Points clés
- Les erreurs les plus fréquentes dans la protection des infrastructures IT sont connues, documentées et pourtant récurrentes
- CIS Controls : 93 % des attaques réussies exploitent des configurations connues défaillantes ou des vulnérabilités patchées depuis plus de 90 jours
- Les cinq erreurs les plus fréquentes : gestion des accès défaillante, absence de segmentation, patches en retard, sauvegardes non testées, journalisation insuffisante
- Ces erreurs ne résultent pas d'un manque de connaissances mais d'un défaut de priorisation et de processus
La liste des erreurs les plus fréquentes dans la protection des infrastructures IT est stable depuis des années. Les rapports annuels de Verizon, du SANS Institute, de l'ANSSI et de l'ENISA identifient les mêmes catégories de défaillances, cycle après cycle. Ce n'est pas un problème de connaissance — les solutions sont connues — c'est un problème d'exécution : les organisations savent ce qu'elles devraient faire mais ne le font pas de manière systématique.
Cette récurrence n'est pas anodine du point de vue de la gouvernance : si les mêmes erreurs sont commises malgré des années de sensibilisation et de recommandations publiques, c'est que les mécanismes organisationnels qui permettraient de les prévenir ne sont pas en place. La direction générale a un rôle spécifique dans la création de ces mécanismes.
Gestion des accès : la défaillance structurelle la plus exploitée
La gestion défaillante des accès est la première source d'incidents dans les infrastructures IT : comptes avec des droits excessifs, mots de passe faibles ou partagés, accès non révoqués après départ d'un collaborateur, authentification multifacteur non déployée sur les comptes à privilèges. Ces défaillances créent des points d'entrée que les attaquants exploitent systématiquement avant même de chercher des vulnérabilités techniques.
L'identité est devenue le nouveau périmètre de sécurité. Selon Microsoft Security Intelligence, 99,9 % des comptes compromis n'avaient pas activé l'authentification multifacteur. Ce chiffre, constant depuis plusieurs années dans les rapports de l'industrie, illustre l'écart entre la connaissance des bonnes pratiques et leur mise en œuvre effective.
Patches en retard : la vulnérabilité la plus prévisible
La gestion des vulnérabilités — identifier, évaluer, prioriser et corriger les failles de sécurité dans les logiciels et les systèmes — est l'une des disciplines les plus fondamentales de la sécurité informatique. Elle est aussi l'une des plus difficiles à maintenir dans la durée, dans des environnements de production qui contraignent les fenêtres de maintenance et où chaque patch peut introduire une régression.
L'Agence pour la cybersécurité américaine (CISA) publie une liste des vulnérabilités exploitées connues (KEV - Known Exploited Vulnerabilities). En 2023, la durée médiane entre la publication d'un patch et son déploiement dans les organisations était de 60 jours — bien au-delà de la fenêtre de 15 jours recommandée par CISA pour les vulnérabilités critiques.
Sauvegardes non testées : la fausse assurance
La plupart des organisations disposent de sauvegardes. Beaucoup moins testent régulièrement leur restaurabilité. Or une sauvegarde dont la restauration n'a pas été testée n'est qu'une fausse assurance : les incidents de ransomware ont révélé, dans de nombreux cas, que les sauvegardes étaient soit corruptibles (elles avaient été chiffrées en même temps que les données primaires), soit impossibles à restaurer dans des délais acceptables.
La règle 3-2-1 (trois copies, deux supports différents, un hors site) est le standard minimal documenté. Le test de restauration doit être planifié et exécuté au moins annuellement, avec documentation des délais de restauration obtenus — qui alimentent les plans de continuité d'activité.
L'attaque par ransomware sur Colonial Pipeline, opérateur du principal oléoduc de la côte Est américaine, a été initiée via un VPN avec un mot de passe compromis sans authentification multifacteur activée. Ce compte, sur un VPN legacy, n'était plus utilisé activement mais n'avait pas été désactivé. L'absence de deux des erreurs les plus communes — MFA et révocation des accès inactifs — a causé une paralysie de l'infrastructure pétrolière de plusieurs États américains pendant 6 jours et une pénurie de carburant. Colonial Pipeline a payé 4,4 millions de dollars de rançon.
Plusieurs établissements hospitaliers français ont subi des attaques par ransomware en 2022, dont l'hôpital de Villepinte. L'investigation de l'ANSSI sur plusieurs incidents du secteur a mis en évidence les mêmes erreurs récurrentes : absence de segmentation réseau entre les systèmes administratifs et cliniques, comptes administrateurs avec des droits excessifs sur l'ensemble du domaine, sauvegardes stockées sur des partages réseau accessibles — donc chiffrées par le ransomware en même temps que les données primaires. Ces erreurs connues, documentées depuis des années, restaient présentes dans des infrastructures vulnérables.
L'épidémie WannaCry a touché plus de 230 000 systèmes dans 150 pays en 72 heures, causant des perturbations majeures dans les hôpitaux britanniques du NHS, les usines Renault, les réseaux télécoms russes et de nombreuses autres organisations. La vulnérabilité exploitée (EternalBlue sur SMBv1) avait été patchée par Microsoft deux mois avant l'épidémie — le correctif MS17-010 était disponible depuis mars 2017. L'ampleur de la propagation est directement liée au retard dans l'application des patches et à l'absence de segmentation réseau qui aurait limité la propagation.