En 2025, le paysage des acteurs du numérique évolue rapidement, porté par des entreprises informatiques innovantes qui misent sur la proximité et la fiabilité.
The post Entreprises informatiques en 2025 : entre proximité, IA et cybersécurité first appeared on Bhmag.
Avec l’essor des architectures cloud hybrides, jamais la surface d’attaque n’a été aussi grande. Cette évolution pousse les RSSI à adapter les moyens de protection, mais aussi la DSI à revoir la façon dont sont gérées les identités dans l’entreprise, qu’il s’agisse des identités des utilisateurs, des clients, mais aussi des machines.
25 milliards $, c’est la somme record que le généraliste de la cybersécurité Palo Alto Networks va mettre sur la table pour prendre le contrôle de CyberArk, un expert de la gestion des identités. Cette acquisition montre l’importance prise par les identités sans la sécurisation de systèmes d’information de plus en plus hybridés avec le Cloud public. L’identité est la clé de voûte de ces architectures.
« L’offre de CyberArk se distingue par son approche holistique de la gestion des identités, couvrant non seulement la gestion des accès privilégiés mais aussi toutes les facettes de la gestion des identités, humaines et non humaines. Nous sommes un acteur capable de gérer des environnements complexes à grande échelle, contrairement à des concurrents qui peuvent être plus spécialisés ou moins évolutifs. » détaille Jean-Christophe Vitu, vice-president et solutions engineer EMEA de CyberArk.
Ce point d’inflexion va s’accompagner d’un renouvellement des plateformes de gestion d’identité déployées à grand peine dans les années 2010.
« De nombreux systèmes hérités n’ont tout simplement pas été conçus pour la façon dont les gens travaillent aujourd’hui » estime Allan Camps, Senior Enterprise Account Executive chez Keeper Security, éditeur d’une solution de gestion de mots de passe et de PAM : « Les entreprises doivent composer avec des environnements cloud, des équipes hybrides et un nombre croissant de terminaux. Les outils sur site manquent souvent de la flexibilité et de la visibilité dont les organisations modernes ont besoin, sans parler des fonctionnalités de sécurité nécessaires pour faire face au paysage dynamique des menaces actuelles. »
Les anciennes solutions d’IAM (Identity and Access Management) non conçues pour le Cloud vont laisser la place à des solutions SaaS natives, ce qui va booster ce marché dans les années à venir.
Le français Memority s’inscrit dans cette nouvelle génération de plateformes avec ce que l’éditeur appelle une Identity Factory : « Il s’agit d’une solution unifiée permettant d’automatiser et d’orchestrer toutes les typologies d’identités et contrôler les accès de manière sécurisée, fluide et conforme » argumente Gilles Casteran, CEO et cofondateur de Memority.
La plateforme Memority gère les identités et les habilitations et permet d’authentifier et de contrôler l’accès à l’ensemble des services, quels que soient les cas d’usage et le type de population (B2E, B2B, B2C et B2IoT).
Un autre levier de renouvellement des plateformes IAM historiques consiste à faire face aux NHI, les Non-Human Identity. Jean-Christophe Vitu explique : « Les identités machines sont aujourd’hui 82 fois nombreuses que les identités humaines au sein des entreprises, or ces identités sont encore mal connues et non contrôlées. 42 % d’entre elles disposent d’un accès sensible ou à privilèges et 77 % des entreprises n’ont pas mis en place de contrôles de sécurité de ces identités. »
Ces NHI sont d’ores et déjà critiques de par les privilèges qui leur sont octroyés et l’arrivée des IA agentiques ne fera que rendre leur importance capitale pour le fonctionnement quotidien des entreprises. Frédéric Cluzeau, président de Hermitage Solutions rejoint Jean-Christophe Vitu sur ce point : « Ces NHI, qu’il s’agisse de comptes de services, des clés APIs, d’agents IA et de containers peuvent disposer de droits d’accès et de privilèges très importants sur les données, sans être forcément contrôlées aussi strictement que les identités correspondant à des utilisateurs. » Le distributeur pousse la plateforme Segura une solution de gestion des identités qui a pu démontrer l’efficacité de sa plateforme lors de l’exercice Locked Shields de l’OTAN.
Parmi les grandes tendances qui poussent au remplacement des plateformes de gestion des identités figurent ces identités non humaines, la tendance à la plateformisation et bien entendu l’IA qui a un rôle à jouer, notamment pour détecter les comportements atypiques et aller vers une sécurisation plus proactive des accès et des privilèges.
The post La gestion des identités se replace au cœur du dispositif cyber appeared first on Silicon.fr.
Dans un rapport publié le 23 octobre 2025, la société de services réseaux Infoblox met en lumière la face cachée du navigateur Universe Browser. L'outil, téléchargé des millions de fois, promettait à ses utilisateurs un respect de leur vie privée et la possibilité de contourner la censure dans les pays où les jeux d'argent en ligne sont interdits.
L’histoire du jour est signée Luke M, un hacker qui a découvert comment rooter une caméra avec… du son !
L’appareil en question est une caméra chinoise de la marque Yi qui utilise une fonctionnalité appelée “Sonic Pairing” pour faciliter la configuration WiFi. Comme ça, au lieu de galérer à taper votre mot de passe WiFi sur une interface minuscule avec vos gros doigts boudinés, vous jouez simplement un petit son depuis votre téléphone et c’est ce son qui contient votre clé WiFi encodés en modulation de fréquence. La caméra écoute, décode, et se connecte.
Magique, non ?
Sauf que cette fonctionnalité marquée en “beta” dans l’app Yi IoT contient deux bugs magnifiques : une stack overflow local et un global overflow. En gros, en fabriquant un fichier audio malveillant avec les bons patterns, Luke a pu injecter du code arbitraire dans la caméra, ce qui lui permet d’obtenir un shell root qui se lance via la commande telnetd avec les identifiants par défaut. Tout ça, sans accès physique… juste la lecture d’un wav ou d’un MP3.
Pour arriver à ses fins, Luke a utilisé Frida , un framework de hooking que j’adore, capable d’intercepter les fonctions natives de l’app. Cela lui a permis de remplacer les données légitimes attendues par l’app par son propre payload.
Le premier bug (stack overflow) n’étant pas suffisant seul, Luke a dû utiliser un autre bug (
un out-of-bounds read via DOOM
) pour leaker un pointeur et contourner l’
ASLR
. Mais le second bug (global overflow) est bien plus intéressant puisqu’il lui permet directement de faire une injection de commande via system() lors du pairing, sans avoir besoin d’autre chose.
Voici la waveform utilisée par le second exploit
Et comme la chaîne que vous pouvez envoyer via le son peut faire jusqu’à 128 bytes c’est largement suffisant pour un telnetd ou n’importe quelle commande shell. Notez que pour que l’exploit marche, le bind_key doit commencer par ‘CN’, ce qui force un path exploitable et, en bonus fait causer la caméra en chinois ^^.
Après faut savoir que ce hack amusant ne fonctionne que si la caméra n’est pas encore connectée au cloud. Donc c’est pas très utile pour attaquer des caméras déjà déployées mais ça illustre bien le problème de tout cet IoT pas cher avec des tas de features “pratiques” comme ce “Sonic Pairing” qui finissent par être catastrophique dans la pratique.
Voilà… si vous voulez les détails techniques complets avec les waveforms et le code d’exploit, foncez lire ça sur Paged Out! #7 .
Je vais vous raconter la meilleure de la semaine… Microsoft vient quand même de passer 5 ans à gueuler sur tous les toits que BinaryFormatter est dangereux (ça servait à sérialiser/desérialiser des objets en binaire ave .NET) et qu’il faut arrêter de l’utiliser… et pourtant, on vient d’apprendre qu’ils continuent secrètement de l’utiliser dans WSUS (Windows Server Update Services), leur système censé sécuriser les mises à jour Windows.
Et bien sûr, ce qui devait arriver, arriva… Une magnifique faille critique dans WSUS vient d’être rendue publique, ce qui met en danger environ 500 000 serveurs WSUS actuellement accessibles via le net.
L’histoire commence en réalité en 2020. A cette date, Microsoft déclare officiellement que BinaryFormatter est dangereux, ce qui ne les empêche pas de se faire poutrer Exchange, Azure DevOps, SharePoint en 2021/2021 justement à cause de ça. Du coup, en 2023, ils annoncent le bannissement total de BinaryFormatter en interne. En 2024, ils effectuent même une mise au rebus complète de .NET 9.
Mais c’était sans compter sur cette jolie CVE-2025-59287 d’octobre 2025 qui exploite à son tour BinaryFormatter dans WSUS !
Un oubli ? Pas si sûr, car Microsoft l’utilisait toujours pour déchiffrer les cookies d’authentification de WSUS, rendant ainsi ce système de mises à jour censé protéger Windows vulnérable. La faille, c’est donc une désérialisation non sécurisée. Un attaquant non authentifié envoie une requête SOAP craftée au endpoint GetCookie de WSUS, avec un cookie AuthorizationCookie contenant un payload malveillant. Et de son côté le serveur déchiffre ce truc avec AES-128-CBC, puis passe le résultat directement à BinaryFormatter pour désérialisation.
Et là, bim bam boum, une magnifique exécution de code arbitraire avec privilèges SYSTEM !
Techniquement, la vulnérabilité touche donc les Windows Server 2012 à 2025 qui ont le rôle WSUS activé. Le score CVSS de cette faille est quand même de 9,8 sur 10 ce qui est fait une faille super critique.
L’exploitation de cette faille débute le 24 octobre soit juste après la publication du patch d’urgence de Microsoft sortie la veille c’est à dire le 23 octobre, pour corriger lui-même un autre patch publié juste avant le 8 octobre. Bref un vrai bordel et il faut croire que les attaquants ont attendu la sortie de ce patch d’urgence pour comprendre comment fonctionnait la faille ( l’exploit est ici ).
De son côté, Google Threat Intelligence traque l’acteur cybercriminel UNC6512 qui a ciblé plusieurs organisations et les chiffres font pas plaisir puisque ce sont environ 100 000 tentatives d’exploitation en 7 jours qui ont eu lieues, et 500 000 serveurs WSUS exposés sur le net sur les ports par défaut (8530 HTTP, 8531 HTTPS).
Microsoft a dû sentir la douille arriver puisqu’ils ont déprécié WSUS en septembre de l’année dernière au profit d’autres solutions comme Intune ou WUfb, soit un an avant la sortie de la CVE. Mais bien sûr, comme l’outil reste dans Windows Server 2025 avec ses 10 ans de support réglementaire, des centaines de milliers d’entreprises l’utilisent encore…
Le chaos était garanti ! Maintenant vous me connaissez, je n’aime pas vous laisser sans solution, alors pour les admins sys qui lisent ça, sachez qu’il existe un script PowerShell baptisé Find-WSUS qui permet de détecter tous les serveurs WSUS configurés dans vos GPO. C’est pratique pour faire l’inventaire et vérifier que tout est patché. Et notez aussi que le patch d’urgence c’est le KB5070883. Et si vous ne pouvez pas patcher immédiatement parce que la vie est injuste, désactivez quand même le rôle WSUS de vos Windows Server, ou bloquez les ports 8530/8531 directement dans votre firewall.
Le vrai problème en fait, c’est que WSUS n’est qu’un symptôme car une grosse partie du code en entreprise est constitué de dette technique. C’est à dire du code “mort” qui continue de tourner car personne n’ose y toucher. Brrr… ça fait peur c’et sûr ! Surtout que même Microsoft n’arrive pas à tuer sa propre création 5 ans après l’annonce de sa mort officielle, donc autant dire qu’on a tous un sérieux problème.
Bref, patchez au plus vite !
Cet article a été réalisé en collaboration avec ESET
Se prémunir contre les nouvelles arnaques en ligne est bien plus simple que vous ne l’imaginez. Le tout est de s’équiper du bon outil, pensé pour contrer les nouvelles formes de cybermenaces. ESET Home Security en fait partie et profite en prime d’une offre attractive.
Cet article a été réalisé en collaboration avec ESET
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Dans un article de blog publié début octobre 2025, un développeur raconte comment la méfiance qu’il nourrit envers la sécurité de son aspirateur intelligent l’a conduit à en démonter chaque composant. Une analyse poussée, qui l'amène de découvertes en découvertes.
Vous allez voir, l’histoire que je vais vous raconter cet aprem est à l’origine sympa mais a malheureusement a pris un tournant un peu moche avec un Effet Streisand à la clé… Tout commence en mars dernier quand Proven Industries publie une vidéo un peu provoc pour faire la promo de leurs cadenas ultra-sécurisés. Un follower commente alors “Faudrait montrer ça à @mcnallyofficial”. et sous ce message, Proven répond alors avec une confiance inébranlable : “McNally ? Il aime que les cadenas cheap, faciles à ouvrir.”
Mauvaise idée.
Car McNally, c’est pas juste un YouTuber qui fait des vidéos marrantes avec des cadenas. C’est un ancien sergent-chef de la Marine américaine qui a passé des années à étudier la sécurité physique. Le genre de gars qui ouvre votre serrure pendant que vous cherchez vos clés et quand une entreprise comme Proven le provoque publiquement, il ne peut pas laisser passer ça…
Alors le 3 avril, McNally publie sa réponse dans une vidéo titrée “$130 lock bypassed with a can”. 30 secondes chrono, des ciseaux, une canette vide, et hop ! Le cadenas Proven s’ouvre comme une boîte de conserve. Cette technique s’appelle le shim attack, et en gros, c’est une cale triangulaire qu’on insère dans le cadenas pour exploiter une vulnérabilité de conception assez classique.
Tout de suite après, Proven Industries crie alors au scandale ! C’est un montage ! C’est truqué ! Fake news ! Manipulation ! Et là, ils prennent la pire décision possible : porter plainte.
Le 1er mai, ils déposent donc une plainte avec 8 chefs d’accusation : Copyright, diffamation, concurrence déloyale…etc. Le grand jeu juridique des entreprises qui n’ont pas encore compris comment fonctionnait Internet et leur argument principal est savoureux : “La reproduction de la vidéo protégée par le droit d’auteur du demandeur n’était pas nécessaire pour transmettre un message légitime, mais a plutôt été incluse dans le but d’attirer l’attention, de ridiculiser le plaignant et de présenter le produit de verrouillage comme peu sûr et insignifiant.”
De son côté, McNally ne se démonte pas. Il contre-attaque avec la précision d’un ancien militaire en publiant plusieurs nouvelles vidéos où on le voit commander le cadenas sur Amazon, filmer le déballage intégral et fabriquer le shim en direct devant la caméra pour enfin ouvrir le cadenas fraîchement sorti de sa boîte.
Pas de montage. Pas de trucage.
Puis c’est l’effet Streisand à son paroxysme car l’action en justice incite le youtubeur à faire de nouvelles vidéos sur les produits Proven, et chaque message rageux de Proven attire des dizaines de milliers de commentaires moqueurs. La communauté lockpicking se rallie alors massivement derrière McNally et des dizaines d’autres YouTubers testent le cadenas Proven et confirment que OUI, ça s’ouvre vraiment avec une canette.
Bref, le 21 octobre, le juge rend enfin sa décision : Refus de l’injonction d’urgence demandée par Proven. Cela veut dire qu’exposer les failles de sécurité d’un produit, même de manière publique et spectaculaire, c’est de la liberté d’expression protégée. Et c’est encore plus le cas quand l’entreprise vous a provoqué publiquement en premier.
Quelques jours plus tard, Proven dépose alors une “voluntary dismissal without prejudice”. En gros, ils abandonne les poursuites mais se gardent le droit de revenir… lol.
Quel pied McNally a du prendre n’empêche :) Et Proven Industries a appris à ses dépens que provoquer un pro c’est quand même bien con. Avant la plainte, McNally n’avait que quelques millions de vues mais après, toute la presse et les forums de sont enflammés, et surtout, leur réputation est maintenant définitivement ruinée.
Comme d’hab, tenter une censure via les tribunaux, c’est la garantie absolue un transformer un petit bad buzz en catastrophe économique qui impacte toute la société. Encore une fois, la sécurité par l’obscurité, ça n’a jamais fonctionné mais alors la sécurité par l’intimidation juridique encore moins.
Et ça, McNally l’a prouvé avec une canette vide et pas mal de classe ^^.
Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !
Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.
Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.
Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :
Vous installez ça comme ceci :
Connexiongit clone https://github.com/zakirkun/deep-eye.git
cd deep-eye
Puis sous Windows :
cd scripts
./install.ps1
Ou sous macOS / Linux :
chmod +x scripts/install.sh
cd scripts
./install.sh
Ensuite, vous n’avez plus qu’à configurer vos clés API dans config/config.yaml puis à le lancer comme ceci avec Python :
python deep_eye.py -u https://example.com
Et c’est parti pour le scan ! Il commencera par de la reconnaissance passive, énumèrera les DNS, découvrira les sous-domaines, testera les fameuses 45 méthodes d’attaque, génèrera les payloads avec les IA, et vous sortira un rapport incroyable (ou pas) en PDF, HTML ou JSON.
Bien sûr, Deep Eye est conçu pour des tests de sécurité autorisés uniquement donc utilisez le uniquement sur vos propres systèmes, ou sur des systèmes pour lesquels vous avez une autorisation d’agir écrite car vous le savez, scanner un site sans permission, c’est illégal !!!
Bref, ça ne remplace pas encore de vrais pentesters mais ça peut permettre de faire un peu d’analyse en amont histoire de voir où on met les pieds.
Merci à lorenper pour la découverte 🙏
Dans un article de blog publié le 24 octobre 2025, des chercheurs de la société de cybersécurité NeuralTrust ont révélé une méthode permettant à un acteur malveillant de contourner les mécanismes de sécurité de l’assistant IA intégré au nouveau navigateur ChatGPT Atlas.
« SIEM : 6 fournisseurs dominent un marché qui se densifie ».
Ainsi avions-nous titré, au printemps 2024, notre synthèse de ce qui était alors le dernier Magic Quadrant consacré à ce marché. Gartner avait effectivement classé 22 offreurs, dépassant le seuil des 20 auquel il se tient généralement.
Ils furent 6 à faire leur entrée à cette occasion. Un directement chez les « visionnaires » (Google). Les autres chez les « acteurs de niche » (Logz.io, NetWitness, Odyssey, QAX, Venustech).
Dans le Magic Quadrant du SIEM version 2025, plus de Logz.io, de NetWitness, d’Odyssey ni de Venustech. Ils ne sont pas les seuls à disparaître. Devo Technology, IBM, LogRhythm, Logpoint et OpenText suivent le même chemin.
Pour LogRhythm, c’est dû à sa fusion avec Exabeam (finalisée en juillet 2024). IBM ne remplit quant à lui plus le cahier des charges technique de Gartner depuis qu’il a vendu QRadar SaaS à Palo Alto Networks.
Pour les autres, c’est partagé. Logpoint n’a pas satisfait à tous les critères fonctionnels. Devo Technology, Odyssey et Venustech, aux critères business. Logz.io, Netwitness et OpenText, aux uns et aux autres.
Les critères techniques ont globalement peu évolué par rapport à l’an dernier. Mais quelques seuils ont été relevés, comme le volume miminal de connecteurs pour la capture et le streaming de données en complément à la collecte de logs.
D’une année sur l’autre, les mêmes fonctionnalités sont restées « à la carte ». Il fallait, d’une part, en fournir au moins 2 sur les 4 suivantes :
D’autre part, fournir au moins 2 des 3 suivantes :
Sur le volet business aussi, des seuils ont été relevés. D’une part, il fallait avoir dégagé, entre mars 2024 et mars 2025, au moins 85 M$ de CA licences + maintenance sur les produits cloud*/SaaS ou bien disposer de 500 clients en production avec des contrats en direct sur ce même type de produits (les seuils précédents étaient à 75 M$ et 200 clients). De l’autre, avoir réalisé au moins 25 % de ce CA auprès de clients localisés hors de la région dans laquelle se trouve le siège social du fournisseur ; ou bien disposer d’au moins 25 % de clients respectant de même périmètre géographique (les seuils précédents étaient à 15 % de CA et 30 clients).
Le relèvement des seuils business est aussi, explique Gartner, la conséquence de la présence de « gros » fournisseurs parmi les 4 entrants de cette année (CrowdStrike, Datadog, Graylog et Palo Alto Networks).
CrowdStrike et Palo Alto Networks font partie des fournisseurs qui ont, comme Microsoft entre autres, intégré leur SIEM dans des offres plus larges avec un modèle de licence adapté. Certains, plutôt que de jouer la carte de la plate-forme, axent leur discours sur les capacités d’ingestion à grande échelle.
Une opposition existe aussi entre ceux qui, pour réduire la complexité, poussent la combinaison du SIEM avec d’autres parties de la stack de sécurité. Et ceux qui, en vue de ce même objectif, prônent un usage stratégie de l’augmentation des workflows (IA, automatisation).
Ces divergences contribuent à faire évoluer le paysage concurrentiel. À tel point que Gartner a priorisé, dans son évaluation, la vision que les fournisseurs ont du SIEM et leur capacité à faire adopter cette vision au marché.
Le positionnement au sein du Magic Quadrant résulte de la combinaison d’évaluations sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre censé refléter la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « exécution », la situation est la suivante :
| Rang | Fournisseur | Évolution annuelle |
| 1 | Splunk | = |
| 2 | Microsoft | = |
| 3 | + 8 | |
| 4 | Rapid7 | + 3 |
| 5 | Palo Alto Networks | nouvel entrant |
| 6 | Securonix | – 2 |
| 7 | Exabeam | – 1 |
| 8 | Fortinet | = |
| 9 | Gurucul | = |
| 10 | Elastic | + 4 |
| 11 | CrowdStrike | nouvel entrant |
| 12 | Sumo Logic | – 7 |
| 13 | Huawei | + 2 |
| 14 | Datadog | nouvel entrant |
| 15 | QAX | + 6 |
| 16 | ManageEngine | + 1 |
| 17 | Graylog | nouvel entrant |
Sur l’axe « vision » :
| Rang | Fournisseur | Évolution annuelle |
| 1 | + 4 | |
| 2 | Securonix | + 4 |
| 3 | Microsoft | – 1 |
| 4 | Gurucul | – 3 |
| 5 | Exabeam | – 1 |
| 6 | Splunk | – 3 |
| 7 | Elastic | + 2 |
| 8 | CrowdStrike | nouvel entrant |
| 9 | Datadog | nouvel entrant |
| 10 | Huawei | + 6 |
| 11 | Palo Alto Networks | nouvel entrant |
| 12 (ex aequo) | QAX | + 6 |
| 12 (ex aequo) | Fortinet | + 2 |
| 12 (ex aequo) | Rapid7 | + 1 |
| 15 | Sumo Logic | – 3 |
| 16 | Graylog | nouvel entrant |
| 17 | ManageEngine | + 5 |
Six fournissent se trouvent dans le carré des « leaders » : Exabeam, Google, Gurucul, Microsoft, Securonix et Splunk.
L’an dernier, Gartner avait salué l’UI d’Exabeam, « très en phase » avec les besoins des analystes sécurité. Il avait aussi apprécié le scoring dynamique et les capacités de traitement des flux tiers par recherche fédérée.
Le cabinet américain avait, en revanche, pointé une courbe d’apprentissage plus longue que sur les autres SIEM. Et relevé une tarification plus élevée que la moyenne, en plus d’une tendance à se focaliser sur les grandes entreprises.
Cette année encore, l’UI fait mouche. Comme le scoring et la recherche fédérée. S’y ajoutent l’assistant Exabeam Copilot (qui simplifie le tri et la priorisation des cas) et une marketplace « bien fournie en contenu », notamment sur la menace interne, les règles de corrélation et les dashboards extensibles.
La tarification au-dessus de la moyenne reste d’actualité. La courbe d’apprentissage aussi, mais pour une brique en particulier : Advanced Analytics (moteur legacy de détection comportementale). On surveillera par ailleurs l’effet latent de la fusion avec LogRhythm (annoncée en mai 2024) en matière d’allocation des ressources de développement produit.
Avec son offre Chronicle, Google Cloud avait fait son entrée au Magic Quadrant du SIEM l’an dernier. Il était classé chez les « visionnaires » (résultat insuffisant sur l’axe « exécution » pour être leader).
Depuis, Chronicle est devenu SecOps. La plate-forme se distingue sur les requêtes « avancées et complexes », selon Gartner. La fédération et le multilocataire la rendent attractive pour les MSSP comme pour les grandes organisations qui ont besoin de plusieurs instances de SIEM. Autre bon point : l’injection d’IA sur un large spectre de workflows, en plus de capacités d’automatisation « bien intégrées ».
On notera qu’il n’existe pas de version on-prem de SecOps. S’y ajoute une UI complexe, au sens où Google favorise une approche CLI (pour la création de requêtes, par exemple) dont l’implémentation et l’exploitation supposent des compétences. Il y a également de la marge de progression sur l’UEBA, qui manque de use cases embarqués qu’on trouve généralement chez les autres « leaders » du SIEM.
L’an dernier, Gurucul était lui aussi chez les « visionnaires ».
Il est crédité d’un bon point pour son programme marketing, dont l’extension est corrélée à un taux de renouvellements plus élevé que la moyenne. Gartner apprécie aussi ses roadmaps et sa capacité à délivrer des fonctionnalités de façon consistante. Bon point également pour la partie gestion des données, qui apporte de la flexibilité.
Le prix est beaucoup plus élevé que chez les principaux concurrents, si bien qu’il peut être difficile de prouver la valeur de certaines fonctionnalités « avancées ». Globalement, la solution est plutôt adaptée aux acheteurs qui présentent des cas d’usage complexes. Attention aussi sur la partie « augmentation » des workflows (automatisation, orchestration) : sur le plan fonctionnel, Gurucul est en retard sur les autres « leaders ».
L’an dernier, Gartner avait salué les passerelles établies entre le SIEM Sentinel et le reste de l’écosystème de Microsoft (SOAR, CASB, protection des identités et des terminaux…). Il avait aussi apprécié la couverture MITRE ATT&CK. Et les capacités de personnalisation, tant au niveau des modèles de détection de menaces que de l’UI de threat intelligence.
Le cabinet américain n’en avait pas dit autant au sujet du reporting de conformité, jugé limité. Il y avait ajouté la dépendance à des services Azure pour certaines fonctionnalités… et pour l’hébergement de la solution.
Cette année, Microsoft conserve son bon point pour le niveau de couverture de la matrice MITRE ATT&CK. Même chose pour les intégrations avec le reste de son écosystème. Gartner y ajoute l’extension de la prise en charge d’outils tiers, l’intégration d’IA en particulier sur la partie corrélation, et les capacités de personnalisation du tableau de bord de renseignement sur les menaces.
Microsoft peut lui aussi se révéler plus cher que la concurrence, surtout lorsqu’on ingère des données depuis des sources externes. Les dépendances à Azure valent toujours (pour l’intégration de sources de télémétrie tierces, par exemple), y compris pour l’hébergement (SaaS uniquement).
L’an dernier, Securonix s’était distingué pour sa gestion des sources de données tierces et des flux de threat intelligence. Gartner avait aussi salué l’aide fournie pour améliorer la configuration du SIEM (identification des sources de données manquantes, des modèles d’analyse pertinents…).
Il avait moins apprécié le modèle économique fondé exclusivement sur les EPS (événements par seconde). Ainsi que la prise en main. Qui, expliquait-il, nécessitait « plus de services professionnels que la moyenne ». En tout cas pour les déploiements cloud.
Cette année, un bon point va à la gestion des data lakes tiers – et à la flexibilité que cela apporte. Securonix se distingue aussi sur l’UEBA (capacité à gérer des use cases avancés), assorti de « capacités exhaustives » de test et de tuning. Il dédie par ailleurs au développement produit une équipe « plus grosse que la moyenne » [de l’ensemble des fournisseurs classés au Magic Quadrant du SIEM].
S’il existe une brique d’augmentation de workflows, elle est en retard sur celles des autres « leaders », tant au niveau des fonctionnalités que des intégrations. Gartner souligne aussi une dépendance au risk scoring susceptible de réduire la capacité à créer manuellement des requêtes. Et note que la croissance de la base client est plus faible que chez d’autres « leaders ».
L’an dernier, Splunk s’était distingué avec son UI, en particulier pour les capacités de personnalisation. Il avait aussi pour lui une bibliothèque d’intégrations exhaustive, SOAR en tête. Gartner avait aussi salué la composante observabilité, couplée à la recherche fédérée et aux capacités d’analyse sur les data stores tiers.
Bien que flexible, la tarification apparaissait plus élevée que la moyenne. Et la solution, complexe, tout du moins au niveau de l’implémentation. Gartner avait aussi souligné le fait que les effectifs étaient majoritairement localisés en Amérique du Nord… et l’impact potentiel que cela pouvait avoir sur le support client.
Cette année, l’un des bons points va à la marketplace de contenus, doublée de la richesse des ressources développées par la communauté. Un autre va au catalogue d’intégrations avec les produits de sécurité, dont ceux de Cisco. Gartner souligne aussi les possibilités de personnalisation de la solution pour le développement de workflows et de dashboards.
L’augmentation de workflows n’est pas le fort de Splunk, qui affiche lui aussi du retard sur ses principaux concurrents. Du retard face à ces mêmes acteurs, il en a aussi au niveau de la roadmap, reflet d’une stratégie encore centrée sur l’intégration dans l’optique de constituer une plate-forme TDIR unifiée. Quant aux possibilités de personnalisation, elles supposent une certaine complexité qui pourrait rebuter les organisations les moins matures.
* Comprendre « cloud-native« , c’est-à-dire conçu pour exploiter les caractéristiques du cloud.
Illustration © Brues – Shutterstock
The post SIEM : le marché se structure sur des visions opposées appeared first on Silicon.fr.
Doit-on attendre d’un fournisseur de PAM qu’il propose une brique de CIEM (gestion des droits d’accès à l’infrastructure cloud) ?
Gartner considère désormais qu’il s’agit d’une fonctionnalité « commune ». Il la catégorise tout du moins ainsi dans son dernier Magic Quadrant dédié à ce marché.
Dans l’édition précédente, le CIEM était facultatif. Il n’est pas le seul à avoir rejoint le cahier des charges technique cette année. La gestion des secrets pour les workloads a suivi la même trajectoire. Idem pour la gestion du cycle de vie des comptes à privilèges et celle des accès distants à privilèges.
De même, certains critères jugés « communs » l’an dernier sont devenus « obligatoires ». En l’occurrence, la découverte de comptes à privilèges, l’enregistrement des sessions à privilèges et la gestion des privilèges juste-à-temps.
Pour espérer figurer dans le Magic Quadrant du PAM, il y avait 7 critères « obligatoires » à respecter :
Il fallait par ailleurs fournir au moins 5 des 8 éléments « communs » suivants :
Le positionnement au sein du Magic Quadrant résulte d’évaluations sur deux axes. L’un, appelé « vision », est prospectif. Il est centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre, dit « exécution », reflète la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « exécution », la situation est la suivante :
| Rang | Fournisseur | Évolution annuelle |
| 1 | BeyondTrust | + 3 |
| 2 | CyberArk | + 1 |
| 3 | ARCON | – 2 |
| 4 | Delinea | – 2 |
| 5 | Savyint | nouvel entrant |
| 6 | ManageEngine | – 1 |
| 7 | Segura | nouvel entrant |
| 8 | One Identity | – 1 |
| 9 | Keeper Security | nouvel entrant |
| 10 | WALLIX | – 4 |
| 11 | Netwrix | – 2 |
| 12 | StrongDM | nouvel entrant |
Sur l’axe « vision » :
| Rang | Fournisseur | Évolution annuelle |
| 1 | CyberArk | = |
| 2 | BeyondTrust | + 1 |
| 3 | Delinea | – 1 |
| 4 | WALLIX | = |
| 5 | One Identity | = |
| 6 | ARCON | + 1 |
| 7 | ManageEngine | – 1 |
| 8 | Savyint | nouvel entrant |
| 9 | StrongDM | nouvel entrant |
| 10 | Segura | nouvel entrant |
| 11 | Netwrix | – 3 |
| 12 | Keeper Security | nouvel entrant |
Les trois « leaders » sont les mêmes qu’en 2024. Dans l’ordre alphabétique : BeyondTrust, CyberArk et Delinea. Le français WALLIX reste chez les « visionnaires », à plus forte raison avec son recul sur l’axe « exécution ».
BeyondTrust reste, d’après Gartner, parmi les meilleurs sur le remote PAM et le juste-à-temps. Il se distingue aussi sur le CIEM. Si ses prix restent globalement au-dessus de la moyenne du marché, la partie SaaS fait désormais exception sur plusieurs scénarios évalués, en conséquence du lancement des bundles Essentials, Plus et Flex dans la plate-forme Pathfinder. Bons points également pour la stratégie commerciale (réseau de vente, remises sur engagement, cross-selling efficace) et l’accompagnement client (customer advisory boards, notamment, ainsi que plusieurs niveaux de formation, dont du gratuit).
L’offre de BeyondTrust manque encore de maturité sur la gestion des identités de workloads et des secrets (pas de possibilité de gérer les gestionnaires tiers, notamment). Au global, les innovations ont manqué sur l’année écoulée, se limitant à de l’intégration/unification. À cela s’ajoute un retard, par rapport aux autres « leaders », sur l’exploitation de la GenAI dans la gestion des sessions. Attention aussi au support technique, jugé améliorable par certains clients – comme, d’ailleurs, le paramétrage initial (qui peut s’avérer complexe) ainsi que l’UI et la navigation.
« Mature » sur l’ensemble de son offre, CyberArk se distingue particulièrement sur la gestion des identités de workloads et des secrets, ainsi que sur le PEDM Windows. Il a aussi pour lui son IA CORA, appliquée entre autres au résumé de sessions, à la détection d’anomalies au niveau des secrets et à la recommandation de règles. Autre point positif : le recueil du feedback client, entre sondages et customer advisory board. Gartner apprécie également la stratégie géographique (capacité de delivery local) et l’extension sectorielle de l’offre, en particulier vers les services financiers et le secteur public.
L’élévation de privilèges exige des produits distincts pour UNIX et Linux, et ils ne sont pas à parité fonctionnelle. Au global, les prix restent parmi les plus élevés du marché, et CyberArk ne pratique toujours pas de remises sur engagement multiannuel. Il a de la marge de progression sur le support, comme sur le paramétrage initial (complexe) et les upgrades de son PAM autohébergé. On portera aussi attention à l’évolution de l’activité des suites de l’acquisition par Palo Alto Networks (annoncée en juillet).
Delinea reste un des meilleurs sur le PEDM UNIX/Linux. Il se distingue aussi sur la gestion des identités de workloads et des secrets, comme sur le CIEM. Gartner salue autant le support technique que la collecte de feedback. Il souligne aussi la facilité d’utilisation de la solution (moteurs unifiés, console de gestion unique, bonne couverture sur les rapports d’intégrité). Ainsi que la disponibilité d’un agent qui exploite le contexte pour automatiser les décisions d’accès dans les environnements cloud.
Delinea est, en revanche, moins mature sur le remote PAM (manque d’enregistrement en self-service, de collaboration multiutilisateurs, de création à la demande de jetons à usage unique pour les identités externes…). En fonction des scénarios testés, la tarification est « inégale » : sous la moyenne du marché pour les entreprises de moins de 1000 employés, au-dessus pour les plus grandes. Attention aussi au fait que la gestion des authentifiants à privilèges et la découverte de comptes peut nécessiter une personnalisation par PowerShell. Gartner fait par ailleurs remarque que la croissance des revenus de Delinea a ralenti, tout comme celle des investissements en ventes/marketing.
Bon sur les accès distants, WALLIX garde par ailleurs son avantage sur le PAM pour les systèmes cyber-physiques. Il bénéficie d’ailleurs d’une présence importante dans la production industrielle – tout comme dans les services financiers et le secteur public. Gartner salue l’efficacité de son support, la facilité d’usage de sa solution et l’engagement client régulier (dont customer advisory board).
La découverte de comptes s’avère limitée (axée sur Active Directory) et le PAM JIT reste immature (dépendant d’intégrations workflow/ITSM). Comme chez Delinea, la tarification a tendance à être avantageuse pour les plus petites organisations, moins pour les plus grandes. Gartner note aussi que parmi les fournisseurs qui proposent du SaaS, WALLIX est celui qui a signé le moins de contrats (la majorité de ses clients implémentent encore sur site). Il ajoute, sous son prisme américain, l’absence de certifications communes chez des concurrents (FedRAMP, FIPS, SOC 2).
Illustration générée par IA
The post Gestion des accès à privilèges (PAM) : en 2025, quel cahier des charges technique ? appeared first on Silicon.fr.
Face à la diversité grandissante des menaces, dont la sophistication est facilitée par l’usage de l’intelligence artificielle (phishing personnalisé, deepfakes…), les experts de la sécurité offensive continuent d’évoluer afin d’être en mesure de répliquer au mieux les attaquants.
Là où les audits traditionnels permettent de mettre en évidence des vulnérabilités et des non-conformités sur un périmètre précis, ils ne sont pas représentatifs du réalisme d’une attaque informatique ciblant une entreprise dans l’absolu : ce cadre bien défini les empêche souvent d’explorer ce que l’entreprise n’imagine pas.
En effet, les tests d’intrusion, les scans de vulnérabilités et autres audits de conformité sont en général effectués sur une maigre partie du SI de l’entreprise : une application web, le réseau interne d’une filiale, une chaîne de CI/CD, une entité spécifique… Ces audits « classiques » permettent aux consultants en cybersécurité de mettre en place des scénarios d’attaque connus, documentés et souvent exploitables à partir d’outils open-source. Néanmoins, ils ne permettent pas d’intégrer la totalité des facteurs impactant le niveau réel de sécurité de l’entreprise.
Par exemple, la combinaison d’éléments faibles à différents niveaux (humain, procédural et logique) peut permettre de concrétiser de lourds impacts. Et une campagne de spear phishing tirant parti d’un événement interne, couplée à un deepfake vocal, pourrait déjouer la vigilance des utilisateurs et permettre à un attaquant d’obtenir un accès initial au réseau interne depuis un poste de travail compromis. La conformité à des listes de points de contrôle ne peut malheureusement pas déjouer ce genre de scénarios. par
Un attaquant réel cherchant à nuire à une entreprise dans le cadre de la mise en place d’un ransomware ou d’espionnage industriel ne se limitera pas à un périmètre précis comme un auditeur, mais considérera plutôt les actifs de l’entreprise au global : périmètre logique externe, employés, infrastructures physiques, réseau interne…
Les audits « Red Team » ne sont pas un test technique ponctuel, c’est une simulation d’adversaire pensée dans la durée et se basant sur le threat model de la cible. Elle part d’une posture offensive : intelligence sur la menace, scénarios réalistes, exploitation de la chaîne humaine, procédurale et technique. La méthodologie combine renseignement (open source et ciblé), scénarios réalistes, exécutions contrôlées et évaluation du bruit, de la réponse et de la coordination interne.
Ce genre d’exercice a deux objectifs majeurs :
> Mettre en exergue un scénario complet illustrant la compromission d’actifs critiques (dits « trophées ») ;
> Tester les capacités de détection et de réaction de l’équipe de défense, dite « Blue Team », afin d’évaluer comment une organisation réagit lorsqu’on la met réellement sous pression, et de générer un diagnostic de résilience : combien de temps pour détecter ? Combien de temps pour bloquer ? Qui décide ? Quelles procédures limitent le champ des possibles de l’attaquant ? Quelles communications internes s’enclenchent (ou pas) ?
Pour la direction, ces enseignements sont précieux : ils transforment des hypothèses, jusque-là potentiellement non éprouvées, en données mesurables et leviers actionnables.
La valeur d’un audit « Red Team » se mesure à son utilité stratégique : le rapport, la chaîne de compromission et la timeline fournissent à la direction des enseignements clairs, priorisés et intégrables au plan de gestion du risque : scénarios mis en évidence, vecteurs exploités, impacts simulés, points de défaillance organisationnels pointés…
La transparence et la communication interne sont essentielles : informer les parties prenantes concernés sans céder à la panique et préparer un plan de remédiation pragmatique. Idéalement, les audits « Red Team » sont suivis par des exercices « Purple Team », où les auditeurs et les équipes de sécurité échangent lors de sessions collaboratives afin de corriger les lacunes, améliorer les détections et raffiner les méthodologies d’intervention. Ce cycle continu (simuler, apprendre, corriger, vérifier) élève la posture globale face à une menace réelle.
Au-delà d’un audit technique, l’exercice « Red Team » constitue ainsi un fort levier stratégique : il transforme la cybersécurité en instrument d’anticipation pour le comité de direction, renforce la coordination entre les équipes et met l’accent sur la résilience business, et non pas seulement sur la conformité.
* Richard Disaro est consultant au sein du cabinet XMCO
The post { Tribune Expert } – La Red Team : un levier stratégique pour les entreprises appeared first on Silicon.fr.
En 2027, l’ANSSI n’acceptera plus, en entrée de qualification, des produits de sécurité qui n’embarquent pas de cryptographie post-quantique.
Son directeur général Vincent Strubel l’a annoncé début octobre aux Assises de la sécurité. Sa déclaration a fait écho à une FAQ que l’agence avait publiée la veille, et où figurait cette même info.
En toile de fond, l’enrichissement du corpus de l’agence sur ce thème. Et, en parallèle, le franchissement de jalons. Entre autres, l’émission de ses premiers visas de sécurité pour des solutions comprenant de la cryptographie post-quantique. Plus précisément, des certifications CC (Critères Communs) pour la carte à puce MultiApp 5.2 Premium PQC de Thales (29 septembre) et pour le microcontrôleur S3SSE2A de Samsung (1er octobre), qui exploitent le schéma de signature ML-DSA.
Les évaluations ont été conduites par le CEA-Leti, premier centre agréé « pour la portée PQC ». D’autres centres sont en cours d’agrément : Amossys (groupe Almond), EDSI (groupe NAGRA Kudelski), Quarkslab, Serma Safety & Security, Synacktiv et Thales/CNES.
Au-delà de l’horizon 2027, la FAQ mentionne l’échéance 2030. Avec un commentaire : à ce moment-là, il « ne sera plus raisonnable » d’acheter des produits qui n’intègrent pas de cryptographie post-quantique.
L’ANSSI invite à réaliser dès à présent un travail d’inventaire : identifier les données et les cas d’usage menacés, puis les équipements qu’il faudra mettre à jour, et prendre contact avec les fournisseurs pour connaître leur roadmap.
Pour le moment, l’agence focalise ses conseils essentiellement sur les offreurs. Dans cette logique, elle prévoit de publier des recommandations techniques (intégration dans les protocoles, crypto-agilité, formation de certificats…). Et aussi d’actualiser, en 2026, son référentiel IPsec DR afin d’y intégrer les algorithmes post-quantiques*. En attendant, elle invite à consulter un guide d’aide à la transition signé du renseignement néerlandais et de deux instituts de recherche nationaux (en anglais ; 2e édition, décembre 2024).
L’ANSSI s’est aussi impliquée dans l’appel à projets « Développement de technologies innovantes critiques » du SGPI. La période de candidature a couru de novembre 2024 à avril 2025. Objectif : financer des briques technologiques en cybersécurité. Un des axes porte sur les outils d’aide à la transition post-quantique :
D’autres mises à jour sont prévues à court terme, comme celle du guide de sélection des algorithmes de cryptographie (actualisation prévue cette année).
Dans le corpus de l’agence, le « document fondateur » reste un avis sur la migration vers la cryptographie post-quantique, publié en 2022 (et mis à jour fin 2023). Y était déjà promue l’hybridation, à savoir la combinaison avec des algorithmes de cryptographie asymétrique pré-quantique à court et moyen terme pour éviter les régressions**.
L’ANSSI codirige par ailleurs, avec ses homologues allemand et néerlandais, le groupe de travail chargé d’élaborer la roadmap de l’UE « pour la mise en œuvre coordonnée de la transition vers la cryptographie post-quantique ».
En attendant le livrable final, un premier document a été publié en juin 2025. Il est censé contribuer à l’atteinte d’un niveau minimal de préparation dans les États membres pour fin 2026. Cela induit notamment l’identification et l’implication des parties prenantes. En la matière, la France est donnée comme exemple, pour les sondages que l’ANSSI a orchestrés auprès de trois populations (fournisseurs, utilisateurs, prestataires de conseil).
Il s’agira aussi d’avoir, pour fin 2026, engagé des pilotes en vue de la transition des cas d’usage à risque « intermédiaire » et « élevé ». Par « élevé », il faut par exemple entendre, pour des données protégées avec de la cryptographie à clé publique, les cas où une compromission de la confidentialité après 10 ans ou plus causerait encore des dommages significatifs.
La catégorisation des risques dépend plus globalement d’un score, calculé à partir d’un modèle décrit dans le guide néerlandais susmentionné. Trois facteurs l’influencent :
L’idée est que les cas d’usage à risque élevé aient migré en 2030 au plus tard (et qu’à ce même horizon, les mises à jour des logiciels et des firmwares utilisent des signatures résistantes). L’échéance 2035 est ciblée pour les cas d’usage à risque intermédiaire.
Cet agenda s’appuie en particulier sur une étude de l’ANSSI allemande (The status of quantum computer development ; dernière version publiée en janvier 2025). Il y est estimé qu’un ordinateur capable de casser la cryptographie actuelle pourrait être disponible d’ici à 2040.
Le document à l’adresse des États membres source un autre rapport, signé du Global Risk Institute. Et plus particulièrement une estimation : il y a 19 à 34 % de chances que sur la prochain décennie, un ordinateur quantique soit capable de casser RSA-2048 en 24 heures.
* Pour le moment, les produits quantum-safe ne peuvent être agréés DR s’ils doivent être conformes à un référentiel qui ne permet pas l’utilisation de tels algos.
** Les seuls algorithmes post-quantiques pour lesquels l’ANSSI ne recommande pas un recours systématique à l’hybridation sont les algorithmes de signature fondés sur le hachage : SLH-DSA, XMSS et LMS.
Illustration générée par IA
The post Transition post-quantique : l’agenda de l’ANSSI se remplit appeared first on Silicon.fr.
