Defender, FortiClient EMS, FortiSandbox, Cisco ISE, Cisco Webex, nginx-ui, n8n : en avril 2026 seulement, sept produits censés nous protéger ont été frappés par des failles critiques exploitées en nature. Ce n'est plus une série. C'est un changement de régime. Nos outils de sécurité sont devenus la première porte d'entrée des attaquants.

Le paradoxe du deployment privilégié

Un EDR, une appliance Fortinet ou un SSO Cisco ont deux caractéristiques qui en font des cibles parfaites. Premièrement, ils sont installés partout avec des privilèges maximaux : accès disque brut, injection dans les processus, communication directe avec Active Directory. Deuxièmement, leur interface de gestion est souvent exposée à Internet ou au moins à tout le LAN, par design, parce qu'il faut bien les administrer. Une RCE non authentifiée sur un FortiSandbox (CVE-2026-39808, CVSS 9.8) ou sur Cisco ISE (CVE-2026-20180, CVSS 9.9) ne donne pas "un accès" : elle donne l'accès privilégié ultime à l'infrastructure qui est censée détecter les intrus.

Quand le chercheur "Chaotic Eclipse" publie BlueHammer, RedSun et UnDefend en quelques jours contre Microsoft Defender, il n'attaque pas un logiciel applicatif comme les autres. Il attaque la couche de confiance. Et les attaquants l'ont compris avant la plupart des RSSI.

Trois biais qui aggravent la situation

1. La confiance aveugle dans le vendor

Beaucoup d'équipes sécurité considèrent encore leur EDR ou leur SIEM comme "l'œil qui voit tout". Conséquence : ces produits sont rarement audités avec la même rigueur qu'une application métier. Leur code n'est pas revu. Leurs expositions réseau sont sous-documentées. Leurs droits système sont acceptés sans discussion. Quand UnDefend permet à un utilisateur standard de désactiver Defender, on découvre que la "protection" reposait sur une hypothèse, pas sur un contrôle.

2. Le retard de patch sur les solutions critiques

La plupart des entreprises patchent Windows dans la semaine mais attendent plusieurs semaines avant de mettre à jour leur Fortinet ou leur Cisco, parce qu'un reboot d'appliance réseau est plus risqué en production. Les attaquants connaissent exactement cette fenêtre. CVE-2026-35616 sur FortiClient EMS a été ajoutée au catalogue KEV de la CISA avec un délai de trois jours pour les agences fédérales. Combien d'entreprises françaises ont patché dans ce délai ? Probablement très peu.

3. L'empilement sans architecture

Un environnement type cumule aujourd'hui : un EDR, un XDR, un SIEM, un SOAR, un firewall NGFW, un IPS, un SSO, un CASB, un DLP, un IAM, un PAM, un MDM. Chacun exposé à une ou plusieurs failles par an. Chacun avec une console d'administration. Chacun exfiltrant des données vers son cloud vendor. La surface d'attaque de l'arsenal défensif dépasse désormais celle des applications métier dans beaucoup d'entreprises. C'est l'inverse de ce que cet arsenal était censé produire.

Mon avis d'expert

Il faut arrêter de considérer les outils de sécurité comme des boîtes noires magiques. Chaque produit de l'arsenal défensif doit être traité comme une application tierce critique : inventaire des exposés, scan de vulnérabilités mensuel sur ses propres interfaces, patch prioritaire, isolation réseau stricte de sa console d'administration, audit annuel de sa configuration. Un Fortinet non patché n'est pas "une appliance en retard de maintenance", c'est une backdoor que l'entreprise installe elle-même. En 2026, le pentester moyen commencera par scanner votre EDR avant de s'intéresser à vos serveurs applicatifs — parce que c'est là que se trouve maintenant le chemin le plus court vers domain admin.

Trois changements concrets à engager

Premièrement, déplacer les consoles d'administration de vos outils de sécurité dans un réseau dédié, accessible uniquement via bastion PAM avec MFA forte. Aucune interface de gestion EDR, FortiManager ou Cisco ISE ne devrait être joignable depuis le LAN utilisateurs, encore moins depuis Internet. Deuxièmement, inscrire vos produits de sécurité dans votre programme de vulnérabilité avec le même SLA que les applications critiques : patch sous 72 heures pour les failles activement exploitées. Troisièmement, monitorer le comportement des outils eux-mêmes. Un EDR qui arrête de remonter des événements, un FortiGate qui reçoit des configurations inattendues, une appliance qui télécharge un fichier depuis un domaine inconnu : ce sont des indicateurs de compromission critiques souvent ignorés.

Conclusion

Le modèle "plus d'outils = plus de sécurité" a atteint ses limites. Chaque nouvel outil ajoute du code tiers, des privilèges élevés et une surface de gestion à protéger. La vraie maturité sécurité en 2026 consiste à rationaliser, durcir et auditer l'arsenal défensif avec autant de rigueur que l'infrastructure qu'il prétend protéger. Sinon, on achète très cher la porte d'entrée de la prochaine attaque.

Vos outils de sécurité sont-ils audités au même niveau que vos applications ?

Ayi NEDJIMI réalise des audits ciblés d'arsenal défensif : exposition des consoles, conformité de configuration, détection de drift, validation du patch management. Un regard neuf sur ce que personne n'ose remettre en cause.

Prendre contact