Phylapp
Sécurité intégrée aux projets et transformations

Les projets de transformation introduisent souvent de nouveaux risques

Les projets de transformation — migration cloud, déploiement ERP, acquisitions — reconfigurent la surface d'attaque et introduisent des risques temporaires ou permanents. Les phases de transition sont les plus vulnérables. La sécurité doit être intégrée dès la conception.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 26 lectures

Points clés

  • Chaque projet de transformation — migration cloud, refonte SI, déploiement ERP, acquisition — reconfigure la surface d'attaque de l'organisation et introduit des risques temporaires ou permanents si la sécurité n'est pas intégrée dès la conception.
  • Les phases de transition sont les plus vulnérables : deux systèmes fonctionnent en parallèle, les équipes sont sous pression, les processus de sécurité habituels sont perturbés.
  • Les risques introduits par les projets sont souvent sous-estimés car ils ne sont pas encore visibles dans les systèmes de surveillance habituels — ils n'existent pas encore.
  • La direction doit exiger une évaluation des risques sécuritaires comme condition d'approbation de tout projet de transformation significatif.

Les projets de transformation numérique sont présentés comme des leviers de compétitivité et d'efficacité. Ils le sont. Mais ils sont aussi des moments de reconfiguration de la surface d'attaque de l'organisation, pendant lesquels les défenses habituelles sont perturbées, de nouvelles technologies non encore maîtrisées sont déployées, et des configurations temporaires de coexistence entre anciens et nouveaux systèmes créent des ouvertures que les attaquants savent exploiter.

La pression pour livrer les projets dans les délais et les budgets est souvent telle que la sécurité — perçue comme un coût additionnel ou un frein à la vitesse — est sacrifiée, réduite ou reportée. Ce sacrifice immédiat crée une dette technique de sécurité qui se paie avec intérêts lors des incidents futurs.

Les migrations cloud : opportunité et surface d'exposition

Les migrations vers le cloud créent des configurations transitoires complexes — environnements hybrides où des données et des accès sont simultanément dans l'infrastructure sur site et dans le cloud — pendant lesquelles les politiques de sécurité conçues pour l'un ou l'autre environnement ne couvrent pas parfaitement l'espace entre les deux. Les mauvaises configurations cloud sont la première source d'incidents liés aux migrations, et elles se produisent particulièrement pendant les phases de migration quand les équipes sont sous pression et moins familières avec les configurations du nouvel environnement.

Le CSPM (Cloud Security Posture Management) et les audits de configuration réguliers pendant la phase de migration — pas uniquement à la fin — sont des investissements qui préviennent des incidents dont le coût dépasse largement celui de la surveillance.

Les déploiements ERP et CRM : nouveaux accès, nouvelles expositions

Les déploiements de systèmes ERP ou CRM créent de nouveaux périmètres d'accès qui n'existaient pas auparavant. Des prestataires d'intégration ont accès temporairement (ou parfois durablement) à des données et des systèmes sensibles. Des connexions inter-systèmes sont créées pour permettre la migration des données. Des comptes de test et de développement avec des permissions larges sont créés et parfois oubliés. Chacun de ces éléments est un vecteur d'exposition qui doit être géré explicitement.

Les acquisitions et fusions : l'intégration des risques de la cible

Une acquisition absorbe non seulement les actifs et les équipes de la société cible, mais aussi ses risques de sécurité — ses vulnérabilités techniques, ses pratiques de sécurité (souvent moins matures que celles de l'acquéreur), ses incidents passés non documentés et ses dettes de sécurité accumulées. Sans due diligence cybersécurité sérieuse avant la transaction et sans plan d'intégration sécuritaire post-acquisition, l'acquéreur intègre des risques qu'il ne connaît pas — et qui peuvent se matérialiser après la clôture de la transaction, quand il est trop tard pour les inclure dans le prix ou les conditions de la transaction.

Intégrer la sécurité dans la gouvernance des projets

L'intégration de la sécurité dans la gouvernance des projets de transformation commence par une étape d'évaluation des risques sécuritaires avant le lancement, se poursuit par des revues de sécurité à chaque jalon majeur, et se termine par un audit de sécurité complet avant la mise en production. Ces étapes ne ralentissent pas les projets — elles préviennent les retards plus coûteux causés par des incidents de sécurité découverts après le lancement.

Études de cas

Marriott 2018 — Acquisition de Starwood sans due diligence cyber

Marriott International a acquis Starwood Hotels en 2016 pour 13,6 milliards de dollars. La due diligence cybersécurité n'a pas détecté qu'une compromission était déjà active dans les systèmes de Starwood depuis 2014. Cette compromission, découverte en 2018, a exposé les données de 500 millions de clients. Les sanctions réglementaires, les frais de gestion de l'incident et les dommages réputationnels ont dépassé plusieurs centaines de millions de dollars. Marriott a plaidé que la compromission était antérieure à l'acquisition, mais a néanmoins été tenu responsable en tant qu'opérateur des systèmes au moment de la découverte.

Migration cloud précipitée — Incident de configuration pendant la pandémie

Plusieurs organisations qui ont précipité leur migration cloud pendant la pandémie pour supporter le travail à distance ont subi des incidents de sécurité liés à des mauvaises configurations dans les environnements hybrides de transition. Des buckets de stockage cloud mal configurés, des accès VPN déployés sans MFA, et des configurations de sécurité des outils de collaboration négligées pour accélérer le déploiement ont créé des expositions qui ont été exploitées dans les mois suivant les migrations précipitées.

Déploiement ERP — Prestataire d'intégration comme vecteur

L'ANSSI a documenté plusieurs incidents où des prestataires d'intégration ERP avaient conservé des accès techniques à des systèmes de production après la fin de leur mission. Ces accès, non révoqués lors de la fin du projet, ont été exploités soit par le prestataire lui-même, soit par des attaquants ayant compromis ses systèmes. Ces incidents illustrent que la gestion des accès des prestataires pendant et après les projets est un risque aussi important que la gestion des accès internes.

États-Unis — Capital One et la migration cloud mal sécurisée

La compromission de Capital One en 2019, qui a exposé les données de 100 millions de clients, a exploité une mauvaise configuration d'un pare-feu applicatif dans l'environnement cloud de la banque. Cette misconfiguration, introduite lors d'une migration cloud, illustre comment les erreurs de configuration pendant les projets de transformation cloud peuvent créer des vulnérabilités durables si elles ne sont pas détectées rapidement. Capital One a depuis investi massivement dans le CSPM et les revues de configuration régulières comme leçon tirée de cet incident.

Union européenne — ENISA et les risques des projets de transformation numérique

L'ENISA a publié des analyses sur les risques de cybersécurité introduits par les projets de transformation numérique dans les organisations européennes, documentant que les incidents liés aux migrations cloud, déploiements ERP et intégrations de nouvelles plateformes représentent une proportion croissante des incidents traités. Ces analyses soulignent que NIS2 impose désormais aux organisations concernées d'intégrer l'évaluation des risques dans leur processus de gestion des projets — transformant une bonne pratique en obligation réglementaire.

Japon — Faille introduite lors d'une migration bancaire

La Financial Services Agency japonaise a documenté des incidents survenus lors de migrations de systèmes bancaires vers de nouvelles plateformes, où des configurations de sécurité ont été omises ou dégradées pendant la phase de transition. Ces incidents, qui ont affecté la disponibilité de services bancaires pour des millions de clients, ont conduit la FSA à renforcer ses exigences sur la gestion de la sécurité pendant les projets de migration — imposant des évaluations de risques formelles et des tests de sécurité obligatoires avant toute mise en production de nouveaux systèmes.

Articles similaires

Pourquoi la sécurité est rarement intégrée dès le lancement d’un projet

La sécurité est marginalisée au lancement des projets pour des raisons structurelles : délais, budgets sans ligne sécurité, équipes sans compétences. La règle 1-10-100 (corriger coûte 100× plus en production qu'en spécification) justifie l'intégration précoce.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des risques liés aux projets IT

Les erreurs fréquentes dans la gestion des risques projet : périmètre sous-estimé, tests de sécurité raccourcis sous pression de délai, gestion insuffisante des tiers. Des templates de gestion des risques obligatoires réduisent structurellement ces erreurs récurrentes.

24 mai 2026 7 min

Les signaux d’un projet insuffisamment encadré sur le plan sécurité

Les projets insuffisamment encadrés sur le plan sécurité envoient des signaux identifiables : absence de référent sécurité, pas de budget sécurité, accès prestataires non documentés, tests non planifiés. Les comités de pilotage qui vérifient ces signaux aux jalons corrigent avant le déploiement.

24 mai 2026 7 min
WhatsApp