Deux experts en cybersécurité viennent de plaider coupable pour avoir opéré comme affiliés du ransomware BlackCat. L un était incident responder, l autre négociait les rançons côté victimes. Ce n est pas un scénario de film — c est la réalité d un secteur qui doit urgemment repenser la confiance accordée à ses propres professionnels. Et si le maillon faible de votre sécurité, c était celui que vous payez pour la garantir ? Insider threat en cybersécurité : deux experts plaident coupable comme affiliés BlackCat. Analyse du risque et recommandations pour les RSSI.

  • Identification des vecteurs d'attaque et de la surface d'exposition
  • Stratégies de détection et de réponse aux incidents
  • Recommandations de durcissement et bonnes pratiques opérationnelles
  • Impact sur la conformité réglementaire (NIS2, DORA, RGPD)

Le mythe du défenseur infaillible

Dans la cybersécurité, on passe beaucoup de temps à modéliser les menaces externes. APT étatiques, cybercriminels, hacktivistes — on les cartographie, on les profile, on construit des défenses contre eux. Mais la menace interne reste le parent pauvre de la plupart des stratégies de sécurité.

L affaire Goldberg-Martin devrait servir d électrochoc. Ryan Goldberg, responsable réponse à incidents chez Sygnia, avait accès aux systèmes les plus critiques de ses clients. Kevin Martin négociait les rançons chez DigitalMint — il connaissait les seuils de douleur financière des victimes. Ensemble, ils ont ciblé cinq entreprises dont trois hôpitaux, causant 9,5 millions de dollars de dégâts. L expertise qui devait protéger les victimes a été retournée contre elles.

Un problème structurel, pas un incident isolé

Ce n est pas la première fois. En 2024, un analyste SOC d une grande ESN européenne avait été identifié comme revendeur d accès initiaux sur un forum russophone. En 2023, un pentester australien avait été condamné pour avoir exploité les failles qu il découvrait en mission pour exfiltrer des données à son profit. Le secteur de la cybersécurité souffre d un paradoxe fondamental : les personnes les mieux placées pour protéger sont aussi les mieux placées pour attaquer.

Le problème est structurel. Le marché du travail cyber est tellement tendu que les vérifications d antécédents sont souvent superficielles. Les certifications techniques (OSCP, CISSP) valident des compétences, pas une éthique. Et la pénurie de talents pousse les entreprises à accorder des niveaux d accès disproportionnés à des prestataires qu elles connaissent à peine.

Ce que ça change pour les RSSI

Si vous êtes RSSI ou DSI, cette affaire devrait vous amener à revoir trois points précis dans votre dispositif :

1. La compartimentation des accès prestataires. Un consultant en réponse à incidents n a pas besoin d un accès permanent à votre AD, votre SIEM et vos sauvegardes simultanément. Accès limités dans le temps, journalisés, révocables en un clic. C est basique, mais combien d entre vous le font réellement ?

2. La séparation des rôles dans la gestion de crise. L entreprise qui négocie votre rançon ne devrait jamais être celle qui a accès à vos systèmes internes. La tentation est trop grande, et l affaire BlackCat le prouve. Deux prestataires distincts, deux périmètres étanches.

3. La surveillance des surveillants. Vos outils de détection surveillent les utilisateurs métier, les admins système, les VPN. Mais surveillent-ils les comptes des consultants sécurité eux-mêmes ? Les EDR détectent-ils une exfiltration depuis le poste d un pentester mandaté ? Dans la plupart des cas, la réponse est non — ces comptes sont en liste blanche.

Le vrai sujet : la confiance vérifiable

La solution n est pas la paranoïa généralisée. Le secteur ne fonctionnera pas si chaque client soupçonne chaque prestataire. La solution, c est de passer d une confiance implicite à une confiance vérifiable. Des audits croisés réguliers. Des clauses contractuelles avec pénalités réelles. Des systèmes de journalisation que le prestataire lui-même ne peut pas désactiver. Et surtout, une culture où signaler un comportement suspect d un collègue ou d un partenaire n est pas vu comme de la délation, mais comme un acte de responsabilité professionnelle.

Mon avis d expert

L affaire BlackCat est un symptôme d un secteur qui grandit trop vite. On recrute massivement, on forme en accéléré, on accorde des accès critiques à des profils qu on ne connaît pas assez. Je ne dis pas qu il faut ralentir — la menace n attend pas. Mais il faut industrialiser la vérification. Le zero trust ne doit pas s appliquer uniquement aux machines et aux réseaux. Il doit s appliquer aux humains aussi, y compris — surtout — à ceux qui portent le titre de "expert en cybersécurité". C est inconfortable, mais c est nécessaire.

Sources et références : CERT-FR · MITRE ATT&CK

Articles connexes

Conclusion

L insider threat n est pas un risque théorique réservé aux rapports d analystes. C est un risque opérationnel qui vient de se matérialiser de la pire manière possible : par ceux qui étaient censés nous protéger. Chaque RSSI devrait se poser la question aujourd hui : si l un de mes prestataires sécurité basculait demain, quels dégâts pourrait-il causer avec les accès dont il dispose actuellement ? Si la réponse vous inquiète, c est qu il est temps d agir.

Points clés à retenir

  • Le mythe du défenseur infaillible : Dans la cybersécurité, on passe beaucoup de temps à modéliser les menaces externes.
  • Ce que ça change pour les RSSI : Si vous êtes RSSI ou DSI, cette affaire devrait vous amener à revoir trois points précis dans votre
  • Le vrai sujet : la confiance vérifiable : La solution n est pas la paranoïa généralisée.
  • Conclusion : L insider threat n est pas un risque théorique réservé aux rapports d analystes.

Article suivant recommandé

Équipements en fin de vie : le maillon faible que personne ne veut voir →

Routeurs D-Link, smartphones Qualcomm, appliances sans support : les équipements en fin de vie sont le maillon faible le

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.

Les techniques décrites dans cet article sont présentées à des fins éducatives et défensives uniquement. Toute utilisation non autorisée sur des systèmes tiers constitue une infraction pénale.

Ayi NEDJIMI

Renforcez votre posture de sécurité

Audit, pentest, formation, conseil — une approche sur-mesure adaptée à votre contexte.

📎 Articles complémentaires

La menace interne dans la cybersécurité : un angle mort structurel

Deux experts en cybersécurité qui plaidaient coupable pour avoir opéré comme affiliés BlackCat : c'est une anomalie, pas un pattern. Mais c'est un signal que l'industrie a tort d'ignorer. La question n'est pas "si" des individus malveillants infiltrent des organisations de cybersécurité, mais avec quelle fréquence et quels moyens de détection nous avons à disposition.

Taxonomie des menaces internes dans les équipes sécurité

La menace interne dans les équipes de cybersécurité prend plusieurs formes distinctes, avec des motivations et des modes opératoires différents :

  • L'employé malveillant délibéré : recruté spécifiquement pour infiltrer une organisation ou basculant côté criminel pour des raisons financières. Le cas BlackCat illustre cette catégorie — des professionnels qui utilisent leur accès légitime et leurs compétences pour faciliter des attaques.
  • L'employé sous pression externe : ciblé par des groupes criminels via du chantage (compromat), des dettes, ou des pressions sur sa famille. Les groupes ransomware investissent dans l'intelligence sur les employés des équipes sécurité de leurs cibles — OSINT, LinkedIn, réseaux sociaux.
  • L'employé négligent : pas de malveillance délibérée, mais des pratiques qui créent des risques — réutilisation de mots de passe, utilisation d'outils non autorisés, partage d'informations sensibles dans des contextes inappropriés. Statistiquement la catégorie la plus fréquente.
  • L'employé frustré ou en conflit : un départ précipité, un différend, une rétrogradation — les accès ne sont pas toujours révoqués à temps, et la motivation peut exister. La gestion des départs est un angle mort fréquent.

Pourquoi les équipes sécurité sont particulièrement exposées

Les professionnels de la cybersécurité présentent un profil de risque interne particulier, pas parce qu'ils sont moins éthiques que d'autres, mais parce que leur accès et leurs compétences amplifient les impacts potentiels :

  • Accès privilégiés étendus : un membre d'une équipe de réponse à incident a accès à l'ensemble des systèmes d'une organisation pendant une mission. Un penetration tester dispose des vulnérabilités internes non corrigées. Un analyste SOC voit en temps réel tous les événements de sécurité, y compris les investigations en cours.
  • Compétences d'évasion : un professionnel de la sécurité sait comment éviter la détection — il connaît les logs qui sont collectés, les comportements qui déclenchent des alertes, les angles morts du monitoring. Ce qui rend la détection d'un insider malveillant dans une équipe sécurité exponentiellement plus difficile.
  • Accès aux informations confidentielles : les investigations d'incidents révèlent des informations sur les victimes (coordonnées bancaires, secrets industriels, vulnérabilités non corrigées) qui ont de la valeur sur les marchés criminels ou pour des concurrents.

Mesures de mitigation : surveiller les défenseurs sans les aliéner

La surveillance des équipes de sécurité est un sujet délicat qui touche à la confiance, à la culture d'entreprise et aux relations professionnelles. Voici une approche équilibrée qui maintient un niveau de surveillance proportionné au risque sans créer un climat de méfiance contre-productif :

  • PAM (Privileged Access Management) : tous les accès privilégiés — y compris ceux des équipes sécurité — doivent transiter par un bastion (CyberArk, BeyondTrust, Wallix) qui enregistre les sessions et les commandes. Cette transparence est préventive : elle décourage les comportements opportunistes et fournit des preuves en cas d'investigation.
  • Séparation des rôles dans les outils SIEM/SOAR : les analystes SOC ne doivent pas avoir la capacité de modifier les règles de détection qui les concernent, ni de supprimer leurs propres logs d'activité. Cette séparation prévient la manipulation des traces par un insider malveillant.
  • Revue des accès après les incidents : après chaque incident de sécurité majeur, auditez qui a accédé à quoi pendant la réponse. Comparez les accès avec les besoins documentés. Les anomalies méritent une investigation, pas une présomption de culpabilité.
  • Gestion rigoureuse des départs : la révocation immédiate des accès lors d'un départ (même volontaire, même amical) est non-négociable. L'accès résiduel d'un ex-employé est une surface d'attaque que les groupes criminels exploitent activement — par recrutement de l'ex-employé ou par compromission de ses credentials réutilisés.

Foire aux questions — Menace interne et équipes cyber

Comment détecter un insider malveillant dans une équipe sécurité ?

La détection d'un insider malveillant dans une équipe sécurité est difficile précisément parce que leurs comportements normaux ressemblent à des comportements malveillants — accès à de nombreux systèmes, utilisation d'outils d'exploitation, manipulation de logs. Les signaux d'alerte les plus pertinents sont comportementaux et contextuels : accès à des systèmes hors du périmètre de leur mission actuelle, horaires anormaux sans justification opérationnelle, téléchargements massifs de données, comportements d'évasion (tentative de désactivation du PAM, accès aux règles SIEM). Un programme UEBA (User and Entity Behavior Analytics) calibré sur les profils normaux de l'équipe sécurité est plus efficace que des règles statiques.

Les prestataires de sécurité présentent-ils le même risque ?

Oui, potentiellement plus. Un prestataire de sécurité externe a souvent un accès très large pendant une mission, avec moins de surveillance continue qu'un employé permanent. Les clauses contractuelles doivent préciser les accès autorisés, les obligations de journalisation, les conditions de révocation des accès et les responsabilités en cas d'incident impliquant un collaborateur du prestataire. Un bastion PAM qui s'applique également aux accès prestataires est une mesure essentielle.