Points clés
- Un système maintenu est opérationnel ; un système protégé est opérationnel ET résilient face aux menaces intentionnelles
- La maintenance assure la continuité fonctionnelle ; la protection ajoute la capacité de détection, de réponse et de récupération
- Gartner : 60 % des organisations qui croient être protégées ne disposent pas des capacités de détection nécessaires pour le confirmer
- La distinction se mesure concrètement : délai de détection, délai de réponse, capacité de récupération dans les délais définis par les plans de continuité
La maintenance informatique et la protection des systèmes d'information sont deux disciplines distinctes souvent confondues dans les organisations. Un système maintenu est un système dont les composants fonctionnent, dont les performances sont surveillées, dont les mises à jour sont appliquées et dont les sauvegardes sont réalisées. Un système protégé est tout cela, plus la capacité de détecter les comportements anormaux, de répondre aux incidents, et de récupérer rapidement d'une compromission.
Cette distinction n'est pas sémantique. Elle détermine ce qu'une organisation est réellement capable de faire lorsqu'un incident survient. Un système simplement maintenu — sans capacités de détection ni de réponse — peut fonctionner normalement pendant des mois tout en étant activement compromis par des attaquants qui ont établi une présence persistante.
Les capacités qui distinguent protection et maintenance
Quatre capacités distinguent un système protégé d'un système simplement maintenu : la visibilité (logging centralisé, SIEM, monitoring des comportements anormaux), la détection (capacité à identifier les incidents réels parmi le bruit des alertes), la réponse (procédures d'incident response testées, équipe ou prestataire mobilisable rapidement), et la récupération (plans de continuité d'activité validés, RTO et RPO testés).
Le NIST Cybersecurity Framework structure ces capacités dans ses fonctions Détecter, Répondre et Récupérer — trois des cinq fonctions du framework, souvent moins investies que les fonctions Identifier et Protéger dans les organisations qui confondent maintenance et protection.
La durée de présence des attaquants comme indicateur
Le dwell time — durée pendant laquelle un attaquant est présent dans un système avant d'être détecté — est un indicateur clé qui distingue les systèmes protégés des systèmes simplement maintenus. Le rapport M-Trends de Mandiant (2024) indique un dwell time médian de 10 jours pour les incidents détectés de manière interne. Mais ce chiffre masque de grandes disparités : dans les organisations sans capacités de détection robustes, le dwell time peut atteindre plusieurs mois.
Pendant ce temps, les attaquants cartographient les systèmes, escaladent leurs privilèges, exfiltrent des données et préparent soit le déploiement d'un ransomware, soit la mise en place d'une présence persistante pour des opérations futures. Chaque jour de dwell time supplémentaire amplifie l'impact de l'incident.
Mesurer la protection, pas seulement la maintenance
Les tableaux de bord de sécurité qui ne mesurent que des indicateurs de maintenance (taux de patches appliqués, disponibilité des systèmes, âge des sauvegardes) sont des tableaux de bord incomplets. Ils fournissent de la visibilité sur ce qui est fait pour maintenir les systèmes, pas sur la capacité réelle à détecter et répondre aux incidents.
Les indicateurs qui mesurent réellement la protection incluent : le délai moyen de détection (MTTD), le délai moyen de réponse (MTTR), le résultat des tests de pénétration, et les résultats des exercices de simulation d'incident. Ces indicateurs donnent une vision de la posture de sécurité réelle, pas de la posture de maintenance.
La base de données de réservation du groupe Starwood, acquise par Marriott en 2016, avait été compromise en 2014 — deux ans avant l'acquisition. Marriott a découvert la compromission en 2018, soit quatre ans après le début de l'intrusion. L'infrastructure de Starwood était maintenue (fonctionnelle, opérationnelle, sauvegardes réalisées) mais ne disposait pas des capacités de détection permettant d'identifier une présence malveillante persistante. 500 millions de dossiers clients ont été compromis sur une période de quatre ans sans que personne ne le détecte.
Une attaque DDoS de grande ampleur a temporairement perturbé le site web du Parlement européen en novembre 2022, revendiquée par un groupe hacktiviste russe. Au-delà de l'incident DDoS, l'audit de sécurité qui a suivi a révélé que certains systèmes du Parlement présentaient des configurations datant de plusieurs années sans avoir fait l'objet de tests de pénétration récents. L'absence de tests réguliers avait maintenu l'illusion d'une protection que des acteurs motivés auraient pu remettre en cause. Des investissements significatifs ont été engagés pour développer les capacités de détection et de réponse.
La base de données Aadhaar, contenant les informations biométriques et d'identité de 1,2 milliard de citoyens indiens, a été exposée via une faille dans un système d'un prestataire. L'infrastructure centrale d'Aadhaar était maintenue avec des investissements significatifs en disponibilité et en performances. Mais les capacités de détection des accès anormaux via les systèmes des prestataires périphériques étaient insuffisantes. L'exposition a été détectée par un journaliste, pas par les équipes de sécurité internes — illustration directe de l'écart entre maintenance et protection.