Grok sous enquête mondiale pour deepfakes sexuels, régulateurs mobilisés face aux risques juridiques et cyber. Des deep fakes qui ne sont pourtant pas une nouveauté !...
Une fuite de données Instagram toucherait des millions d’utilisateurs, exploitée pour phishing et usurpation d’identité. ZATAZ avait alerté... en 2024 !...
Annoncée juste avant les fêtes de Noël, l’acquisition d’Armis, spécialiste de la sécurité cyber-physique d’origine israélienne fondée en 2015, pour 7,75 milliards $ en cash, marque la plus importante transaction de ServiceNow à ce jour.
L’opération, qui doit être boucler au second semestre, vise à tripler l’empreinte cybersécurité de ServiceNow, qui a dépassé 1 milliard $ de ventes au troisième trimestre 2025, en étendant sa nouvelle plateforme unifiée de » Cyber Exposure Management » à des secteurs critiques comme la fabrication, la santé et les infrastructures.
Complémentarité des technologies
Fondée sur une approche « agentless », Armis s’est imposée comme un acteur clé de la découverte en temps réel des actifs et de la gestion de l’exposition cyber. Sa plateforme couvre l’ensemble des environnements IT, OT, IoT et les dispositifs médicaux connectés, offrant une visibilité continue sur la surface d’attaque cyber-physique.
La visibilité temps réel d’Armis sur les actifs non gérés (OT, IoT, cloud) viendra enrichir la CMDB de ServiceNow, avec des données contextualisées sur les vulnérabilités et les comportements anormaux. Ces données alimenteront ensuite les workflows ServiceNow pour automatiser la priorisation des risques, la gestion des incidents et la remédiation, en tenant compte de la criticité métier.
Par exemple, cela pourrait réduire le temps moyen de résolution des incidents OT dans l’industrie, renforcer la protection en temps réel des dispositifs médicaux ou anticiper les menaces sur des actifs sensibles.
« Nous construisons la plateforme de sécurité de demain pour l’ère de l’IA », résume Amit Zavery, COO de ServiceNow.
En combinant workflows IT, automatisation et visibilité cyber-physique, l’éditeur se positionne face à des acteurs spécialisés comme Palo Alto Networks ou CrowdStrike, avec une approche plus transverse et orientée métier.
Armis et ServiceNow étaient déjà partenaires, ce qui devrait faciliter une intégration plus rapide.
Aussi longtemps qu’ils peuvent se déplacer latéralement dans votre environnement, les attaquants ne seront pas gênés par votre PAM. Quant aux cases de « conformité » cochées dans votre IGA, elles n’ont pas de poids si les décisions d’accès sont basées sur des informations obsolètes.
Ces éléments font partie du pitch de SGNL, qui vante, par leur intermédiaire, l’aspect « temps réel » de sa solution de gestion des accès.
Le positionnement cette entreprise américaine a séduit CrowdStrike, parti pour s’en emparer pour une somme qui dépasserait les 700 M$. Il entend combiner la technologie à sa plate-forme Falcon, qui verra ainsi ses capacités d’autorisation contextuelle étendues au-delà d’Active Directory.
Avec Seraphic Security, CrowdStrike met un pied dans les navigateurs
CrowdStrike vient d’annoncer un autre projet d’acquisition, estimé à environ 420 M$. La cible, basée en Israël, s’appelle Seraphic Security. Elle commercialise une technologie de protection des navigateurs – et des apps Electron – basée sur un agent qui vient se placer au-dessus du moteur JavaScript.
Ces derniers temps, Seraphic Security a insisté sur la protection qu’il dit apporter contre les menaces liées à l’usage d’IA (fuites de données, injections de prompts, violations de conformité…). Il joue plus globalement l’alternative à de nombreuses solutions : VDI, VPN, SWG (passerelles web sécurisées), RBI (isolation de navigateur à distance), etc. Tout en se positionnant comme un complément aux EDR, en apportant de la visibilité sur l’activité dans les navigateurs.
Seraphic Security s’est déjà intégré à quelques EDR, dont ceux de Microsoft … et de CrowdStrike. Les jonctions avec la plate-forme Falcon touchent aussi, entre autres, à la sandbox et au score d’évaluation zero trust.
2020-2025 : des acquisitions sous le signe du zero trust, puis de la sécurité du cloud
En 2025, CrowdStrike avait officialisé deux acquisitions.
L’une, estimée à 290 M$, a porté sur Onum, un spécialiste de la télémétrie. Son architecture in-memory sans état doit permettre de fiabiliser l’ingestion de données dans Falcon et permettre d’amorcer leur analyse en amont, au niveau des pipelines.
L’autre opération, estimée à 260 M$, a visé Pangea. Elle est censée étendre les capacités EDR de CrowdStrike à l’IA, sur l’ensemble de son cycle de vie.
Deux acquisitions avaient également été annoncées en 2024. Elles ont témoigné d’une volonté de renforcement sur la sécurité du cloud. D’un côté, Flow Security (200 M$ ; gestion de la posture de sécurité des données). De l’autre, Adaptive Shield (300 M$ ; gestion de la posture de sécurité du SaaS).
L’acquisition de Bionic, effectuée en 2023 pour un montant estimé à 350 M$, reflétait cette même volonté. Avec elle, CrowdStrike a élargi ses capacités AppSec et ouvert la voie à une composante CIEM, en apportant une visibilité sur l’exécution des applications sur les infras cloud.
En 2022, la gestion de la surface d’attaque externe fut étendue avec Reposify. En 2021, on avait parlé sécurité des données avec SecureCircle. CrowdStrike en avait présenté l’acquisition comme un levier d’extension de son approche zero trust. Il avait adopté un discours semblable en 2020 à l’heure de mettre la main sur Preempt Security (gestion des accès ; 96 M$). Entre-temps, il s’était offert Humio (400 M$) et sa technologie d’ingestion/analyse de logs.
FLASH SPÉCIAL : Un ado de 18 ans vient de cracker la sécurité du Pentagone américain. Ah non pardon, c'est pas une news, c'est de l'histoire ancienne. Mais franchement, quelle histoire ! Ehud Tenenbaum, alias The Analyzer, a réussi ce que bien des services secrets n'osaient même pas rêver : infiltrer les réseaux non classifiés du Département de la Défense américain depuis sa chambre d'adolescent à Hod HaSharon.
Vous savez ce qui m'a plu dans cette histoire ? C'est qu'à l'époque, en 1998, j'étais moi-même en train de bidouiller mes premiers scripts sur mon Pentium 200 MHz, et pendant que je galérais à faire fonctionner tout ça, ce gamin faisait trembler l'oncle Sam. En plus, en février 1998, les USA sont en pleine opération Desert Fox contre l'Irak alors quand le DoD a détecté les intrusions, la première réaction a été la panique... et si c'était Saddam Hussein qui contre-attaquait ? Bah non, c'était juste un ado avec son clavier.
Mais alors qui était ce gamin ?
Ehud "Udi" Tenenbaum naît le 29 août 1979 à Hod HaSharon, une petite ville tranquille d'Israël. Rien ne prédestinait ce môme à devenir l'un des hackers les plus célèbres de la planète. D'ailleurs, il souffrait de dyslexie, un handicap qui aurait pu le freiner, sauf qu'Ehud avait un truc en plus : des capacités dingues en math et en sciences. À 15 ans, il s'auto-forme au hacking armé de sa curiosité, et une connexion internet.
À 18 ans, Ehud fait ensuite son service militaire obligatoire dans Tsahal. Mais bon, l'armée et lui, ça fait pas bon ménage. Suite à un accident de voiture, il est libéré de ses obligations militaires. Et c'est là que tout va basculer.
Car Ehud ne travaille pas seul. Il monte une petite équipe avec d'autres hackers : deux adolescents en Californie (connus sous les pseudos Makaveli et Stimpy) et possiblement d'autres contacts en Israël. Tenenbaum joue le rôle de mentor technique, le cerveau qui orchestre l'opération et petit détail qui tue : Solar Sunrise, c'est pas le nom que le groupe s'est donné mais le nom de code que les autorités ont attribué à l'enquête. Solar comme Solaris, l'OS qu'ils ont hacké.
Pendant que le monde entier suit l'affaire Monica Lewinsky, pendant que les États-Unis bombardent l'Irak, Ehud et ses complices préparent discrètement l'une des cyberattaques les plus audacieuses de l'histoire.
Pour arriver à leurs fins, ils exploitent une faille dans Solaris 2.4, précisément dans le service rpc.statd qui tourne avec les privilèges root. Le truc foufou (ou flippant selon comment on voit les choses) c'est que cette vulnérabilité était connue depuis décembre 1997. Les patchs étaient disponibles, mais personne ne les avait appliqués.
Leur attaque se déroule en quatre phases ultra-méthodiques : reconnaissance des cibles, exploitation de la faille, déploiement de backdoors, et exfiltration de données. Ils ne frappent pas une cible après l'autre comme dans les films. Non, ils propagent leur intrusion simultanément sur plusieurs sites : bases de l'Air Force, de la Navy, systèmes de la NASA, universités sous contrat militaire, et des systèmes du DoD. Au total, plus de 500 systèmes infiltrés.
Heureusement, ils n'ont pas pénétré les systèmes les plus secrets du Pentagone mais uniquement des réseaux non classifiés. Mais même sur des systèmes non classifiés, vous avez des informations opérationnelles sensibles. Des backdoors installées, des sniffers qui capturent les mots de passe, des accès qui auraient pu être exploités autrement... John Hamre, le Deputy Defense Secretary de l'époque, qualifiera l'attaque de "la plus organisée à ce jour" contre les systèmes militaires américains.
Mais tout faux empire finit par s'effondrer.
Le FBI, la NSA, l'Air Force OSI et le Shin Bet israélien unissent leurs forces. Et vous le savez, les intrusions laissent des traces. Des serveurs intermédiaires, des rebonds, des adresses IP qui finissent par pointer vers Israël. La coopération internationale se met alors en place.
Le 18 mars 1998, Ehud Tenenbaum se réveille dans son appartement de Hod HaSharon. Sauf que ce matin-là, il ne se réveille pas avec une envie de pisser. Il se réveille avec la police israélienne dans son salon. Fin de l'aventure pour The Analyzer.
La réaction médiatique est immédiate. D'abord, le soulagement : ce n'est pas une attaque étatique irakienne. Mais ensuite, le choc : des adolescents ont paralysé les défenses informatiques du DoD. Et cette affaire va contribuer à la création de la Presidential Decision Directive/NSC-63, la politique de cybersécurité nationale des États-Unis.
L'affaire met trois ans à arriver devant les tribunaux. En 2001, Ehud Tenenbaum plaide coupable. La sentence initiale ? Six mois de travaux d'intérêt général. Léger, non ? Le procureur fait appel et en juin 2002, le tribunal alourdit la peine : 18 mois de prison. Mais grâce au système de libération conditionnelle israélien, qui permet une libération après environ 50% de la peine purgée, Ehud ne purge qu'environ 8 mois.
Sorti de prison, Ehud tente de se ranger. En 2003, il fonde 2XS Security, une société de conseil en sécurité et son idée c'est d'utiliser sa notoriété pour faire du consulting. Le hacker devenu consultant, c'est un classique, mais la tentation revient. Toujours.
Ehud Tenenbaum, désormais âgé de 29 ans, monte un nouveau coup. Ce qu'il veut c'est hacker les systèmes d'institutions financières américaines et canadiennes, voler des informations de cartes bancaires par milliers, les charger sur des cartes prépayées, puis utiliser un réseau international de "mules" pour retirer l'argent aux distributeurs.
Sa cible principale est Direct Cash Management, une boîte de Calgary, en Alberta. Et sa technique c'est une bonne vieille injection SQL pour accéder à la base de données. Classique mais efficace.
Le butin ? Environ 1,8 million de dollars canadiens (soit ~1,7 million USD) rien que pour Direct Cash Management. Mais l'opération visait aussi d'autres cibles américaines : OmniAmerican Credit Union au Texas, Global Cash Card. Au total, les pertes estimées dépassent les 10 millions de dollars.
Ehud travaille avec des complices, dont sa fiancée Priscilla Mastrangelo à Calgary. Les charges contre elle seront finalement abandonnées, mais son implication reste floue.
De leur côté, le FBI et la GRC (Gendarmerie royale du Canada) ne chôment pas. Et en septembre 2008, Ehud Tenenbaum est arrêté au Canada et détenu au Calgary Remand Centre, en Alberta. L'extradition vers les États-Unis va prendre du temps.
En 2012, après quatre ans de procédure, Ehud accepte un plea bargain. La sentence ? Le temps déjà passé en détention (time served), 503 000 dollars de restitution et trois ans de mise à l'épreuve. Fin de l'affaire américaine.
Toutefois, l'histoire ne s'arrête pas là car en novembre 2013, Ehud Tenenbaum est de nouveau arrêté en Israël, cette fois pour blanchiment d'argent à grande échelle. Quand est-il rentré en Israël ? Ça, les archives publiques ne le disent pas, quand à l'issue de cette affaire, c'est un mystère total. Certaines sources évoquent une condamnation à sept ans de prison, d'autres restent floues. Ce qui est sûr, c'est que l'issue de cette troisième arrestation reste dans le brouillard des archives publiques accessibles.
Au final, quel est l'héritage d'Ehud Tenenbaum ? Solar Sunrise a été le premier grand wake-up call cybersécurité pour les États-Unis. Il a prouvé que des adolescents pouvaient paralyser une infrastructure militaire. Il a forcé le DoD à prendre la cybermenace au sérieux. Et il a contribué à façonner la politique de cybersécurité nationale américaine.
Tenenbaum était un génie technique incontestable. Un mec capable de détecter les failles que personne ne voyait, de comprendre les systèmes mieux que leurs créateurs. Et pourtant, il n'a jamais pu résister à la tentation. Comme d'autres hackers légendaires tels que
Kevin Mitnick
ou
Gary McKinnon
, Tenenbaum illustre également cette trajectoire fascinante où le génie technique côtoie l'incapacité à s'arrêter.
BreachForums, Shiny Hunters, James : analyse cyber d’un manifeste en ligne mêlant renseignement, intimidation informationnelle... et diffusion de la base de données de BreachForums....
Lock-in, contrôle limité sur les mises à jour logicielles, exposition potentielle à la surveillance et aux réglementations étrangères… Finalement, le secteur européen de l’énergie est largement confronté aux mêmes risques que d’autres industries.
Ce constat ressort d’une étude réalisée à la demande de l’UE. Elle dresse un état des lieux de la dépendance à des solutions numériques étrangères. Une section est dédiée au secteur de l’énergie, avec un focus sur les solutions cyber qui y sont déployées. Comme au niveau global, les fournisseurs américains – et, dans une moindre mesure, israéliens – dominent.
CrowdStrike (USA), McAfee (USA), Microsoft (USA), SentinelOne (USA), Sophos (Royaume-Uni), Symantec (USA ; acquis en 2019 par Broadcom), Trellix (USA), Trend Micro (Japon).
IAM
Gestion des patchs : Ivanti (USA), ManageEngine (Inde), Microsoft (USA), SolarWinds (USA).
RBAC : IBM (USA), Micro Focus (Royaume-Uni, mais acquis en 2023 par l’entreprise canadienne OpenText), Okta (USA), SailPoint (USA), Savyint (USA).
MFA : Duo Security (USA, acquis par Cisco en 2018), Microsoft (USA), RSA (USA), Yubico (Suède).
PAM : BeyondTrust (USA), CyberArk (Israël ; acquis par Palo Alto Networks en 2025), One Identity (USA), Thycotic (USA ; fusionné en 2021 avec Centrify pour donner Delinea).
Supervision et réponse à incident
SIEM : ArcSight (USA, mais acquis par Micro Focus en 2023), IBM (USA), LogRhythm (USA, fusionné dans Exabeam en 2024), Splunk (USA, acquis par Cisco en 2024).
XDR/SOAR : Armis (USA ; en projet d’acquisition par ServiceNow), Claroty (USA), Dragos (USA), Nozomi Networks (USA).
Protection des données
Chiffrement : IBM (USA), Microsoft (USA), Symantec (USA), Thales (France).
Un secteur plus enclin à « accepter » un risque cyber
La domination américaine est plus nette sur la partie IT, même si des fournisseurs spécialisés sont parvenus à se positionner sur l’OT.
Quasi absente dans les solutions cyber, la Chine est en revanche très présente sur les équipements. Elle fournit par exemple approximativement 80 % des panneaux solaires de l’UE… et les vulnérabilités – voire backdoors – potentielles qui vont avec.
L’ENISA s’est dernièrement penchée sur le cas du secteur de l’énergie. Elle en a conclu à une résilience très inégale, par exemple entre l’électricité (relativement mature) et le gaz (en retard sur la préparation et la réponse, en particulier). Il faut dire que les professionnels du secteur s’affirment souvent prêts à accepter un risque cyber accru en contrepartie à davantage de possibilités d’innovation.
La qualification SecNumCloud 3.2 de l’offre PREMI3NS de S3NS, fin 2025, a déclenché une vague de controverses dans le paysage IT.
Suffisamment pour que Vincent Strubel, le directeur général de l’ANSSI, prenne la plume pour publier une longue tribune sur LinkedIn. Un exercice de déminage pédagogique pour répondre aux « interrogations voire (aux) incompréhensions sur ce que fait et ne fait pas la qualification SecNumCloud ».
« Ce n’est pas une médaille en chocolat »
Premier rappel du patron de l’agence nationale de cybersécurité : SecNumCloud n’est ni une décision arbitraire, ni un choix politique. La qualification découle d’un processus formalisé d’évaluation sur la base d’exigences strictes. « Les règles, le processus et le niveau d’exigence sont les mêmes pour tous », martèle Vincent Strubel.
La procédure ? Longue et exigeante. Près de 1 200 points de contrôle vérifiés in situ par un évaluateur indépendant, sous le regard scrutateur de l’ANSSI qui « ne se prive pas de demander parfois à l’évaluateur d’approfondir son travail ou de réévaluer de manière plus stricte ses conclusions ». Un référentiel actualisé constamment depuis plus de dix ans. « Bref, ce n’est pas une médaille en chocolat, et ce n’est pas pour tout le monde », résume le directeur.
Se protéger du CLOUD Act… et du « kill switch »
Les risques liés au droit extra-territorial ? C’est le sujet qui monopolise l’attention. Vincent Strubel rappelle l’enjeu : éviter que les données hébergées dans le cloud ne tombent sous le coup du CLOUD Act américain ou de la loi chinoise sur le renseignement de 2017, qui permettent aux autorités d’exiger l’accès aux données de clients européens.
La parade de SecNumCloud : un prestataire européen qui contrôle seul les données. Même si l’offre est « hybride » et repose sur une technologie américaine, « le fournisseur de la technologie cloud est soumis aux lois américaines, mais n’a pas accès aux données et ne peut par conséquent pas donner suite à une injonction », explique le patron de l’ANSSI.
Autre protection : le scénario du « kill switch », cette coupure brutale du service imposée à certains clients. Vincent Strubel cite l’exemple récent de magistrats de la Cour Pénale Internationale privés d’accès aux services numériques américains. Avec SecNumCloud, le sous-traitant non européen « ne dispose pas de la capacité à couper le service à tel ou tel client, car ce n’est pas lui qui administre la solution ».
L’autarcie complète, une illusion
Vincent Strubel le reconnaît sans détour : SecNumCloud ne signifie pas l’absence de dépendance. Une offre « hybride » est « sans doute plus exposée à ce risque, « mais imaginer qu’il existe des offres 100% européennes relève de la pure vue de l’esprit qui ne résiste pas à la confrontation aux faits ».
Tous les fournisseurs de cloud dépendent de composants électroniques et logiciels non maîtrisés à 100% en Europe. L’open source ? « Une plus grande liberté d’action », certes, mais « pas la panacée » : aucun acteur ne peut prétendre maîtriser entièrement toute la stack technologique du cloud.
« Si nous sommes un jour privés de l’accès à la technologie américaine, chinoise, ou plus généralement non européenne, nous aurons un problème global de dégradation du niveau de sécurité », prévient le directeur de l’ANSSI. Un problème qui dépasserait largement les seules offres hybrides.
Les cyberattaques, la vraie menace
Vincent Strubel le martèle : les critères liés à la nationalité du prestataire ne représentent
« qu’une petite partie des exigences » du référentiel. La vraie menace ? Les cyberattaques, qui demeurent « la menace la plus tangible pesant sur les usages sensibles du cloud ».
Les prestataires, « quelle que soit leur nationalité », sont des «cibles à très haute valeur ajoutée » qui « subissent en permanence des tentatives d’attaque, y compris particulièrement avancées, dont certaines réussissent forcément ». Hyperscalers américains comme acteurs européens, personne n’est épargné.
D’où des exigences techniques drastiques : cloisonnement fort entre clients, chaîne d’administration isolée, gestion sécurisée des mises à jour, chiffrement systématique. « Ces exigences ne sont généralement pas toutes satisfaites par une offre de cloud standard, quelle que soit son origine », note le directeur de l’ANSSI.
Le référentiel prend même en compte le risque humain : corruption, contrainte ou infiltration d’employés du prestataire. Un chapitre entier y est consacré.
« Souverain », mais pas baguette magique
SecNumCloud est-il un label de souveraineté ? Vincent Strubel botte en touche : « Il est difficile de répondre à cette question, vu que le concept de souveraineté numérique n’est quasiment jamais défini, et que tout le monde lui donne un sens différent ».
Pour l’ANSSI, la souveraineté numérique couvre trois enjeux : ne pas être une victime facile des cyberattaques, faire appliquer nos règles plutôt que subir celles des autres, et disposer d’une liberté de choix technologique. SecNumCloud répond aux deux premiers et contribue au troisième.
« Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, souveraines, et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », affirme Vincent Strubel. Mais il avertit aussitôt : cette qualification « ne va pas faire naître des solutions alternatives ou des briques technologiques maîtrisées »». « C’est un outil de cybersécurité, pas de politique industrielle. »
Hybride ou non, même combat
Le directeur de l’ANSSI tord le cou à une idée reçue : les offres « hybrides » qualifiées « satisfont exactement les mêmes exigences que les autres ». La distinction entre hybride et non-hybride ? « Assez artificielle », tranche-t-il. « Il n’y a pas d’un côté des offres totalement dépendantes de fournisseurs non européens et de l’autre des offres 100% européennes. »
Certains réclament un label light, reprenant uniquement les critères capitalistiques sans les exigences techniques. Vincent Strubel balaie l’idée : « Du point de vue de la cybersécurité, ça n’aurait aucun sens de couvrir uniquement certaines menaces, et pas d’autres.» Une solution doit couvrir tous les risques, « car les attaquants visent toujours le maillon faible ».
Son image choc : « Un cloud échappant au droit non européen, mais à la merci des cyberattaques, ça n’a pas plus de sens qu’une maison avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau.»
Même refus pour un label purement technique : impossible de couvrir les risques juridiques par la seule technique. Le chiffrement des données, par exemple, « ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement ».
Connexion
