Points clés
- Les signaux d'un système insuffisamment sécurisé sont souvent visibles avant qu'un incident ne se produise — à condition de les chercher
- Les red flags les plus fréquents : alertes non traitées en stock, absence de logs centralisés, accès administrateurs partagés, sauvegardes non testées
- Les tests d'intrusion révèlent systématiquement des vulnérabilités que les équipes internes ne détectaient pas
- L'évaluation régulière de la posture de sécurité est une obligation réglementaire dans de nombreux secteurs
Un système insuffisamment sécurisé envoie des signaux avant de subir un incident. Ces signaux ne sont pas des alertes techniques mais des indicateurs organisationnels et opérationnels : un stock d'alertes non traitées qui croît, une équipe IT qui ne dispose pas d'une visibilité complète sur les accès au système, des processus de gestion des incidents qui n'ont jamais été testés. Ces signaux sont reconnaissables pour qui sait les chercher.
La difficulté est que ces signaux sont rarement interprétés comme des indicateurs de risque par les personnes qui les vivent au quotidien. Un volume d'alertes élevé est perçu comme de la "fatigue d'alerte" plutôt que comme un indicateur que quelque chose d'anormal se produit. Des accès administrateurs partagés sont perçus comme une nécessité opérationnelle plutôt que comme une pratique dangereuse.
Les signaux organisationnels
Les signaux organisationnels d'un système insuffisamment sécurisé incluent : l'absence d'un responsable sécurité clairement identifié (ou un RSSI sans budget ni autorité réelle), une équipe IT qui gère la sécurité "en plus" de ses autres responsabilités sans ressources dédiées, l'absence de procédures d'incident response documentées et testées, et l'absence de formation régulière des équipes aux risques et aux bonnes pratiques.
L'ANSSI identifie dans ses guides de la sécurité des PME et des organisations de taille intermédiaire un ensemble de "niveaux de maturité" qui permettent à une organisation d'évaluer objectivement sa posture. Cette autoévaluation est le premier pas pour identifier les signaux que l'organisation peut avoir normalisés.
Les signaux techniques
Les signaux techniques incluent : des logs inexistants ou non centralisés (impossibilité de reconstituer ce qui s'est passé lors d'un incident), un stock de vulnérabilités connues qui s'accumule sans plan de remédiation, des systèmes non supportés en production (end-of-life, plus de patches disponibles), et des configurations par défaut non revues (mots de passe constructeur, ports ouverts non nécessaires).
Un test de pénétration réalisé par une équipe externe est l'outil le plus efficace pour objectiver ces signaux techniques. Il révèle ce qu'une évaluation interne ne peut pas voir, parce que les équipes internes ont normalisé l'existant. Les résultats d'un pentest fournissent également les éléments nécessaires pour justifier les investissements de remédiation auprès des instances de gouvernance.
L'évaluation régulière comme pratique de gouvernance
L'évaluation régulière de la posture de sécurité n'est pas seulement une bonne pratique — c'est une obligation réglementaire croissante. PCI-DSS impose des tests d'intrusion annuels pour les organisations qui traitent des données de cartes bancaires. NIS2 impose des audits de sécurité réguliers pour les entités essentielles. ISO 27001 requiert des revues de sécurité périodiques dans le cadre du SMSI.
Ces obligations réglementaires créent un calendrier externe d'évaluation qui complète (et parfois remplace) les évaluations volontaires. Pour les organisations soumises à ces régimes, l'évaluation régulière n'est plus un choix : c'est une contrainte légale dont les résultats peuvent être contrôlés par les autorités compétentes.
FireEye, l'outil de détection installé chez Target, avait généré des alertes lors des premières étapes de l'attaque. Ces alertes ont été vues par l'équipe de sécurité externalisée à Bangalore mais n'ont pas conduit à une action immédiate. Les systèmes automatiques de réponse aux incidents avaient été désactivés pour éviter des faux positifs. Le signal était là — il n'a pas été traité. La compromission des données de 40 millions de cartes bancaires aurait pu être stoppée si les alertes avaient déclenché une réponse dans les heures suivant leur génération.
L'opérateur ferroviaire tchèque Správa železniční dopravní cesty a fait l'objet d'un audit de sécurité réglementaire qui a révélé de nombreux systèmes de contrôle industriel (SCADA) connectés à Internet sans authentification renforcée — des configurations héritées d'une époque où ces systèmes n'étaient pas connectés aux réseaux externes. Ces signaux, connus des équipes techniques, n'avaient pas été remontés comme risques prioritaires aux instances de gouvernance. L'audit a conduit à un programme de remédiation d'urgence sur les systèmes les plus exposés.
La compagnie aérienne Cathay Pacific a révélé en octobre 2018 une compromission de données touchant 9,4 millions de passagers. L'investigation post-incident a révélé que l'accès non autorisé aux systèmes avait commencé en mars 2018 — sept mois avant la divulgation publique. Des anomalies avaient été détectées mais avaient été interprétées comme des problèmes techniques bénins plutôt que comme des signaux d'une présence malveillante. La capacité à interpréter correctement les signaux d'alerte — pas seulement à les générer — est le vrai défi de la détection.