Cyberattaques : dans la tête des attaquants et des défenseurs

Les attaques s’intensifient, les moyens manquent : seule une approche itérative et souveraine permet de tenir la ligne.

PRODWAY
CYBER
Par
Aimery Duriez-Mise
le
22/9/2025

Cet article est tiré de l’épisode Prod’Way avec Miguel de Oliveira, CEO d’AISI.
A écouter sur Spotify, Apple Podcast, Deezer ou Acast.

Vous l’avez sans doute vécu : la cybersécurité était un “truc d’experts” hier, c’est une priorité absolue aujourd’hui. Dans Prod’Way, nous parlons d’habitude de Production IT, d’exploitation et d’incidents. Cette fois, nous avons croisé ces mondes avec Miguel de Oliveira, CEO d’AISI, qui vit la sécurité sur le terrain : réponse à incident, SOC 24/7, RSSI/CISO à la demande. Résultat : un voyage sans fard dans la réalité des PME/ETI françaises… et un cap clair pour reprendre la main.

Ce que vivent vraiment les PME/ETI : mêmes menaces, moyens différents

Miguel a longtemps travaillé pour des groupes du CAC 40 avant de basculer vers les ETI et les PME. Pourquoi ? Parce qu’entre les deux mondes, l’écart s’est creusé : mêmes attaquants, mêmes techniques, mais moins de ressources (humaines, process, outils). Là où un grand compte déclenche un pentest à chaque version majeure ou monte une Red Team sur six mois, beaucoup de PME n’ont aucun test de pénétration pendant deux ans. Là où un grand compte orchestre le patching comme une horloge, une PME “fait au mieux” quand l’équipe a du temps.

Le constat 2025 est brutal : “Nous avons traité plus d’attaques en 4 mois que sur toute l’année 2024.”

Les attaquants s’adaptent, ralentissent, bruitent moins pour passer sous les radars (EDR, SIEM) et frappent souvent… le vendredi soir. Parce qu’ils savent qu’il n’y a ni astreinte ni 24/7 en face.

“Secure by design” : un cap réaliste… si on accepte la méthode du calque

On confond parfois philosophie et perfection. Le secure by design n’est pas un dogme inaccessible, c’est un cap : concevoir une app, une infra, un flux en intégrant la sécurité dès le départ. Dans le réel, il existe un historique, des rachats, des couches. La méthode proposée par Miguel est simple et puissante :

  • Poser un “calque idéal” : “Si on repartait de zéro, à quoi ressemblerait notre SI sécurisé ?”
  • Comparer au réel, mesurer les écarts.
  • Combler par itérations (applicatif, infra, flux, accès, sauvegardes), avec des quick wins d’abord.

Chez les grands comptes, quelques équipes d’architecture sécurité existent. Dans les ETI, l’enjeu est de former les architectes et les devs : outillage de revue de code, oui, mais surtout compétences et réflexes. Le “shift left” appliqué à la sécu reste trop timide : très peu de tech leads savent décrire comment appliquer la sécurité dans leur code avant le build.

Pentest, Red Team, Blue Team : remettre les mots à leur place

Quelques définitions :

  • Pentest : simulation d’attaque cadrée (externe ou interne) avec un périmètre défini pour prouver les failles, en détaillant comment l’attaquant est entré (OS obsolète, dépendance sensible, config faible…). Objectif : reproductibilité côté client pour corriger et vérifier.
  • Red Team : campagne longue (semaines/mois) et discrète, qui colle aux méthodes réelles des attaquants. Plus c’est long, plus c’est silencieux… et plus c’est difficile à détecter.
  • Blue Team : la défense. Détecter vite, contenir et éjecter. Ici, priorité à la détection utile : impossible travel, élévations de privilèges, comportements anormaux. Le vrai défi ? Dépiler le bruit. Entre alertes répétitives “tolérées” et vulnérabilités à traiter par projet, on finit par laisser passer l’essentiel si l’on ne nettoie pas continuellement le signal.

MFA, ransomware, exfiltration : pourquoi “restaurer vite” peut empirer la situation

Les attaques récentes montrent des contournements de MFA à grande échelle.

Beaucoup se disent “j’ai tout sur Microsoft/Amazon, j’ai du MFA partout, je suis safe”. Faux sentiment de sécurité. Il est plus simple d’attaquer que de défendre.

Pour un ransomware, le déroulé “idéal” pour l’attaquant est connu : présence en amont, suppressions de sauvegardes, chiffrement de la prod, pression financière. La tentation de “restaurer tout de suite” est forte côté métier ; c’est souvent la pire décision.

La bonne séquence est plutôt :

  1. Forensic : comprendre comment ils sont entrés et depuis quand.
  2. Couper, nettoyer, colmater.
  3. Restaurer, mais pas à l’aveugle : on désimplante ce que l’attaquant a laissé avant de remonter les sauvegardes “les plus récentes possibles… et saines”.

Quand il n’y a plus de sauvegardes exploitables, la vraie vie commence : dépôt de plainte, forces de l’ordre, traçage crypto, et, parfois, négociation via des spécialistes. On ne “recommande” pas de payer, on constate que certaines entreprises ne repartent pas sans leurs données.

Les plateformes de ransomware-as-a-service sont de véritables éditeurs : elles savent prouver qu’elles ont les clés (décryptage test sur 1–2 machines) et exercent une pression parfaite (elles connaissent vos capacités financières).

Tendance lourde, plus silencieuse encore : l’exfiltration. Moins de bruit qu’un ransomware, plus difficile à détecter, et des données revendues.

Police, ANSSI, 17 Cyber : l’écosystème d’entraide existe — servez-vous-en

Chaque intervention d’AISI laisse une trace utile : rapport, IOCs, éléments techniques transmis aux forces de l’ordre. La Police Judiciaire dispose d’équipes spécialisées ; l’ANSSI (environ 800 personnes) accompagne les structures critiques et partage la connaissance de la menace avec les CERT (entreprises et publics). Ajoutez cybermalveillance.gouv.fr et 17 Cyber : l’État a monté un filet. Encore faut-il déclarer, documenter et coordonner.

Assureurs : accélérateur de maturité… si vous acceptez les exigences

Le marché de l’assurance cyber se structure. Côté PME/ETI, on reste à < 10 % d’assurés. Les assureurs adaptent leurs exigences… et leurs prises en charge. Message utile au COMEX : si l’assureur refuse d’assurer “au niveau actuel”, c’est un KPI de risque en soi. L’intérêt du tandem courtier – prestataire de réponse à incident est clair : qualifier, remettre d’équerre l’infra (portes/fenêtres), prouver la progression.

Talents : la vraie pénurie est sur l’expertise et la gestion de crise

Des analystes SOC niveau 1/2, on en trouve. Les N3, les architectes sécurité, les répondeurs à incident… sont beaucoup plus rares. Ce sont des métiers d’adrénaline, de méthode et de sens : tenir la pression, enquêter, corréler, décider en incertitude. La stratégie d’AISI est claire : former des passionnés, investir lourdement quand la motivation et l’état d’esprit sont là. On n’improvise pas Sherlock Holmes — on l’entraîne.

Souveraineté : au-delà des plateformes, la souveraineté de la compétence

Oui, il existe un débat sur les plateformes et l'extraterritorialité du droit. Mais Miguel insiste sur un axe souvent oublié : la souveraineté humaine. Former en France, garder les équipes en Europe, construire la compétence. Côté techno, l’écosystème souverain progresse : HarfangLab (EDR), Sekoia (SIEM), et d’autres solutions françaises/européennes déjà en production dans de grands groupes. Beaucoup d’organisations souhaitent désormais rééquilibrer : leader mondial ou alternative souveraine, selon le contexte.

Le mouvement culturel s’accélère : ce qui passait hier pour “franchouillard” (parler Cloud Act, FISA, choix européens) devient du bon sens de gouvernance. La peur a changé de camp : expliquer aujourd’hui “j’ai tout mis chez 2 hyperscalers US” se discute — et c’est sain.

Au-delà de l’IT : le sens et la société

La cyber n’est pas qu’un sujet technique. C’est aussi une question de personnes. Miguel soutient e-Enfance, association qui lutte contre le cyberharcèlement et accompagne familles, écoles, clubs, mairies. Parce que nos usages numériques débordent la sphère pro, et que la protection commence par la pédagogie.

Conclusion : reprendre le choix, maintenant

En production, on apprend très tôt qu’un bon incident est celui qu’on prépare. La cybersécurité, c’est pareil : préparer, itérer, exercer. Le monde des attaquants est industriel ; le nôtre doit être discipliné et humain.

Reprendre le choix, ce n’est pas tout refaire demain. C’est commencer aujourd’hui : une sauvegarde immuable testée, un périmètre de pentest, un playbook “ransomware”, une formation secure-by-design pour l’équipe produit, une alternative souveraine dans la pile sécurité, un exercice de crise un vendredi.

Parce qu’entre subir et choisir, la différence n’est pas philosophique. Elle se joue à 18 h 47, quand le téléphone sonne et que l’équipe sait exactement quoi faire.

Si vous avez aimé cet article, vous devriez écouter l'épisode. C'est encore mieux ! A écouter sur Spotify, Apple Podcast, Deezer ou Acast.

Aimery Duriez-Mise

Co-fondateur

LinkedIn IconEmail icon

Plus d'articles

Link icon
Livres et séries pour l'été : les recos ProdWay à ne pas manquer
Logo Alenia
LA TRIBU
LE MODÈLE OPÉRATIONNEL
EXPERTISES
AUTOÉVALUATION DE LA MATURITÉ IT
ACADÉMIE PRODUCTION IT
RSE
INDEX ÉGALITÉ PROFESSIONNELLE
ACTUS
ALENIA PRODUCTION TOUR
PROD'WAY, LE PODCAST
NOUS REJOINDRE
CONTACT
LinkedIn
Net Zero WebsiteMembre de Syntec NumériqueEngage, lead positive changeEcovadis Top 1%Engage, lead positive change
© Alenia Consulting 2025
Mentions légales
Protection des données personnelles