.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Au cours de mes presque 30 années d'expérience en tant que professionnel de la sécurité IT, j'ai constaté que nous essayons souvent de résoudre les mauvais problèmes. Le marché de la sécurité peut être un milieu très ‘bruyant’, et bien que les informations à consommer ne manquent pas, nous avons souvent du mal à trouver les bonnes. Le rapport signal/bruit n'a jamais été aussi mauvais, et nous avons besoin d'informations précises, au bon moment, pour assurer le bon fonctionnement de cette fonction essentielle et évolutive.
Parfois, nous posons les mauvaises questions
Je me souviens avoir effectué un « audit de sécurité », que nous appellerions aujourd'hui plus précisément un pentest, vers 1996. L'organisation disposait d'un pare-feu Check Point et de quelques serveurs UNIX, et le pare-feu bloquait tout sauf le protocole FTP et SMTP vers les serveurs Sun Solaris situés derrière lui. Le serveur FTP était totalement ouvert et avait été réquisitionné pour héberger du contenu warez, et le serveur SMTP était Sendmail et configuré comme un relais ouvert. La question à laquelle ils souhaitaient obtenir une réponse était : « le pare-feu est-il bien configuré et fonctionne-t-il correctement ? ». La réponse était oui ... oui, mais vous avez néanmoins un problème de sécurité très grave.
Lorsque j'ai commencé à travailler chez Sophos en octobre 2003, les gens réclamaient à cor et à cri des pare-feu client et des logiciels anti-spyware. Ce qui aurait peut-être été plus efficace à l'époque, c'est d'adopter le nouveau processus Patch Tuesday et de désactiver la prise en charge des scripts dans Outlook et Outlook Express, ou bien de verrouiller l'utilisation des macros, ou de désactiver l'exécution automatique, ou bien toute combinaison de ces ajustements désormais évidents. Nous sommes souvent distraits par des problèmes visibles, comme les barres d'outils du navigateur, plutôt que par les problèmes invisibles, pourtant bien plus critiques.
Dire des vérités difficiles à entendre
La plupart d'entre nous se tournent vers leurs pairs pour obtenir des conseils, et nous évaluons souvent notre propre maturité et nos progrès en matière de sécurité par rapport à ce même groupe de pairs. Globalement, cela fonctionne bien, mais le système commence à se dégrader lorsque nous passons en revue nos échecs. Voici notre ami (?) l'accord de non-divulgation : tout ce que nous apprenons de nos erreurs, nous devons le taire. Il nous est interdit de discuter ou de partager les leçons que nous avons apprises. Malheureusement, j'ai constaté les conséquences de cela des centaines de fois, lorsque des organisations choisissent, pour une raison ou une autre, de dissimuler les problèmes. Leur choix individuel pouvait se justifier pour chaque organisation, mais chez Sophos, nous avons vu nos clients tomber les uns après les autres, comme des dominos, confrontés aux mêmes problèmes (comme vous pouvez l’imaginer, cela a été un facteur déterminant dans nos efforts constants pour agir avec la plus grande transparence possible, que ce soit lors des longs mois d’analyse et d’examen des données nécessaires à chaque rapport ou bien dans le cadre de projets à l’échelle de l’entreprise tels que le rapport Pacific Rim de 2024).
Le pire des risques juridiques auxquels les entreprises et leurs dirigeants sont généralement confrontés en raison de leurs défaillances en matière de sécurité, c'est qu'ils doivent ensuite assister, impuissants, à la répétition de leurs erreurs par d'autres. Probablement. Il est difficile de le savoir car les autres victimes ne peuvent pas non plus révéler leurs erreurs.
De Bangkok à Calgary
Lorsque John Shier a présenté l'idée du rapport Active Adversary il y a six ans, j'ai immédiatement été enthousiaste à cette idée. Sa motivation était d'en apprendre davantage sur ce qui se passait une fois que les attaquants avaient obtenu un accès initial aux organisations ciblées, mais mon enthousiasme résidait dans le fait que nous pourrions enfin avoir un moyen de partager véritablement les causes profondes afin d'aider les responsables de la sécurité à tirer des leçons des erreurs de leurs pairs. En anonymisant et en regroupant de nombreux cas, nous pourrions aller au cœur des problèmes sans nuire à la réputation ni à la confiance de quiconque.
Le rapport de cette année s’appuie sur plus de 600 cas provenant du monde entier et issus de divers secteurs d’activité. Malgré cette diversité, les données montrent que de nombreuses organisations sont confrontées à des problèmes fondamentaux similaires qui les amènent à des situations où une action urgente en matière de réponse aux incidents est nécessaire.
Par exemple, même si seulement 16% des incidents en 2025 impliquaient une vulnérabilité exploitée, il peut être utile d'examiner de plus près pour savoir ce qu'il faut prioriser lors de la planification de nos correctifs. En creusant davantage, on constate que 52% des vulnérabilités exploitées se trouvaient dans les dispositifs de sécurité et 33% dans les applications accessibles depuis Internet (sans oublier bien sûr la domination écrasante de la CVE-2024-40766, la vulnérabilité très médiatisée de SonicWall, dans les résultats de cette année, un point que nous abordons dans le rapport). Cela met en évidence les domaines où beaucoup d'entre nous ont encore du travail à accomplir, et les points sur lesquels les recommandations du secteur en matière de priorisation des correctifs doivent être repensées en 2026. Attendez-vous à ce que les auteurs du rapport Active Adversary publient davantage de données sur ce sujet plus tard cette année.
Pour aller plus loin
Nous avons tous beaucoup de travail à accomplir, et ce rapport est là pour vous guider dans vos efforts. Il s'agit du meilleur rapport à ce jour, et le plus important que nous ayons jamais publié depuis le début de notre activité en 2020. Comme pour le rapport de l’année dernière, nos données ont été partagées avec Verizon pour inclusion dans le rapport d’investigation (Data Breach Investigation) sur les violations de données (DBIR) de cette année. Dans un souci de transparence, nous partageons également des données sur notre GitHub ; l’upload de cette année inclura des données de la période 2022 à 2025.
Je vous encourage à lire le rapport complet pour bénéficier des analyses des auteurs, car souvent le diable se cache dans les détails, et nos chercheurs peuvent contribuer à apporter un éclairage utile à l'interprétation des résultats. Si vous choisissez d'explorer davantage les données en en récupérant une copie sur GitHub et en effectuant des analyses supplémentaires, nous serions ravis d'en être informés.
Billet inspiré de The Active Adversary Report: Safety in numbers, sur le Blog Sophos.