1. C'est quoi la cybersécurité ? La Big Picture pour démarrer
Définition simple
La cybersécurité, c'est l'ensemble des pratiques, technologies et processus visant à protéger les systèmes, les réseaux et les données contre les accès non autorisés, les attaques et les fuites.
Ce n'est pas un produit qu'on installe une fois pour toutes : c'est un processus continu qui couvre les humains, les processus et la technologie.
Analogie : la cybersécurité, c'est la sécurité physique d'un bâtiment : portes (pare-feu), serrures (auth), gardes (SOC), caméras (logs), procédures (incident response). Aucune mesure isolée ne suffit, c'est la défense en profondeur qui compte.
Les 3 piliers historiques — CIA Triad
C
Confidentialité
Les données ne sont accessibles qu'aux personnes autorisées.
Les données ne sont accessibles qu'aux personnes autorisées.
I
Intégrité
Les données ne sont pas altérées de manière non autorisée.
Les données ne sont pas altérées de manière non autorisée.
A
Disponibilité
Les services sont accessibles quand on en a besoin.
Les services sont accessibles quand on en a besoin.
Toute mesure de sécurité renforce au moins un de ces 3 axes — et parfois en dégrade un autre (ex : un chiffrement fort renforce C mais peut compliquer A en cas de perte de clé).
Les 3 acteurs typiques d'une attaque
- L'attaquant (threat actor) : cybercriminel, hacktiviste, État-nation, ex-employé rancunier, script-kiddie…
- La cible : entreprise, infrastructure critique, particulier, chaîne d'approvisionnement…
- Le défenseur (blue team) : RSSI, SOC, équipe IT, prestataire MSSP, autorité (ANSSI en France).
On parle aussi de red team (audit offensif autorisé pour tester les défenses) et purple team (collaboration red+blue).
2. État de la menace 2026 Les chiffres qui font réfléchir
Les chiffres clés
~10,5T$
coût mondial
du cybercrime / an
(Cybersecurity Ventures, 2025)
du cybercrime / an
(Cybersecurity Ventures, 2025)
4,88M$
coût moyen
d'une fuite de données
(IBM Cost of a Data Breach 2024)
d'une fuite de données
(IBM Cost of a Data Breach 2024)
~70%
des attaques impliquent
l'humain (phishing, social eng.)
(Verizon DBIR 2024)
l'humain (phishing, social eng.)
(Verizon DBIR 2024)
277j
temps moyen
pour détecter +
contenir une intrusion
pour détecter +
contenir une intrusion
Le top des menaces en 2026
- Ransomware "double extorsion". Chiffrement + exfiltration + menace de publication. Cibles : santé, collectivités, ETI.
- Attaques sur la supply chain. Compromission d'un fournisseur pour atteindre ses clients (SolarWinds 2020, XZ Utils 2024, npm/PyPI infectés en 2025).
- Phishing dopé à l'IA. Spear-phishing généré en masse, voix et visages clonés (deepfake CEO fraud).
- Vol d'identifiants & "infostealers". Lumma, RedLine, Vidar : les cookies de session valent plus que les mots de passe.
- Compromission d'API et de SaaS. Clés API leakées sur GitHub, OAuth abusé, configurations cloud exposées.
- Attaques sur les LLM et agents IA. Prompt injection, exfiltration de données via tool-use, jailbreaks à l'échelle.
- Hacktivisme & menaces étatiques. Sabotage d'infrastructures (eau, énergie), espionnage industriel.
- Mobile & IoT. Smishing, applications malveillantes, IoT mal mis à jour formant des botnets.
Tendance 2025-2026 : les groupes ransomware (LockBit, BlackCat, Cl0p…) opèrent en mode RaaS (Ransomware-as-a-Service) avec marketing, support client, programme d'affiliation. C'est devenu une industrie structurée.
Timeline des attaques marquantes
2017 — WannaCry / NotPetya
Premier ransomware mondial automatisé, exploitant EternalBlue. Coûts estimés : >10 Md$. Met le sujet sur la table des conseils d'administration.
2020 — SolarWinds
Compromission d'un éditeur pour infecter 18 000 organisations, dont des agences fédérales US. Naissance réelle de la préoccupation supply chain.
2021 — Log4Shell
Faille critique sur log4j (Java), exploitation triviale, présente dans des millions d'applications. Révèle la fragilité des dépendances OSS sous-financées.
2023 — MOVEit Transfer (Cl0p)
Le gang Cl0p exploite une 0-day MOVEit pour exfiltrer les données de plus de 2 700 organisations. Modèle double extorsion industrialisé.
2024 — CrowdStrike Falcon (19 juillet)
Mise à jour défectueuse d'un agent EDR : 8,5M de Windows en BSOD mondialement. Pas une attaque, mais une leçon sur la dépendance à un acteur unique.
2024 — Backdoor XZ Utils (CVE-2024-3094)
Tentative quasi réussie d'injecter une backdoor dans OpenSSH via une lib de compression. Révèle la sophistication des attaques sur la supply chain OSS.
2025 — Premières attaques industrialisées par agents IA
Auto-recon, vuln scanning, et phishing personnalisé orchestrés par agents LLM à l'échelle. C'est le début du "AI vs AI".
3. Les fondamentaux CIA, AAA, Zero Trust, modèles de menace
AAA — Authentification, Autorisation, Audit Indispensable
- Authentification — "qui êtes-vous ?" Mot de passe, MFA, certificats, biométrie, passkeys.
- Autorisation — "qu'avez-vous le droit de faire ?" RBAC, ABAC, ACL, policies.
- Audit / Accounting — "qui a fait quoi quand ?" Logs immuables, SIEM, traces.
Zero Trust Modèle 2026
Le modèle historique du perimètre sécurisé ("château-fort + douves") est mort avec le cloud, le télétravail et le SaaS. Zero Trust remplace par 3 principes :
- Never trust, always verify — ne faites jamais confiance par défaut, même en interne.
- Least privilege — donner le minimum de droits nécessaires (et seulement le temps nécessaire).
- Assume breach — partez du principe que vous êtes déjà compromis. Cloisonnez, surveillez, segmentez.
Concrètement : MFA partout, micro-segmentation réseau, identité comme nouveau périmètre, vérification continue (ZTNA à la place du VPN), JIT access (juste-à-temps).
Le modèle de menace — Threat Modeling
Avant de protéger, on identifie ce qu'on veut protéger et contre qui. Méthode classique : STRIDE (Microsoft).
| Lettre | Type d'attaque | Propriété CIA violée | Exemple |
|---|---|---|---|
| S | Spoofing (usurpation) | Authenticité | Faux site bancaire |
| T | Tampering (altération) | Intégrité | Modif d'un transfert SWIFT |
| R | Repudiation (négation) | Non-répudiation | "Ce n'était pas moi" |
| I | Information disclosure | Confidentialité | Fuite RGPD |
| D | Denial of service | Disponibilité | DDoS sur API publique |
| E | Elevation of privilege | Autorisation | User → admin |
4. Les principales attaques Comprendre pour mieux défendre
Phishing & ingénierie sociale N°1 mondial
Toujours en tête. Variantes 2026 :
- Spear phishing — ciblé sur une personne avec des infos OSINT.
- Whaling — cible un dirigeant (CEO/CFO).
- Smishing / Vishing — SMS / vocal (souvent avec deepfake voix).
- Quishing — QR code malveillant (en explosion 2024-2026).
- Business Email Compromise (BEC) — mail interne usurpé pour faire exécuter un virement.
Ransomware CRITIQUE
Déroulé classique d'une attaque ransomware moderne :
- Initial access : phishing, credentials achetés, exploit d'un service exposé (RDP, VPN, Exchange).
- Persistance : tâches planifiées, services Windows, comptes back-door.
- Lateral movement : Active Directory, mimikatz, Pass-the-Hash, Pass-the-Ticket.
- Privilege escalation : Kerberoasting, exploit local, abus de GPO.
- Exfiltration : RClone, MEGAsync, Cobalt Strike vers C2.
- Encryption : LockBit, BlackCat, Akira… sur tous les serveurs et sauvegardes.
- Extorsion : rançon en BTC/Monero + menace de publier les données.
Règle d'or : sans sauvegardes immuables, hors ligne, testées, vous êtes mort. La règle 3-2-1 reste la base : 3 copies, 2 supports différents, 1 hors site. En 2026 on ajoute le "1 immuable".
Le top OWASP Web 2025
| # | Catégorie | Description rapide |
|---|---|---|
| A01 | Broken Access Control | Mauvaise gestion des droits (IDOR, privilege escalation) |
| A02 | Cryptographic Failures | Données non chiffrées ou avec algos obsolètes |
| A03 | Injection | SQLi, NoSQLi, command injection, XSS |
| A04 | Insecure Design | Faille à la conception, pas à l'implémentation |
| A05 | Security Misconfiguration | Défauts non changés, headers manquants, services exposés |
| A06 | Vulnerable Components | Dépendances obsolètes (CVE non patchées) |
| A07 | Identification & Auth Failures | Mots de passe faibles, sessions mal gérées |
| A08 | Software & Data Integrity Failures | Pipelines CI/CD non signés, mises à jour non vérifiées |
| A09 | Logging & Monitoring Failures | Pas de visibilité sur les attaques en cours |
| A10 | SSRF | Server-Side Request Forgery (accès interne via le serveur) |
OWASP Top 10 LLM & LLMOps NOUVEAU
Depuis 2024, l'OWASP publie un Top 10 spécifique aux applications à base de LLM :
- LLM01 — Prompt Injection (directe ou indirecte via documents/sites).
- LLM02 — Insecure Output Handling (sortie LLM exécutée/affichée sans contrôle).
- LLM03 — Training Data Poisoning.
- LLM04 — Model Denial of Service (saturation par requêtes coûteuses).
- LLM05 — Supply Chain Vulnerabilities (poids altérés, plugins compromis).
- LLM06 — Sensitive Information Disclosure.
- LLM07 — Insecure Plugin Design.
- LLM08 — Excessive Agency (l'agent peut faire trop de choses).
- LLM09 — Overreliance (confiance aveugle dans les sorties).
- LLM10 — Model Theft.
5. Le cas Mythos Quand l'IA est jugée « trop dangereuse »
Le contexte CAS D'ÉCOLE
En 2025, Anthropic (l'éditeur de Claude) a publiquement évoqué un modèle interne, surnommé Mythos, dont les capacités en cybersécurité offensive ont été jugées suffisamment puissantes pour ne pas être publié en l'état. C'est l'un des premiers cas où un modèle frontier est explicitement relié à un risque cyber concret.
Ce cas illustre une bascule : l'IA n'est plus seulement un outil de productivité pour les attaquants, c'est un amplificateur de capacité offensive autonome.
Pour creuser le sujet : notre article complet sur ce cas Claude Mythos — quand Anthropic juge son IA trop dangereuse pour être publiée.
Pourquoi c'est important pour la cybersécurité
- Auto-recon à l'échelle : un agent LLM peut cartographier des centaines d'organisations en parallèle, en quelques minutes.
- Exploitation autonome : identification d'une CVE, écriture du payload, adaptation au target — tout en boucle agentique.
- Phishing hyper-personnalisé : d'après LinkedIn, GitHub, l'historique mail public, l'agent compose un message quasi indiscernable d'un message légitime.
- Capacités "uplift" — un attaquant moyen accède à des techniques avancées jusque là réservées aux groupes APT.
Les réponses des éditeurs d'IA
Les laboratoires frontier (Anthropic, OpenAI, Google DeepMind, xAI) appliquent désormais des responsible scaling policies :
- Capability evaluations — tests offensifs avant publication.
- Niveaux de risque (ASL chez Anthropic, Preparedness chez OpenAI) qui déclenchent des restrictions selon les capacités.
- Refus de publier certains poids ou capacités jugées au-dessus du seuil.
- Red-teaming externe (UK AISI, US AISI, partenariats académiques).
Mais… les modèles open weights (Llama, Qwen, DeepSeek, Mistral) ne peuvent pas être "rappelés". Une fois publiés, ils peuvent être fine-tunés pour retirer les garde-fous. C'est l'un des débats majeurs de la sécurité IA en 2026.
6. L'IA en cybersécurité Épée à double tranchant
L'IA pour les défenseurs (Blue Team)
- Détection d'anomalies — modèles ML sur les logs réseau et endpoint.
- Triage automatique d'alertes — les SOC modernes utilisent un LLM pour résumer / prioriser des alertes.
- Threat hunting assisté — copilote LLM pour formuler des requêtes Splunk/Elastic.
- Code review sécurité automatique — SAST dopé aux LLM (Snyk Code, GitHub Copilot Autofix).
- Phishing-aware mailbox — analyse contextuelle des mails entrants par LLM.
L'IA pour les attaquants (Red Team / cybercriminels)
- Phishing à grande échelle — messages parfaitement rédigés, multilingues.
- WormGPT / FraudGPT — LLMs sans garde-fous vendus sur le dark web (mais souvent du vent ou des rapidos GPT-3.5 jailbreakés).
- Développement de malware — templates polymorphes, évasion EDR, obfuscation.
- Recon automatisée — OSINT, scrape LinkedIn/GitHub, profilage cible.
- Vuln scanning intelligent — identification automatique de CVEs exploitables sur un parc.
- Deepfakes audio/vidéo — CEO fraud, kidnapping virtuel, ingénierie sociale téléphonique.
Sécuriser les applications IA elles-mêmes
Mettre un LLM en production introduit de nouveaux risques :
- Prompt injection : le modèle suit des instructions cachées dans un document, un site web, ou même un nom de fichier.
- Data exfiltration : via tool-use, l'agent envoie des données sensibles vers un endpoint contrôlé par l'attaquant.
- Excessive agency : l'agent a trop de droits ; un prompt malicieux déclenche une action destructrice (suppression, paiement…).
- Jailbreak : contournement des garde-fous via reformulation ou contexte détourné.
Bonnes pratiques LLMOps : sanitiser les inputs, isoler les contextes (sandbox), valider les outputs (schéma JSON), limiter les outils accessibles, journaliser tous les appels d'outil, ajouter une "revue humaine" pour les actions sensibles.
7. Outils de défense SIEM, EDR, XDR, WAF & co.
Le vocabulaire des solutions Indispensable
| Acronyme | Nom complet | Rôle | Exemples |
|---|---|---|---|
| SIEM | Security Information & Event Management | Centralisation et corrélation des logs | Splunk, Elastic, Sentinel, Wazuh (OSS) |
| SOAR | Security Orchestration & Response | Automatisation des playbooks d'incident | Tines, XSOAR, Shuffle (OSS) |
| EDR | Endpoint Detection & Response | Surveillance + réponse sur poste/serveur | CrowdStrike, SentinelOne, Microsoft Defender |
| XDR | Extended DR | EDR + réseau + cloud + identité | Palo Alto Cortex, Defender XDR |
| NDR | Network DR | Détection sur le trafic réseau | Darktrace, Vectra |
| WAF | Web Application Firewall | Filtre HTTP applicatif (OWASP) | Cloudflare, F5, ModSecurity (OSS) |
| IAM | Identity & Access Mgmt | Identités + droits + SSO | Okta, Entra ID, Keycloak (OSS) |
| PAM | Privileged Access Mgmt | Comptes à privilèges, secrets | CyberArk, HashiCorp Vault |
| CSPM | Cloud Security Posture Mgmt | Audit configuration cloud | Wiz, Prisma Cloud, ScoutSuite (OSS) |
| DLP | Data Loss Prevention | Empêcher l'exfiltration de données | Symantec, Forcepoint, Microsoft Purview |
| ZTNA | Zero Trust Network Access | Accès sans VPN, par identité | Cloudflare Access, Tailscale, Twingate |
Le SOC moderne — Anatomie
Sources
endpoints, réseau, cloud, SaaS, IAM
endpoints, réseau, cloud, SaaS, IAM
→
SIEM
collecte, parse, corrèle
collecte, parse, corrèle
→
Analystes
SOC
L1 L2 L3 + IA
SOC
L1 L2 L3 + IA
→
SOAR
automatisation réponse
automatisation réponse
En 2026, l'IA est intégrée à chaque niveau : enrichissement des alertes, triage L1, suggestion de playbook, rédaction automatique du rapport d'incident.
8. Boîte à outils Du défenseur et du red team (en lab autorisé)
Pour les défenseurs Open source
- Wazuh — SIEM/HIDS open source complet.
- Elastic Security — SIEM basé sur Elastic, EDR intégré.
- Suricata / Zeek — IDS/NDR réseau open source.
- OSSEC / Wazuh agent — surveillance des fichiers, intégrité.
- TheHive + Cortex + MISP — gestion d'incidents + threat intelligence.
- Velociraptor — DFIR endpoint hunting.
- OpenVAS / GVM — scanner de vulnérabilités.
- Trivy / Grype / Syft — SCA, SBOM, scan de conteneurs.
- Falco — runtime security pour Kubernetes (CNCF).
- OpenSSL / Lego / certbot — PKI et automatisation TLS.
Pour les red teams autorisées / pentest
- Kali Linux / Parrot OS — distributions outillées.
- Nmap — scan de ports et services.
- Burp Suite — pentest web (proxy intercepteur).
- OWASP ZAP — alternative open source à Burp.
- Metasploit Framework — exploitation modulaire.
- Sqlmap — tests d'injection SQL.
- BloodHound / SharpHound — cartographie Active Directory.
- Mimikatz / Rubeus — extraction de credentials Windows.
- Hashcat / John the Ripper — cassage de hash.
- Responder / Impacket — tools réseau Windows/AD.
Cadre légal : ces outils ne s'utilisent qu'avec une autorisation écrite explicite du propriétaire du système ciblé. En France, l'article 323-1 du Code pénal sanctionne tout accès frauduleux à un STAD : 3 ans de prison + 100 000 € d'amende. Pas de zone grise.
Plateformes d'apprentissage et CTF
- Hack The Box — pentest, machines à rooter, parcours pro.
- TryHackMe — tutoriels guidés, parcours débutant à expert.
- Root-Me — plateforme française, large catalogue.
- OverTheWire / PortSwigger Web Security Academy — gratuits, pédagogiques.
- CTFtime — calendrier des CTF mondiaux.
- RangeForce / Cybrary — formation entreprise.
9. Réglementations RGPD, NIS2, DORA, AI Act, CRA
Le paysage européen 2026
| Texte | Périmètre | Date d'application | Sanction max |
|---|---|---|---|
| RGPD | Données personnelles, tout secteur | 2018 | 4% CA mondial ou 20M€ |
| NIS2 | Cyber des secteurs essentiels & importants | Oct. 2024 (transposition FR 2025) | 10M€ ou 2% CA |
| DORA | Résilience numérique du secteur financier | Janv. 2025 | 1% CA quotidien |
| EU AI Act | Systèmes IA selon niveau de risque | Aug. 2024 (paliers 2025-2027) | 35M€ ou 7% CA |
| EU Cyber Resilience Act | Produits avec composants numériques | 2027 | 15M€ ou 2,5% CA |
| eIDAS 2 | Identité numérique européenne (EUDI Wallet) | 2024-2026 | variable |
NIS2 — Ce qui change vraiment 2025
- Périmètre élargi : ~10x plus d'entités concernées que NIS1 (santé, espace, gestion des déchets, fabricants…).
- Notification d'incident en 24h (alerte initiale), 72h (rapport intermédiaire), 1 mois (rapport final).
- Responsabilité des dirigeants : la conformité cyber relève désormais du conseil d'administration.
- Audits supply chain : vous êtes responsable de la sécurité de vos prestataires critiques.
- ANSSI = autorité compétente en France ; renforcée par la loi de transposition 2025.
Référentiels à connaître
- ISO 27001 / 27002 — SMSI, mesures de sécurité.
- NIST CSF 2.0 — framework cyber décidant Identify / Protect / Detect / Respond / Recover / Govern.
- CIS Critical Security Controls — 18 contrôles concrets et priorisables.
- MITRE ATT&CK — matrice des tactiques et techniques d'attaquants (le Wikipédia du red team).
- OWASP ASVS / Top 10 — sécurité applicative web.
- HDS (FR) — Hébergement de Données de Santé (obligatoire pour les acteurs santé).
- SecNumCloud (FR) — qualification ANSSI pour le cloud souverain.
10. Bonnes pratiques Hygiène & hardening au quotidien
Hygiène minimale — Pour tout le monde
- MFA partout, surtout sur les comptes critiques (mail, banque, IAM, GitHub).
- Gestionnaire de mots de passe (1Password, Bitwarden, KeePassXC) avec mot de passe maître fort.
- Mises à jour automatiques activées sur OS, navigateurs, applis.
- Sauvegardes 3-2-1-1 (3 copies, 2 médias, 1 hors site, 1 immuable).
- Chiffrement disque (BitLocker, FileVault, LUKS) sur portables.
- Vigilance phishing : vérifier l'expéditeur, jamais cliquer dans la précipitation.
- Séparer comptes pro / perso — surtout sur les machines.
Hardening — Côté serveur / développeur
- SSH sans password (clés uniquement), root login désactivé, port custom + fail2ban.
- Principe du moindre privilège sur tous les comptes (CI/CD, DB, IAM cloud).
- Secrets dans un coffre (Vault, AWS Secrets Manager, Doppler), jamais en clair dans Git.
- HTTPS partout, HSTS, headers sécurité (CSP, X-Frame-Options, Referrer-Policy).
- WAF devant les apps publiques (Cloudflare, ModSecurity, BunkerWeb).
- Rate limiting sur toutes les routes d'auth, recherche, upload.
- SBOM + scan automatique en CI (Trivy, Grype, Snyk).
- Logs centralisés + alerting.
- Tests de restauration réguliers des backups (sinon ils n'existent pas).
- Plan de réponse à incident écrit, exercé au moins 1x/an.
Hardening — Côté humain & gouvernance
- Sensibilisation récurrente — campagnes phishing simulé tous les 2-3 mois.
- Onboarding / offboarding sécurisés — checklist claire, révocation immédiate des accès au départ.
- Politique BYOD claire ou interdiction nette.
- Cyber-assurance — mais pas comme substitut à la prévention (les primes explosent).
- Gestion de crise répétée — tabletop exercises avec direction générale, comm', juridique.
11. Roadmap d'apprentissage De curieux à analyste cyber
Mois 1-3 — Les bases Débutant
- Comprendre TCP/IP, DNS, HTTP/S, certificats, PKI.
- Installer un Linux, maîtriser bash et le système de fichiers.
- Lire les bases OWASP Top 10, CIA, AAA, Zero Trust.
- Faire les premiers parcours TryHackMe (Pre Security, Complete Beginner).
- Activer MFA sur tous ses comptes perso.
Mois 4-9 — Spécialisation Intermédiaire
- Voie défense (Blue) : Wazuh, Suricata, Splunk fundamentals, MITRE ATT&CK.
- Voie offensive (Red) : Burp Suite, Metasploit, Active Directory attacks (BloodHound).
- Lire les rapports d'attaque de Mandiant, CrowdStrike, ANSSI.
- Premières certifications : CompTIA Security+ (généraliste), Blue Team Level 1 (BTL1), eJPT (offensive).
Mois 10+ — Approfondissement Avancé
- Cloud security (CCSP, AWS/Azure security).
- DFIR, threat hunting, malware analysis.
- OffSec OSCP / OSEP / OSWE pour la voie offensive.
- Sécurité des LLMs et des agents (OWASP LLM Top 10).
- Suivre la veille : @vxunderground, Krebs on Security, CERT-FR, ANSSI bulletins.
Veille & ressources référence
- CERT-FR (ANSSI) — bulletins de sécurité FR.
- CISA — alertes US, Known Exploited Vulnerabilities.
- MITRE ATT&CK — matrice de référence.
- OWASP — Top 10 web, mobile, LLM.
- Krebs on Security — investigations cyber.
- The Hacker News — news quotidiennes.
- Cas Mythos — Blog NET&PRO — sur l'IA et les risques de capacités offensives autonomes.
Mantra final : en cybersécurité, il n'y a pas de "100% sécurisé". L'objectif est de réduire la surface d'attaque, ralentir l'adversaire, le détecter vite, limiter l'impact. Defense in depth, assume breach, et entraînement — comme une équipe sportive.