Dans un contexte où les cybermenaces gagnent en ampleur et en sophistication, la capacité des organisations à connaître précisément leur surface d’exposition devient un enjeu vital. Emmanuel Serrurier, Directeur des ventes France d’Armis, partage son analyse sur cette évolution des risques et sur la nécessité pour les entreprises d’adopter une approche proactive de leur sécurité numérique.
Le clavier est devenu une arme de guerre. Cette alerte, lancée par le secrétaire à la Défense britannique illustre un basculement : l’IA accélère et sophistique les cyberattaques, brouille la frontière entre monde numérique et physique, et met sous pression États, infrastructures et entreprises de tous secteurs. Dans ce contexte, comprendre et maîtriser sa cyber exposition n’est plus une option, mais un impératif stratégique pour anticiper les risques.
La transformation numérique, la convergence entre les mondes IT et OT, l’essor du cloud, la généralisation du télétravail et la multiplication des objets connectés ont considérablement élargi la surface d’attaque des organisations. Dans cette complexité croissante, beaucoup de connexions restent mal comprises, mal sécurisées ou tout simplement ignorées. Et c’est précisément dans ces zones grises que se nichent des vulnérabilités inattendues : un système de gestion de bâtiment, une machine industrielle vieillissante, un dispositif tiers, un téléphérique ou même un aquarium connecté peuvent devenir des portes d’entrée pour les cybercriminels. Ce qui semblait anodin hier peut aujourd’hui servir de tremplin à une attaque d’envergure.
Dans les environnements opérationnels, la fragilité atteint un niveau critique. Les systèmes legacy et les objets connectés les plus sensibles demeurent souvent intouchables, car les mettre à jour reviendrait à interrompre la production, un risque que beaucoup d’organisations refusent de prendre. La récente série de cyberattaques visant les grandes enseignes de la distribution, comme Marks & Spencer, en est une parfaite illustration. La faille subie par M&S a paralysé les commandes en ligne pendant près de deux mois, compromis les données clients, et devrait coûter à l’entreprise près de 300 millions de livres de résultat opérationnel, sans compter les dégâts sur son image de marque. En France, la maison Cartier a été victime d’une cyberattaque touchant son site web et les données de ses clients. Et ce n’est pas un cas isolé, ces derniers mois, des marques comme The North Face, Victoria’s Secret, Adidas ou Dior ont également subis des intrusions dans leurs données clients ouvrant la voie à d’éventuelles campagnes de phishing.
Pendant ce temps, le cybercrime continue de se réinventer. Comme le souligne Europol, la disparition d’un groupe de ransomware ou la fermeture d’un marché sur le Dark Web ne marquent jamais la fin d’une menace. À l’image de l’Hydre, chaque tête coupée en fait surgir deux autres, plus rapides, adaptatives et insaisissables. Ce paysage de menaces en perpétuelle mutation évolue désormais plus vite que les défenses ne peuvent s’adapter. L’intelligence artificielle accentue encore ce déséquilibre, en orientant les attaques vers les maillons les plus fragiles des infrastructures numériques : les chaînes logistiques, les systèmes industriels ou les services en ligne. Les rançons, elles, atteignent désormais des montants vertigineux, parfois plusieurs millions d’euros par incident. Et derrière certaines attaques, l’argent n’est même plus la véritable motivation, des acteurs étatiques y voient dorénavant une opportunité de déstabiliser, perturber ou exploiter des failles à des fins stratégiques. L’impact géopolitique devient alors aussi déterminant, sinon plus, que les pertes économiques.
Bâtir un bouclier proactif
Les RSSI doivent changer de posture et placer la gestion de la cyber exposition au cœur de leur stratégie. Il ne s’agit pas d’un simple outil ou d’un tableau de bord, mais d’une approche stratégique continue permettant d’identifier, d’évaluer, de hiérarchiser et de réduire les risques cyber à l’échelle de l’ensemble de l’écosystème d’une organisation. Cela suppose d’abord d’obtenir une visibilité totale : savoir exactement quels actifs physiques, virtuels, cloud ou on-premise composent l’environnement. Chaque appareil, connexion ou vulnérabilité potentielle doit être identifié pour permettre de prioriser les risques et anticiper les menaces. Mais cette cartographie brute ne suffit pas : il faut comprendre le rôle opérationnel de chaque actif, sa criticité, ses dépendances. Prenons l’exemple d’un environnement de commerce d’aujourd’hui composé à la fois de caméras de sécurité, de bornes de recharge, de lecteurs de paiement, de kiosques en libre-service… soit autant de points d’entrée possibles et de systèmes qui interagissent les uns avec les autres. Sans cette lecture contextuelle, impossible de hiérarchiser les risques. C’est précisément cette approche qui devient vitale dans les environnements critiques où la résilience ne peut être compromise comme la santé, l’industrie, la logistique ou la distribution. Des écosystèmes complexes où se côtoient systèmes hérités, IoT, plateformes tierces et services cloud… et où les outils traditionnels atteignent rapidement leurs limites. Mais la véritable valeur réside dans ce qui suit. Grâce à une compréhension approfondie de leur environnement, les organisations peuvent agir sur l’ensemble de leur écosystème, anticiper les zones où les menaces sont les plus susceptibles d’apparaître et renforcer ces points vulnérables avant qu’ils ne soient exploités.
Si les attaquants n’hésitent plus à s’appuyer sur l’IA pour cartographier leurs cibles, automatiser la reconnaissance ou faire évoluer un malware en temps réel, les équipes de sécurité doivent adopter la même logique offensive pour digérer des volumes massifs de données, classer automatiquement les dispositifs et isoler les risques prioritaires. Dans un paysage où les attaques se multiplient, gagnent en vitesse et en sophistication, la maîtrise de sa surface d’attaque est la première ligne de défense, mais aussi le seul levier capable de protéger durablement les organisations en les plaçant dans une posture réellement proactive.
