La prémisse
En 2026, la cybersécurité ne se lit pas de la même façon selon le côté du pare-feu où l'on se trouve. Les défenseurs décrivent une discipline qui dispose enfin de l'outillage et du budget qu'elle réclamait. Les attaquants décrivent un marché où le coût d'une opération crédible s'est effondré.
Les deux descriptions sont exactes. L'IA a d'abord accéléré le côté offensif — hameçonnage, bourrage d'identifiants, reconnaissance, génération de maliciels — et elle accélère désormais le côté défensif plus vite qu'à tout autre moment de la dernière décennie. Au net, la discipline est devenue plus difficile, pas plus simple.
Cet article porte sur ce qui a changé, ce qui n'a pas changé et la manière dont une équipe chevronnée aborde le travail de sécurité dans cette nouvelle forme du paysage des menaces.
L'asymétrie s'est déplacée, mais pas dans le sens souhaité
Le coût d'une attaque crédible a chuté plus vite que le coût de la défense contre celle-ci.
L'hameçonnage exigeait jadis de savoir écrire. Il suffit maintenant d'une consigne. L'attaquant écrit une ligne dans sa langue maternelle; un modèle produit un message parfaitement idiomatique et contextuellement plausible dans la langue de la cible, adapté à son employeur, à son poste et à son empreinte publique. Le coût de production de ce message est essentiellement nul. Le coût d'un employé qui s'y laisse prendre, lui, n'a pas changé.
Ce n'est pas une hypothèse. C'est la réalité opérationnelle que nous observons dans les boîtes de réception de nos clients. Le volume d'hameçonnage de grande qualité a augmenté d'environ un ordre de grandeur en dix-huit mois. Le taux de conversion a augmenté lui aussi, plus lentement toutefois, parce que certaines défenses fonctionnent encore.
Le travail du défenseur consiste à rendre les défenses qui fonctionnent encore moins coûteuses à déployer, plus rapides à faire évoluer et plus difficiles à contourner. C'est un travail d'ingénierie, pas un travail de sensibilisation.
La sécurité est une discipline d'ingénierie, pas un rituel de conformité
Chez SDEN, le travail de sécurité prend trois formes. D'abord, la sécurité appliquée à l'intérieur d'une livraison : modélisation des menaces dès la conception, analyse des dépendances dans l'intégration continue, détection des secrets, versions signées, architecture sécurisée par défaut. C'est la forme la moins coûteuse et la plus efficace, car elle élimine des classes entières de vulnérabilités avant même qu'elles existent.
Ensuite, les mandats autonomes : audits, tests d'intrusion cadrés sur l'OWASP Top 10 et les niveaux ASVS, feuilles de route de remédiation et réponse aux incidents. Ce sont les mandats pour lesquels les clients nous appellent habituellement — et l'audit révèle généralement que les correctifs les moins coûteux se situent dans la couche de conception avec laquelle le système n'a jamais été bâti.
Enfin, le travail de conformité : SOC 2, CCPA/CPRA et PIPEDA, préparation à l'ISO 27001, préparation à SOC 2. La conformité n'est pas la sécurité; c'est la documentation qui prouve que vous avez pris la sécurité au sérieux. Nous les traitons comme des disciplines distinctes qui s'éclairent l'une l'autre.
Détection, triage et les cas que l'humain doit encore prendre en charge
Du côté défensif, l'IA transforme trois parties du travail. Elle transforme la détection, en faisant ressortir des anomalies dans un volume de journaux qu'aucune équipe humaine ne peut lire manuellement. Elle transforme le triage, en regroupant les alertes et en proposant la chaîne d'événements la plus probable à examiner en premier. Et elle transforme le durcissement, en automatisant les parties fastidieuses de la revue de code et de l'audit de configuration.
Ce qu'elle ne change pas, c'est la réponse aux incidents. Quand l'alerte est réelle et que les données quittent le réseau, le travail relève du jugement sous pression, de la responsabilité de la décision et de la communication avec des personnes dont la carrière dépend du fait qu'on leur dise la vérité. Rien de tout cela n'est délégable.
Le motif est le même que partout ailleurs dans le blogue : l'IA gère le volume; les humains gèrent le jugement. Le travail d'ingénierie consiste à s'assurer que la jonction entre les deux tient sous la pression.
Comment l'IA transforme la pile de sécurité
Quatre changements visibles dans le SOC, la salle d'audit et le processus de réponse aux incidents. Symétriques des deux côtés du pare-feu.
Un analyste lit dix mille alertes par semaine, en majorité des faux positifs, et rate celle qui comptait vers l'alerte numéro 4 200.
Un classificateur de premier passage trie les alertes selon leur réelle nouveauté, regroupe les événements liés et fait ressortir les trois que l'analyste devrait examiner en premier. C'est toujours l'analyste qui décide.
À retenir · Le volume de détection a cessé d'être le goulot d'étranglement. L'attention l'est devenue — et celle-là peut être réorientée.
Une campagne d'hameçonnage est rédigée dans un anglais à la sonorité étrangère que la plupart des employés signalent d'instinct.
Une campagne d'hameçonnage est rédigée dans la langue locale, mentionne par son nom la récente réunion générale et provient d'un domaine qui ressemble à celui d'un fournisseur de l'entreprise à un caractère près. Le réflexe ne fonctionne plus.
À retenir · La formation de sensibilisation est désormais nécessaire mais ne suffit plus. La défense doit s'installer jusque dans la boîte de réception.
Un testeur d'intrusion passe une semaine à cartographier manuellement la surface d'attaque avant que tout test sérieux ne commence.
Un assistant de reconnaissance produit la cartographie de la surface d'attaque en une après-midi, avec une profondeur constante sur tout le mandat. Le testeur consacre la semaine à l'exploitation réelle, pas à la paperasse.
À retenir · Le test d'intrusion gagne en profondeur parce que la préparation est plus rapide — des deux côtés.
Une revue de code pour les enjeux de sécurité est ajoutée à la fin d'une fonctionnalité et réalisée de façon inégale.
Un passage de sécurité par IA s'exécute sur chaque demande de fusion, signale les motifs reconnus comme problématiques et refuse la fusion tant qu'ils ne sont pas corrigés. Le réviseur humain se concentre sur les enjeux d'architecture que le modèle ne peut pas voir.
À retenir · Les constats mécaniques disparaissent de la file du réviseur humain. La file devient plus courte et plus intéressante.
Trois engagements sur chaque mandat de sécurité
Chez SDEN, la sécurité est une discipline d'ingénierie, pas une liste à cocher. Les piliers ci-dessous sont ceux auxquels nous tenons même quand l'échéance se resserre.
Sécurisé par défaut
Chiffrement, contrôle d'accès, gestion des secrets et isolation des données sont intégrés à l'architecture dès le premier jour. Les ajouter plus tard coûte quatre fois plus cher et n'atteint jamais la même couverture.
Menaces modélisées dès la conception
Toute fonctionnalité non triviale fait l'objet d'un modèle de menaces écrit avant qu'une ligne de code soit écrite. Nous nommons les actifs, les acteurs de menace, les frontières de confiance et les mesures d'atténuation. Le modèle de menaces est un document vivant, pas le produit d'un atelier.
Prêt à l'incident, pas seulement résistant à l'incident
Nous présumons que des incidents surviendront. Les guides d'intervention, les contacts, la posture juridique, les tests d'intégrité des sauvegardes — tout cela est en place avant la brèche, pas improvisé pendant.
La posture que vous voudriez avant le mauvais jour
La maturité en sécurité se mesure le jour où l'alerte est réelle.
Une posture de sécurité mature n'est pas visible de l'extérieur. Elle ressemble à une équipe tranquille qui sait où sont ses données, qui peut y accéder, comment cet accès est journalisé et ce qui se passerait si l'une d'elles quittait le réseau. Elle ressemble à un guide d'intervention que quelqu'un lit vraiment quand l'alerte se déclenche. Elle ressemble à un audit dont les constats sont suivis dans le même système de billets que le reste du travail d'ingénierie.
Le véritable test n'est pas le rapport de test d'intrusion. C'est l'exercice de réponse aux incidents — une simulation sur table qui déroule un scénario réaliste et expose les jonctions entre les équipes, les décisions et les communications. Nous les menons avec nos clients sur chaque mandat de longue durée. Le premier est toujours inconfortable. Le troisième est le livrable.
Après cela, la sécurité devient ce qu'elle devrait être : une propriété du système, et non un projet qu'il faut refaire chaque année.
Cybersécurité:
les questions qu'on nous pose.
Des réponses directes aux questions qu'on nous pose le plus souvent. Si la vôtre n'y est pas, écrivez à l'équipe.