiement de l'authentification multifacteur (MFA), la mise en place de verrouillage de compte après un nombre défini de tentatives échouées, l'utilisation de CAPTCHA, la limitation du taux de requêtes (rate limiting) et la surveillance des tentatives de connexion anormales via le SIEM. Les solutions passwordless comme FIDO2/WebAuthn éliminent complètement le risque d'attaque par force brute sur les mots de passe en les supprimant de l'équation.

Bug Bounty (Programme de Prime aux Bogues)

Un programme de Bug Bounty est une initiative par laquelle une organisation invite des chercheurs en sécurité externes à découvrir et signaler des vulnérabilités dans ses systèmes, applications ou infrastructures en échange d'une récompense financière. C'est un modèle de sécurité collaborative qui complète les audits de sécurité traditionnels et les tests d'intrusion internes.

Les plateformes de Bug Bounty les plus connues sont HackerOne, Bugcrowd, YesWeHack (plateforme européenne) et Intigriti. Ces plateformes servent d'intermédiaire entre les organisations et les chercheurs, gérant la soumission des rapports, la validation des vulnérabilités, le paiement des primes et la protection juridique des parties. Les récompenses varient considérablement : de quelques centaines d'euros pour des vulnérabilités de faible criticité à plusieurs dizaines de milliers d'euros pour des failles critiques de type RCE (Remote Code Execution) ou des contournements d'authentification.

Le choix entre un Bug Bounty, un pentest classique ou un exercice Red Team dépend des objectifs de l'organisation. Le Bug Bounty offre une couverture continue et une diversité de perspectives que ne peut égaler une équipe interne. Cependant, il nécessite une maturité sécurité suffisante pour traiter efficacement les rapports reçus et remédier aux vulnérabilités dans des délais raisonnables. En 2026, les programmes de Bug Bounty se sont étendus aux systèmes d'IA et aux smart contracts blockchain, reflétant l'évolution du paysage technologique. Des organismes gouvernementaux comme l'ANSSI encouragent désormais les institutions publiques à adopter cette approche de divulgation responsable.

BYOD (Bring Your Own Device)

Le BYOD (Bring Your Own Device) est une politique d'entreprise qui permet aux employés d'utiliser leurs appareils personnels (smartphones, tablettes, ordinateurs portables) pour accéder aux ressources professionnelles. Si cette approche offre flexibilité et réduction des coûts matériels, elle pose des défis majeurs en matière de cybersécurité.

Les risques associés au BYOD sont multiples : les appareils personnels échappent souvent au contrôle du service informatique, peuvent ne pas être à jour en termes de correctifs de sécurité, héberger des applications malveillantes, ou se connecter à des réseaux Wi-Fi non sécurisés. En cas de perte ou de vol, les données professionnelles stockées sur l'appareil peuvent être compromises. Le mélange des usages personnels et professionnels augmente la surface d'attaque et complique la gestion des incidents.

Pour sécuriser un environnement BYOD, les organisations déploient des solutions de gestion des appareils mobiles (MDM/UEM) qui permettent d'imposer des politiques de sécurité (chiffrement, verrouillage par code, effacement à distance), de séparer les données professionnelles des données personnelles via la conteneurisation, et de contrôler les applications autorisées. L'accès conditionnel, intégré dans des plateformes comme Microsoft Entra ID, vérifie la conformité de l'appareil avant d'autoriser l'accès aux ressources cloud. Dans une approche Zero Trust, chaque appareil BYOD est traité comme potentiellement compromis, et l'accès est accordé sur la base d'une évaluation continue du risque combinant l'identité de l'utilisateur, la posture de sécurité de l'appareil et le contexte de la connexion. Le CASB complète cette architecture en contrôlant l'accès aux applications SaaS.

C

C2 (Command & Control)

Le Command & Control (C2 ou C&C) désigne l'infrastructure utilisée par un attaquant pour communiquer avec les systèmes compromis et leur envoyer des commandes à exécuter. C'est le système nerveux central d'une cyberattaque, permettant au pirate de contrôler les machines infectées, d'exfiltrer des données, de déployer des payloads supplémentaires et de coordonner les différentes phases de l'opération.

Les architectures C2 ont considérablement évolué. Les premières générations utilisaient des serveurs IRC ou HTTP simples, facilement identifiables et neutralisables. Les infrastructures C2 modernes emploient des techniques d'évasion sophistiquées : chiffrement des communications, utilisation de services cloud légitimes (Google Drive, OneDrive, Slack) comme canaux de communication, domain fronting pour masquer la destination réelle du trafic, DNS tunneling, et même utilisation de la blockchain Solana comme canal C2.

Les frameworks C2 open source comme Cobalt Strike, Sliver, Havoc et Mythic sont largement utilisés tant par les Red Teams que par les attaquants réels. La détection des communications C2 est un enjeu majeur pour les équipes de défense. Les solutions NDR (Network Detection and Response) analysent le trafic réseau pour identifier les patterns de communication C2 caractéristiques : beaconing régulier, taille et fréquence des paquets, communications avec des domaines récemment enregistrés. Les règles Sigma permettent de créer des signatures de détection portables ciblant les comportements C2 connus. L'analyse des métadonnées DNS et l'utilisation de threat intelligence feeds enrichissent les capacités de détection en identifiant les infrastructures C2 connues.

CASB (Cloud Access Security Broker)

Un CASB (Cloud Access Security Broker) est une solution de sécurité qui se positionne entre les utilisateurs d'une organisation et les fournisseurs de services cloud pour appliquer des politiques de sécurité, de conformité et de gouvernance. Le CASB agit comme un point de contrôle centralisé pour surveiller et réguler l'utilisation des services cloud, qu'ils soient autorisés (sanctioned) ou non (shadow IT).

Les fonctionnalités principales d'un CASB se déclinent en quatre piliers. La visibilité permet de découvrir tous les services cloud utilisés par les employés, y compris le shadow IT. La conformité assure le respect des réglementations (RGPD, HDS, PCI DSS) en contrôlant où et comment les données sensibles sont stockées et traitées. La protection des données intègre des fonctionnalités de DLP (Data Loss Prevention), de chiffrement et de tokenisation. La protection contre les menaces détecte les comportements anormaux, les comptes compromis et les malwares transitant via les services cloud.

En 2026, les CASB s'intègrent de plus en plus dans des architectures SASE (Secure Access Service Edge) qui convergent les fonctions réseau et sécurité dans le cloud. Les principaux éditeurs incluent Microsoft Defender for Cloud Apps, Netskope, Zscaler et Palo Alto Prisma Cloud. Le CASB est devenu indispensable avec l'adoption massive du SaaS : une organisation moyenne utilise plus de 1 000 services cloud, dont la majorité échappe au contrôle du service IT. Le CASB permet d'appliquer des politiques granulaires : autoriser l'accès à une application SaaS mais bloquer le téléchargement de fichiers sensibles, ou exiger une authentification MFA pour certaines opérations critiques.

CERT/CSIRT (Computer Emergency Response Team)

Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est une équipe spécialisée dans la gestion des incidents de cybersécurité. Ces équipes jouent un rôle central dans la détection, l'analyse, la coordination et la réponse aux cyberattaques, tant au niveau des organisations individuelles qu'au niveau national ou sectoriel.

Il existe différents types de CERT/CSIRT. Les CERT nationaux, comme le CERT-FR opéré par l'ANSSI en France, coordonnent la réponse aux incidents à l'échelle d'un pays et émettent des alertes de sécurité. Les CERT sectoriels se spécialisent dans un domaine comme la finance, la santé ou l'énergie. Les CERT internes sont des équipes dédiées au sein d'organisations ayant atteint une maturité sécurité suffisante. Le FIRST (Forum of Incident Response and Security Teams) est l'organisation internationale qui fédère les CERT du monde entier et facilite le partage d'informations sur les menaces.

Les missions d'un CERT/CSIRT incluent la veille sur les vulnérabilités et les menaces, la publication d'avis de sécurité et de bulletins d'alerte (comme les alertes CERT-FR), la coordination de la réponse aux incidents majeurs, l'analyse forensique post-incident, et le partage d'indicateurs de compromission (IoC) avec la communauté. En 2026, les CERT font face à un volume croissant d'incidents, avec une estimation de 50 000 CVE publiées dans l'année. Ils s'appuient de plus en plus sur l'automatisation (SOAR), le partage structuré de threat intelligence via des standards comme STIX/TAXII, et la collaboration internationale pour faire face à des menaces qui ne connaissent pas de frontières.

CIA Triad (Triade CIA)

La triade CIA (Confidentiality, Integrity, Availability) constitue le modèle fondamental de la sécurité de l'information. Ces trois propriétés définissent les objectifs de sécurité que tout système d'information doit garantir : la confidentialité assure que l'information n'est accessible qu'aux personnes autorisées, l'intégrité garantit que l'information n'a pas été modifiée de manière non autorisée, et la disponibilité assure que l'information et les systèmes sont accessibles lorsque nécessaire.

Chaque composante de la triade fait face à des menaces spécifiques. La confidentialité est menacée par l'espionnage, les fuites de données, les écoutes réseau et les attaques de type man-in-the-middle. L'intégrité est compromise par les modifications non autorisées de données, les injections SQL, les ransomwares qui chiffrent les fichiers, et les attaques sur les checksums ou signatures numériques. La disponibilité est attaquée via les DDoS, les ransomwares, les wipers et les pannes matérielles.

En pratique, les trois propriétés peuvent entrer en tension. Un système hautement confidentiel avec un chiffrement lourd et des contrôles d'accès stricts peut voir sa disponibilité réduite. Un système optimisé pour la disponibilité maximale peut exposer des informations via des caches non sécurisés. L'art du RSSI consiste à trouver l'équilibre adapté au contexte de l'organisation et à la sensibilité des données traitées. La norme ISO 27001 structure son SMSI autour de ces trois propriétés, et chaque contrôle de sécurité est évalué selon son impact sur la confidentialité, l'intégrité et la disponibilité. Certains modèles étendus ajoutent l'authenticité, la non-répudiation et la traçabilité comme propriétés complémentaires.

Compliance (Conformité)

La compliance, ou conformité en cybersécurité, désigne l'ensemble des processus et contrôles mis en place par une organisation pour respecter les exigences réglementaires, normatives et contractuelles relatives à la sécurité de l'information. C'est un pilier de la gouvernance de la sécurité qui structure et formalise les pratiques de protection des données et des systèmes.

Le paysage réglementaire en cybersécurité est devenu particulièrement dense en 2026. Les organisations doivent naviguer entre le RGPD pour la protection des données personnelles, NIS 2 pour la sécurité des réseaux et systèmes d'information des entités essentielles et importantes, DORA pour la résilience opérationnelle du secteur financier, le Cyber Resilience Act pour les produits connectés, et des normes sectorielles comme PCI DSS 4.0.1 pour les données de paiement ou HDS pour les données de santé.

La conformité multi-référentiels représente un défi majeur, mais aussi une opportunité d'optimisation. Les exigences de NIS 2, DORA et RGPD se recoupent significativement en matière de gestion des risques, de notification des incidents et de mesures techniques. Une approche unifiée basée sur un SMSI ISO 27001 permet de couvrir simultanément plusieurs référentiels. La conformité ne doit cependant pas être confondue avec la sécurité : être conforme ne signifie pas être sécurisé, et vice versa. La conformité est un plancher, pas un plafond. Les organisations matures utilisent les frameworks de conformité comme socle pour construire une posture de sécurité qui va au-delà des exigences minimales réglementaires.

Credential Stuffing (Bourrage d'Identifiants)

Le credential stuffing est une technique d'attaque automatisée qui consiste à utiliser des listes d'identifiants (couples email/mot de passe) volés lors de fuites de données précédentes pour tenter de se connecter à d'autres services en ligne. Cette attaque exploite le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs plateformes.

Le credential stuffing se distingue de l'attaque par force brute classique car il utilise des identifiants valides connus, ce qui augmente considérablement son taux de succès (généralement entre 0,1 % et 2 % des tentatives). Avec des bases de données de milliards d'identifiants fuités disponibles sur le dark web, même un faible taux de réussite génère un nombre significatif de comptes compromis. Les attaquants utilisent des outils spécialisés comme SentryMBA, OpenBullet ou des scripts personnalisés, combinés à des réseaux de proxys résidentiels pour masquer l'origine des requêtes et éviter les blocages par IP.

La défense contre le credential stuffing nécessite une approche multicouche. L'authentification multifacteur (MFA) est la protection la plus efficace, rendant les identifiants volés insuffisants pour accéder au compte. La détection des connexions provenant de listes d'identifiants compromis (via des services comme Have I Been Pwned ou les alertes de compromission d'Entra ID) permet de forcer un changement de mot de passe. Le rate limiting intelligent, les CAPTCHA adaptatifs, et les solutions de bot management détectent et bloquent les tentatives automatisées. Les solutions de détection d'attaques sur les mots de passe dans le SIEM permettent d'identifier les patterns de credential stuffing en corrélant les échecs de connexion sur de multiples comptes.

Cryptographie Post-Quantique

La cryptographie post-quantique (PQC) désigne l'ensemble des algorithmes cryptographiques conçus pour résister aux attaques d'un ordinateur quantique suffisamment puissant. Les algorithmes asymétriques actuels (RSA, ECC, Diffie-Hellman) sont vulnérables à l'algorithme de Shor, qui pourrait théoriquement les casser en temps polynomial sur un ordinateur quantique de taille suffisante.

Bien que les ordinateurs quantiques capables de casser la cryptographie actuelle n'existent pas encore en 2026, la menace est prise très au sérieux par la communauté de la cybersécurité. Le risque « Harvest Now, Decrypt Later » (récolter maintenant, déchiffrer plus tard) signifie que des adversaires étatiques collectent déjà des données chiffrées dans l'espoir de les déchiffrer lorsque la technologie quantique sera mature. C'est pourquoi le NIST a finalisé en 2024 ses premiers standards de cryptographie post-quantique, incluant CRYSTALS-Kyber (ML-KEM) pour l'échange de clés et CRYSTALS-Dilithium (ML-DSA) pour les signatures numériques.

La transition vers la cryptographie post-quantique est un chantier colossal pour les organisations. Elle nécessite d'abord un inventaire complet des actifs cryptographiques (crypto agility assessment), puis une migration progressive vers des algorithmes hybrides combinant cryptographie classique et post-quantique. Les protocoles comme TLS 1.3 intègrent déjà des extensions pour les algorithmes PQC. Les grandes entreprises technologiques (Google, Apple, Signal) ont commencé à déployer des mécanismes hybrides dans leurs produits. Pour les organisations, l'ANSSI recommande de commencer dès maintenant à évaluer leur exposition et à planifier leur transition, même si la menace quantique reste à horizon 10-15 ans.

Cryptojacking

Le cryptojacking est une forme de cyberattaque qui consiste à utiliser clandestinement les ressources de calcul d'une victime (processeur, GPU, mémoire) pour miner de la cryptomonnaie au profit de l'attaquant. Contrairement aux ransomwares qui exigent un paiement explicite, le cryptojacking opère de manière silencieuse et peut passer inaperçu pendant de longues périodes.

Le cryptojacking se manifeste sous deux formes principales. Le cryptojacking par navigateur injecte du code JavaScript malveillant dans des pages web ou des publicités en ligne, utilisant le navigateur du visiteur pour miner des cryptomonnaies comme Monero. Le cryptojacking par malware installe un mineur persistant sur le système compromis, souvent via des vulnérabilités non corrigées, des pièces jointes malveillantes ou des téléchargements piégés. Les environnements cloud et les conteneurs mal configurés sont des cibles privilégiées car ils offrent une puissance de calcul considérable et les coûts sont supportés par la victime.

Les symptômes du cryptojacking incluent une dégradation des performances système, une consommation CPU/GPU anormalement élevée, une augmentation des factures d'électricité ou de cloud computing, et un bruit de ventilateur excessif. La détection repose sur la surveillance des processus consommant des ressources CPU inhabituelles, l'analyse du trafic réseau vers des pools de minage connus, et l'utilisation de solutions EDR capables de détecter les comportements de minage. La prévention passe par le patching régulier, le blocage des scripts de minage dans les navigateurs (extensions comme NoScript), la restriction des droits d'exécution et la surveillance des workloads cloud avec des outils de CSPM (Cloud Security Posture Management).

CVE (Common Vulnerabilities and Exposures)

CVE (Common Vulnerabilities and Exposures) est un système d'identification standardisé des vulnérabilités de sécurité connues publiquement. Chaque vulnérabilité se voit attribuer un identifiant unique au format CVE-AAAA-NNNNN (année-numéro séquentiel), permettant aux professionnels de la sécurité de référencer de manière non ambiguë une faille spécifique.

Le programme CVE, initialement géré par MITRE Corporation et financé par la CISA (Cybersecurity and Infrastructure Security Agency), coordonne un réseau de CNA (CVE Numbering Authorities) qui ont l'autorité d'attribuer des identifiants CVE pour les vulnérabilités découvertes dans leurs produits ou leur périmètre. Les principaux éditeurs logiciels (Microsoft, Google, Apple, Red Hat) sont des CNA. En 2026, le volume de CVE publiées a atteint des niveaux record, avec une projection de 50 000 CVE pour l'année.

Chaque CVE est accompagnée d'une description de la vulnérabilité, des produits affectés, et souvent d'un score CVSS qui évalue sa criticité. Le processus de divulgation suit généralement un cycle : découverte de la vulnérabilité, notification au vendeur, période d'embargo pour développer un correctif, puis publication coordonnée du CVE et du patch. Les délais entre la publication d'une CVE et l'exploitation active se réduisent drastiquement : en 2026, certaines vulnérabilités critiques sont exploitées en quelques heures. Les outils de gestion des vulnérabilités comme Nessus et Greenbone s'appuient sur les CVE pour identifier les systèmes vulnérables et prioriser les correctifs.

CVSS (Common Vulnerability Scoring System)

Le CVSS (Common Vulnerability Scoring System) est un système standardisé d'évaluation de la criticité des vulnérabilités de sécurité informatique. Il attribue un score numérique de 0,0 à 10,0 qui reflète la gravité d'une vulnérabilité, permettant aux organisations de prioriser leurs efforts de remédiation de manière objective et cohérente.

Le score CVSS se compose de trois métriques. Le score de base (Base Score) évalue les caractéristiques intrinsèques de la vulnérabilité : vecteur d'attaque (réseau, adjacent, local, physique), complexité d'exploitation, privilèges requis, interaction utilisateur nécessaire, et impact sur la confidentialité, l'intégrité et la disponibilité. Le score temporel (Temporal Score) prend en compte les facteurs qui évoluent dans le temps, comme l'existence d'un exploit public ou la disponibilité d'un correctif. Le score environnemental (Environmental Score) permet à chaque organisation d'ajuster le score en fonction de son propre contexte.

La version CVSS 4.0, adoptée progressivement depuis 2024, introduit des améliorations significatives par rapport à la version 3.1 : une granularité accrue des métriques, la distinction entre l'impact sur le système vulnérable et les systèmes adjacents, et l'ajout de métriques supplémentaires comme la complexité de l'attaque et la valeur de la cible. Un score CVSS de 9,0 à 10,0 est considéré comme critique et nécessite une remédiation immédiate. Cependant, le CVSS seul ne suffit pas à prioriser les vulnérabilités : les organisations matures combinent le CVSS avec le contexte métier, l'exposition réelle de l'actif et les renseignements sur les menaces (threat intelligence) pour déterminer les priorités de patching.

Cyber Kill Chain

La Cyber Kill Chain est un modèle développé par Lockheed Martin qui décompose une cyberattaque en sept phases séquentielles, de la reconnaissance initiale à l'exfiltration de données. Ce framework aide les défenseurs à comprendre la progression d'une attaque et à identifier les opportunités d'interception à chaque étape.

Les sept phases de la Cyber Kill Chain sont : la reconnaissance (collecte d'informations sur la cible), l'armement (création du payload malveillant), la livraison (transmission du payload à la cible, souvent par phishing ou exploitation web), l'exploitation (déclenchement de la vulnérabilité), l'installation (mise en place d'un accès persistant via une backdoor), le Command & Control (établissement d'un canal de communication avec l'attaquant), et les actions sur objectifs (exfiltration de données, chiffrement ransomware, sabotage).

Le principal atout de la Cyber Kill Chain est de démontrer qu'un défenseur n'a besoin de réussir qu'à une seule étape pour neutraliser une attaque, tandis que l'attaquant doit réussir toutes les étapes. Cela encourage une stratégie de defense in depth où des contrôles de sécurité sont déployés à chaque phase. Le modèle a cependant été critiqué pour son focus sur les attaques externes et sa linéarité. Le framework MITRE ATT&CK est venu compléter la Kill Chain en offrant une matrice plus granulaire des tactiques et techniques, incluant les phases post-compromission comme le mouvement latéral et l'escalade de privilèges que la Kill Chain originale ne détaillait pas suffisamment.

Cyber Threat Intelligence (CTI)

La Cyber Threat Intelligence (CTI), ou renseignement sur les cybermenaces, est la collecte, l'analyse et la diffusion d'informations sur les menaces actuelles et émergentes qui pèsent sur une organisation. La CTI transforme des données brutes (logs, IoC, rapports) en renseignements actionnables permettant de prendre des décisions de sécurité éclairées.

La CTI se structure en trois niveaux. La CTI stratégique fournit une vision de haut niveau des tendances de menaces, des motivations des attaquants et de l'évolution du paysage des risques, destinée aux dirigeants et RSSI. La CTI tactique détaille les tactiques, techniques et procédures (TTP) des groupes d'attaquants, alimentant le threat hunting et le détection engineering. La CTI opérationnelle fournit des indicateurs techniques (IoC) directement intégrables dans les outils de sécurité : adresses IP, hashes de malware, domaines C2, signatures YARA.

Les sources de CTI incluent les feeds commerciaux (Recorded Future, Mandiant, CrowdStrike), les sources ouvertes (OSINT), les partenariats de partage (ISAC sectoriels), les plateformes communautaires (MISP, OTX AlienVault) et les rapports des CERT nationaux. Le standard STIX (Structured Threat Information eXpression) et le protocole TAXII facilitent l'échange automatisé de renseignements entre organisations. En 2026, le paysage des cybermenaces en France est marqué par l'intensification des opérations APT, la professionnalisation du cybercrime et l'utilisation de l'IA pour générer des attaques de phishing plus convaincantes. La gestion automatisée des IoC est devenue indispensable face au volume de données à traiter.

D

DDoS (Distributed Denial of Service)

Une attaque DDoS (Distributed Denial of Service) vise à rendre un service en ligne, un site web ou une infrastructure réseau indisponible en le submergeant de trafic malveillant provenant de multiples sources simultanées. Contrairement au DoS simple qui utilise une seule source, le DDoS mobilise des milliers, voire des millions de machines compromises (botnet) pour amplifier l'attaque.

Les attaques DDoS se catégorisent en trois types. Les attaques volumétriques (UDP flood, DNS amplification, NTP amplification) saturent la bande passante de la cible avec un volume massif de trafic. Les attaques protocolaires (SYN flood, Ping of Death, Smurf) exploitent les faiblesses des protocoles réseau pour épuiser les ressources des équipements (firewalls, load balancers). Les attaques applicatives (HTTP flood, Slowloris) ciblent la couche 7 du modèle OSI pour épuiser les ressources du serveur web avec des requêtes apparemment légitimes.

Les volumes d'attaque DDoS ont atteint des niveaux sans précédent en 2026. La protection contre les DDoS nécessite une approche multi-niveaux : services de mitigation cloud (Cloudflare, Akamai, AWS Shield) capables d'absorber les attaques volumétriques, équipements on-premise pour les attaques de faible volume à haute fréquence, et configuration réseau optimisée (anycast, blackholing, rate limiting). La détection précoce repose sur la surveillance des anomalies de trafic, les alertes de seuil sur les métriques réseau et la collaboration avec les fournisseurs d'accès internet (ISP) pour le filtrage en amont. Les plans de continuité d'activité doivent intégrer des scénarios d'attaque DDoS et prévoir des procédures de basculement automatique.

Deepfake

Un deepfake est un contenu multimédia (vidéo, audio, image) généré ou manipulé par l'intelligence artificielle pour créer une imitation réaliste d'une personne réelle. Dans le contexte de la cybersécurité, les deepfakes représentent une menace croissante car ils peuvent être utilisés pour des attaques d'ingénierie sociale extrêmement convaincantes.

Les applications malveillantes des deepfakes en cybersécurité sont multiples. Le vishing par deepfake vocal utilise une voix synthétique clonée d'un dirigeant pour ordonner un virement bancaire frauduleux. Les deepfakes vidéo en temps réel peuvent tromper des systèmes d'authentification biométrique ou manipuler des participants lors de visioconférences. Les deepfakes de documents (faux documents d'identité, fausses factures) automatisent les fraudes documentaires. En 2026, la qualité des deepfakes générés par les modèles d'IA de dernière génération rend la détection à l'oeil nu quasi impossible.

La défense contre les deepfakes s'articule autour de plusieurs axes. Les outils de détection de deepfakes analysent les artéfacts visuels (incohérences de rendu, clignements d'yeux anormaux), les anomalies spectrales dans l'audio, et les métadonnées des fichiers. Les standards d'authenticité comme C2PA (Coalition for Content Provenance and Authenticity) permettent de certifier l'origine et l'intégrité d'un contenu multimédia. La sensibilisation des employés aux risques de deepfake est devenue un volet essentiel des programmes de sensibilisation cybersécurité. Les procédures de validation hors-bande (rappeler par un canal différent pour confirmer une demande) restent la défense la plus fiable contre les attaques de type fraude au président utilisant des deepfakes.

Defense in Depth (Défense en Profondeur)

La Defense in Depth (défense en profondeur) est une stratégie de sécurité qui consiste à superposer plusieurs couches de contrôles de sécurité complémentaires pour protéger les actifs informationnels. Le principe est qu'aucun contrôle unique n'est infaillible, et que la défaillance d'une couche est compensée par les couches suivantes.

Cette stratégie, héritée de la doctrine militaire, se décline en cybersécurité à travers plusieurs niveaux. La couche périmétrique inclut les firewalls, les WAF, les IDS/IPS et les systèmes anti-DDoS. La couche réseau comprend la segmentation, les VLAN, les DMZ et les solutions NDR. La couche hôte englobe les solutions EDR, le hardening des systèmes, l'antivirus et le contrôle d'intégrité. La couche applicative intègre les pratiques de développement sécurisé, les tests de pénétration et les WAF applicatifs. La couche données inclut le chiffrement, le DLP, les sauvegardes et la classification des informations. La couche humaine couvre la sensibilisation, les politiques de sécurité et la gestion des accès.

En 2026, la défense en profondeur s'est adaptée aux architectures modernes cloud et hybrides. Le modèle Zero Trust enrichit la défense en profondeur en éliminant la notion de périmètre de confiance. Chaque requête est vérifiée indépendamment de sa provenance. Les solutions SASE convergent les fonctions réseau et sécurité dans le cloud, tandis que les EDR/XDR offrent une visibilité transversale sur les endpoints, le réseau et le cloud. L'automatisation via SOAR permet de coordonner la réponse à travers toutes les couches de défense. La clé d'une défense en profondeur efficace est la cohérence : les politiques de sécurité doivent être alignées à travers toutes les couches, et les logs de chaque couche doivent être centralisés dans un SIEM pour une corrélation globale.

DLP (Data Loss Prevention)

Le DLP (Data Loss Prevention) est un ensemble de technologies et de processus conçus pour détecter et prévenir l'exfiltration non autorisée de données sensibles. Le DLP surveille les données en transit (réseau), au repos (stockage) et en cours d'utilisation (endpoints) pour identifier et bloquer les tentatives de fuite de données, qu'elles soient intentionnelles ou accidentelles.

Les solutions DLP fonctionnent en identifiant les données sensibles à l'aide de différentes techniques : correspondance de motifs (regex pour les numéros de carte bancaire, de sécurité sociale), empreintes numériques de documents confidentiels (document fingerprinting), classification basée sur le machine learning, et étiquettes de sensibilité appliquées manuellement ou automatiquement. Lorsqu'une violation de politique est détectée (envoi d'un fichier confidentiel par email, copie sur une clé USB, upload vers un service cloud non autorisé), le DLP peut alerter, bloquer l'action, chiffrer automatiquement les données ou mettre en quarantaine le contenu.

Le DLP est devenu un composant essentiel de la conformité réglementaire. Le RGPD exige la protection des données personnelles, NIS 2 impose des mesures de protection des données des entités essentielles, et PCI DSS requiert la protection des données de paiement. Les solutions DLP modernes s'intègrent avec les CASB pour couvrir les applications SaaS, avec les solutions de classification des données pour une détection plus précise, et avec les SIEM pour enrichir les alertes de sécurité. Le défi principal du DLP reste le taux de faux positifs qui peut générer de la fatigue d'alertes et pousser les utilisateurs à contourner les contrôles. Une approche progressive, commençant en mode surveillance avant de passer en mode blocage, est recommandée.

DMZ (Demilitarized Zone)

La DMZ (Demilitarized Zone), ou zone démilitarisée en réseau, est un sous-réseau physique ou logique qui sépare le réseau interne d'une organisation du réseau externe non fiable (Internet). La DMZ héberge les services accessibles depuis l'extérieur (serveurs web, serveurs de messagerie, serveurs DNS publics) tout en les isolant du réseau interne contenant les données et systèmes sensibles.

L'architecture DMZ classique utilise deux firewalls : un firewall externe entre Internet et la DMZ, et un firewall interne entre la DMZ et le réseau interne. Les règles de filtrage sont configurées de sorte que le trafic Internet ne puisse atteindre que les serveurs de la DMZ, jamais directement le réseau interne. Si un serveur de la DMZ est compromis, l'attaquant reste isolé dans cette zone tampon et doit franchir le second firewall pour accéder aux ressources internes.

En 2026, le concept de DMZ a évolué avec la migration vers le cloud et l'adoption du Zero Trust. Les architectures traditionnelles avec des DMZ physiques cèdent progressivement la place à des micro-segmentations logicielles, des proxys inverses cloud, et des solutions SASE qui appliquent des contrôles de sécurité sans nécessiter de zones réseau fixes. Cependant, la DMZ reste pertinente dans les architectures hybrides et pour les organisations qui maintiennent des services on-premise exposés à Internet. La bonne pratique consiste à minimiser le nombre de services en DMZ, à durcir rigoureusement les serveurs qui y sont hébergés, et à surveiller étroitement le trafic entre la DMZ et le réseau interne pour détecter tout mouvement latéral suspect.

DNS Security (Sécurité DNS)

La sécurité DNS englobe l'ensemble des mesures, protocoles et technologies visant à protéger l'infrastructure DNS (Domain Name System) contre les attaques et les abus. Le DNS, souvent qualifié d'annuaire d'Internet, est un composant critique dont la compromission peut avoir des conséquences dévastatrices : redirection de trafic, interception de communications, exfiltration de données.

Les principales menaces ciblant le DNS incluent l'empoisonnement de cache DNS (DNS cache poisoning) qui redirige les requêtes vers des serveurs malveillants, le DNS hijacking qui modifie les enregistrements DNS d'un domaine, le DNS tunneling qui utilise les requêtes DNS comme canal d'exfiltration furtive de données, les attaques DDoS sur les serveurs DNS, et le typosquatting qui enregistre des domaines visuellement similaires pour des campagnes de phishing.

Les technologies de sécurité DNS incluent DNSSEC (DNS Security Extensions) qui authentifie les réponses DNS via des signatures cryptographiques, DNS over HTTPS (DoH) et DNS over TLS (DoT) qui chiffrent les requêtes DNS pour prévenir l'interception, et les solutions de filtrage DNS (Quad9, Cisco Umbrella, Cloudflare Gateway) qui bloquent l'accès aux domaines malveillants connus. La surveillance DNS est un pilier de la threat intelligence : l'analyse des requêtes DNS permet de détecter les domaines générés algorithmiquement (DGA) utilisés par les malwares, les communications C2 dissimulées dans le trafic DNS, et les domaines nouvellement enregistrés potentiellement malveillants. Les logs DNS sont parmi les sources de données les plus précieuses pour le threat hunting.

Double Extorsion

La double extorsion est une tactique de ransomware où l'attaquant ne se contente pas de chiffrer les données de la victime, mais les exfiltre également avant le chiffrement. La victime fait face à deux menaces simultanées : la perte d'accès à ses données et la divulgation publique d'informations sensibles si la rançon n'est pas payée.

Cette technique, popularisée par le groupe Maze en 2019, est devenue la norme dans l'écosystème ransomware en 2026. Les groupes comme LockBit, BlackCat (ALPHV), Cl0p et les groupes émergents de 2026 publient systématiquement une partie des données volées sur leurs sites de « leak » hébergés sur le dark web pour prouver la véracité de leur menace et mettre la pression sur les victimes. Certains groupes pratiquent même la triple extorsion en ajoutant des attaques DDoS ou en contactant directement les clients et partenaires de la victime pour augmenter la pression.

La double extorsion rend les stratégies traditionnelles de sauvegarde insuffisantes comme seule défense contre les ransomwares. Même avec des sauvegardes parfaitement fonctionnelles, l'organisation reste exposée au risque de fuite de données avec des implications réglementaires (notification RGPD dans les 72 heures), réputationnelles et financières. La défense contre la double extorsion nécessite une approche combinant la prévention de l'accès initial, la détection précoce du mouvement latéral et de l'exfiltration, le DLP pour détecter les transferts de données anormaux, et la segmentation réseau pour limiter l'ampleur de la compromission. Les solutions EDR/XDR et les stratégies de sauvegarde modernes doivent être complétées par une surveillance active de l'exfiltration.

E

EDR (Endpoint Detection and Response)

L'EDR (Endpoint Detection and Response) est une solution de sécurité qui surveille en continu les endpoints (postes de travail, serveurs, appareils mobiles) pour détecter, analyser et répondre aux menaces avancées qui échappent aux antivirus traditionnels. L'EDR collecte des données télémétriques détaillées sur l'activité des endpoints et utilise l'analyse comportementale pour identifier les activités suspectes.

Les capacités clés d'un EDR incluent la collecte et le stockage des événements système (création de processus, modifications du registre, connexions réseau, accès aux fichiers), la détection basée sur des règles comportementales et le machine learning, l'investigation avec des outils de timeline et de corrélation, la réponse automatisée ou semi-automatisée (isolation de l'endpoint, kill du processus malveillant, restauration des fichiers), et le threat hunting proactif sur les données télémétriques historiques.

Les solutions EDR/XDR leaders en 2026 incluent CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne Singularity, et Wazuh en open source. L'EDR a évolué vers l'XDR (Extended Detection and Response) qui étend la visibilité au-delà des endpoints pour couvrir le réseau, le cloud, l'email et les identités. Face à la sophistication croissante des attaquants qui développent des techniques d'évasion EDR (unhooking, direct syscalls, ETW tampering), les éditeurs renforcent leurs capacités de détection avec des approches kernel-level et des mécanismes anti-tampering. La corrélation des données EDR avec les logs SIEM et les feeds de threat intelligence est essentielle pour contextualiser les alertes et réduire les faux positifs.

Encryption (Chiffrement)

Le chiffrement est le processus de transformation de données lisibles (texte en clair) en une forme inintelligible (texte chiffré) à l'aide d'un algorithme cryptographique et d'une clé. Seuls les détenteurs de la clé appropriée peuvent déchiffrer les données et retrouver le texte en clair original. Le chiffrement est la pierre angulaire de la confidentialité et de la protection des données dans le monde numérique.

Le chiffrement se divise en deux grandes familles. Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer (AES-256 est le standard actuel, considéré comme résistant aux attaques quantiques). Le chiffrement asymétrique utilise une paire de clés (publique pour chiffrer, privée pour déchiffrer) et est utilisé pour l'échange de clés, les signatures numériques et les certificats (RSA, ECC). En pratique, les protocoles modernes comme TLS combinent les deux approches : chiffrement asymétrique pour l'échange de clés de session, puis chiffrement symétrique pour le trafic de données.

Le chiffrement s'applique aux données à trois niveaux. Le chiffrement en transit protège les données pendant leur transmission sur le réseau (TLS/SSL, VPN IPsec). Le chiffrement au repos protège les données stockées sur disque (BitLocker, LUKS, chiffrement de base de données). Le chiffrement en cours d'utilisation, encore émergent, protège les données pendant leur traitement en mémoire (enclaves SGX, confidential computing). La gestion des clés de chiffrement (KMS) est un aspect critique souvent négligé : la sécurité du chiffrement repose entièrement sur la protection des clés. La transition vers la cryptographie post-quantique représente le prochain défi majeur pour les infrastructures de chiffrement.

Exploit

Un exploit est un code, un programme ou une technique qui tire parti d'une vulnérabilité dans un logiciel, un matériel ou un protocole pour provoquer un comportement non prévu par le développeur. Les exploits sont les « armes » utilisées par les attaquants pour compromettre des systèmes, escalader des privilèges, exécuter du code arbitraire ou exfiltrer des données.

Les exploits se catégorisent selon leur cible et leur mode de fonctionnement. Les exploits de corruption mémoire (buffer overflow, heap overflow, use-after-free, type confusion V8) permettent l'exécution de code arbitraire. Les exploits d'injection (SQL injection, XSS, SSRF) manipulent les entrées d'une application pour en altérer le comportement. Les exploits d'escalade de privilèges transforment un accès limité en accès administrateur. Les exploits de déni de service rendent un service indisponible.

Le cycle de vie d'un exploit commence par la découverte d'une vulnérabilité. Si un correctif n'est pas encore disponible, on parle de zero-day exploit. La valeur d'un exploit zero-day sur le marché gris peut atteindre plusieurs millions de dollars pour les cibles les plus critiques (iOS, Windows kernel). Les plateformes de Bug Bounty et les programmes de divulgation responsable encouragent les chercheurs à signaler les vulnérabilités plutôt que de vendre les exploits. Le time-to-exploit se réduit drastiquement en 2026 : les attaquants automatisent le développement d'exploits à partir des patchs diffusés lors des Patch Tuesday, rendant le patching rapide plus critique que jamais. Les outils de reverse engineering et d'analyse de malware permettent aux défenseurs de comprendre les mécanismes des exploits et de développer des signatures de détection.

F

Firewall (Pare-feu)

Un firewall, ou pare-feu, est un dispositif de sécurité réseau qui surveille et contrôle le trafic entrant et sortant selon un ensemble de règles de sécurité prédéfinies. Le firewall constitue la première ligne de défense d'un réseau en créant une barrière entre un réseau interne fiable et un réseau externe non fiable comme Internet.

L'évolution des firewalls a suivi la sophistication croissante des menaces. Les firewalls de première génération filtraient le trafic uniquement sur la base des adresses IP, des ports et des protocoles (filtrage de paquets). Les firewalls stateful ajoutaient le suivi de l'état des connexions pour des décisions plus intelligentes. Les Next-Generation Firewalls (NGFW) actuels intègrent l'inspection approfondie des paquets (DPI), le filtrage applicatif (Layer 7), l'IPS intégré, l'inspection SSL/TLS, le sandboxing, et l'intégration avec les feeds de threat intelligence.

Les principaux acteurs du marché NGFW incluent Palo Alto Networks, Fortinet FortiGate, Check Point, Cisco Secure Firewall et pfSense/OPNsense en open source. En 2026, les firewalls cloud-native (cloud firewalls) et les solutions FWaaS (Firewall-as-a-Service) s'imposent pour sécuriser les environnements multi-cloud et les travailleurs distants. La convergence des firewalls avec les fonctions SD-WAN et SASE crée des plateformes de sécurité réseau unifiées. Les bonnes pratiques de configuration incluent le principe du moindre privilège (tout bloquer par défaut, n'autoriser que le nécessaire), la segmentation en zones de sécurité, la journalisation de tous les événements de sécurité vers le SIEM, et la revue régulière des règles pour éliminer les règles obsolètes ou trop permissives.

Forensics (Investigation Numérique)

La forensique numérique (digital forensics) est la discipline qui consiste à collecter, préserver, analyser et présenter des preuves numériques de manière méthodique et juridiquement recevable. Elle intervient après un incident de sécurité pour comprendre ce qui s'est passé, identifier l'étendue de la compromission, et reconstituer la chronologie des événements.

La forensique se décline en plusieurs spécialités. La forensique Windows analyse le registre, les journaux d'événements, les artefacts AmCache/ShimCache, les fichiers LNK et Jump Lists. La forensique réseau capture et analyse le trafic réseau. La forensique mémoire (memory forensics) examine les dumps RAM pour identifier les processus malveillants, les injections de code et les artefacts volatils. La forensique NTFS analyse le système de fichiers pour retrouver des fichiers supprimés ou modifiés. La forensique mobile et la forensique cloud complètent le tableau.

Le processus forensique suit une méthodologie rigoureuse. L'identification des sources de preuves pertinentes est suivie de leur préservation (copie bit-à-bit, hashing pour l'intégrité). L'analyse utilise des outils spécialisés comme Autopsy, FTK, X-Ways Forensics, Volatility et les solutions DFIR comparées. La documentation et le rapport doivent être suffisamment détaillés pour résister à un examen juridique. En 2026, les techniques d'anti-forensics (timestomping, wiping, chiffrement) complexifient le travail des analystes, qui doivent maîtriser des techniques avancées comme l'analyse de la télémétrie et de l'ETW Windows.

G

GRC (Gouvernance, Risques et Conformité)

Le GRC (Governance, Risk and Compliance) est un cadre intégré qui coordonne la gouvernance de la sécurité de l'information, la gestion des risques cyber et la conformité réglementaire au sein d'une organisation. Le GRC vise à aligner la stratégie de sécurité avec les objectifs métier tout en assurant le respect des exigences légales et normatives.

La gouvernance définit les rôles, responsabilités, politiques et processus de sécurité. Elle inclut la définition de la stratégie de sécurité par le RSSI, la validation par la direction générale, et la communication des politiques à l'ensemble de l'organisation. La gestion des risques évalue les menaces pesant sur l'organisation, quantifie leur impact potentiel et leur probabilité, et détermine les mesures de traitement appropriées (réduction, transfert, acceptation, évitement). La méthodologie EBIOS RM est le standard français de référence pour l'analyse de risques cyber.

La conformité assure l'adéquation des pratiques de sécurité avec les exigences réglementaires croisées (NIS 2, DORA, RGPD, PCI DSS). Les outils GRC (Archer RSA, ServiceNow GRC, OneTrust) automatisent le suivi de la conformité, la gestion des risques et la gouvernance documentaire. En 2026, le GRC intègre de plus en plus l'automatisation et l'IA pour gérer la complexité croissante du paysage réglementaire. L'approche GRC doit être vue comme un facilitateur stratégique plutôt qu'un simple exercice de conformité : elle permet de prendre des décisions de sécurité basées sur les risques et de justifier les investissements de sécurité auprès de la direction. La mesure de maturité cybersécurité via des modèles comme le NIST CSF 2.0 aide à piloter la progression continue de la posture de sécurité.

H

Hardening (Durcissement)

Le hardening, ou durcissement, est le processus de réduction de la surface d'attaque d'un système en éliminant les composants, services et configurations inutiles ou non sécurisés. L'objectif est de ne conserver que les fonctionnalités strictement nécessaires au fonctionnement du système, chacune configurée de manière optimale du point de vue de la sécurité.

Le hardening s'applique à tous les niveaux de l'infrastructure. Le durcissement des systèmes d'exploitation inclut la désactivation des services inutiles, la configuration restrictive des comptes, l'application des correctifs, le chiffrement des disques et la configuration du pare-feu local. Le durcissement Active Directory suit les recommandations Microsoft : implémentation du tiering model, sécurisation des comptes à privilèges via LAPS, restriction des protocoles obsolètes comme NTLM. Le durcissement réseau comprend la segmentation, la configuration sécurisée des équipements et la restriction des protocoles.

Les guides de durcissement de référence incluent les benchmarks CIS (Center for Internet Security), les STIG (Security Technical Implementation Guides) du DISA, les recommandations de l'ANSSI, et les guidelines des éditeurs. L'automatisation du hardening via des outils comme Ansible, Puppet ou des GPO permet d'appliquer et de maintenir les configurations de sécurité de manière cohérente à grande échelle. Le hardening des hyperviseurs comme Proxmox est particulièrement critique car une compromission de l'hyperviseur donne accès à toutes les machines virtuelles hébergées. Le hardening est un processus continu qui doit être validé régulièrement par des audits de configuration automatisés et des tests d'intrusion.

HIDS/NIDS (Host/Network Intrusion Detection System)

Les HIDS (Host-based Intrusion Detection System) et NIDS (Network-based Intrusion Detection System) sont des systèmes de détection d'intrusion qui surveillent respectivement l'activité sur un hôte spécifique ou le trafic réseau pour identifier des comportements malveillants ou des violations de politique de sécurité.

Un HIDS surveille les événements locaux d'un serveur ou poste de travail : modifications de fichiers système critiques (intégrité), entrées de registre suspectes, tentatives de connexion anormales, processus inhabituels, et appels système suspects. OSSEC/Wazuh est l'exemple le plus connu de HIDS open source, offrant la détection d'intrusion basée sur l'hôte, la surveillance d'intégrité des fichiers et la corrélation de logs. Un NIDS analyse le trafic réseau en temps réel pour détecter les signatures d'attaques connues (signature-based detection) ou les anomalies comportementales (anomaly-based detection). Suricata et Snort sont les NIDS open source de référence.

La principale limitation des IDS est qu'ils se contentent de détecter et d'alerter sans bloquer activement les menaces (contrairement aux IPS qui prennent des actions de prévention). L'efficacité d'un IDS dépend de la qualité de ses règles de détection, de son positionnement dans le réseau, et de la capacité de l'équipe de sécurité à traiter les alertes générées. En 2026, les IDS traditionnels sont de plus en plus intégrés dans des solutions plus larges : les HIDS dans les agents EDR, les NIDS dans les solutions NDR. Les règles Sigma permettent de créer des signatures de détection portables déployables sur différentes plateformes IDS/SIEM. La combinaison HIDS + NIDS offre une visibilité complémentaire essentielle pour détecter les menaces qui échappent à l'un ou l'autre type de capteur.

Honeypot (Pot de Miel)

Un honeypot est un système ou une ressource volontairement exposé pour attirer les attaquants, observer leurs techniques et détecter les intrusions. Le honeypot simule un service, une application ou un système vulnérable qui n'a aucune valeur métier légitime : toute interaction avec ce système est donc par définition suspecte et mérite investigation.

Les honeypots se classent selon leur niveau d'interaction. Les honeypots à faible interaction simulent des services réseau (ports ouverts, bannières de service) sans offrir de véritable fonctionnalité. Ils sont faciles à déployer mais fournissent peu d'informations sur les techniques de l'attaquant. Les honeypots à haute interaction offrent un environnement réel complet dans lequel l'attaquant peut interagir librement, permettant d'observer l'ensemble de sa chaîne d'attaque. Un honeynet est un réseau entier de honeypots simulant une infrastructure complète.

Les usages des honeypots en cybersécurité sont multiples. La détection précoce d'intrusion : un honeypot placé dans le réseau interne qui reçoit du trafic indique un mouvement latéral en cours. La collecte de renseignements sur les menaces : les honeypots Internet permettent d'observer les techniques d'attaque automatisées, les nouveaux malwares et les scans de vulnérabilités. Le ralentissement des attaquants : les honeypots consomment le temps et les ressources des intrus. Les honey tokens (faux identifiants, faux documents) étendent le concept en créant des leurres dans les systèmes réels. Les outils comme Cowrie (SSH/Telnet), Dionaea (malware capture), T-Pot (plateforme multi-honeypots) et Canary Tokens facilitent le déploiement. En 2026, les deception technologies (Attivo, TrapX, Acalvio) automatisent le déploiement de honeypots et de leurres à grande échelle dans les réseaux d'entreprise.

I

ICS/SCADA (Industrial Control Systems)

Les ICS (Industrial Control Systems) et SCADA (Supervisory Control and Data Acquisition) sont des systèmes utilisés pour contrôler et superviser les processus industriels et les infrastructures critiques : réseaux électriques, stations d'épuration, chaînes de production, transport ferroviaire, installations pétrolières et gazières. La sécurité de ces systèmes est un enjeu stratégique majeur car leur compromission peut avoir des conséquences physiques dangereuses.

Les environnements OT/ICS présentent des défis de sécurité spécifiques : les systèmes sont conçus pour durer des décennies et fonctionnent souvent sous des OS obsolètes non patchables, les protocoles industriels (Modbus, DNP3, OPC UA) n'intègrent pas nativement de sécurité, la disponibilité prime sur la confidentialité (un arrêt de production peut coûter des millions), et l'isolation air-gap traditionnelle est de plus en plus compromise par la convergence IT/OT et l'IoT industriel.

Les attaques sur les ICS/SCADA ont une dimension géopolitique forte. Stuxnet (2010) ciblait les centrifugeuses nucléaires iraniennes, Industroyer/CrashOverride (2016-2017) a provoqué des coupures électriques en Ukraine, et les attaques sur les systèmes d'eau américains en 2023-2024 ont démontré la vulnérabilité des infrastructures critiques. La norme IEC 62443 est le référentiel de sécurité spécifique aux environnements industriels. La sécurisation des ICS/SCADA passe par la segmentation réseau (modèle Purdue), le déploiement de sondes de détection spécialisées OT (Nozomi, Claroty, Dragos), le contrôle d'accès strict aux systèmes de contrôle, et la formation du personnel opérationnel aux enjeux cyber.

IDS/IPS (Intrusion Detection/Prevention System)

Un IDS (Intrusion Detection System) est un système qui surveille le trafic réseau ou l'activité système pour détecter des comportements suspects ou des violations de politique de sécurité. Un IPS (Intrusion Prevention System) va plus loin en bloquant activement le trafic malveillant détecté, agissant comme un gardien proactif plutôt qu'un simple observateur.

Les IDS/IPS utilisent deux approches de détection complémentaires. La détection par signatures compare le trafic observé avec une base de données de signatures d'attaques connues, offrant une détection précise des menaces connues mais inefficace contre les attaques inédites. La détection par anomalies établit un profil du trafic normal et alerte sur les écarts significatifs, capable de détecter des attaques inconnues mais générant plus de faux positifs.

En 2026, les IDS/IPS autonomes sont de plus en plus intégrés dans des solutions convergées. Les NGFW intègrent des fonctions IPS au niveau du firewall, offrant inspection et blocage en un point unique. Les solutions NDR enrichissent la détection réseau avec l'analyse comportementale et le machine learning. Suricata, le moteur IDS/IPS open source de référence, supporte l'inspection multi-threadée haute performance et l'analyse de protocoles applicatifs. La gestion des règles IDS/IPS est un exercice d'équilibre entre exhaustivité de la détection et performance du système. Les règles trop permissives génèrent une avalanche de faux positifs, tandis que des règles trop restrictives laissent passer des menaces. L'intégration des alertes IDS/IPS dans un SIEM avec corrélation et enrichissement par la threat intelligence est essentielle pour transformer ces alertes en incidents actionnables.

Incident Response (Réponse aux Incidents)

L'Incident Response (IR) est le processus structuré de gestion d'un incident de cybersécurité, de sa détection initiale à sa résolution complète et aux leçons apprises. Un incident de sécurité est tout événement qui compromet ou menace la confidentialité, l'intégrité ou la disponibilité des systèmes d'information d'une organisation.

Le processus de réponse aux incidents suit généralement le cadre NIST SP 800-61 en quatre phases. La préparation inclut la mise en place de l'équipe de réponse (CSIRT), les procédures, les outils et les exercices de simulation. La détection et analyse identifie l'incident, évalue sa criticité, collecte les preuves initiales et détermine l'étendue de la compromission. Le confinement, éradication et récupération vise à stopper la progression de l'attaque (isolation des systèmes compromis), éliminer la menace (suppression du malware, rotation des credentials) et restaurer les opérations normales. L'activité post-incident documente les leçons apprises et améliore les défenses.

En 2026, la réponse aux incidents est devenue plus complexe avec les environnements hybrides cloud, les attaques supply chain et les ransomwares à double extorsion. Les exigences réglementaires imposent des délais de notification stricts : 72 heures pour le RGPD, 24 heures pour NIS 2. Les solutions SOAR (Security Orchestration, Automation and Response) automatisent les actions de réponse répétitives (isolation d'endpoints, blocage d'IP, enrichissement d'IoC) pour réduire le MTTR. Les plans de réponse aux incidents doivent couvrir différents scénarios : ransomware, fuite de données, compromission de comptes à privilèges, attaque DDoS, et compromission de la supply chain. Des exercices réguliers de type tabletop et des simulations techniques valident l'efficacité des procédures et la réactivité de l'équipe.

Initial Access Broker (IAB)

Un Initial Access Broker (IAB) est un acteur malveillant spécialisé dans l'obtention et la revente d'accès initiaux à des réseaux d'entreprise compromis. Les IAB ne mènent pas eux-mêmes les attaques finales (ransomware, espionnage) mais vendent les accès à d'autres cybercriminels sur des forums du dark web, créant ainsi une véritable chaîne de valeur du cybercrime.

Les méthodes utilisées par les IAB pour obtenir des accès incluent l'exploitation de vulnérabilités exposées sur Internet (VPN, RDP, serveurs Exchange), l'achat de credentials volées par des infostealers comme Lumma, Raccoon ou RedLine, les campagnes de phishing ciblées, et l'exploitation de services mal configurés. Les accès vendus sont classés par type (VPN, RDP, Citrix, webshell), par taille de l'organisation victime, par secteur d'activité et par niveau de privilège obtenu, avec des prix variant de quelques centaines à plusieurs dizaines de milliers de dollars.

La spécialisation des IAB illustre la professionnalisation croissante de l'écosystème cybercriminel. Ils fournissent les accès aux opérateurs de ransomware-as-a-service (RaaS) qui n'ont plus besoin de compétences techniques d'intrusion. Cette division du travail accélère considérablement le cycle d'attaque et démocratise le ransomware. La surveillance des activités IAB via le monitoring du dark web est devenue un composant essentiel de la threat intelligence. La détection des accès IAB repose sur la surveillance des connexions VPN/RDP anormales, l'analyse des logs d'authentification pour détecter l'utilisation de credentials compromises, et les alertes de compromission provenant des services de monitoring des fuites de données.

IoC (Indicators of Compromise)

Les IoC (Indicators of Compromise), ou indicateurs de compromission, sont des artefacts techniques observables qui signalent une activité malveillante passée ou en cours sur un système ou un réseau. Les IoC permettent aux équipes de sécurité de détecter, d'investiguer et de répondre aux incidents en recherchant ces traces dans leur environnement.

Les types d'IoC les plus courants incluent les hashes de fichiers malveillants (MD5, SHA-256), les adresses IP et domaines de serveurs C2, les URLs de phishing, les adresses email utilisées pour l'envoi de malware, les noms de fichiers ou chemins caractéristiques, les clés de registre Windows modifiées, les règles YARA décrivant des patterns binaires, et les signatures Snort/Suricata pour le trafic réseau.

La gestion automatisée des IoC est essentielle pour faire face au volume d'indicateurs produits quotidiennement par la communauté de la cybersécurité. Les plateformes de threat intelligence (MISP, OpenCTI, ThreatConnect) centralisent les IoC, les enrichissent avec du contexte (attribution, confiance, date d'expiration) et les diffusent automatiquement vers les outils de détection (SIEM, EDR, firewall, proxy). Le standard STIX 2.1 structure les IoC et leur contexte dans un format interopérable. Cependant, les IoC ont une durée de vie limitée : les attaquants changent régulièrement d'infrastructure et de malware. C'est pourquoi les défenseurs se tournent de plus en plus vers les IoA (Indicators of Attack) qui décrivent des comportements plutôt que des artefacts statiques, et vers les TTP (Tactics, Techniques and Procedures) documentées dans MITRE ATT&CK qui offrent des détections plus résilientes aux changements d'infrastructure des attaquants.

ISMS/SMSI (Information Security Management System)

Un ISMS (Information Security Management System), ou SMSI (Système de Management de la Sécurité de l'Information) en français, est un cadre de gouvernance structuré qui définit les politiques, processus et contrôles nécessaires pour gérer la sécurité de l'information au sein d'une organisation. Le SMSI est au coeur de la norme ISO 27001 qui en spécifie les exigences.

Un SMSI efficace couvre l'ensemble du cycle PDCA (Plan-Do-Check-Act). La phase Plan identifie les risques, définit les objectifs de sécurité et sélectionne les contrôles appropriés parmi les 93 contrôles de l'Annexe A de l'ISO 27001:2022. La phase Do met en oeuvre les contrôles et les procédures de sécurité. La phase Check surveille l'efficacité des contrôles via des indicateurs de performance, des audits internes et des revues de direction. La phase Act apporte les corrections et améliorations identifiées.

La documentation du SMSI comprend la politique de sécurité de l'information, la méthodologie d'évaluation des risques, la déclaration d'applicabilité (SoA), les procédures opérationnelles et les enregistrements de suivi. En 2026, la mise en place d'un SMSI est devenue un prérequis pour de nombreuses organisations, soit par obligation réglementaire (NIS 2 exige des mesures de gestion des risques cyber), soit par exigence contractuelle de leurs clients ou partenaires. La certification ISO 27001 valide la conformité du SMSI et constitue un avantage concurrentiel significatif. Les organisations matures étendent leur SMSI avec des normes complémentaires comme l'ISO 27017 pour le cloud, l'ISO 27018 pour les données personnelles dans le cloud, et l'ISO 42001 pour le management de l'IA.

ISO 27001

L'ISO 27001 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Publiée par l'ISO (International Organization for Standardization), elle spécifie les exigences pour établir, mettre en oeuvre, maintenir et améliorer continuellement un SMSI adapté au contexte de l'organisation.

La version ISO 27001:2022 a introduit des changements significatifs par rapport à la version 2013. L'Annexe A a été restructurée de 14 domaines et 114 contrôles à 4 thèmes (organisationnel, personnel, physique, technologique) et 93 contrôles. 11 nouveaux contrôles reflètent les évolutions technologiques : threat intelligence, sécurité cloud, filtrage web, codage sécurisé, surveillance de la sécurité physique, gestion de la configuration, suppression des données, masquage des données, DLP, activités de surveillance, et sécurité des services en réseau.

La certification ISO 27001 est un processus en deux étapes réalisé par un organisme de certification accrédité. L'audit de phase 1 vérifie la documentation du SMSI. L'audit de phase 2 évalue la mise en oeuvre effective des contrôles sur le terrain. Le certificat est valable trois ans avec des audits de surveillance annuels. En 2026, l'ISO 27001 s'est imposée comme le socle de la conformité multi-référentiels : une organisation certifiée ISO 27001 couvre une grande partie des exigences de NIS 2, DORA et du RGPD. La norme est particulièrement valorisée dans les appels d'offres publics et privés, où elle démontre l'engagement de l'organisation envers la sécurité de l'information. Le développement sécurisé selon ISO 27001 intègre la sécurité dans le cycle de vie des applications.

L

Lateral Movement (Mouvement Latéral)

Le mouvement latéral désigne l'ensemble des techniques utilisées par un attaquant, après avoir obtenu un accès initial à un réseau, pour se déplacer d'un système à un autre afin d'accéder à des ressources de plus grande valeur. C'est une phase critique de toute attaque sophistiquée, qui transforme la compromission d'un unique endpoint en une intrusion réseau globale.

Les techniques de mouvement latéral dans les environnements Windows et Active Directory sont particulièrement documentées. Le Pass-the-Hash réutilise des hashes NTLM volés pour s'authentifier sans connaître le mot de passe. Le Pass-the-Ticket utilise des tickets Kerberos volés. Le NTLM relay redirige des demandes d'authentification. L'exploitation des protocoles d'administration (RDP, WMI, PSExec, WinRM, SMB) permet d'exécuter des commandes à distance. Les techniques avancées de mouvement latéral en 2026 exploitent les services cloud comme Azure AD/Entra ID.

La détection du mouvement latéral est un défi majeur car ces techniques utilisent souvent des protocoles et des outils légitimes. Les solutions EDR peuvent détecter les comportements suspects sur les endpoints (exécution de PsExec, utilisation de Mimikatz), tandis que les solutions NDR analysent le trafic est-ouest pour identifier les connexions anormales entre serveurs. La segmentation réseau, le micro-segmentation, le tiering model Active Directory et le principe du moindre privilège sont les défenses les plus efficaces pour limiter la capacité de mouvement latéral d'un attaquant. Le threat hunting sur les logs d'authentification permet d'identifier les mouvements latéraux furtifs qui échappent aux détections automatisées.

Living Off The Land (LOL)

Le Living Off The Land (LOTL) est une technique d'attaque qui consiste à utiliser des outils et fonctionnalités légitimes déjà présents sur le système cible plutôt que de déployer des malwares détectables. L'attaquant « vit de la terre » en exploitant les binaires système (LOLBins), les bibliothèques (LOLLibs) et les scripts (LOLScripts) pour exécuter ses actions malveillantes.

Sur les systèmes Windows, les LOLBins les plus fréquemment détournés incluent PowerShell (exécution de scripts, téléchargement de payloads), WMIC (exécution distante, persistance), Certutil (téléchargement de fichiers, encodage), Mshta (exécution de code HTA), Rundll32 (chargement de DLL malveillantes), Regsvr32 (exécution de code via COM), et BitsAdmin (transfert de fichiers). Sur Linux, les attaquants utilisent curl/wget, python, bash, crontab et systemctl. Le projet LOLBAS (Living Off The Land Binaries, Scripts and Libraries) documente l'ensemble des binaires exploitables.

L'avantage majeur du Living Off The Land pour l'attaquant est l'évasion des solutions de sécurité. Comme les outils utilisés sont des composants légitimes du système d'exploitation, ils ne sont pas détectés par les antivirus basés sur les signatures. La détection nécessite une approche comportementale : surveiller l'utilisation anormale d'outils légitimes (PowerShell exécuté par un processus enfant de Word, Certutil téléchargeant un fichier depuis une URL externe). Les solutions EDR modernes intègrent des modèles de détection LOTL, et les règles de détection engineering ciblent spécifiquement ces patterns. La réduction de la surface d'attaque passe par la restriction de l'accès aux LOLBins via AppLocker ou WDAC, la désactivation de PowerShell v2, et la journalisation avancée (Script Block Logging, Module Logging) pour maintenir la visibilité sur l'utilisation de ces outils.

M

Malware (Logiciel Malveillant)

Le terme malware (contraction de « malicious software ») désigne tout logiciel conçu dans un but malveillant : voler des données, endommager des systèmes, prendre le contrôle d'un appareil ou extorquer de l'argent. Le malware est le vecteur principal de la majorité des cyberattaques et se décline en de nombreuses catégories selon sa fonction et son mode de propagation.

Les principales familles de malware incluent les virus (se propagent en infectant d'autres fichiers), les vers (se répliquent de manière autonome sur le réseau), les trojans (se font passer pour des logiciels légitimes), les ransomwares (chiffrent les données et exigent une rançon), les spywares (espionnent l'activité de l'utilisateur), les rootkits (se dissimulent au niveau du système pour maintenir un accès persistant), les adwares (affichent des publicités intrusives), et les wipers (détruisent les données de manière irréversible).

En 2026, les tendances majeures du malware incluent l'utilisation de l'IA pour générer du malware polymorphe qui mute à chaque exécution, les infostealers qui ciblent les credentials des navigateurs et les tokens de session, et les malwares fileless qui s'exécutent entièrement en mémoire sans écrire de fichier sur le disque. L'analyse de malware (reverse engineering) est une compétence essentielle pour comprendre les capacités d'un malware, identifier ses C2 et développer des signatures de détection. Les environnements de sandboxing (ANY.RUN, Joe Sandbox, Cuckoo) permettent l'analyse dynamique des échantillons suspects dans un environnement isolé. La détection repose sur la combinaison de signatures, d'analyse comportementale (EDR), de heuristiques et de threat intelligence.

MDR (Managed Detection and Response)

Le MDR (Managed Detection and Response) est un service de cybersécurité externalisé qui combine technologies de détection avancées et expertise humaine pour surveiller, détecter, analyser et répondre aux menaces 24 heures sur 24, 7 jours sur 7. Le MDR comble le fossé entre les capacités des outils de sécurité automatisés et le besoin d'analyse humaine pour les menaces complexes.

Contrairement aux services MSSP (Managed Security Service Provider) traditionnels qui se concentrent sur la surveillance et l'alerte, le MDR inclut une capacité de réponse active aux incidents. Les analystes MDR ne se contentent pas de signaler une alerte, ils investiguent la menace, déterminent sa nature et sa gravité, et exécutent des actions de réponse (isolation d'endpoint, suppression de malware, blocage de C2) dans le périmètre convenu avec le client.

Le MDR s'appuie généralement sur un stack technologique combinant EDR/XDR pour la visibilité endpoint, SIEM pour la corrélation de logs, threat intelligence pour le contexte, et SOAR pour l'automatisation des actions de réponse. Les principaux fournisseurs MDR incluent CrowdStrike Falcon Complete, SentinelOne Vigilance, Arctic Wolf, et des acteurs français comme Sekoia ou Orange Cyberdefense. En 2026, le MDR est devenu la solution privilégiée des PME et ETI qui n'ont pas les ressources pour maintenir un SOC interne mais qui doivent répondre aux exigences de surveillance continue imposées par NIS 2 et DORA. Les services MDR se différencient par la taille de leur équipe d'analystes, leur couverture technologique (endpoint uniquement vs cloud + identité + réseau), leur temps de réponse moyen (MTTR), et leur capacité à fournir des rapports de conformité.

MFA (Multi-Factor Authentication)

L'authentification multifacteur (MFA) est un mécanisme de sécurité qui exige la présentation de deux ou plusieurs facteurs d'authentification distincts pour vérifier l'identité d'un utilisateur. La MFA combine au moins deux des trois catégories de facteurs : connaissance (mot de passe, PIN), possession (smartphone, token matériel) et inhérence (biométrie).

Les méthodes MFA les plus courantes en 2026 incluent les applications d'authentification (Microsoft Authenticator, Google Authenticator) générant des codes TOTP, les notifications push sur smartphone, les clés de sécurité matérielles FIDO2 (YubiKey, Titan), les codes SMS (considérés comme faibles car vulnérables au SIM swapping), et la biométrie (empreinte digitale, reconnaissance faciale). Les clés passkeys, basées sur le standard FIDO2/WebAuthn, représentent l'évolution vers une authentification sans mot de passe qui combine sécurité et facilité d'utilisation.

La MFA est la mesure de sécurité la plus impactante qu'une organisation puisse déployer. Elle bloque 99,9 % des attaques de compromission de compte selon Microsoft. Cependant, la MFA n'est pas infaillible : les attaques de type AiTM (Adversary-in-the-Middle) comme celles réalisées avec EvilGinx peuvent intercepter les tokens de session après l'authentification MFA, et les techniques de fatigue MFA (MFA bombing) submergent l'utilisateur de notifications push jusqu'à ce qu'il accepte. Les contre-mesures incluent le number matching (l'utilisateur doit saisir un code affiché à l'écran), l'accès conditionnel qui évalue le risque de la connexion, et les politiques de token de session limitant leur durée de vie. Le déploiement MFA à l'échelle de l'entreprise nécessite une stratégie de migration progressive avec révocation des sessions legacy.

MITRE ATT&CK

Le framework MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances mondiale des tactiques et techniques utilisées par les cyberattaquants, organisée sous forme de matrice. Développé par MITRE Corporation, ATT&CK est devenu le langage commun de la cybersécurité pour décrire les comportements adverses.

La matrice ATT&CK Enterprise organise les techniques en 14 tactiques (les objectifs de l'attaquant) : reconnaissance, développement de ressources, accès initial, exécution, persistance, élévation de privilèges, évasion de défense, accès aux identifiants, découverte, mouvement latéral, collecte, commande et contrôle, exfiltration, et impact. Chaque tactique contient des dizaines de techniques et sous-techniques documentées avec des exemples réels d'utilisation par des groupes APT, des procédures de détection et des recommandations de mitigation.

Les applications pratiques d'ATT&CK sont multiples. Le threat hunting utilise la matrice pour identifier les techniques non couvertes par les détections existantes et développer des hypothèses de chasse. Le detection engineering mappe ses règles de détection sur les techniques ATT&CK pour visualiser la couverture de détection et identifier les lacunes. L'évaluation des solutions EDR/XDR utilise les évaluations ATT&CK Evaluations de MITRE pour comparer objectivement les capacités de détection des produits. Les exercices Red Team et Purple Team structurent leurs simulations d'attaque autour des techniques ATT&CK. Le Navigator ATT&CK permet de visualiser la couverture de détection, de comparer les TTP de différents groupes, et de prioriser les efforts de développement de détections. ATT&CK est disponible pour Enterprise (Windows, macOS, Linux, cloud), Mobile et ICS.

N

NDR (Network Detection and Response)

Le NDR (Network Detection and Response) est une catégorie de solutions de sécurité qui analyse le trafic réseau en temps réel pour détecter les menaces avancées, les comportements anormaux et les mouvements latéraux qui échappent aux défenses traditionnelles basées sur les signatures. Le NDR offre une visibilité sur le trafic est-ouest (entre systèmes internes) souvent invisible pour les firewalls et les IDS périmètriques.

Les solutions NDR combinent plusieurs techniques d'analyse : l'inspection approfondie des paquets (DPI), l'analyse des flux réseau (NetFlow/IPFIX), le machine learning pour la détection d'anomalies comportementales, l'analyse des métadonnées réseau (DNS, HTTP, TLS), et la corrélation avec les feeds de threat intelligence. Le NDR excelle dans la détection des activités C2 (beaconing, DNS tunneling), du mouvement latéral (scans internes, connexions inhabituelles), de l'exfiltration de données (volumes de transfert anormaux) et des protocoles non conformes.

Les acteurs majeurs du marché NDR incluent Darktrace, Vectra AI, ExtraHop, Corelight (basé sur Zeek) et Cisco Secure Network Analytics. La complémentarité entre EDR (visibilité endpoint) et NDR (visibilité réseau) est souvent résumée par l'adage : « L'EDR voit ce qui se passe sur la machine, le NDR voit ce qui passe sur le réseau ». L'intégration EDR + NDR + SIEM forme le triptyque de visibilité moderne recommandé pour une détection complète. En 2026, les solutions NDR étendent leur couverture aux environnements cloud (analyse du trafic VPC), aux réseaux industriels OT, et intègrent des capacités de réponse automatisée (blocage de flux, quarantaine de segments réseau).

NIST Framework (Cadre de Cybersécurité NIST)

Le NIST Cybersecurity Framework (CSF) est un cadre de référence développé par le National Institute of Standards and Technology (NIST) américain pour aider les organisations à gérer et réduire les risques de cybersécurité. Bien qu'initialement conçu pour les infrastructures critiques américaines, le NIST CSF est devenu un standard international adopté volontairement par des organisations de toutes tailles et tous secteurs.

La version 2.0 du NIST CSF, publiée en 2024, organise les activités de cybersécurité en six fonctions principales : Gouverner (Govern, nouveau dans la v2.0) couvre la gouvernance et la gestion des risques. Identifier (Identify) recense les actifs, les risques et les vulnérabilités. Protéger (Protect) met en oeuvre les contrôles de sécurité préventifs. Détecter (Detect) surveille et identifie les événements de sécurité. Répondre (Respond) gère les incidents de sécurité. Récupérer (Recover) restaure les opérations après un incident.

Chaque fonction est détaillée en catégories et sous-catégories alignées sur des standards reconnus (ISO 27001, COBIT, CIS Controls). Le NIST CSF est particulièrement apprécié pour sa flexibilité : il ne prescrit pas de contrôles spécifiques mais définit des résultats de sécurité à atteindre, laissant chaque organisation choisir les moyens adaptés à son contexte. Les profils de mise en oeuvre (Tiers) permettent d'évaluer la maturité cybersécurité de l'organisation de « Partiel » (Tier 1) à « Adaptatif » (Tier 4). En 2026, le NIST CSF 2.0 est utilisé comme référence complémentaire aux exigences européennes (NIS 2, DORA) pour structurer les programmes de cybersécurité et communiquer la posture de sécurité à la direction et aux parties prenantes.

O

OSINT (Open Source Intelligence)

L'OSINT (Open Source Intelligence) est la collecte et l'analyse de renseignements à partir de sources publiquement accessibles. En cybersécurité, l'OSINT est utilisé tant en offensive (reconnaissance avant un pentest, profiling de cibles) qu'en défensive (surveillance de la menace, détection de fuites de données, investigation d'incidents).

Les sources OSINT sont extrêmement variées : moteurs de recherche (Google dorking), réseaux sociaux (LinkedIn, Twitter/X, Facebook), registres publics (WHOIS, DNS, certificats SSL via Certificate Transparency), bases de données de fuites (Have I Been Pwned), dépôts de code (GitHub, GitLab), forums du dark web, marchés illicites, paste sites (Pastebin), images satellite, et métadonnées de fichiers (EXIF dans les photos). Les outils OSINT populaires incluent Maltego pour la cartographie de relations, SpiderFoot pour la reconnaissance automatisée, theHarvester pour la collecte d'emails et sous-domaines, et Shodan/Censys pour la découverte d'actifs exposés.

L'OSINT joue un rôle crucial dans la cyber threat intelligence. La surveillance des forums de cybercriminels et des canaux Telegram permet d'anticiper les attaques, d'identifier les fuites de credentials, et de détecter les mentions de l'organisation dans des contextes malveillants. L'OSINT est également au coeur de l'Attack Surface Management : la découverte des actifs exposés involontairement (sous-domaines oubliés, serveurs de test, buckets S3 publics, secrets dans des dépôts de code) représente souvent la première étape d'une campagne d'attaque. Les organisations doivent régulièrement auditer leur empreinte numérique avec des outils OSINT pour identifier et corriger ces expositions avant qu'un attaquant ne les exploite.

OWASP (Open Web Application Security Project)

L'OWASP (Open Web Application Security Project) est une organisation à but non lucratif dédiée à l'amélioration de la sécurité des applications web. OWASP produit des méthodologies, des outils et des ressources éducatives librement accessibles qui sont devenus des références incontournables pour les développeurs, les pentesters et les professionnels de la sécurité applicative.

Le OWASP Top 10 est la publication la plus connue de l'organisation. Il identifie les dix risques de sécurité les plus critiques pour les applications web, mis à jour périodiquement. La version 2021 inclut les contrôles d'accès défaillants (Broken Access Control), les défauts cryptographiques, les injections (SQL, XSS, LDAP), la conception non sécurisée (insecure design), la mauvaise configuration de sécurité, les composants vulnérables et obsolètes, les défauts d'authentification, les problèmes d'intégrité logicielle, le manque de journalisation et de surveillance, et le SSRF (Server-Side Request Forgery).

Au-delà du Top 10, OWASP propose de nombreuses ressources précieuses : l'OWASP Testing Guide (méthodologie complète de test de sécurité des applications web), l'OWASP Application Security Verification Standard (ASVS) qui définit des niveaux de vérification de sécurité, l'OWASP Software Assurance Maturity Model (SAMM) pour évaluer la maturité des pratiques de développement sécurisé, et des outils comme ZAP (Zed Attack Proxy) pour les tests de sécurité automatisés. En 2026, OWASP a étendu ses publications aux API (OWASP API Security Top 10), aux LLM (OWASP Top 10 for LLM Applications) et aux applications mobiles, reflétant la diversification des surfaces d'attaque applicatives.

P

Patch Management (Gestion des Correctifs)

Le Patch Management est le processus de gestion du cycle de vie des correctifs de sécurité logiciels, de leur publication par les éditeurs à leur déploiement complet sur l'ensemble des systèmes d'une organisation. C'est l'une des mesures de sécurité les plus fondamentales et les plus efficaces, mais aussi l'une des plus complexes à opérer à grande échelle.

Le processus de patch management comprend plusieurs phases : la veille sur les vulnérabilités et les correctifs disponibles (surveillance des bulletins Microsoft Patch Tuesday, des avis CERT, des CVE), l'évaluation de la criticité des vulnérabilités pour l'organisation (CVSS + contexte métier), les tests des correctifs dans un environnement de pré-production pour détecter les régressions, le déploiement planifié avec des fenêtres de maintenance définies, et la vérification de l'application effective des correctifs sur tous les systèmes.

En 2026, la pression du patching s'est intensifiée considérablement. Le time-to-exploit se réduit à quelques heures pour les vulnérabilités critiques, ne laissant que très peu de temps pour les tests et le déploiement. Les Patch Tuesday mensuels de Microsoft corrigent régulièrement plus de 100 CVE dont plusieurs zero-days activement exploités. Les outils de gestion de vulnérabilités comme Nessus et Greenbone identifient les systèmes non patchés, tandis que les solutions de déploiement (WSUS, SCCM, Intune, Ansible) automatisent la distribution des correctifs. Le défi majeur reste le patching des systèmes legacy, des applications métier qui cassent avec les mises à jour, et des environnements OT/SCADA où les fenêtres de maintenance sont rares. Une stratégie de compensatory controls (isolation réseau, surveillance renforcée) est nécessaire pour les systèmes qui ne peuvent pas être patchés immédiatement.

Penetration Testing (Test d'Intrusion)

Le penetration testing (pentest) est une méthode d'évaluation de la sécurité qui consiste à simuler des attaques réelles contre les systèmes, applications ou réseaux d'une organisation pour identifier les vulnérabilités exploitables. Contrairement aux scans de vulnérabilités automatisés, le pentest implique une exploitation active des failles par un testeur qualifié pour démontrer leur impact réel.

Les pentests se catégorisent selon le niveau d'information fourni au testeur. En boîte noire (black box), le testeur n'a aucune information préalable et simule un attaquant externe. En boîte grise (grey box), il dispose d'informations limitées (identifiants standards, documentation réseau). En boîte blanche (white box), il a accès au code source, à l'architecture et aux comptes administrateur. Le choix du type de test dépend des objectifs de sécurité : le pentest boîte noire évalue la résistance aux attaques externes, tandis que le pentest boîte blanche identifie le maximum de vulnérabilités.

La méthodologie de pentest suit généralement les phases : reconnaissance (OSINT, scanning), énumération (services, versions, comptes), analyse de vulnérabilités, exploitation (accès initial, escalade de privilèges, mouvement latéral), post-exploitation (exfiltration, persistance), et rapport détaillé avec recommandations de remédiation priorisées. Le pentest Active Directory est une spécialité particulièrement demandée vu l'omniprésence d'AD dans les entreprises. Les outils essentiels incluent Impacket, BloodHound, Burp Suite, Metasploit, Nmap et Kali Linux. En France, la qualification PASSI de l'ANSSI certifie les prestataires d'audit de sécurité.

Phishing (Hameçonnage)

Le phishing est une technique d'ingénierie sociale qui consiste à usurper l'identité d'une entité de confiance (banque, administration, collègue, fournisseur de services) pour inciter la victime à révéler des informations sensibles, cliquer sur un lien malveillant ou ouvrir une pièce jointe infectée. Le phishing est le vecteur d'attaque le plus répandu et le point d'entrée de la majorité des cyberattaques réussies.

Le phishing se décline en plusieurs variantes. Le phishing de masse envoie des emails génériques à un grand nombre de destinataires. Le spear phishing cible des individus spécifiques avec des messages personnalisés. Le whaling vise les dirigeants et cadres supérieurs. Le phishing sans pièce jointe utilise uniquement des liens vers des pages de connexion frauduleuses. Le smishing utilise les SMS, le vishing les appels téléphoniques. En 2026, les attaques de phishing AiTM (Adversary-in-the-Middle) comme EvilGinx peuvent contourner l'authentification MFA en interceptant les tokens de session en temps réel.

La défense contre le phishing repose sur une approche multicouche. Les solutions de sécurité email (Microsoft Defender for Office 365, Proofpoint, Mimecast) filtrent les emails malveillants avant qu'ils n'atteignent l'utilisateur. La formation et la sensibilisation via des exercices de phishing interne développent les réflexes des employés. Les protections techniques incluent DMARC/DKIM/SPF pour l'authentification des emails, les filtres URL, le sandboxing des pièces jointes, et les pages d'avertissement pour les liens suspects. La MFA résistante au phishing (clés FIDO2) est la protection la plus robuste contre les attaques de credential harvesting. Les programmes de sensibilisation cyber doivent être réguliers, mesurés et adaptés au contexte de l'organisation.

PKI (Public Key Infrastructure)

La PKI (Public Key Infrastructure), ou infrastructure à clés publiques, est l'ensemble des politiques, procédures, technologies et composants qui permettent de gérer les certificats numériques et la cryptographie à clé publique. La PKI est le fondement de la confiance numérique, permettant l'authentification des entités, le chiffrement des communications et la signature numérique.

Une PKI se compose de plusieurs éléments. L'autorité de certification (CA) émet et signe les certificats numériques, garantissant l'identité de leur détenteur. L'autorité d'enregistrement (RA) vérifie l'identité des demandeurs avant l'émission du certificat. Le dépôt de certificats stocke les certificats actifs. Les listes de révocation (CRL) et le protocole OCSP permettent de vérifier si un certificat a été révoqué. Les certificats X.509 contiennent la clé publique du détenteur, son identité, la période de validité et la signature de la CA.

Les applications de la PKI sont omniprésentes : les certificats TLS/SSL sécurisent les communications web (HTTPS), les certificats de signature de code authentifient les logiciels, les certificats d'authentification client remplacent les mots de passe, et les certificats S/MIME chiffrent et signent les emails. En environnement Active Directory, les services de certificats AD CS constituent une PKI d'entreprise dont les vulnérabilités ESC1 à ESC15 ont été largement exploitées en 2025-2026. La gestion du cycle de vie des certificats (émission, renouvellement, révocation) est critique : un certificat expiré peut provoquer une panne de service, tandis qu'un certificat compromis peut permettre un man-in-the-middle. L'automatisation via ACME (Let's Encrypt) et les plateformes de gestion de certificats (Venafi, DigiCert) simplifient cette gestion à grande échelle.

Privilege Escalation (Escalade de Privilèges)

L'escalade de privilèges est une technique d'attaque par laquelle un attaquant augmente son niveau d'accès sur un système, passant d'un compte utilisateur standard à un compte administrateur ou root. C'est une étape quasi-systématique dans une cyberattaque, car l'accès initial est rarement obtenu avec des privilèges élevés.

L'escalade de privilèges se divise en deux catégories. L'escalade verticale élève les privilèges d'un utilisateur standard vers un niveau supérieur (utilisateur vers administrateur, administrateur vers SYSTEM/root). L'escalade horizontale permet d'accéder aux ressources d'un autre utilisateur du même niveau de privilège. Les techniques d'escalade de privilèges Windows incluent l'exploitation de services mal configurés, les permissions de fichiers incorrectes, les tâches planifiées vulnérables, l'exploitation du registre, le token impersonation, et les vulnérabilités kernel. L'escalade de privilèges Linux exploite les binaires SUID, les capabilities, les cron jobs, les path injection, et les exploits kernel.

La prévention de l'escalade de privilèges passe par le principe du moindre privilège (n'accorder que les permissions nécessaires), la suppression des privilèges administrateur locaux des utilisateurs standards, le déploiement de solutions PAM (Privileged Access Management) pour les accès à privilèges, le hardening des systèmes selon les benchmarks CIS, et la correction rapide des vulnérabilités connues. La surveillance des tentatives d'escalade de privilèges via l'EDR et le SIEM permet de détecter les attaques en cours. Les outils comme LinPEAS et WinPEAS, utilisés par les pentesters, identifient les chemins d'escalade de privilèges potentiels et peuvent être utilisés défensivement pour auditer les systèmes.

Purple Team (Équipe Violette)

La Purple Team est une approche collaborative de la cybersécurité qui fait travailler conjointement la Red Team (offensive) et la Blue Team (défensive) pour améliorer en continu les capacités de détection et de réponse d'une organisation. Contrairement aux exercices Red Team traditionnels où l'équipe offensive travaille en isolation, le Purple Team favorise le partage de connaissances en temps réel.

Le fonctionnement d'un exercice Purple Team suit un cycle itératif. La Red Team exécute une technique d'attaque spécifique (par exemple, le DCSync sur Active Directory). La Blue Team observe en temps réel si l'attaque est détectée par les outils de sécurité en place. Si la détection échoue, les deux équipes collaborent pour comprendre pourquoi et développer de nouvelles règles de détection. Le test est ensuite rejoué pour valider l'efficacité de la nouvelle détection. Ce cycle est répété pour chaque technique du framework MITRE ATT&CK ciblée.

L'approche Purple Team offre plusieurs avantages majeurs. Elle maximise le retour sur investissement des exercices offensifs en s'assurant que chaque technique testée se traduit par une amélioration concrète des détections. Elle développe les compétences des analystes SOC en les exposant à des attaques réelles dans un contexte contrôlé. Elle permet de mapper précisément la couverture de détection sur la matrice MITRE ATT&CK et d'identifier les lacunes. Des outils comme Atomic Red Team, MITRE Caldera et Infection Monkey permettent d'automatiser les simulations d'attaque Purple Team. En 2026, les exercices Purple Team se sont étendus aux environnements cloud et aux scénarios de supply chain attack, reflétant l'évolution du paysage des menaces.

R

Ransomware (Rançongiciel)

Le ransomware est un type de malware qui chiffre les fichiers ou les systèmes de la victime et exige le paiement d'une rançon, généralement en cryptomonnaie, pour fournir la clé de déchiffrement. Le ransomware est devenu la menace cyber la plus destructrice et la plus coûteuse pour les organisations, avec des demandes de rançon pouvant atteindre plusieurs dizaines de millions d'euros.

L'écosystème ransomware a considérablement évolué depuis les premiers cryptolockers. Les groupes ransomware de 2026 opèrent comme de véritables entreprises criminelles avec une division du travail : les Initial Access Brokers fournissent les accès, les développeurs créent et maintiennent le malware, les négociateurs gèrent les communications avec les victimes, et les blanchisseurs convertissent les cryptomonnaies. La double extorsion (chiffrement + exfiltration) est désormais la norme, et certains groupes pratiquent la triple extorsion en ajoutant des DDoS ou en contactant les clients de la victime.

La prévention du ransomware repose sur une défense en profondeur : sauvegardes régulières testées et isolées (règle 3-2-1-1-0), MFA sur tous les accès, patch management rigoureux, segmentation réseau, EDR/XDR sur tous les endpoints, sensibilisation des utilisateurs au phishing, et surveillance des indicateurs d'alerte précoce (scanners de réseau, Mimikatz, PsExec). Les stratégies de sauvegarde traditionnelles ne suffisent plus face aux ransomwares qui ciblent désormais les sauvegardes elles-mêmes. Les plans de réponse aux incidents doivent inclure un playbook ransomware spécifique couvrant l'isolation, la communication, la négociation éventuelle, la restauration et la notification réglementaire. Le PRA/PCA cyber doit être régulièrement testé.

Ransomware-as-a-Service (RaaS)

Le Ransomware-as-a-Service (RaaS) est un modèle commercial cybercriminel dans lequel les développeurs de ransomware louent leur malware et leur infrastructure à des affiliés qui mènent les attaques. En échange, les développeurs perçoivent un pourcentage de chaque rançon payée (généralement 20 à 30 %). Ce modèle a démocratisé le ransomware en permettant à des cybercriminels sans compétences techniques avancées de lancer des attaques sophistiquées.

Les plateformes RaaS les plus notoires en 2026 incluent LockBit (le plus prolifique malgré les démantèlements), BlackBasta, Play, et les successeurs de BlackCat/ALPHV. Ces plateformes offrent à leurs affiliés un portail web pour générer et personnaliser les payloads ransomware, une infrastructure de communication et de négociation avec les victimes, des outils d'exfiltration de données, un site de leak sur le dark web pour publier les données volées, et même un support technique pour résoudre les problèmes des affiliés.

Le modèle RaaS a transformé le paysage des menaces de plusieurs manières. Il a considérablement augmenté le volume d'attaques ransomware en abaissant la barrière d'entrée. Il a créé une compétition entre plateformes qui pousse à l'innovation constante (nouvelles techniques d'évasion, ciblage des hyperviseurs, chiffrement intermittent plus rapide). Il a complexifié l'attribution car un même malware est utilisé par de multiples affiliés avec des modes opératoires différents. Le démantèlement de groupes RaaS par les forces de l'ordre internationales démontre que la lutte contre ce modèle est possible, mais les groupes se reconstituent rapidement sous de nouvelles identités.

Red Team (Équipe Rouge)

La Red Team est une équipe de professionnels de la sécurité offensive qui simule des attaques réalistes contre une organisation pour tester l'efficacité de ses défenses, de ses processus de détection et de sa capacité de réponse aux incidents. Contrairement au pentest classique qui vise à identifier le maximum de vulnérabilités techniques, l'exercice Red Team évalue la sécurité globale de l'organisation face à un adversaire déterminé.

Un exercice Red Team se distingue par plusieurs caractéristiques. Il est orienté objectif (par exemple : accéder au serveur de données financières, exfiltrer la base clients, compromettre le domaine AD) plutôt que exhaustif. Il utilise des TTP réalistes alignées sur des groupes de menaces pertinents pour l'organisation. Il est mené en conditions réelles sans avertir la Blue Team (sauf un comité de pilotage restreint). Il intègre tous les vecteurs d'attaque : technique, physique et social (phishing, vishing, deepfakes).

Les résultats d'un exercice Red Team sont mesurés en termes de compromission réelle plutôt que de liste de vulnérabilités. Le rapport Red Team documente la chaîne d'attaque complète, les faiblesses exploitées, les contrôles contournés, les détections manquées et les recommandations d'amélioration. La valeur d'un Red Team réside autant dans les défaillances de détection et de réponse identifiées que dans les vulnérabilités techniques découvertes. Le Red Teaming d'environnements spécifiques (AWS, Azure AD, Kubernetes) nécessite des compétences spécialisées. L'approche Purple Team maximise la valeur des exercices Red Team en assurant le transfert de connaissances vers la Blue Team.

Remediation (Remédiation)

La remédiation en cybersécurité désigne l'ensemble des actions correctives entreprises pour résoudre une vulnérabilité, neutraliser une menace ou restaurer un système après un incident de sécurité. La remédiation va au-delà de la simple correction technique : elle inclut l'identification de la cause racine, la mise en oeuvre du correctif, la vérification de son efficacité et la prévention de la récurrence.

La remédiation s'applique dans plusieurs contextes. La remédiation de vulnérabilités consiste à appliquer les correctifs (patches), à reconfigurer les systèmes, ou à mettre en place des contrôles compensatoires lorsque le patching n'est pas immédiatement possible. La remédiation d'incident comprend le confinement de la menace, l'éradication du malware, la restauration des systèmes, la rotation des credentials compromis, et le renforcement des contrôles défaillants. La remédiation de non-conformité traite les écarts identifiés lors des audits par rapport aux exigences réglementaires ou normatives.

La priorisation de la remédiation est un enjeu majeur face au volume de vulnérabilités découvertes. Une approche efficace combine le score CVSS avec le contexte métier (l'actif concerné est-il critique ? est-il exposé à Internet ?), les informations de threat intelligence (la vulnérabilité est-elle activement exploitée dans la nature ?), et les contraintes opérationnelles (fenêtre de maintenance disponible ? impact sur la production ?). Les SLA de remédiation doivent être définis selon la criticité : 24-48 heures pour les vulnérabilités critiques activement exploitées, 7-14 jours pour les critiques non exploitées, 30 jours pour les élevées, 90 jours pour les moyennes. L'automatisation de la remédiation via des outils de patch management et des playbooks SOAR accélère considérablement les délais de correction.

Reverse Engineering (Rétro-Ingénierie)

Le reverse engineering est le processus d'analyse d'un logiciel, d'un firmware ou d'un matériel pour en comprendre le fonctionnement interne sans accès au code source ou à la documentation de conception. En cybersécurité, le reverse engineering est principalement utilisé pour l'analyse de malware, la recherche de vulnérabilités et le développement d'exploits.

Le reverse engineering de malware est une compétence cruciale pour comprendre les capacités d'un programme malveillant, identifier ses mécanismes de persistance, extraire les indicateurs de compromission (adresses C2, clés de chiffrement, hashes), et développer des signatures de détection. L'analyse statique examine le binaire sans l'exécuter (désassemblage, analyse des chaînes de caractères, identification des fonctions importées). L'analyse dynamique exécute le malware dans un environnement contrôlé (sandbox) pour observer son comportement en temps réel.

Les outils essentiels du reverse engineering incluent IDA Pro et Ghidra (désassembleurs et décompileurs), x64dbg et WinDbg (débogueurs), Wireshark (analyse réseau), Process Monitor et Procmon (surveillance système), et les sandbox automatisées (ANY.RUN, Cuckoo, Joe Sandbox). Les compétences requises incluent la maîtrise de l'assembleur x86/x64 et ARM, la compréhension des formats PE/ELF, des API Windows/Linux, et des techniques d'obfuscation (packing, anti-debug, anti-VM). En 2026, l'IA assiste de plus en plus les analystes dans le reverse engineering : les décompileurs basés sur le machine learning produisent du pseudocode plus lisible, et les LLM aident à interpréter les fonctions décompilées. La recherche de vulnérabilités dans les moteurs JavaScript reste un domaine de reverse engineering particulièrement pointu.

Risk Assessment (Évaluation des Risques)

L'évaluation des risques (Risk Assessment) est le processus structuré d'identification, d'analyse et de hiérarchisation des risques de cybersécurité auxquels une organisation est exposée. C'est la pierre angulaire de toute stratégie de sécurité, permettant de concentrer les ressources sur les risques les plus significatifs plutôt que de tenter de tout protéger de manière uniforme.

Le processus d'évaluation des risques comprend plusieurs étapes. L'identification des actifs recense les systèmes, données et processus à protéger. L'identification des menaces détermine les sources de danger (APT, cybercriminels, erreurs humaines, catastrophes naturelles). L'identification des vulnérabilités évalue les faiblesses exploitables. L'analyse du risque combine la probabilité d'occurrence d'une menace avec l'impact potentiel sur l'organisation. Le traitement du risque détermine la réponse appropriée : réduction (mise en place de contrôles), transfert (cyber-assurance), acceptation (pour les risques résiduels tolérables) ou évitement (suppression de l'activité à risque).

Les méthodologies d'évaluation des risques les plus utilisées en France incluent EBIOS RM (méthode de l'ANSSI), ISO 27005 (norme internationale), et FAIR (Factor Analysis of Information Risk) pour la quantification financière des risques. La quantification des risques en termes financiers gagne en importance car elle permet de communiquer avec la direction dans un langage compréhensible et de justifier les investissements de sécurité. L'évaluation des risques doit être un processus continu, mis à jour au minimum annuellement ou lors de changements significatifs (nouvelle activité, nouveau système, nouvel environnement réglementaire, incident majeur). Les outils GRC automatisent le suivi des risques et la génération des rapports de conformité.

Rootkit

Un rootkit est un ensemble d'outils logiciels conçus pour dissimuler la présence d'un attaquant ou d'un malware sur un système compromis. Le terme « rootkit » vient historiquement d'Unix, où « root » désigne l'utilisateur disposant de tous les privilèges. Le rootkit opère au niveau le plus profond du système pour intercepter et modifier les appels système, les processus et les fichiers, les rendant invisibles aux outils de sécurité conventionnels.

Les rootkits se classent selon leur niveau d'opération. Les rootkits user-mode modifient les bibliothèques système et les API au niveau utilisateur (injection de DLL, hooking de l'API Windows). Les rootkits kernel-mode opèrent au niveau du noyau du système d'exploitation, interceptant les appels système et les structures de données du kernel (SSDT hooking, DKOM). Les rootkits hyperviseur créent un hyperviseur malveillant sous le système d'exploitation hôte. Les rootkits firmware/UEFI s'installent dans le firmware de la carte mère, survivant aux réinstallations du système d'exploitation et même au remplacement du disque dur.

La détection des rootkits est particulièrement difficile car ils manipulent précisément les mécanismes sur lesquels s'appuient les outils de détection. Les techniques de détection incluent l'analyse de la mémoire vive (forensique mémoire avec Volatility) pour identifier les structures kernel modifiées, la comparaison des résultats entre un scan en ligne (potentiellement trompé par le rootkit) et un scan hors-ligne depuis un média bootable, l'analyse des écarts entre les appels système bas niveau et les réponses système de haut niveau, et l'utilisation de solutions EDR opérant au niveau kernel avec des protections anti-tampering. La prévention passe par le Secure Boot, le Measured Boot, le Device Guard (Windows), la vérification d'intégrité du kernel et les mécanismes de protection kernel comme PatchGuard.

S

SASE (Secure Access Service Edge)

Le SASE (Secure Access Service Edge, prononcé « sassy ») est un modèle architectural qui fait converger les fonctions réseau (SD-WAN) et les fonctions de sécurité (CASB, SWG, ZTNA, FWaaS) dans une plateforme cloud-native unique. Conceptualisé par Gartner en 2019, le SASE répond aux besoins de sécurité des organisations distribuées avec des utilisateurs, applications et données répartis entre le siège, les bureaux distants, le cloud et le domicile.

Les composantes du SASE incluent le SD-WAN pour l'optimisation et la gestion du trafic réseau, le CASB pour la sécurité des applications SaaS, le SWG (Secure Web Gateway) pour le filtrage web et la protection contre les menaces Internet, le ZTNA (Zero Trust Network Access) pour l'accès sécurisé aux applications privées sans VPN, le FWaaS (Firewall-as-a-Service) pour le filtrage avancé du trafic, et le DLP pour la prévention des fuites de données. Toutes ces fonctions sont délivrées depuis des points de présence (PoP) cloud distribués géographiquement.

Le SASE est porté par les acteurs majeurs comme Zscaler, Palo Alto Prisma SASE, Netskope, Cato Networks et Fortinet. En 2026, l'adoption du SASE s'accélère portée par la généralisation du travail hybride, la migration vers le cloud, et les exigences de NIS 2 qui imposent une protection globale indépendante de la localisation de l'utilisateur. Le SASE élimine le modèle traditionnel de backhauling du trafic vers le datacenter central, offrant une expérience utilisateur améliorée et une sécurité cohérente quelle que soit la localisation. Le défi principal du déploiement SASE est l'intégration avec l'infrastructure existante et la migration progressive depuis les architectures legacy basées sur les VPN et les firewalls périmètriques.

SBOM (Software Bill of Materials)

Un SBOM (Software Bill of Materials) est un inventaire détaillé et structuré de tous les composants, bibliothèques et dépendances qui constituent un logiciel. À l'image d'une liste d'ingrédients sur un produit alimentaire, le SBOM permet de connaître exactement ce qui compose un logiciel, facilitant la gestion des vulnérabilités, la conformité et la traçabilité de la supply chain logicielle.

Un SBOM contient pour chaque composant : le nom, la version, le fournisseur, la licence, les relations de dépendance, et les hashes d'intégrité. Les formats standard de SBOM incluent SPDX (Software Package Data Exchange, norme ISO) et CycloneDX (OWASP). Les outils de génération de SBOM comme Syft, Trivy, et les fonctionnalités intégrées des pipelines CI/CD automatisent la création et la mise à jour des SBOM à chaque build.

En 2026, le SBOM est passé d'un concept émergent à une obligation réglementaire dans de nombreux contextes. Le Cyber Resilience Act européen exige un SBOM pour les produits avec des éléments numériques. L'Executive Order américain 14028 impose des SBOM pour les logiciels vendus au gouvernement fédéral. L'intérêt sécuritaire du SBOM est direct : lors de la découverte d'une vulnérabilité dans une bibliothèque open source (comme Log4Shell en 2021), le SBOM permet d'identifier instantanément tous les produits affectés. Sans SBOM, cette identification peut prendre des semaines de recherche manuelle. Les attaques supply chain et les incidents comme la compromission de packages npm renforcent l'importance d'une visibilité complète sur les composants logiciels utilisés.

Security Awareness (Sensibilisation à la Sécurité)

La Security Awareness, ou sensibilisation à la cybersécurité, est le processus continu d'éducation et de formation des employés aux risques cyber et aux bonnes pratiques de sécurité. La sensibilisation vise à développer une culture de sécurité où chaque employé comprend son rôle dans la protection de l'organisation et adopte des comportements sûrs au quotidien.

Un programme de sensibilisation efficace couvre plusieurs thèmes : la reconnaissance et le signalement du phishing, la gestion sécurisée des mots de passe et l'utilisation de la MFA, les risques du shadow IT et du BYOD, la classification et la manipulation des données sensibles, la sécurité du travail à distance, les procédures de signalement des incidents, les risques liés aux réseaux sociaux et à l'OSINT, et les menaces émergentes comme les deepfakes.

Les méthodes de sensibilisation les plus efficaces combinent plusieurs approches : les formations en ligne interactives (modules e-learning), les exercices de phishing simulé avec des métriques de suivi (taux de clic, taux de signalement), les ateliers en présentiel pour les sujets complexes, les communications régulières (newsletters, affiches, intranet), et les exercices de gestion de crise (tabletop exercises). Les KPI clés d'un programme de sensibilisation incluent le taux de clic sur les simulations de phishing (objectif sous 5 %), le taux de signalement (objectif au-dessus de 50 %), le taux de complétion des formations, et l'évolution de ces indicateurs dans le temps. NIS 2 rend la sensibilisation cyber obligatoire pour les entités essentielles et importantes, avec une responsabilité directe des dirigeants qui doivent eux-mêmes être formés.

Security by Design (Sécurité dès la Conception)

Le Security by Design est une approche qui intègre la sécurité dès les premières phases de conception d'un système, d'une application ou d'une infrastructure, plutôt que de l'ajouter comme une surcouche après le développement. Ce principe fondamental reconnaît que la sécurité ajoutée a posteriori est plus coûteuse, moins efficace et souvent incomplète.

Les principes du Security by Design incluent la minimisation de la surface d'attaque (n'exposer que les fonctionnalités nécessaires), le moindre privilège par défaut (accorder le minimum de droits requis), la défense en profondeur (couches de sécurité multiples), le fail-safe (en cas d'erreur, le système se met dans un état sécurisé), la séparation des privilèges (aucune entité ne détient tous les droits), la simplicité (les mécanismes de sécurité complexes sont plus susceptibles d'être contournés), et la médiation complète (chaque accès est vérifié).

En pratique, le Security by Design se traduit par l'intégration de la sécurité dans le cycle de développement logiciel (S-SDLC) : modélisation des menaces (threat modeling) lors de la conception, revue de code sécurisée, tests de sécurité automatisés dans le pipeline CI/CD, et développement sécurisé selon les standards ISO 27001. Le DevSecOps est l'incarnation opérationnelle du Security by Design dans les pratiques d'ingénierie modernes. Le Cyber Resilience Act européen consacre le Security by Design comme obligation légale pour les fabricants de produits connectés. Le RGPD impose le « Privacy by Design » comme déclinaison pour la protection des données personnelles. Les organisations qui adoptent le Security by Design réduisent significativement le coût de remédiation des vulnérabilités : corriger une faille en phase de conception coûte 100 fois moins cher qu'en production.

SIEM (Security Information and Event Management)

Le SIEM (Security Information and Event Management) est une plateforme centralisée qui collecte, normalise, corrèle et analyse les journaux d'événements et les données de sécurité provenant de l'ensemble des composants d'un système d'information. Le SIEM est le coeur technologique du SOC, permettant la détection des menaces, l'investigation des incidents et la conformité réglementaire.

Les fonctionnalités clés d'un SIEM incluent la collecte et le parsing de logs provenant de sources hétérogènes (firewalls, EDR, serveurs, applications, cloud, IAM), la normalisation dans un format commun, la corrélation des événements pour identifier des patterns d'attaque complexes, l'enrichissement avec la threat intelligence, l'alerting en temps réel basé sur des règles de détection, la création de dashboards et rapports, et la rétention des logs pour les besoins de conformité et d'investigation.

Les solutions SIEM leaders en 2026 incluent Splunk Enterprise Security, Microsoft Sentinel (cloud-native), Elastic SIEM (open source), IBM QRadar, et Google Chronicle. Le débat SIEM cloud-native vs on-premise est un enjeu majeur en 2026. Le développement de règles de détection SIEM efficaces est au coeur du détection engineering, avec les règles Sigma comme standard de portabilité entre plateformes. Le SIEM évolue vers la convergence avec le SOAR (automatisation), le XDR (corrélation multi-domaine), et le UEBA (analyse comportementale). La gestion du volume de logs et des coûts de stockage reste un défi majeur, poussant les organisations vers des architectures de log management optimisées avec tiering et data lake.

Sigma Rules

Les Sigma Rules sont un standard ouvert de description de règles de détection pour les SIEM et les systèmes de log management. Créé par Florian Roth, Sigma est à la détection ce que YARA est à la détection de malware et Snort/Suricata au trafic réseau : un format générique, portable et partageable pour décrire des comportements suspects dans les logs.

Une règle Sigma est écrite en YAML et décrit les conditions qu'un événement de log doit remplir pour déclencher une détection. Elle contient un titre, une description, le niveau de sévérité, les tags MITRE ATT&CK associés, la source de log ciblée (Sysmon, Windows Security, Linux auditd), les conditions de détection (filtres sur les champs de log), et les faux positifs connus. Les règles Sigma sont converties en requêtes natives via des convertisseurs (sigmac, pySigma) pour chaque plateforme SIEM cible : SPL pour Splunk, KQL pour Microsoft Sentinel, Lucene pour Elastic, et d'autres.

L'écosystème Sigma comprend un dépôt communautaire de plus de 3 000 règles couvrant les techniques MITRE ATT&CK les plus courantes. Le standard Sigma facilite le partage de détections entre organisations et CERT, la migration entre plateformes SIEM sans réécrire les règles, et l'évaluation de la couverture de détection. L'approche Detection-as-Code intègre les règles Sigma dans des pipelines CI/CD pour versionner, tester et déployer automatiquement les détections. En 2026, Sigma s'est imposé comme la lingua franca du détection engineering, utilisé par les CERT nationaux, les éditeurs de sécurité et les équipes SOC du monde entier.

SOC (Security Operations Center)

Le SOC (Security Operations Center) est le centre névralgique de la cybersécurité opérationnelle d'une organisation. Il réunit les personnes, les processus et les technologies dédiés à la surveillance continue, la détection, l'analyse et la réponse aux incidents de sécurité, 24 heures sur 24, 7 jours sur 7.

L'organisation d'un SOC s'articule généralement en trois niveaux d'analystes SOC. Le niveau 1 (triage) effectue le premier tri des alertes, élimine les faux positifs et escalade les alertes confirmées. Le niveau 2 (investigation) mène l'analyse approfondie des incidents, corrèle les événements et détermine l'étendue de la compromission. Le niveau 3 (expertise) traite les incidents complexes, effectue le threat hunting proactif, développe les règles de détection et conduit les analyses forensiques. Le SOC manager coordonne l'ensemble et assure le reporting vers la direction.

Le stack technologique d'un SOC moderne inclut le SIEM pour la collecte et la corrélation, l'EDR/XDR pour la visibilité endpoint, le SOAR pour l'automatisation, les plateformes de threat intelligence, les outils de ticketing, et les solutions de communication d'incident. Les métriques clés du SOC incluent le MTTD (Mean Time To Detect), le MTTR (Mean Time To Respond), le volume d'alertes, le taux de faux positifs, et le nombre d'incidents traités par analyste. En 2026, les SOC font face à plusieurs défis : la pénurie de talents en cybersécurité, la fatigue d'alertes (alert fatigue) générée par le volume croissant d'événements, et la nécessité de couvrir des environnements de plus en plus complexes (cloud, OT, IoT). L'option du SOC as a Service (SOCaaS) offre une alternative pour les organisations ne pouvant pas maintenir un SOC interne.

SOAR (Security Orchestration, Automation and Response)

Le SOAR (Security Orchestration, Automation and Response) est une catégorie de solutions qui automatisent et orchestrent les processus de réponse aux incidents de sécurité. Le SOAR connecte les différents outils de sécurité (SIEM, EDR, threat intelligence, ticketing) et exécute des workflows automatisés (playbooks) pour traiter les alertes et les incidents de manière standardisée et rapide.

Les trois piliers du SOAR sont l'orchestration (connexion et coordination des outils de sécurité via des API), l'automatisation (exécution automatique de tâches répétitives comme l'enrichissement d'IoC, la recherche de hashes sur VirusTotal, la vérification de la réputation d'une IP), et la réponse (actions correctives automatisées ou semi-automatisées comme l'isolation d'un endpoint, le blocage d'une IP sur le firewall, la désactivation d'un compte compromis).

Les solutions SOAR les plus utilisées incluent Palo Alto XSOAR (ex-Demisto), Splunk SOAR (ex-Phantom), IBM Security QRadar SOAR, et Shuffle (open source). Un playbook SOAR typique pour un email de phishing signalé effectuerait automatiquement : extraction des IoC (URLs, pièces jointes, adresse source), vérification de la réputation des IoC sur multiple sources, analyse de la pièce jointe dans un sandbox, recherche des destinataires ayant reçu le même email, mise en quarantaine de l'email dans toutes les boîtes, et création d'un ticket d'incident. En 2026, le SOAR est devenu indispensable face au volume d'alertes et à la pénurie d'analystes. L'intégration de l'IA dans les plateformes SOAR permet des recommandations intelligentes d'actions et une priorisation automatique des incidents basée sur le contexte et l'historique.

L'ingénierie sociale est l'art de manipuler les personnes pour les amener à divulguer des informations confidentielles, effectuer des actions non autorisées ou contourner les procédures de sécurité. Plutôt que d'attaquer les systèmes techniques, l'ingénieur social exploite les faiblesses humaines : la confiance, la peur, l'urgence, la curiosité, la complaisance et le désir d'aider.

Les techniques d'ingénierie sociale les plus courantes incluent le phishing et le spear phishing (emails frauduleux), le vishing (attaques téléphoniques), le smishing (SMS), le pretexting (création d'un scénario crédible pour obtenir des informations), le baiting (abandon de clés USB piégées), le tailgating (suivre quelqu'un pour accéder à une zone sécurisée), et le quid pro quo (offrir un service en échange d'informations). La fraude au président (BEC - Business Email Compromise) combine ingénierie sociale et usurpation d'identité pour ordonner des virements frauduleux.

En 2026, l'ingénierie sociale est amplifiée par l'intelligence artificielle. Les deepfakes audio et vidéo permettent d'usurper de manière convaincante l'identité d'un dirigeant. Les LLM génèrent des emails de phishing personnalisés et grammaticalement parfaits dans toutes les langues. Les outils IA constituent une nouvelle surface d'attaque pour l'ingénierie sociale. La défense repose sur la sensibilisation continue des employés, les procédures de vérification hors-bande (confirmer par un canal différent toute demande inhabituelle), les contrôles techniques (filtrage email, MFA), et une culture de sécurité où le signalement des tentatives suspectes est encouragé et valorisé.

Spear Phishing

Le spear phishing est une forme ciblée de phishing dans laquelle l'attaquant personnalise ses messages pour une personne ou un groupe spécifique, utilisant des informations collectées par OSINT pour rendre l'attaque plus crédible. Contrairement au phishing de masse qui lance un filet large, le spear phishing est un tir de précision qui cible des individus stratégiques au sein de l'organisation.

L'attaquant prépare une attaque de spear phishing en effectuant une reconnaissance approfondie de sa cible : profil LinkedIn (poste, responsabilités, projets), réseau professionnel, publications sur les réseaux sociaux, structure organisationnelle de l'entreprise, et événements récents (conférences, partenariats, recrutements). Le message est ensuite conçu pour s'intégrer naturellement dans le contexte professionnel de la cible : un email semblant provenir d'un collègue avec un document de projet, une demande d'un fournisseur connu, ou une communication d'un partenaire sur un sujet d'actualité.

Le spear phishing est le vecteur d'accès initial privilégié des groupes APT car son taux de réussite est significativement supérieur au phishing de masse. Les campagnes APT29 utilisent régulièrement le spear phishing avec des leurres thématiques (invitations diplomatiques, documents de politique). Les attaquants russes ont notamment ciblé des officiels et journalistes via l'usurpation de Signal. La défense contre le spear phishing est plus complexe que contre le phishing générique car les messages sont de meilleure qualité et contiennent moins de signaux d'alerte classiques. Les solutions de sécurité email basées sur l'IA analysent le contexte des communications (fréquence des échanges avec l'expéditeur, cohérence du contenu, anomalies de l'en-tête) pour détecter les tentatives de spear phishing les plus sophistiquées.

Spoofing (Usurpation)

Le spoofing est une technique d'attaque qui consiste à falsifier l'identité d'une source de communication pour se faire passer pour une entité légitime. Le spoofing peut cibler différents niveaux du stack réseau et applicatif : adresses IP, adresses MAC, adresses email, identifiant d'appelant téléphonique, GPS, DNS, et même des sites web entiers.

L'IP spoofing modifie l'adresse IP source des paquets réseau pour masquer l'identité de l'attaquant ou usurper un hôte de confiance, souvent utilisé dans les attaques DDoS par amplification. L'email spoofing falsifie l'adresse d'expéditeur d'un email pour que le message semble provenir d'une source légitime, vecteur principal du phishing et de la fraude au président. Le DNS spoofing (ou empoisonnement DNS) redirige les requêtes DNS vers des serveurs malveillants. L'ARP spoofing intercepte le trafic réseau local en empoisonnant les tables ARP des machines du réseau. Le caller ID spoofing falsifie le numéro affiché lors d'un appel téléphonique, utilisé dans les attaques de vishing.

Les mécanismes de défense varient selon le type de spoofing. Contre l'email spoofing, les protocoles SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication) vérifient que l'email provient d'un serveur autorisé et n'a pas été modifié en transit. Contre l'IP spoofing, le filtrage ingress/egress bloque les paquets avec des adresses source incohérentes. Contre le DNS spoofing, DNSSEC authentifie les réponses DNS. Contre l'ARP spoofing, la configuration de ports sécurisés (port security) sur les switches et l'utilisation de 802.1X limitent les risques. En 2026, le spoofing basé sur les deepfakes (usurpation vocale et vidéo) représente une menace croissante contre laquelle les protections techniques traditionnelles sont insuffisantes.

SQL Injection (Injection SQL)

L'injection SQL est une vulnérabilité de sécurité applicative qui permet à un attaquant d'insérer du code SQL malveillant dans les requêtes envoyées à la base de données d'une application web. Cette vulnérabilité, classée parmi les risques les plus critiques par l'OWASP, peut conduire à l'extraction non autorisée de données, la modification ou la suppression d'enregistrements, le contournement d'authentification, et dans certains cas l'exécution de commandes système.

Les types d'injection SQL incluent l'injection in-band (le résultat de l'injection est directement visible dans la réponse de l'application), l'injection blind (le résultat n'est pas visible mais peut être inféré via des réponses booléennes ou des délais temporels), et l'injection out-of-band (les données sont exfiltrées via un canal différent comme le DNS). Les techniques avancées comme le UNION-based, l'error-based, le time-based blind et le stacked queries permettent d'exploiter différentes configurations de base de données.

La prévention de l'injection SQL repose principalement sur l'utilisation de requêtes paramétrées (prepared statements) qui séparent le code SQL des données utilisateur, éliminant la possibilité d'injection. Les ORM (Object-Relational Mapping) offrent une couche d'abstraction qui produit des requêtes sûres par construction. La validation et l'assainissement des entrées utilisateur (input validation), le principe du moindre privilège pour le compte de base de données de l'application, et le déploiement d'un WAF (Web Application Firewall) ajoutent des couches de protection supplémentaires. Les attaques sur les bases de données se sont étendues au-delà du SQL vers les bases NoSQL et GraphQL, nécessitant des approches de sécurisation adaptées.

SSO (Single Sign-On)

Le SSO (Single Sign-On) est un mécanisme d'authentification qui permet à un utilisateur de se connecter une seule fois pour accéder à l'ensemble des applications et services autorisés sans devoir s'authentifier à nouveau pour chacun. Le SSO améliore l'expérience utilisateur tout en réduisant les risques liés à la multiplication des mots de passe.

Les protocoles SSO les plus utilisés incluent SAML 2.0 (Security Assertion Markup Language), principalement utilisé pour les applications d'entreprise, OpenID Connect (OIDC), un protocole moderne basé sur OAuth 2.0 largement adopté pour les applications web et mobiles, et Kerberos, utilisé dans les environnements Active Directory pour l'authentification Windows intégrée. Les fournisseurs d'identité (IdP) comme Microsoft Entra ID, Okta, OneLogin, et Keycloak gèrent la fédération des identités et l'émission des assertions/tokens SSO.

Le SSO présente des avantages de sécurité significatifs : il réduit le nombre de mots de passe que l'utilisateur doit gérer (donc moins de réutilisation et de mots de passe faibles), centralise la politique d'authentification (MFA appliquée une seule fois), facilite le provisionnement et le déprovisionnement des comptes, et améliore la journalisation des accès. Cependant, le SSO crée un point de défaillance unique : si le compte SSO est compromis, l'attaquant accède à toutes les applications liées. C'est pourquoi le SSO doit être systématiquement couplé avec la MFA et l'accès conditionnel. Les attaques sur les Identity Providers (Okta, Entra) ciblent directement ce maillon critique, et les abus OAuth/OIDC permettent de contourner les contrôles SSO.

Supply Chain Attack (Attaque de la Chaîne d'Approvisionnement)

Une attaque de la chaîne d'approvisionnement (supply chain attack) cible non pas directement une organisation, mais un de ses fournisseurs, prestataires ou composants logiciels pour atteindre indirectement la cible finale. L'attaquant compromet un maillon de la chaîne d'approvisionnement qui est ensuite distribué légitimement à l'ensemble des clients du fournisseur.

Les attaques supply chain logicielles sont les plus répandues en 2026. Elles incluent la compromission de dépôts de packages (npm, PyPI, Maven) via le typosquatting et le dependency confusion, l'injection de code malveillant dans des projets open source, la compromission de pipelines CI/CD pour injecter du code malveillant dans les builds, et la compromission d'éditeurs de logiciels comme ce fut le cas avec SolarWinds. Les attaques récentes comme PhantomRaven et CanisterWorm démontrent la sophistication croissante de ces attaques.

La défense contre les attaques supply chain est particulièrement complexe car elles exploitent la confiance légitime entre un fournisseur et ses clients. Les mesures de protection incluent l'adoption du SBOM pour inventorier les composants logiciels, la vérification des signatures des packages et des mises à jour, le scanning des dépendances pour les vulnérabilités connues, l'isolation des pipelines CI/CD, la diversification des fournisseurs critiques, et la mise en place de clauses de sécurité dans les contrats avec les prestataires. L'évaluation des risques tiers (third-party risk management) est devenue un volet majeur de la gestion des risques cyber, et NIS 2 impose explicitement la sécurisation de la chaîne d'approvisionnement.

T

Threat Hunting (Chasse aux Menaces)

Le Threat Hunting est une approche proactive de la détection des menaces qui consiste à rechercher activement des indicateurs de compromission et des activités malveillantes dans les systèmes d'information sans attendre qu'une alerte automatisée ne se déclenche. Contrairement à la détection réactive qui repose sur les alertes SIEM et EDR, le threat hunting part de l'hypothèse qu'un attaquant est potentiellement déjà présent dans le réseau.

La méthodologie de threat hunting commence par la formulation d'une hypothèse basée sur la threat intelligence, les TTP connues des groupes de menaces pertinents, ou les résultats d'exercices Red Team. Le chasseur collecte et analyse ensuite les données pertinentes (logs SIEM, télémétrie EDR, trafic réseau) pour confirmer ou infirmer l'hypothèse. Les résultats positifs déclenchent une investigation d'incident, tandis que les résultats négatifs contribuent à renforcer la confiance dans les capacités de détection existantes. Les hypothèses non vérifiées se transforment en nouvelles règles de détection automatisées.

Le threat hunting avec MITRE ATT&CK structure les hypothèses autour des techniques connues des groupes de menaces ciblant le secteur d'activité de l'organisation. Le threat hunting proactif utilise des outils comme Jupyter Notebooks pour l'analyse de données, les requêtes KQL/SPL dans le SIEM, et les capacités de live response des solutions EDR. Les compétences requises incluent une connaissance approfondie des systèmes d'exploitation, des protocoles réseau, des TTP des attaquants, et une maîtrise des outils d'analyse de données. En 2026, l'IA assiste les threat hunters en identifiant les anomalies statistiques dans les données télémétriques et en suggérant des pistes d'investigation, mais le jugement humain reste indispensable pour contextualiser les résultats et prendre des décisions.

Threat Modeling (Modélisation des Menaces)

Le Threat Modeling est un processus structuré d'identification, de classification et de priorisation des menaces potentielles qui pèsent sur un système, une application ou une infrastructure. En analysant les vecteurs d'attaque possibles dès la phase de conception, le threat modeling permet de concevoir des défenses adaptées et de réduire les vulnérabilités avant même le développement.

Les méthodologies de threat modeling les plus utilisées incluent STRIDE (développé par Microsoft), qui catégorise les menaces en six types : Spoofing (usurpation d'identité), Tampering (altération), Repudiation (non-répudiation), Information Disclosure (divulgation d'information), Denial of Service (déni de service), Elevation of Privilege (élévation de privilèges). PASTA (Process for Attack Simulation and Threat Analysis) offre une approche centrée sur le risque métier en sept étapes. LINDDUN se concentre sur les menaces à la vie privée. VAST (Visual, Agile, and Simple Threat modeling) s'intègre dans les processus agiles.

Le processus de threat modeling suit quatre questions fondamentales : Sur quoi travaillons-nous ? (diagrammes d'architecture et de flux de données) Qu'est-ce qui peut mal tourner ? (identification des menaces avec STRIDE) Que faisons-nous contre cela ? (définition des contre-mesures) Avons-nous fait un bon travail ? (revue et validation). Les outils comme Microsoft Threat Modeling Tool, OWASP Threat Dragon et IriusRisk facilitent la création de diagrammes de flux de données et l'identification automatique des menaces. En 2026, le threat modeling est de plus en plus intégré dans les pipelines DevSecOps, avec des modèles de menaces maintenus comme du code (Threat Model as Code) et mis à jour à chaque changement d'architecture significatif.

TLS/SSL (Transport Layer Security)

TLS (Transport Layer Security) est un protocole cryptographique qui assure la confidentialité, l'intégrité et l'authentification des communications sur un réseau. TLS est le successeur de SSL (Secure Sockets Layer), un protocole désormais obsolète et déprécié en raison de vulnérabilités connues. Le TLS est omniprésent dans la sécurité des communications Internet, protégeant le trafic HTTPS, les emails (SMTPS, IMAPS), les VPN, et les API.

TLS 1.3, la version actuelle, offre des améliorations majeures par rapport à TLS 1.2 : un handshake réduit à un seul aller-retour (0-RTT possible pour les reconnexions), la suppression des algorithmes cryptographiques obsolètes (RC4, SHA-1, CBC), le support exclusif du forward secrecy (Perfect Forward Secrecy via ECDHE), et une résistance accrue aux attaques de downgrade. Les versions TLS 1.0 et 1.1 sont officiellement déprécies et ne doivent plus être utilisées.

La configuration sécurisée de TLS est essentielle et souvent mal implémentée. Les bonnes pratiques incluent l'utilisation exclusive de TLS 1.2 et 1.3, le choix de cipher suites fortes (ECDHE pour l'échange de clés, AES-GCM ou ChaCha20-Poly1305 pour le chiffrement), la désactivation de la compression TLS (vulnérabilité CRIME), la configuration de HSTS (HTTP Strict Transport Security) pour forcer HTTPS, et le renouvellement régulier des certificats. L'inspection TLS (TLS interception) par les proxys et firewalls est nécessaire pour la visibilité sécurité mais soulève des questions de vie privée et de performance. Les outils comme SSL Labs Server Test, testssl.sh et Mozilla SSL Configuration Generator aident à vérifier et optimiser la configuration TLS. La migration vers la cryptographie post-quantique impactera directement les algorithmes utilisés dans TLS.

Trojan (Cheval de Troie)

Un Trojan (cheval de Troie) est un type de malware qui se présente sous l'apparence d'un logiciel légitime ou utile pour inciter l'utilisateur à l'installer. Contrairement aux virus, les trojans ne se répliquent pas automatiquement : ils dépendent de l'action de l'utilisateur pour se propager, que ce soit par le téléchargement d'un logiciel pirate, l'ouverture d'une pièce jointe email, ou l'installation d'une fausse mise à jour.

Les trojans se déclinent en de nombreuses sous-catégories selon leur fonction. Le RAT (Remote Access Trojan) donne à l'attaquant un contrôle total de la machine à distance (accès au système de fichiers, webcam, micro, keylogging). Le banking trojan cible les informations bancaires en modifiant les pages web des banques en ligne (injection web). Le downloader/dropper télécharge et installe d'autres malwares. L'infostealer vole les données sensibles (mots de passe, cookies, tokens, wallets crypto). Le proxy trojan utilise la machine infectée comme relais pour masquer le trafic de l'attaquant.

Les vecteurs de distribution des trojans en 2026 incluent les emails de phishing avec pièces jointes malveillantes (documents Office avec macros, fichiers ISO/VHD), les sites web compromis (drive-by download), les fausses mises à jour de navigateur, les applications mobiles malveillantes, et les extensions de navigateur ou d'IDE piégées (72 extensions VSCode compromises par GlassWorm). La détection des trojans modernes nécessite des solutions EDR capables d'analyser le comportement des processus (communications C2, injection dans d'autres processus, keylogging) plutôt que de se fier uniquement aux signatures statiques. Les mesures de prévention incluent la restriction des droits d'installation, le contrôle des applications autorisées (allowlisting), la formation des utilisateurs et l'analyse des pièces jointes dans un sandbox.

V

Vulnerability (Vulnérabilité)

Une vulnérabilité est une faiblesse dans un système, un logiciel, un protocole ou un processus qui peut être exploitée par un attaquant pour compromettre la sécurité de l'information. Les vulnérabilités sont la matière première des cyberattaques : sans vulnérabilité à exploiter, la plupart des attaques techniques ne seraient pas possibles.

Les vulnérabilités se catégorisent selon leur nature. Les vulnérabilités logicielles résultent d'erreurs de programmation (buffer overflow, injection SQL, XSS, race conditions, use-after-free). Les vulnérabilités de configuration proviennent de paramètres de sécurité inadéquats (services inutiles activés, permissions excessives, mots de passe par défaut). Les vulnérabilités architecturales découlent de défauts de conception (absence de segmentation réseau, absence de chiffrement). Les vulnérabilités humaines sont liées aux comportements (susceptibilité au phishing, négligence dans la gestion des mots de passe).

Le cycle de vie d'une vulnérabilité commence par sa création (introduction dans le code ou la configuration), sa découverte (par un chercheur, un attaquant ou un outil de scan), sa divulgation (coordonnée via CVE ou non coordonnée via 0-day), sa correction (publication d'un patch), et enfin son exploitation potentielle pendant toute la fenêtre entre la divulgation et l'application du correctif. Le time-to-exploit se réduit drastiquement en 2026, avec certaines vulnérabilités exploitées en quelques heures après leur publication. Les scanners de vulnérabilités automatisent la découverte des failles connues, mais ne couvrent pas les vulnérabilités inconnues (zero-day) ni les vulnérabilités logiques qui nécessitent une compréhension contextuelle obtenue par le pentest.

Vulnerability Management (Gestion des Vulnérabilités)

Le Vulnerability Management est le processus continu et cyclique d'identification, d'évaluation, de priorisation, de remédiation et de suivi des vulnérabilités dans les systèmes d'information d'une organisation. Ce processus va bien au-delà du simple scan de vulnérabilités : il intègre le contexte métier, la threat intelligence et la gestion des risques pour transformer des données techniques en décisions actionnables.

Le cycle de gestion des vulnérabilités comprend cinq phases. La découverte utilise des scanners de vulnérabilités (Nessus, Greenbone, Qualys, Rapid7) pour identifier les failles sur les systèmes, réseaux, applications et conteneurs. L'évaluation enrichit les résultats avec le CVSS, le contexte d'exposition de l'actif (Internet, interne, isolé) et les données de threat intelligence (la vulnérabilité est-elle exploitée dans la nature ?). La priorisation classe les vulnérabilités par urgence de remédiation en combinant ces facteurs. La remédiation applique les correctifs, les reconfigurations ou les contrôles compensatoires. La vérification confirme l'efficacité de la remédiation par un re-scan.

En 2026, la gestion des vulnérabilités fait face au défi du volume : avec des dizaines de milliers de CVE publiées annuellement, la priorisation basée uniquement sur le CVSS est insuffisante. Les approches risk-based vulnerability management (RBVM) combinent l'exploitabilité (EPSS score), la criticité de l'actif, l'exposition réseau et la valeur métier pour prioriser les vulnérabilités qui représentent un risque réel pour l'organisation. Les SLA de remédiation doivent être définis et mesurés : délai moyen de correction (MTTR), pourcentage de vulnérabilités critiques corrigées dans les SLA, et évolution de la dette technique de sécurité. L'audit de sécurité du SI valide périodiquement l'efficacité du programme de gestion des vulnérabilités.

W

WAF (Web Application Firewall)

Un WAF (Web Application Firewall) est un pare-feu applicatif qui protège les applications web en filtrant, surveillant et bloquant le trafic HTTP/HTTPS malveillant entre un client et un serveur web. Contrairement aux firewalls réseau traditionnels qui opèrent aux couches 3 et 4 du modèle OSI, le WAF opère à la couche 7 (application) et comprend la logique des requêtes HTTP.

Le WAF protège contre les attaques web les plus courantes documentées dans le OWASP Top 10 : injections SQL, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), inclusion de fichiers, directory traversal, et attaques par force brute. Les WAF modernes utilisent plusieurs modes de détection : les règles de signature basées sur les patterns d'attaque connus (ModSecurity Core Rule Set), la détection d'anomalies basée sur le profiling du trafic normal, et le machine learning pour identifier les attaques inédites.

Les WAF se déploient en mode reverse proxy (le plus courant), transparent (bridge), ou en module intégré au serveur web. Les solutions WAF incluent des appliances matérielles (F5, Imperva), des solutions logicielles (ModSecurity, NAXSI), des services cloud (Cloudflare WAF, AWS WAF, Azure WAF), et des WAF-as-a-Service (Akamai, Sucuri). La configuration d'un WAF est un exercice d'équilibre : des règles trop strictes bloquent le trafic légitime (faux positifs), tandis que des règles trop permissives laissent passer les attaques. La bonne pratique est de déployer initialement en mode détection (log only) pour affiner les règles avant de passer en mode blocage. Le WAF ne remplace pas le développement sécurisé : il constitue une couche de protection supplémentaire dans une stratégie de defense in depth.

Wazuh

Wazuh est une plateforme de sécurité open source qui combine les fonctionnalités de SIEM, XDR, et HIDS dans une solution unifiée. Wazuh offre une alternative open source crédible aux solutions commerciales pour la détection des menaces, la réponse aux incidents, la surveillance d'intégrité des fichiers et la conformité réglementaire.

Les capacités de Wazuh incluent la détection d'intrusion basée sur l'hôte (HIDS), la surveillance de l'intégrité des fichiers (FIM), la détection de rootkits, l'analyse des logs en temps réel, la collecte d'inventaire système, l'évaluation de la configuration de sécurité (SCA basé sur les benchmarks CIS), la détection de vulnérabilités, la réponse active (blocage automatique d'IP, isolation de processus), et l'intégration avec les feeds de threat intelligence. L'architecture de Wazuh comprend des agents déployés sur les endpoints (Windows, Linux, macOS) qui envoient des données à un serveur central pour l'analyse et la corrélation.

Wazuh s'intègre nativement avec la stack Elastic (OpenSearch) pour l'indexation et la visualisation des données, et avec les plateformes de threat intelligence comme MISP et VirusTotal. Les règles de détection Wazuh couvrent un large spectre de menaces, du brute force SSH aux techniques MITRE ATT&CK avancées. En 2026, Wazuh s'est imposé comme la solution de choix pour les PME et les organisations à budget limité qui souhaitent déployer un SOC sans les coûts de licence prohibitifs des solutions commerciales. Sa communauté active maintient des règles de détection à jour, et les intégrations avec les outils DevSecOps (Docker, Kubernetes) en font une solution adaptée aux environnements modernes. Le modèle open source permet une transparence totale sur les mécanismes de détection et une personnalisation poussée.

Wiper

Un wiper est un type de malware destructeur dont l'objectif est d'effacer ou de corrompre de manière irréversible les données et les systèmes de la victime. Contrairement au ransomware qui vise un gain financier en proposant la restauration des données contre rançon, le wiper poursuit un objectif de destruction pure, généralement dans un contexte géopolitique ou de sabotage.

Les wipers les plus notoires incluent Shamoon (2012, ciblant Saudi Aramco, détruisant 35 000 postes), NotPetya (2017, se faisant passer pour un ransomware mais détruisant les données), WhisperGate et HermeticWiper (2022, ciblant l'Ukraine), et plus récemment les wipers du groupe iranien Handala qui ont détruit 80 000 terminaux de Stryker. Les techniques de destruction varient : écrasement du MBR (Master Boot Record), suppression des tables de partition, chiffrement avec des clés délibérément détruites, corruption du firmware, et effacement des sauvegardes.

Les wipers sont principalement associés à des opérations étatiques (Russie, Iran, Corée du Nord) et ciblent les infrastructures critiques, les entreprises stratégiques et les organisations gouvernementales dans un contexte de conflit géopolitique. La défense contre les wipers repose sur les mêmes fondamentaux que la protection contre les ransomwares, avec une attention particulière portée aux sauvegardes : les sauvegardes doivent être isolées (air-gapped), immuables (WORM), testées régulièrement, et distribuées géographiquement. La segmentation réseau limite la propagation du wiper, tandis que la surveillance des comportements destructeurs (suppression massive de fichiers, accès au MBR, effacement des journaux) par l'EDR permet une détection précoce. Les plans de réponse aux incidents doivent inclure un scénario spécifique de destruction massive intégrant les procédures de restauration à partir des sauvegardes.

X

XDR (Extended Detection and Response)

Le XDR (Extended Detection and Response) est l'évolution de l'EDR qui étend la détection et la réponse aux menaces au-delà des endpoints pour couvrir l'ensemble de l'écosystème de sécurité : réseau, cloud, email, identités et workloads. Le XDR corrèle les données provenant de multiples sources pour offrir une visibilité unifiée et détecter les attaques complexes qui traversent plusieurs domaines.

La proposition de valeur du XDR par rapport au SIEM et à l'EDR est la corrélation automatique et l'enrichissement contextuel des alertes. Alors que le SIEM collecte les logs mais nécessite un effort important de création de règles de corrélation, et que l'EDR se limite à la visibilité endpoint, le XDR fournit une vue unifiée de la chaîne d'attaque en corrélant automatiquement un email de phishing reçu, l'exécution d'un payload sur un endpoint, le mouvement latéral détecté sur le réseau, et l'exfiltration de données vers le cloud.

Le marché XDR se divise en deux approches. Le XDR natif (single-vendor) intègre les produits d'un même éditeur (Microsoft Defender XDR, CrowdStrike Falcon, Palo Alto Cortex XDR, SentinelOne Singularity). Le XDR ouvert (multi-vendor) agrège les données de produits de différents éditeurs via des API et des standards ouverts. Les solutions EDR/XDR leaders en 2026 intègrent des capacités d'investigation assistée par l'IA, de threat hunting automatisé et de réponse orchestrée. Le XDR est particulièrement efficace pour réduire le volume d'alertes (en les regroupant en incidents corrélés), accélérer l'investigation (vue timeline unifiée) et automatiser la réponse (actions coordonnées sur tous les domaines).

XSS (Cross-Site Scripting)

Le XSS (Cross-Site Scripting) est une vulnérabilité de sécurité applicative qui permet à un attaquant d'injecter du code JavaScript malveillant dans des pages web consultées par d'autres utilisateurs. Le code injecté s'exécute dans le contexte de confiance du site vulnérable, permettant le vol de cookies de session, la redirection vers des sites de phishing, la modification du contenu de la page, le keylogging, et le détournement de fonctionnalités.

Le XSS se décline en trois types. Le XSS réfléchi (reflected) inclut le code malveillant dans un paramètre de l'URL ; il est renvoyé par le serveur dans la réponse et s'exécute dans le navigateur de la victime qui clique sur le lien piégé. Le XSS stocké (stored) persiste dans la base de données du site (commentaire, profil, message) et s'exécute à chaque fois qu'un utilisateur consulte la page contaminée. Le XSS basé sur le DOM (DOM-based) manipule le Document Object Model du navigateur côté client, sans que le payload ne transite par le serveur.

La prévention du XSS repose sur l'encodage systématique des sorties (output encoding) en fonction du contexte (HTML, JavaScript, URL, CSS), la validation et l'assainissement des entrées utilisateur (input sanitization), l'utilisation de Content Security Policy (CSP) qui restreint les sources de scripts autorisées, l'utilisation de frameworks modernes (React, Angular, Vue) qui encodent par défaut les sorties, et la mise en place de cookies HttpOnly et Secure pour protéger les tokens de session contre le vol par XSS. Le XSS reste l'une des vulnérabilités web les plus fréquentes malgré des décennies de sensibilisation, car chaque point d'entrée utilisateur dans une application représente un vecteur potentiel. Les outils de test automatisé comme Burp Suite, OWASP ZAP et les scanners DAST intègrent des modules de détection XSS qui doivent être complétés par des revues de code manuelles.

Z

Zero Day (Jour Zéro)

Un zero-day (0-day) est une vulnérabilité inconnue du vendeur du logiciel et pour laquelle aucun correctif n'existe au moment de sa découverte ou de son exploitation. Le terme « jour zéro » fait référence au fait que le vendeur a eu zéro jour pour développer un correctif. Un exploit zero-day exploite cette vulnérabilité inconnue, et une attaque zero-day utilise cet exploit contre des cibles réelles.

Les zero-days représentent la menace la plus sophistiquée et la plus difficile à contrer car les défenses basées sur les signatures sont par définition inefficaces. Le time-to-exploit des zero-days se compte désormais en heures, et les groupes APT disposent souvent de plusieurs zero-days en réserve pour leurs opérations. Le marché des zero-days est structuré en trois niveaux : le marché blanc (bug bounty, divulgation responsable), le marché gris (ventes à des agences gouvernementales via des brokers comme Zerodium), et le marché noir (ventes à des cybercriminels sur le dark web).

La défense contre les zero-days ne peut pas reposer sur les signatures mais sur la détection comportementale et la réduction de la surface d'attaque. Les solutions EDR/XDR avec analyse comportementale peuvent détecter l'exploitation d'un zero-day par ses effets (création de processus suspect, modification de fichiers système, connexion réseau anormale). Les technologies d'exploit mitigation (ASLR, DEP, CFI, CET) rendent l'exploitation plus difficile même si la vulnérabilité existe. Le sandboxing isole les applications à risque (navigateurs, lecteurs PDF) pour limiter l'impact d'un zero-day. Le virtual patching via les WAF et IPS peut bloquer les tentatives d'exploitation d'un zero-day connu avant que le patch officiel ne soit disponible. En 2026, plusieurs zero-days critiques ont été exploités à grande échelle, dont des failles CVSS 10.0 avec installation de webshells en production.

Zero Trust (Confiance Zéro)

Le Zero Trust est un modèle de sécurité qui élimine la confiance implicite traditionnellement accordée aux utilisateurs et systèmes situés à l'intérieur du périmètre réseau. Le principe fondamental du Zero Trust est « Never trust, always verify » : chaque requête d'accès est vérifiée indépendamment de sa provenance, comme si elle provenait d'un réseau hostile.

Les piliers du Zero Trust incluent la vérification continue de l'identité (authentification forte et continue, pas seulement à la connexion initiale), le moindre privilège (accès limité au strict nécessaire, pour la durée nécessaire), la micro-segmentation (isolation des workloads et des applications, contrôle des flux est-ouest), l'inspection du trafic chiffré (le chiffrement ne doit pas créer d'angles morts), la posture de l'appareil (vérification que l'endpoint est conforme, patché et protégé), et l'analyse comportementale (détection des anomalies dans les patterns d'accès).

La mise en oeuvre du Zero Trust est un parcours progressif, pas un produit qu'on achète. Elle commence généralement par la cartographie des flux de données critiques, le renforcement de l'authentification (MFA systématique, accès conditionnel), la micro-segmentation progressive du réseau, et le déploiement de solutions ZTNA pour remplacer les VPN traditionnels. L'implémentation du Zero Trust dans Microsoft 365 illustre cette approche progressive. En 2026, le Zero Trust est recommandé par l'ANSSI, le NIST (SP 800-207), et imposé par des réglementations sectorielles. Les technologies clés du Zero Trust incluent le SASE, le ZTNA, l'accès conditionnel (Entra ID Conditional Access), la micro-segmentation (Illumio, Guardicore), et les solutions PAM. Le défi principal reste la transformation culturelle : passer d'un modèle « faire confiance et vérifier » à « ne jamais faire confiance et toujours vérifier ».

ZTNA (Zero Trust Network Access)

Le ZTNA (Zero Trust Network Access) est une technologie qui fournit un accès distant sécurisé aux applications et services d'une organisation selon les principes du Zero Trust. Le ZTNA remplace les VPN traditionnels en offrant un accès granulaire application par application plutôt qu'un accès réseau global, réduisant considérablement la surface d'attaque.

Le fonctionnement du ZTNA diffère fondamentalement du VPN. Avec un VPN, une fois authentifié, l'utilisateur obtient un accès réseau complet et peut potentiellement atteindre n'importe quelle ressource sur le réseau. Avec le ZTNA, l'utilisateur n'accède qu'aux applications spécifiques pour lesquelles il est autorisé, et chaque session est authentifiée et autorisée individuellement. L'infrastructure ZTNA rend les applications « invisibles » sur Internet : elles ne sont pas exposées directement et ne sont accessibles que via le broker ZTNA après vérification de l'identité et de la posture de l'appareil.

Les solutions ZTNA se déploient selon deux architectures. Le ZTNA initié par l'agent nécessite l'installation d'un agent sur l'appareil de l'utilisateur qui établit une connexion sortante vers le broker ZTNA (Zscaler Private Access, Palo Alto Prisma Access, Cloudflare Access). Le ZTNA initié par le service ne nécessite pas d'agent et fonctionne via un proxy inverse (adapté aux applications web). En 2026, le ZTNA est un composant clé des architectures SASE et représente l'évolution naturelle de l'accès distant sécurisé. L'adoption du ZTNA est portée par la fin de vie des VPN traditionnels, l'essor du travail hybride, et les exigences réglementaires de segmentation d'accès. Les VPN restent cependant nécessaires pour certains cas d'usage spécifiques (accès réseau complet requis, protocoles non-HTTP, environnements legacy).

Points clés à retenir

La cybersécurité en 2026 repose sur une approche Zero Trust qui élimine la confiance implicite et vérifie chaque accès.
La Defense in Depth superpose plusieurs couches de contrôles (réseau, endpoint, application, données, humain) pour une protection résiliente.
Les frameworks MITRE ATT&CK et NIST CSF 2.0 structurent les pratiques de détection et de gouvernance de la sécurité.
La conformité multi-référentiels (NIS 2, DORA, RGPD, ISO 27001) est un enjeu majeur qui s'appuie sur un SMSI structuré.
Les menaces évoluent : double extorsion ransomware, supply chain attacks, deepfakes et IA offensive imposent une adaptation constante.
La détection proactive (Threat Hunting, Purple Team) complète les défenses automatisées pour identifier les menaces qui échappent aux règles.
Le SOC moderne intègre SIEM, EDR/XDR, SOAR et threat intelligence pour une détection et une réponse efficaces.
La gestion des vulnérabilités basée sur le risque (RBVM) priorise les correctifs selon l'exploitabilité réelle et le contexte métier.

FAQ - Questions Fréquentes

Quels sont les termes de cybersécurité les plus importants à connaître en 2026 ?

Les termes fondamentaux incluent Zero Trust, SIEM, SOC, EDR/XDR, MITRE ATT&CK, ransomware, phishing, MFA, et les frameworks de conformité comme NIS 2 et ISO 27001. La maîtrise de ces concepts est essentielle pour tout professionnel évoluant dans la cybersécurité, qu'il soit technique ou managérial. L'évolution vers le cloud et l'IA ajoute des termes comme SASE, ZTNA, CASB et SBOM au vocabulaire indispensable.

Quelle est la différence entre un SIEM, un EDR et un XDR ?

Le SIEM collecte et corrèle les logs de l'ensemble du SI pour la détection et la conformité. L'EDR surveille spécifiquement les endpoints (postes, serveurs) avec une analyse comportementale et des capacités de réponse. Le XDR étend l'EDR en corrélant les données de multiples domaines (endpoint, réseau, cloud, email, identités) pour une détection unifiée des attaques complexes traversant plusieurs couches. Ces trois solutions sont complémentaires et constituent le triptyque technologique du SOC moderne.

Comment débuter en cybersécurité en 2026 ?

Commencez par maîtriser les fondamentaux réseau (TCP/IP, DNS, HTTP) et les systèmes d'exploitation (Windows et Linux). Familiarisez-vous avec les frameworks MITRE ATT&CK et OWASP Top 10. Déployez un lab personnel avec des outils open source comme Wazuh, Suricata et Elastic. Pratiquez sur des plateformes comme HackTheBox, TryHackMe et Root-Me. Les certifications CompTIA Security+, OSCP ou BTL1 structurent votre parcours. La lecture régulière des alertes CERT-FR et des rapports de threat intelligence maintient vos connaissances à jour.

Partager cet article

Twitter LinkedIn

Télécharger cet article en PDF

Format A4 optimisé pour l'impression et la lecture hors ligne

Télécharger le PDF

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis