La qualification SecNumCloud 3.2 de l’offre PREMI3NS de S3NS, fin 2025, a déclenché une vague de controverses dans le paysage IT.

Suffisamment pour que Vincent Strubel, le directeur général de l’ANSSI, prenne la plume pour publier une longue tribune sur LinkedIn. Un exercice de déminage pédagogique pour répondre aux  « interrogations voire (aux) incompréhensions sur ce que fait et ne fait pas la qualification SecNumCloud ».

« Ce n’est pas une médaille en chocolat »

Premier rappel du patron de l’agence nationale de cybersécurité : SecNumCloud n’est ni une décision arbitraire, ni un choix politique. La qualification découle d’un processus formalisé d’évaluation sur la base d’exigences strictes. « Les règles, le processus et le niveau d’exigence sont les mêmes pour tous », martèle Vincent Strubel.

La procédure ? Longue et exigeante. Près de 1 200 points de contrôle vérifiés in situ par un évaluateur indépendant, sous le regard scrutateur de l’ANSSI qui « ne se prive pas de demander parfois à l’évaluateur d’approfondir son travail ou de réévaluer de manière plus stricte ses conclusions ». Un référentiel actualisé constamment depuis plus de dix ans. « Bref, ce n’est pas une médaille en chocolat, et ce n’est pas pour tout le monde », résume le directeur.

Se protéger du CLOUD Act… et du « kill switch »

Les risques liés au droit extra-territorial ? C’est le sujet qui monopolise l’attention. Vincent Strubel rappelle l’enjeu : éviter que les données hébergées dans le cloud ne tombent sous le coup du CLOUD Act américain ou de la loi chinoise sur le renseignement de 2017, qui permettent aux autorités d’exiger l’accès aux données de clients européens.

La parade de SecNumCloud : un prestataire européen qui contrôle seul les données. Même si l’offre est « hybride » et repose sur une technologie américaine, « le fournisseur de la technologie cloud est soumis aux lois américaines, mais n’a pas accès aux données et ne peut par conséquent pas donner suite à une injonction », explique le patron de l’ANSSI.

Autre protection : le scénario du « kill switch », cette coupure brutale du service imposée à certains clients. Vincent Strubel cite l’exemple récent de magistrats de la Cour Pénale Internationale privés d’accès aux services numériques américains. Avec SecNumCloud, le sous-traitant non européen « ne dispose pas de la capacité à couper le service à tel ou tel client, car ce n’est pas lui qui administre la solution ».

L’autarcie complète, une illusion

Vincent Strubel le reconnaît sans détour : SecNumCloud ne signifie pas l’absence de dépendance. Une offre « hybride » est « sans doute plus exposée à ce risque, « mais imaginer qu’il existe des offres 100% européennes relève de la pure vue de l’esprit qui ne résiste pas à la confrontation aux faits ».

Tous les fournisseurs de cloud dépendent de composants électroniques et logiciels non maîtrisés à 100% en Europe. L’open source ? « Une plus grande liberté d’action », certes, mais « pas la panacée » : aucun acteur ne peut prétendre maîtriser entièrement toute la stack technologique du cloud.

« Si nous sommes un jour privés de l’accès à la technologie américaine, chinoise, ou plus généralement non européenne, nous aurons un problème global de dégradation du niveau de sécurité », prévient le directeur de l’ANSSI. Un problème qui dépasserait largement les seules offres hybrides.

Les cyberattaques, la vraie menace

Vincent Strubel le martèle : les critères liés à la nationalité du prestataire ne représentent
« qu’une petite partie des exigences » du référentiel. La vraie menace ? Les cyberattaques, qui demeurent « la menace la plus tangible pesant sur les usages sensibles du cloud ».

Les prestataires, « quelle que soit leur nationalité », sont des «cibles à très haute valeur ajoutée » qui « subissent en permanence des tentatives d’attaque, y compris particulièrement avancées, dont certaines réussissent forcément ». Hyperscalers américains comme acteurs européens, personne n’est épargné.

D’où des exigences techniques drastiques : cloisonnement fort entre clients, chaîne d’administration isolée, gestion sécurisée des mises à jour, chiffrement systématique. « Ces exigences ne sont généralement pas toutes satisfaites par une offre de cloud standard, quelle que soit son origine », note le directeur de l’ANSSI.

Le référentiel prend même en compte le risque humain : corruption, contrainte ou infiltration d’employés du prestataire. Un chapitre entier y est consacré.

« Souverain », mais pas baguette magique

SecNumCloud est-il un label de souveraineté ? Vincent Strubel botte en touche :  « Il est difficile de répondre à cette question, vu que le concept de souveraineté numérique n’est quasiment jamais défini, et que tout le monde lui donne un sens différent ».

Pour l’ANSSI, la souveraineté numérique couvre trois enjeux : ne pas être une victime facile des cyberattaques, faire appliquer nos règles plutôt que subir celles des autres, et disposer d’une liberté de choix technologique. SecNumCloud répond aux deux premiers et contribue au troisième.

« Les offres qualifiées SecNumCloud sont donc, sans le moindre doute, souveraines, et cette qualification est un levier indispensable pour défendre notre souveraineté numérique », affirme Vincent Strubel. Mais il avertit aussitôt : cette qualification « ne va pas faire naître des solutions alternatives ou des briques technologiques maîtrisées »».  « C’est un outil de cybersécurité, pas de politique industrielle. »

Hybride ou non, même combat

Le directeur de l’ANSSI tord le cou à une idée reçue : les offres « hybrides » qualifiées « satisfont exactement les mêmes exigences que les autres ». La distinction entre hybride et non-hybride ? « Assez artificielle », tranche-t-il. « Il n’y a pas d’un côté des offres totalement dépendantes de fournisseurs non européens et de l’autre des offres 100% européennes. »

Certains réclament un label light, reprenant uniquement les critères capitalistiques sans les exigences techniques. Vincent Strubel balaie l’idée : « Du point de vue de la cybersécurité, ça n’aurait aucun sens de couvrir uniquement certaines menaces, et pas d’autres.» Une solution doit couvrir tous les risques, « car les attaquants visent toujours le maillon faible ».

Son image choc : « Un cloud échappant au droit non européen, mais à la merci des cyberattaques, ça n’a pas plus de sens qu’une maison avec des volets blindés et des barreaux aux fenêtres, mais dont la porte serait fermée par un rideau.»

Même refus pour un label purement technique : impossible de couvrir les risques juridiques par la seule technique. Le chiffrement des données, par exemple, « ne protège pas du CLOUD Act : le prestataire de cloud a forcément, tôt ou tard, accès à la clé de chiffrement ».

Photo : © DR

The post Le patron de l’ANSSI sur SecNumCloud : « Pas une médaille en chocolat » appeared first on Silicon.fr.

Vous vous êtes déjà demandé ce que cache vraiment un site web ? Genre, au-delà de sa jolie façade ? Hé bien je vous présente Web-Check , un scanner OSINT qui va déshabiller n'importe quel domaine pour vous montrer tout ce qui se passe sous le capot.

Je vous ai déjà parlé d'OSINT.rocks qui centralise pas mal d'outils d'investigation. Et bien là, c'est un peu le même délire mais orienté analyse de sites web. Vous balancez une URL et hop, le projet vous ressort un rapport complet avec tout ce qu'il y a à savoir : certificat SSL, enregistrements DNS, en-têtes HTTP, géolocalisation du serveur, ports ouverts, stack technique utilisée... Bref, une vraie radio du site.

Ce qui est cool avec cette boîte à outils, c'est qu'elle ne se contente pas de gratter la surface puisque ça effectue plus de 30 types d'analyses différentes ! Vous voulez savoir si un site utilise un WAF (Web Application Firewall) ? Vérifier la configuration email (SPF, DKIM, DMARC) ? Voir l'historique du domaine via la Wayback Machine ? Tout est possible ! Et même les Core Web Vitals pour les obsédés de la performance !

Pour l'installer, c'est ultra simple. Si vous êtes team Docker (et vous devriez l'être), une seule commande suffit :

docker run -p 3000:3000 lissy93/web-check

Et vous avez votre instance perso qui tourne sur localhost:3000. Pas besoin de galérer avec des dépendances ou de configurer quoi que ce soit. Du coup, vous pouvez scanner vos propres sites sans que vos requêtes passent par un service tiers.

Pratique pour les paranos de la vie privée !

Le projet tourne sous TypeScript avec Astro en front, et tout le code est disponible sur GitHub sous licence MIT. Ça veut dire que vous pouvez le modifier, l'héberger où vous voulez, et même contribuer si le coeur vous en dit.

La partie détection de stack technique me plait beaucoup. C'est un peu comme ce que fait SSH-Audit pour les serveurs , sauf que l'outil identifie automatiquement les frameworks, CMS, bibliothèques JavaScript et autres composants utilisés par un site. Super utile donc pour les pentesters qui veulent mapper rapidement une cible, ou simplement pour les curieux qui se demandent "tiens, c'est quoi cette techno qu'ils utilisent ?".

Vous avez aussi une démo en ligne sur web-check.xyz si vous voulez tester avant d'installer quoi que ce soit. Mais bon, pour une utilisation régulière, je vous conseille vraiment l'instance locale. C'est plus rapide et vous gardez le contrôle sur vos données.

Voilà, si vous bossez dans la sécu, si vous êtes journaliste d'investigation, ou si vous êtes juste curieux de savoir ce que racontent les sites que vous visitez, ce scanner OSINT devrait rejoindre votre boîte à outils.

Allez jeter un œil, et vous me remercierez je pense !

Un jeu de course Star Wars sorti en 2002 vaut aujourd'hui plus de 400 dollars sur eBay. Pas parce qu'il est devenu culte... mais parce qu'il permet de déverrouiller les PS5.

Vous allez voir, l'histoire est dingue ! Star Wars Racer Revenge , un titre obscur de l'ère PS2, cachait depuis plus de 20 ans une vulnérabilité dans son code. Et cette faille vient d'être exploitée pour extraire les clés ROM de la PlayStation 5 , c'est à dire le Saint-Graal des hackers de consoles dont je vous parlais y'a 5 jours...

L'édition PS4 de Limited Run Games - 8 500 exemplaires seulement ( Source )

Le chercheur en sécurité Gezine a balancé la nouvelle sur Twitter le 31 décembre dernier, du coup, le prix des copies physiques de la version PS4 (éditée par Limited Run Games en 2019 à seulement 8 500 exemplaires) est passé de 20 dollars à plus de 400 dollars en quelques heures. Une hausse de 1900% ! Y'a des gens qui ont fait une sacrée affaire ce jour-là...

L'exploit utilise la technique " mast1core " et cible le firmware 12.00 de la console. En gros, le menu "Hall of Fame" du jeu contient une faille qui permet d'injecter du code et comme Sony n'a jamais pensé à patcher un vieux jeu de podracing de l'époque de la préquelle, eh bien... la porte est restée grande ouverte pendant deux décennies.

C’est une fin d’année sous tension pour les infrastructures numériques de La Poste. Le groupe a officialisé ce lundi être victime d’une attaque par déni de service rendant ses services numériques inaccessibles.

Cette offensive intervient durant la semaine des fêtes de Noël, une période charnière où l’opérateur gère un volume massif d’activité, avec environ 180 millions de colis triés et distribués sur les deux derniers mois de l’année.

Impacts sur les services postaux et bancaires

Si l’attaque rend les portails web indisponibles, La Poste précise que la distribution des colis et des courriers reste « assurée à ce stade », bien que perturbée.

Du côté de La Banque Postale, l’accès à la banque en ligne et à l’application mobile a été interrompu tôt dans la matinée. Le groupe se veut toutefois rassurant sur deux points critiques :

• Données clients : Aucun impact n’est à déplorer sur l’intégrité ou la confidentialité des données.
• Continuité des transactions : Les paiements par carte bancaire sur les terminaux en magasin, les virements via la solution Wero, ainsi que les retraits d’espèces aux distributeurs restent fonctionnels. Les paiements en ligne demeurent possibles grâce à l’authentification par SMS.

BPCE également touché par un dysfonctionnement

La Poste n’est pas le seul acteur financier à avoir rencontré des difficultés ce lundi matin. Le groupe BPCE (Banque Populaire et Caisse d’Épargne) a également fait état d’un
« dysfonctionnement » ayant affecté ses services.

Toutefois, selon un porte-parole de BPCE, la situation a été plus rapidement maîtrisée : « c’était temporaire, cela est rentré dans l’ordre ». Si les applications mobiles du groupe refonctionnent normalement, le retour à la normale pour les sites internet s’effectue de manière progressive.

Pour La Poste, la priorité reste le rétablissement complet de ses interfaces numériques afin de ne pas fragiliser davantage la chaîne logistique en cette période de flux records.

The post La Poste visée par une attaque DDoS appeared first on Silicon.fr.

À l’approche de 2026, la cybersécurité entre dans une phase de rupture. Entre disparition progressive du crypto-ransomware, montée en puissance de l’IA autonome et pression réglementaire accrue, les organisations devront faire face à des menaces plus rapides, plus intelligentes et plus difficiles à anticiper. Voici les tendances majeures qui façonneront l’année à venir.

Le crypto-ransomware voué à disparaître

 En 2026, le crypto-ransomware va disparaître progressivement, les cybercriminels abandonnant le chiffrement pour se concentrer sur le vol de données et l’extorsion. Les organisations ont nettement amélioré leurs capacités de sauvegarde et de restauration, ce qui leur permet désormais de se remettre d’une attaque de crypto-ransomware sans avoir à payer les rançons exigées.

Les cybercriminels préfèrent donc voler les données, menacer de les divulguer et même signaler les victimes aux régulateurs ou aux assureurs pour renforcer la pression. Le chiffrement ne rapporte plus : la véritable arme devient désormais l’exposition.

Les obligations de reporting du CRA encouragent enfin les principes de « Secure by Design »

En 2026, le Cyber Resilience Act (CRA) de l’Union européenne deviendra la force motrice qui poussera l’adoption généralisée des principes de sécurité intégrée dès la conception des produits. Avec une première phase d’application prévue pour septembre prochain, les éditeurs souhaitant vendre dans l’UE devront déclarer toute vulnérabilité exploitée activement ou tout incident de sécurité dans un délai de 24 heures – la contrainte de reporting la plus exigeante à ce jour.

Le déploiement initial du CRA risque d’être complexe, notamment car il est difficile pour les entreprises de détecter elles-mêmes les vulnérabilités dans leurs produits. Mais le CRA aura en revanche un impact fort à long terme en devenant un incitatif durable pour intégrer la sécurité dès les premières étapes de développement. Par ailleurs, les réglementations mondiales qui se superposent mettront en lumière des contradictions et des cadres divergents, forçant les organisations à naviguer dans un écosystème de conformité de plus en plus complexe.

Première faille de sécurité réalisée de bout en bout par une IA autonome

En 2025, nous prévoyions que les outils IA multimodaux seraient capables d’exécuter chaque étape de la « kill chain » d’un attaquant — ce qui s’est confirmé. En 2026, l’IA ne se contentera plus d’assister les cybercriminels : elle attaquera seule.

Du renseignement initial au scan de vulnérabilités, en passant par les mouvements latéraux et l’exfiltration de données, ces systèmes autonomes seront capables d’orchestrer une compromission complète à la vitesse machine.

Ce premier incident entièrement exécuté par l’IA sonnera comme une alerte pour les défenseurs ayant sous-estimé la vitesse à laquelle les IA génératives évoluent d’outils à véritables opérateurs. Les mêmes technologies qui permettent aux entreprises d’automatiser leurs workflows de sécurité sont désormais utilisées pour les surpasser. Les organisations devront combattre le feu par le feu : seules des solutions de défense basées sur l’IA, capables de détecter, analyser et réagir aussi vite que les IA adverses, pourront tenir le rythme.

Le déclin des VPN traditionnels favorisera l’essor du Zero Trust Network Architecture (ZTNA)

Les VPN traditionnels et outils d’accès à distance sont parmi les cibles préférées des attaquants, notamment à cause de la perte, du vol ou de la réutilisation des identifiants et du manque récurrent de MFA.

La sécurité technique d’un VPN importe peu : si un attaquant peut se connecter en se faisant passer pour un utilisateur légitime, il accède par défaut à l’ensemble des ressources internes.

Au moins un tiers des compromissions en 2026 sera lié à des faiblesses ou erreurs de configuration des outils d’accès distant et VPN hérités. Les acteurs malveillants ciblent activement les ports d’accès VPN depuis deux ans, en volant des identifiants ou en exploitant des vulnérabilités propres à certains produits.

Conséquence : 2026 sera également l’année où les PME commenceront à adopter massivement les solutions ZTNA, qui éliminent la nécessité d’exposer un port VPN potentiellement vulnérable sur Internet. Le fournisseur ZTNA prend en charge la sécurisation du service via sa plateforme cloud, et l’accès n’est plus global : chaque groupe d’utilisateurs n’obtient que l’accès strictement nécessaire aux ressources internes dont il a besoin, limitant ainsi l’impact potentiel en cas de compromission.

L’expertise en IA devient incontournable pour les professionnels de la cybersécurité

Nous sommes à l’aube d’une nouvelle ère où l’attaque et la défense se joueront sur un terrain dominé par l’IA. Les attaquants testent déjà des outils automatisés, adaptatifs et auto-apprenants ; les défenseurs incapables d’égaler ce niveau de vitesse et de précision seront dépassés avant même de comprendre qu’ils sont ciblés.

Pour survivre, les experts en sécurité devront aller au-delà d’une simple compréhension de l’IA et viser la maîtrise de ses capacités, l’utiliser pour automatiser la détection et la réponse, tout en anticipant les nouvelles vulnérabilités qu’elle crée. D’ici l’an prochain, la maîtrise de l’IA ne sera plus un atout, mais un prérequis : les recruteurs chercheront désormais des profils capables de démontrer des applications concrètes de l’IA dans la défense cyber.

En 2026, la cybersécurité entre dans un cycle où les anciennes certitudes ne tiennent plus. La disparition progressive du crypto-ransomware, la montée de l’IA autonome, la pression réglementaire et l’adoption massive du Zero Trust redéfinissent l’équilibre entre attaque et défense.

Les organisations n’auront plus le luxe d’attendre : seules celles capables d’intégrer l’IA, d’anticiper les nouvelles obligations et de repenser leurs architectures pourront conserver une longueur d’avance. L’année à venir ne sera pas seulement un tournant technologique, mais un test de résilience pour l’ensemble de l’écosystème numérique.

*Marc Laliberté est directeur des opérations cybersécurité de WatchGuard Technologies

The post { Tribune Expert } – Fin du ransomware, essor de l’IA autonome : 2026 change les règles du jeu appeared first on Silicon.fr.