La prémisse
En 2026, la cybersécurité ne se lit pas de la même façon selon le côté du pare-feu où l'on se trouve. Les défenseurs décrivent une discipline qui dispose enfin de l'outillage et du budget qu'elle réclamait. Les attaquants décrivent un marché où le coût d'une opération crédible s'est effondré.
Les deux descriptions sont exactes. L'IA a d'abord accéléré le côté offensif — hameçonnage, bourrage d'identifiants, reconnaissance, génération de maliciels — et elle accélère désormais le côté défensif plus vite qu'à tout autre moment de la dernière décennie. Au net, la discipline est devenue plus difficile, pas plus simple.
Cet article porte sur ce qui a changé, ce qui n'a pas changé et la manière dont une équipe chevronnée aborde le travail de sécurité dans cette nouvelle forme du paysage des menaces.
L'asymétrie s'est déplacée, mais pas dans le sens souhaité
Le coût d'une attaque crédible a chuté plus vite que le coût de la défense contre celle-ci.
L'hameçonnage exigeait jadis de savoir écrire. Il suffit maintenant d'une consigne. L'attaquant écrit une ligne dans sa langue maternelle; un modèle produit un message parfaitement idiomatique et contextuellement plausible dans la langue de la cible, adapté à son employeur, à son poste et à son empreinte publique. Le coût de production de ce message est essentiellement nul. Le coût d'un employé qui s'y laisse prendre, lui, n'a pas changé.
Ce n'est pas une hypothèse. C'est la réalité opérationnelle que nous observons dans les boîtes de réception de nos clients. Le volume d'hameçonnage de grande qualité a augmenté d'environ un ordre de grandeur en dix-huit mois. Le taux de conversion a augmenté lui aussi, plus lentement toutefois, parce que certaines défenses fonctionnent encore.
Le travail du défenseur consiste à rendre les défenses qui fonctionnent encore moins coûteuses à déployer, plus rapides à faire évoluer et plus difficiles à contourner. C'est un travail d'ingénierie, pas un travail de sensibilisation.
La sécurité est une discipline d'ingénierie, pas un rituel de conformité
Chez SDEN, le travail de sécurité prend trois formes. D'abord, la sécurité appliquée à l'intérieur d'une livraison : modélisation des menaces dès la conception, analyse des dépendances dans l'intégration continue, détection des secrets, versions signées, architecture sécurisée par défaut. C'est la forme la moins coûteuse et la plus efficace, car elle élimine des classes entières de vulnérabilités avant même qu'elles existent.
Ensuite, les mandats autonomes : audits, tests d'intrusion cadrés sur l'OWASP Top 10 et les niveaux ASVS, feuilles de route de remédiation et réponse aux incidents. Ce sont les mandats pour lesquels les clients nous appellent habituellement — et l'audit révèle généralement que les correctifs les moins coûteux se situent dans la couche de conception avec laquelle le système n'a jamais été bâti.
Enfin, le travail de conformité : SOC 2, RGPD, préparation à l'ISO 27001, préparation à SOC 2. La conformité n'est pas la sécurité; c'est la documentation qui prouve que vous avez pris la sécurité au sérieux. Nous les traitons comme des disciplines distinctes qui s'éclairent l'une l'autre.
Détection, triage et les cas que l'humain doit encore prendre en charge
Du côté défensif, l'IA transforme trois parties du travail. Elle transforme la détection, en faisant ressortir des anomalies dans un volume de journaux qu'aucune équipe humaine ne peut lire manuellement. Elle transforme le triage, en regroupant les alertes et en proposant la chaîne d'événements la plus probable à examiner en premier. Et elle transforme le durcissement, en automatisant les parties fastidieuses de la revue de code et de l'audit de configuration.
Ce qu'elle ne change pas, c'est la réponse aux incidents. Quand l'alerte est réelle et que les données quittent le réseau, le travail relève du jugement sous pression, de la responsabilité de la décision et de la communication avec des personnes dont la carrière dépend du fait qu'on leur dise la vérité. Rien de tout cela n'est délégable.
Le motif est le même que partout ailleurs dans le blogue : l'IA gère le volume; les humains gèrent le jugement. Le travail d'ingénierie consiste à s'assurer que la jonction entre les deux tient sous la pression.
Trois engagements sur chaque mandat de sécurité
Chez SDEN, la sécurité est une discipline d'ingénierie, pas une liste à cocher. Les piliers ci-dessous sont ceux auxquels nous tenons même quand l'échéance se resserre.
Sécurisé par défaut
Chiffrement, contrôle d'accès, gestion des secrets et isolation des données sont intégrés à l'architecture dès le premier jour. Les ajouter plus tard coûte quatre fois plus cher et n'atteint jamais la même couverture.
Menaces modélisées dès la conception
Toute fonctionnalité non triviale fait l'objet d'un modèle de menaces écrit avant qu'une ligne de code soit écrite. Nous nommons les actifs, les acteurs de menace, les frontières de confiance et les mesures d'atténuation. Le modèle de menaces est un document vivant, pas le produit d'un atelier.
Prêt à l'incident, pas seulement résistant à l'incident
Nous présumons que des incidents surviendront. Les guides d'intervention, les contacts, la posture juridique, les tests d'intégrité des sauvegardes — tout cela est en place avant la brèche, pas improvisé pendant.
La posture que vous voudriez avant le mauvais jour
La maturité en sécurité se mesure le jour où l'alerte est réelle.
Une posture de sécurité mature n'est pas visible de l'extérieur. Elle ressemble à une équipe tranquille qui sait où sont ses données, qui peut y accéder, comment cet accès est journalisé et ce qui se passerait si l'une d'elles quittait le réseau. Elle ressemble à un guide d'intervention que quelqu'un lit vraiment quand l'alerte se déclenche. Elle ressemble à un audit dont les constats sont suivis dans le même système de billets que le reste du travail d'ingénierie.
Le véritable test n'est pas le rapport de test d'intrusion. C'est l'exercice de réponse aux incidents — une simulation sur table qui déroule un scénario réaliste et expose les jonctions entre les équipes, les décisions et les communications. Nous les menons avec nos clients sur chaque mandat de longue durée. Le premier est toujours inconfortable. Le troisième est le livrable.
Après cela, la sécurité devient ce qu'elle devrait être : une propriété du système, et non un projet qu'il faut refaire chaque année.
Cybersécurité —
les questions qu'on nous pose.
Des réponses directes aux questions qu'on nous pose le plus souvent. Si la vôtre n'y est pas, écrivez à l'équipe.