Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Plus d'outils, plus de problèmes : pourquoi votre infrastructure de sécurité pourrait bien vous jouer des tours

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Juin 10, 2026
23 min. lire

Selon le rapport 2025 de Verizon sur les enquêtes relatives aux violations de données, l'exploitation des vulnérabilités a bondi de 34% en 2025Les investissements dans la sécurité ont atteint un niveau record.

On parle beaucoup du problème des dépenses dans le secteur de la cybersécurité. Les budgets consacrés à la sécurité ne cessent d'augmenter, le nombre d'outils ne cesse de croître et les effectifs ne cessent de s'étoffer, mais les violations de données continuent de se produire.

Comme je l'ai évoqué lors d'un récent LinkedIn Live avec Tanya Janca, PDG de SheHacksPurple et l'une des figures les plus respectées du monde de la sécurité des applications, le problème réside dans les mécanismes d'incitation que nous avons mis en place autour des investissements en matière de sécurité. Tant que nous ne reconnaîtrons pas honnêtement ce qui sous-tend ces structures, aucun budget, aussi important soit-il, ne permettra d'obtenir des résultats significatifs là où cela compte vraiment.  

La dure réalité est que le secteur de la cybersécurité a confondu activité et efficacité, et complexité et capacité. Ce qui importe avant tout, c'est de savoir si votre infrastructure de sécurité vous offre réellement une meilleure protection ou si elle vous donne simplement l'impression d'être mieux protégé.

Pourquoi l'augmentation des investissements ne se traduit pas par un renforcement de la sécurité

Les chiffres révèlent une réalité que le secteur préfère ignorer. Les budgets consacrés à la sécurité atteignent des niveaux records. Les piles d'outils n'ont jamais été aussi longues. Et pourtant, l'entreprise moyenne croule sous un arriéré de vulnérabilités si important qu'il en est devenu pratiquement insignifiant.

Tanya a indiqué avoir constaté que certains clients avaient 40 000 vulnérabilités critiques accumulées dans un seul backlog, sans aucun plan concret pour y remédier. C'est du théâtre de la sécurité à grande échelle.

Malheureusement pour de nombreuses équipes de sécurité, l'acquisition d'un nouvel outil est tout simplement devenue la réponse par défaut à tous les problèmes de sécurité. Et chaque nouvel outil s'accompagne de ses propres alertes, de son tableau de bord et d'intégrations qui ne sont pas tout à fait compatibles avec le reste de votre infrastructure.  

Il en résulte un système tentaculaire, confus et contradictoire qui mobilise d'énormes ressources tout en laissant subsister de dangereuses lacunes.

Ce qui rend cette situation particulièrement insidieuse, c'est que cette activité semble productive. Lorsque les tableaux de bord regorgent de données et que les tickets sont clôturés, on pourrait facilement croire que tout va bien.  

Mais comme l’a fait remarquer Tanya, nous confondons le fait d’être occupé avec le fait d’être efficace. Les travailleurs du savoir, y compris les professionnels de la sécurité, ont souvent tendance à démontrer leur engagement par des activités visibles, mesurables et fréquentes, plutôt que par un travail approfondi et stratégique qui, en réalité, fait avancer les choses.

Pour les pirates, la complexité est un atout, pas un défaut

Les pirates comptent sur la complexité de vos environnements. Ils prennent peu de risques, visent des gains élevés et font preuve d'une patience quasi infinie. Il leur suffit de repérer la seule faille où tous vos outils, qui se chevauchent, ne communiquent pas entre eux.

« Avant, quand on braquait une banque, on y entrait avec une arme », a déclaré Tanya. « Aujourd’hui, ils le font en ligne, et ils peuvent tenter de braquer 100 banques sans se faire prendre. »

Cette asymétrie constitue le principal défi de la cybersécurité moderne.  

Et comme l'a fait remarquer Tanya, ils sont particulièrement doués pour repérer ces lacunes. « À mesure que nous renforçons notre défense en périphérie, ils s'attaquent au cœur du système. » À mesure que nous établissons des zones, ils s'attaquent à la chaîne d'approvisionnement. « Ils s'attaquent à la cible la plus facile, où qu'elle se trouve. »

Chaque nouvel outil que vous ajoutez crée de nouvelles failles potentielles. Votre adversaire s'attaque à votre point faible. Et plus votre environnement est complexe, plus il est difficile de trouver ce lien avant eux.

Pourquoi le problème du codage des ambiances est sur le point de s'aggraver considérablement

Si la prolifération des outils est un feu qui couve, le code généré par l'IA en est le catalyseur.

L'essor du « vibe coding » — qui consiste à utiliser des outils d'IA pour générer du code rapidement en accordant une attention minimale à la sécurité — modifie profondément le paysage des menaces d'une manière à laquelle la plupart des équipes de sécurité ne sont pas préparées. Le volume, la rapidité et l'ampleur des failles de sécurité présentes dans le code actuellement mis en production sont stupéfiants.

« L'IA a été entraînée à partir de code de mauvaise qualité », a déclaré Tanya. « Ce n’est pas que les entreprises spécialisées dans l’IA en aient eu l’intention ; c’est simplement ce qui était disponible. » Le code disponible sur Internet est de moins bonne qualité que le code privé non accessible au public. « La plupart des projets open source ne disposent pas d'une équipe chargée de la sécurité. »  

Nous utilisons des modèles entraînés sur du code peu sécurisé pour générer davantage de code à une vitesse sans précédent. C'est souvent le cas chez des personnes qui ne se sont jamais sérieusement penchées sur les pratiques de développement sécurisé.

Tanya a évoqué un exemple particulièrement inquiétant tiré d'une récente séance avec un client. Soixante participants ont exécuté la même instruction de génération de code par IA, en appliquant les mêmes contraintes de sécurité. L'un des fichiers de sortie contenait des commentaires indiquant au linter Python d'ignorer certaines parties du code, puis divulguait intentionnellement des informations confidentielles.  

Un risque de ce type est déjà présent dans votre environnement. Votre programme de sécurité est-il conçu pour le détecter ?

Évoluer vers une culture de la sécurité axée sur la prévention

À quoi ressemble donc une bonne sécurité dans le contexte actuel des menaces ? La réponse réside dans une refonte en profondeur de la manière dont la sécurité s'intègre au processus de développement, et non dans l'acquisition de nouveaux outils.

Tanya défend cette cause depuis des années. « Il est plus simple de faire appel à une entreprise pour déployer un outil, intégrer toute une série de contrôles dans le pipeline, puis de dire : “C’est désormais le problème des développeurs.” » « Ce n'est pas le meilleur programme de sécurité que vous puissiez créer. »

Pour les responsables de la sécurité, cela signifie que deux ou trois professionnels de la sécurité des applications (AppSec) bien intégrés au sein des équipes de développement peuvent apporter une plus grande valeur ajoutée en matière de sécurité qu'un contrat d'outils à six chiffres que personne n'utilise correctement.  

Le calcul du retour sur investissement change lorsque l'on commence à évaluer les résultats en matière de sécurité plutôt que les activités de sécurité.

Tanya a également souligné l'importance des paramètres par défaut. Elle a décrit une simple modification de configuration, comme le fait de configurer le gestionnaire de paquets Node (NPM) pour qu'il n'exécute pas les scripts post-installation par défaut. Ce simple changement peut éliminer toute une catégorie d'attaques visant la chaîne d'approvisionnement.  

« Les équipes chargées de la sécurité des applications doivent se concentrer sur les domaines où il est possible d’éliminer toute une catégorie de bogues ou de définir un paramètre par défaut qui protège contre un impact de grande ampleur », a-t-elle déclaré.  

Le changement de mentalité consiste à passer de la question « Quel outil dois-je acheter pour résoudre ce problème ? » à celle de savoir « Quel changement systémique permet d'éliminer ce type de risque ? » Cela implique parfois de nouveaux outils, mais ce n'est pas forcément le cas.

Constituer une équipe de sécurité adaptée à l'ère de l'IA

Si vous deviez constituer votre équipe de sécurité à partir de zéro aujourd'hui, à quoi ressemblerait-elle ?  

Tanya a dit qu'elle souhaitait trois profils distincts :  

  • Une personne passionnée par l'IA et à l'aise avec son utilisation
  • Une personne dotée d'un excellent sens du contact, capable de s'exprimer aussi bien dans le jargon des « geeks » que dans celui des « salles de réunion », et capable de forger le consensus interfonctionnel nécessaire à la transformation de la sécurité
  • Un professionnel doté d'une grande expertise technique, capable de mettre des systèmes à l'épreuve, d'analyser le code et de détecter les failles avant que les pirates ne le fassent

Pour Tanya, cet équilibre est plus important que les effectifs. Une équipe de quatre personnes intégrée aux processus de développement et chargée d'éliminer les catégories de risques obtiendra systématiquement de meilleurs résultats qu'une équipe de dix personnes se contentant de cocher des listes de contrôle de conformité.

De mon point de vue chez Illumio, j’ajouterais un autre aspect à cela : la résilience.  

Avant d'envisager de constituer une équipe ou de choisir des outils, commencez par vous poser des questions stratégiques :

  • Quels sont les éléments que la sécurité doit apporter pour garantir la résilience de votre entreprise ?  
  • À quoi ressemble la procédure de confinement en cas de violation de la sécurité ?  
  • Dans quelle mesure votre architecture de sécurité limite-t-elle les mouvements latéraux et réduit-elle l'ampleur d'une attaque ?  

Ce sont les outils et les équipes qui doivent découler de cette réponse, et non l'inverse.

Les équipes de sécurité ne peuvent pas se permettre d'attendre

Le problème de sécurité s'aggrave à un rythme que les modèles d'investissement traditionnels ne parviennent pas à suivre.  

Le simple fait de verser une somme plus importante aux mêmes fournisseurs pour les mêmes outils ne permettra pas de combler cet écart.  

Qu'est-ce qui va se passer ?  

  • Un bilan honnête permettant de déterminer où votre budget produit réellement des résultats
  • Une volonté de supprimer les outils qui génèrent du bruit sans apporter de valeur ajoutée
  • Un engagement à intégrer la sécurité avant même que le code à sécuriser n'existe
  • Un pilier stratégique de la cyber-résilience

Le secteur s'est trop longtemps bercé d'illusions : plus on dépense, plus la sécurité est renforcée ; plus on dispose d'outils, plus la couverture est étendue ; et plus on reçoit d'alertes, plus on est vigilant.  

Aucune de ces équations ne tient la route dans le domaine de la cybersécurité moderne. Ce qui importe aujourd'hui, c'est de savoir si vous allez le découvrir de votre propre initiative, ou si ce sont les pirates qui s'en chargeront à votre place.

Notre prochain épisode de « Hard Truths » sur LinkedIn Live réunira deux des fondateurs de Zero Trust. Inscrivez-vous dès aujourd'hui pour rejoindre John Kindervag et Chase Cunningham lors de leur débat intitulé « Cessez de traiter les symptômes : pourquoi la cybersécurité connaît des rechutes à répétition ».

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Juin 10, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

Plus de dépenses, plus de violations : La vérité inconfortable sur le retour sur investissement de la cybersécurité
Cyber-résilience

Plus de dépenses, plus de violations : La vérité inconfortable sur le retour sur investissement de la cybersécurité

Comprenez pourquoi le modèle de retour sur investissement de la cybersécurité échoue et comment les RSSI peuvent recadrer la conversation du conseil d'administration autour de la résilience, et non de la prévention.

En savoir plus
Cyber-résilience
Isolation des ransomwares
Liste de contrôle de l'état de préparation à Mythos : Étapes à suivre pour protéger votre réseau contre les menaces liées à l'IA
Cyber-résilience

Liste de contrôle de l'état de préparation à Mythos : Étapes à suivre pour protéger votre réseau contre les menaces liées à l'IA

Préparez votre réseau aux cyberattaques pilotées par l'IA avec la liste de contrôle de préparation Mythos, qui couvre la visibilité, la microsegmentation et l'endiguement des brèches.

En savoir plus
Cyber-résilience
Des mots qui marchent : Neil Robinson, RSSI de Virgin Money, parle de la sécurité au pouvoir
Cyber-résilience

Des mots qui marchent : Neil Robinson, RSSI de Virgin Money, parle de la sécurité au pouvoir

Découvrez comment Neil Robinson, RSSI de Virgin Money, traduit les risques cybernétiques complexes en langage clair, ce qui incite le conseil d'administration à agir et permet de financer les programmes de sécurité.

En savoir plus
Cyber-résilience
Comment sécuriser un environnement d'informatique dématérialisée hybride ?
Cyber-résilience

Comment sécuriser un environnement d'informatique dématérialisée hybride ?

Erika Bagby, senior product marketing manager chez Illumio, parle de la sécurité des environnements de cloud hybride.

En savoir plus
Aucun élément n'a été trouvé.
Piratage des distributeurs automatiques de billets : Une cybermenace cachée pour la sécurité des banques
Cyber-résilience

Piratage des distributeurs automatiques de billets : Une cybermenace cachée pour la sécurité des banques

Découvrez comment les cybercriminels exploitent les guichets automatiques pour accéder aux réseaux et comment Illumio aide à contenir rapidement les brèches grâce à la microsegmentation.

En savoir plus
Banque & Services financiers
Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?
Cyber-résilience

Faut-il s'inquiéter d'une trop grande dépendance de la cybersécurité à l'égard de l'IA ?

Découvrez pourquoi l'IA est un atout pour la cybersécurité malgré ses faiblesses et comment la combinaison de la puissance de l'IA et de l'intelligence humaine peut atténuer les craintes d'une dépendance excessive à l'égard de l'IA.

En savoir plus
Aucun élément n'a été trouvé.

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.