1) Accès & identités
Pilier de toute sécurité moderne : on protège d’abord les identités, car 8 à 9 incidents sur 10 commencent par un abus d’identifiants valides. L’objectif : authentifier fortement, limiter les privilèges, tracer et révoquer rapidement.
Authentification
Définition : processus qui vérifie qu’une personne ou un service est bien celui qu’il prétend. En pratique, il s’agit d’un ensemble de mécanismes (mot de passe, biométrie, certificats, clés FIDO2, OTP) orchestrés par une politique claire.
Enjeux métiers : réduire le risque d’usurpation, simplifier l’expérience utilisateur (SSO), et fournir des preuves à l’audit. Les directions attendent moins d’incidents, moins d’interruptions, et une conformité démontrable.
Contrôles essentiels : authentification moderne (OIDC/SAML), blocage des protocoles hérités (IMAP/POP/SMTP AUTH basique), MFA par défaut, surveillance des anomalies (géolocalisation improbable, impossible travel, adresses IP à risque).
Indicateurs : taux de comptes protégés par MFA, nombre d’authentifications legacy résiduelles, taux d’échec anormaux par segment d’utilisateurs, temps moyen de révocation après départ (JML).
MFA / 2FA
Principe : exiger au moins deux facteurs indépendants (connaissance, possession, inhérence). L’app d’authent (push / code temporel) et les clés de sécurité FIDO2 sont aujourd’hui les meilleurs compromis sécurité/ergonomie.
Bonnes pratiques : obligation MFA pour tous (y compris VIP et comptes techniques exposés), procédure d’enrôlement cadrée, codes de secours, et plan de ré‑enrôlement sans friction. Si possible, évoluer vers le passwordless (FIDO2 + PIN/biométrie).
Erreurs à éviter : dépendre du SMS (vulnérable au SIM‑swap), créer des exceptions permanentes, laisser des points d’entrée sans MFA (VPN, messagerie SMTP AUTH, consoles d’admin).
KPI : couverture MFA (objectif 100 %), taux d’authent passwordless, nb d’incidents liés à la compromission d’identifiants sur 90 jours.
IAM (Identity & Access Management)
Objectif : donner le bon accès à la bonne personne, au bon moment, pour la bonne raison. L’IAM englobe l’onboarding/offboarding (JML), les rôles (RBAC/ABAC), les revues périodiques, et la gouvernance des comptes à privilèges.
Mesures fortes : provisioning automatique (source RH), rôles standardisés par fonction, approbation et justification des accès sensibles, recertification trimestrielle des droits, et revues d’accès cross‑métiers.
Accès à privilèges : privilégier le JIT (Just‑In‑Time) avec élévation temporaire et traçabilité ; bannir les comptes partagés ; stocker secrets et mots de passe techniques dans un coffre‑fort ; journaliser l’usage.
Résultat attendu : réduction drastique du risque d’escalade, diminution du shadow admin, audit simplifié et décisions plus rapides.
2) Sécurité des postes & serveurs
L’end‑user device est la porte d’entrée privilégiée. Durcissement, EDR en mode blocage, patchs réguliers et suppression des privilèges locaux créent une barrière à fort ROI.
EDR (Endpoint Detection & Response)
Rôle : détecter les comportements suspects (process tree, in‑memory, exploitation, latéralisation) et permettre la réponse (isolement réseau, kill process, rollback).
Implémentation : couverture 100 % du parc (y compris serveurs), politiques durcies, alertes pertinentes (bruit maîtrisé), jeux d’actions rapides (playbooks), et intégration SOC/MDR.
Points d’attention : activer le mode blocage (pas seulement audit), éviter les exclusions trop larges, intégrer la télémétrie au SIEM si nécessaire, tester régulièrement la réponse (table‑top + exercices techniques).
Durcissement (Hardening)
But : réduire la surface d’attaque sans dégrader la productivité. Cela passe par des configurations standard sécurisées (CIS baselines, ASR rules, désactivation services inutiles).
Contrôles clés : chiffrement disque (BitLocker/FileVault) avec sauvegarde des clés, blocage ou restriction de PowerShell, blocage des macros non signées, contrôle des pilotes et des périphériques USB, blocage de l’exécution depuis %TEMP%.
Organisation : diffuser des images maîtrisées, appliquer des politiques MDM/Intune, valider via des tests d’acceptation et des KPIs de conformité.
Patch & configuration management
Constat : la majorité des attaques exploitent des vulnérabilités déjà corrigées. La clé est l’industrialisation : inventaire fiable, fenêtres de maintenance, canaux de validation, déploiements échelonnés.
SLA recommandés : critique < 7 jours ; important < 30 jours ; moyenne < 60 jours. Les exceptions doivent être temporaires, documentées et compensées (WAF, restriction réseau, surveillance accrue).
Mesure : % de postes conformes, délai médian d’application des patchs critiques, backlog de correctifs, taux de succès des déploiements.
3) Réseau & périmètre
Le périmètre reste utile (filtrage, egress, DNS, segmentation), mais l’architecture devient identity‑centric et applicative (ZTNA).
Pare‑feu / NGFW
Rôle : filtrer le trafic, inspecter, et appliquer des politiques applicatives. Dans les environnements modernes, l’accent est aussi mis sur le trafic sortant (egress) et le DNS.
Bonnes pratiques : filtrage sortant minimaliste (deny by default), contrôle DNS (résolveur d’entreprise, filtrage des domaines malveillants), inspection TLS si nécessaire (équilibre performance/confidentialité), journaux conservés et exploitables.
VPN & accès distants
Usage : nécessaire pour l’accès à des ressources internes. Cependant, préférer ZTNA quand c’est possible (accès par application, contrôle d’identité et posture device).
Mesures minimales : MFA obligatoire, posture device conforme, split‑tunneling maîtrisé, politiques d’accès granulaires, journaux d’accès conservés, et rotation des secrets/certificats.
4) Données & confidentialité
La donnée est le capital. On la cartographie, on la chiffre, on la sauvegarde et on en surveille les mouvements.
Chiffrement
Au repos : disques, bases de données, snapshots et sauvegardes doivent être chiffrés ; la gestion des clés (KMS) est critique (rotation, séparation des rôles, sauvegarde des clés).
En transit : TLS 1.2+ avec configurations fortes (HSTS côté web, MTA‑STS côté mail), interdiction des chiffrements obsolètes, suivi des erreurs de négociation.
En usage : plus avancé (confidential computing, enclaves) pour charges sensibles, mais pas nécessairement prioritaire en PME/ETI.
DLP (Data Loss Prevention)
Objectif : limiter les fuites de données par erreur ou malveillance. Commencer par des politiques simples : détection d’IBAN, de données RH, de secrets évidents.
Approche graduelle : monitor → educate → block pour éviter le rejet utilisateur ; accompagner de bannières et messages pédagogiques contextualisés.
Sauvegardes
Principe 3‑2‑1 : trois copies, deux supports, une hors ligne/immuable. Les sauvegardes cloud immuables sont une bonne option si testées.
Tests : une sauvegarde non testée n’est pas une sauvegarde. Effectuer des restaurations trimestrielles, mesurer RTO/RPO, documenter les runbooks et la cartographie des dépendances.
5) Vulnérabilités & correctifs
Processus continu : découvrir → prioriser → corriger → vérifier. Le tri s’appuie sur CVSS, exploitabilité, exposition et criticité métier.
Gestion des vulnérabilités
Découverte : scans authentifiés pour plus de précision, corrélation avec l’inventaire, et détection des assets exposés sur internet (shadow IT inclus).
Priorisation : CVSS n’est pas suffisant. Ajouter la présence d’exploits publics, l’exposition, la criticalité du système et la valeur métier. L’objectif est d’orienter l’action, pas de produire des rapports.
Remédiation : intégrer au système de tickets, définir des SLA et des responsables, suivre la tendance (backlog, délai médian, pourcentage corrigé).
Patch Management
Automatisation : WSUS/Intune/MDM pour Windows, dépôt d’entreprise pour Linux/macOS ; canaux pilotes puis déploiement par vagues ; reporting de conformité.
Exceptions : limitées dans le temps, approuvées, et accompagnées de mesures compensatoires.
6) Détection & réponse (SOC, SIEM, EDR/XDR)
La détection sans capacité de réponse ne suffit pas. Mieux vaut moins d’alertes et plus d’actions rapides et documentées.
SIEM
Rôle : centraliser les logs, corréler des signaux faibles, générer des alertes. La valeur provient des cas d’usage ciblés (authentifications, M365, EDR, VPN/Proxy, AD/Entra).
Qualité : horodatage cohérent, normalisation, rétention conforme, et suppression du bruit. Une poignée de cas d’usage utiles vaut mieux que 500 règles muettes.
SOC / MDR
Organisation : surveillance 24/7 externe si l’échelle interne manque. Contrats clairs (SLA détection/notification), procédures partagées, exercices conjoints.
Exécution : playbooks d’isolement réseau, rotation de secrets, sweeping d’IoC, communication de crise coordonnée.
7) Gouvernance, risque & conformité (PSSI, EBIOS RM, RGPD)
Une PSSI courte et des analyses de risques orientées décisions : priorité aux mesures qui réduisent le risque réel et sont mesurables.
PSSI
Format : 10–15 pages utiles qui fixent le cap ; des annexes techniques vivantes gèrent les détails (durcissement, patch, journalisation).
Vie du document : revue annuelle, diffusion, rattachement aux obligations (client, bailleur, secteur) et indicateurs de suivi.
EBIOS RM
Finalité : produire des scénarios d’attaque crédibles et actionnables, décider des mesures et estimer le risque résiduel.
Pratique : ateliers courts, assets et événements redoutés, sources de menace, chemins d’attaque, mesures ; aboutir à une trajectoire 90 jours avec gains visibles.
RGPD
Incontournable : registre des traitements, bases légales, DPA avec sous‑traitants, registre des violations, privacy by design, PIA pour traitements à risque.
Cloud : si hors UE, encadrement contractuel + mesures supplémentaires ; attention à la réalité des flux et des journaux.
8) Menaces & scénarios d’attaque
Ransomware, phishing/BEC et expositions cloud mal configurées concentrent la majorité du risque pour PME/ETI.
Ransomware
Chaîne d’attaque : phishing → vol d’identifiants → exécution initiale → élévation de privilèges → mouvement latéral → exfiltration → chiffrement.
Parades : MFA, EDR en blocage, patchs rapides, segmentation, sauvegardes immuables testées, durcissement des identités et du répertoire (AD/Entra).
Exercice : décider à froid des seuils de bascule (reconstruction vs restauration), responsabilités et messages externes.
Phishing & BEC
Technique : SPF/DKIM/DMARC jusqu’à p=reject, protection des liens et pièces jointes, isolation des URL à risque.
Organisation : double validation des virements, campagnes de sensibilisation courtes et fréquentes, canaux de signalement simples.
Shadow IT
Risque : données dans des services non maîtrisés, absence de journalisation et de rétention, comptes orphelins.
Réponse : catalogue SaaS autorisé, processus simple d’ajout, visibilité CASB ou équivalent, sanctions proportionnées et pédagogie.
9) Architecture & résilience
La résilience se construit : segmentation, PRA/PCA testés, dépendances cartographiées et jeux de bascule documentés.
Segmentation réseau
Principe : cloisonner pour limiter la propagation et protéger les actifs sensibles. Séparer utilisateurs, serveurs, admin, OT/industriel ; filtrer les flux nécessaires uniquement.
Approfondissement : micro‑segmentation pour charges critiques, contrôle est/ouest, et durcissement des bastions d’admin.
PRA / PCA
Cadrage : RTO/RPO fixés par le métier ; scénarios de désastre réalistes (perte site, ransomware, fournisseur critique indisponible).
Exécution : listes de contacts, procédures pas‑à‑pas, tests semestriels, leçons apprises et mises à jour.
10) Sécurité du Cloud & SaaS
Shared Responsibility Model : le fournisseur sécurise l’infra ; vous, la configuration et les données. La majorité des incidents cloud = erreurs de configuration.
CSPM / posture cloud
Contrôles : interdiction du stockage public non voulu, rotation des secrets et clés, MFA pour tous, rôles minimaux, détection d’expositions et de privilèges excessifs.
Opération : revues de posture régulières, intégration avec l’IAM et les tickets, corrections suivies par SLA.
Identités cloud
Mécanismes : Conditional Access, exigences de posture (device compliant), PIM pour les privilèges temporaires, auditing.
Objectif : réduire les sessions à risque, les privilèges permanents et l’usage de comptes techniques non gérés.
11) Email & messagerie
Vecteur n°1 des attaques. Renforcer l’authentification de domaine et la protection du contenu.
Anti‑phishing
Contrôles : Safe Links / équivalents, sandbox de pièces jointes, réécriture d’URL, quarantaine et workflows simples pour les équipes support.
Culture : messages d’avertissement, formation continue, tableaux de bord de campagne avec retours individualisés.
Authentification de domaine (SPF/DKIM/DMARC)
Parcours : commencer en p=none pour surveiller, corriger les émetteurs légitimes (alignement SPF/DKIM), monter en p=quarantine puis p=reject.
Compléments : MTA‑STS + TLS‑RPT pour durcir la négociation TLS entre serveurs.
12) Applications, Dev & API (DevSecOps)
Intégrer la sécurité dans le cycle de vie. Automatiser là où c’est rentable et accepter la simplicité utile.
DevSecOps pragmatique
Contrôles : SAST/DAST sur pipelines clés, SBOM pour dépendances, surveillance des vulnérabilités, secrets hors Git (vault).
Protection en production : WAF devant les applis exposées, journalisation exploitable, gestion d’incident applicatif.
API sécurisées
Standards : OAuth2/OIDC pour l’auth, scopes et rôles, rate limiting, quotas, et versionning propre.
Opération : journaux détaillés, dépréciation planifiée, documentation à jour pour éviter le contournement.
13) Identity‑first & Zero Trust
Ne jamais faire confiance par défaut. Vérifier identité, appareil et contexte à chaque accès.
Mise en œuvre en étapes
Étape 1 : MFA + authentification moderne uniquement (bloquer legacy).
Étape 2 : conformité des devices (chiffrement, EDR, patchs).
Étape 3 : Conditional Access (géos, risques, apps sensibles).
Étape 4 : ZTNA/micro‑segmentation pour les apps internes.
Étape 5 : journalisation et détection continue, KPIs de posture.
14) Sécurité Microsoft 365 & endpoints Windows
Contrôles rapides à forte valeur : MFA, Safe Links, DLP, Defender for Endpoint en blocage, BitLocker et durcissement via Intune.
Contrôles recommandés
Identités : MFA obligatoire, blocage legacy auth, politiques par rôle (admins/VIP plus strictes).
Contenu : Safe Links/Safe Attachments, DLP sur Teams/SharePoint/Exchange.
Endpoint : Defender en blocage + isolement réseau ; BitLocker + escrow des clés ; règles ASR ; suppression admin local (LAPS si besoin).
15) Tiers, infogérance & fournisseurs
Les risques s’étendent à votre chaîne. Exiger des contrôles minimaux, des preuves et une réversibilité.
Exigences clés
Clauses : MFA obligatoire, journaux accessibles, notification d’incident et délais, tests d’intrusion périodiques, gestion des sous‑traitants.
Gouvernance : droits d’audit, réversibilité, RPO/RTO contractuels, revues annuelles avec preuves (certifications, rapports de pentest).
16) Sensibilisation & facteur humain
Former court et souvent, contextualiser, mesurer. La culture est un contrôle.
Programme efficace
Format : micro‑modules trimestriels, scénarios concrets liés à l’activité (finance, achats, RH, production).
Mesure : progression par équipe, taux de clic en phishing simulé, temps de signalement, remontées de quasi‑incidents.
17) Tableau de bord sécurité (KPI COMEX/DSI)
Des indicateurs visibles, actionnables, stables dans le temps et reliés à la trajectoire 90 jours.
Indicateurs proposés
Couverture MFA (objectif 100 %), authent legacy résiduelle (objectif 0).
% postes conformes (EDR, patchs < 30 j).
Délai médian de correction des vulnérabilités critiques.
Taux de restauration testée (et succès).
DMARC en reject (oui/non).
Incidents majeurs : nombre, impact, délai de détection/réponse.
18) Plan d’actions 90 jours (diagnostic → mesures mesurables)
Cadre simple : J0–20 diagnostic, J20–60 déploiements, J60–90 consolidation.
J0–20 : Diagnostic ciblé
Inventaire : identités, endpoints, SaaS clés, sauvegardes.
Revue : MFA, Conditional Access, EDR, patchs, DMARC, sauvegardes.
3 scénarios d’attaque (phishing + credential theft, ransomware, BEC).
J20–60 : Déploiements
MFA 100 %, blocage legacy.
EDR en blocage sur tout le parc.
BitLocker/FileVault généralisé.
Backlog patch critique résorbé.
DMARC → reject ; sauvegardes immuables + tests.
Runbooks incidents + routines hebdo.
J60–90 : Consolidation
KPI COMEX publiés.
DLP simple + sensibilisation ciblée.
Revues d’accès (JML, comptes à privilèges).
PRA mis à jour et testé.
19) FAQ
Réponses courtes aux objections les plus fréquentes.
MFA : par où commencer ?
Activer MFA obligatoire via application d’authentification ; préparer codes de secours et procédure de ré‑enrôlement ; viser le passwordless quand possible.
EDR vs antivirus ?
L’EDR observe les comportements et permet la réponse active (isoler, tuer, remédier) ; l’antivirus traditionnel repose surtout sur des signatures.
DMARC : passer en reject sans casser la messagerie ?
Surveiller (p=none), corriger les émetteurs légitimes (alignement SPF/DKIM), monter vers p=quarantine puis p=reject avec suivi.
Sauvegardes : quels tests et fréquence ?
Test de restauration trimestriel, vérification des RTO/RPO, procédures documentées et responsabilités claires.
Zero Trust : par quelles étapes commencer ?
MFA + auth moderne, conformité device, Conditional Access, ZTNA/micro‑segmentation, journalisation continue.
Ransomware : 80 % des cas stoppés par ?
MFA, EDR en blocage, patchs rapides, segmentation, sauvegardes immuables, durcissement des identités.
20) SEO & migration éditoriale (remplacer vos anciens articles)
Objectif : concentrer l’autorité sur une page pilier, éliminer la cannibalisation, simplifier l’UX et l’entretien.
Plan d’action
Créer la page pilier (slug : /glossaire-cybersecurite/).
Réécrire H1/H2 pour couvrir les intentions (MFA, EDR, DMARC, PRA, DLP, Zero Trust, RGPD, EBIOS RM, Ransomware, SOC, SIEM, CSPM…).
Maillage interne depuis Offres, À propos, Audit 90 jours.
301 des anciens billets vers les ancres pertinentes ; surveiller Search Console (requêtes, positions, CTR, 404).
Annexe A — Checklists opérationnelles par domaine
Accès & identités — Checklist 15 points
1) MFA obligatoire pour 100 % des comptes (y compris VIP).
2) Authentification legacy bloquée (IMAP/POP/SMTP AUTH basique).
3) Passwordless déployé sur les fonctions sensibles (FIDO2).
4) JML automatisé (source RH).
5) Revue d’accès trimestrielle.
6) Comptes à privilèges en JIT (PIM).
7) Coffre‑fort à secrets pour comptes techniques.
8) Rotation régulière des secrets.
9) Politique de mot de passe conforme (longueur, lockout).
10) Accès conditionnels (CA) avec posture device.
11) Géolocalisation improbable détectée.
12) Sessions à risque bloquées.
13) Rapports mensuels DSI/COMEX.
14) Procédure de ré‑enrôlement MFA sans friction.
15) Journalisation centralisée.
Postes & serveurs — Checklist 15 points
1) EDR couverture 100 % en blocage.
2) BitLocker/FileVault généralisé.
3) ASR rules activées.
4) Macros non signées bloquées.
5) PowerShell restreint.
6) Exécution depuis %TEMP% bloquée.
7) Périphériques USB contrôlés.
8) Patchs critiques < 7 j.
9) Backlog patch maîtrisé.
10) Inventaire fiable.
11) Images standard sécurisées.
12) Exceptions documentées, temporaires.
13) Tests réguliers de réponse EDR.
14) Journaux vers SIEM.
15) KPI de conformité publiés.
Réseau & cloud — Checklist 15 points
1) Egress par défaut refusé.
2) DNS d’entreprise + filtrage malveillant.
3) Segmentation par zones.
4) ZTNA sur applis internes clés.
5) VPN MFA + posture.
6) WAF devant applis exposées.
7) CSPM actif.
8) Stockage public interdit.
9) Secrets/clé rotation.
10) Rôles minimaux.
11) PIM sur privilèges cloud.
12) Journaux de contrôle d’accès.
13) MTA‑STS + TLS‑RPT.
14) DMARC en reject.
15) Tests PRA cloud.
Annexe B — Modèle court de PSSI (extrait)
Principes
1) Identity‑first : toute décision d’accès s’appuie sur une identité forte et la posture device.
2) Moindre privilège : droits minimaux, temporaires, tracés.
3) Défense en profondeur : contrôles complémentaires du device au cloud.
4) Mesure : indicateurs stables, revues trimestrielles.
Règles synthétiques
Accès : MFA obligatoire, CA strict pour admins/VIP.
Postes : EDR blocage, chiffrement disque, patchs rapides.
Données : sauvegardes 3‑2‑1, DLP simple, chiffrement généralisé.
Incidents : runbooks, astreinte claire, communication cadrée.
Annexe C — Modèle de runbook incident (extrait)
Ransomware — 8 étapes
1) Détection confirmée (EDR/SOC).
2) Isolement des segments affectés.
3) Arrêt contrôlé de services critiques.
4) Activation cellule de crise (IT, juridique, com, DG).
5) Éradication : sweeping IoC, rotation secrets, patchs.
6) Restauration à partir des sauvegardes immuables.
7) Validation métiers et reprise graduelle.
8) Retour d’expérience et mesures complémentaires.
Annexe D — Vocabulaire “terrain” pour PME industrielles & bailleurs
Adaptation du discours
Mettre en avant la continuité d’activité, la protection des paiements et de la chaîne fournisseur, la sécurité des accès prestataires, et la simplicité d’usage pour les équipes de terrain.
Illustrer par des exemples concrets : segmentation d’un atelier, accès temporaires d’un mainteneur, PRA d’un outil de production, validation des IBAN, etc.
