Cryptomarmot

English EN

CC BY-NC-SA 4.0

Cyberbasics — Épisode 1 : état des menaces

Cet article est le premier épisode de la série cyberbasics, dédiée aux fondamentaux de la sécurité logicielle.


Une marmotte surveille des écrans de cybersécurité

Objectif : sensibilisation

On ne va pas se le cacher, un des premiers défis de la sécurité dans le logiciel c'est convaincre les gens de mettre le pied à l'étrier. De la directrice ou du directeur qui ne comprend pas les problématiques, à la manager ou au manager/PO qui n'arrive pas à prioriser les tâches de sécurité, en passant par les devs qui ne voient pas l'intérêt : c'est un combat constant que d'intéresser les gens à la cybersécurité.

Bref, la première étape pour faire de la sécurité c'est de sensibiliser, encore et toujours, et pour ça : rien de mieux qu'une bonne synthèse de l'état de la menace.

Cassons le premier mythe : "on est trop petit pour être ciblé"

J'avoue que c'est un argument qui a tendance à se faire de plus en plus rare à cause de l'actualité cyber, mais c'est aussi une des croyances les plus dangereuses en matière de sécurité informatique. En effet, les rapports que l'on va présenter dans la suite de l'article font état que les petites structures ne sont pas moins ciblées, elles sont juste moins bien préparées et constituent donc des cibles de choix pour les cybercriminels.

Le panorama de la menace

Chaque année, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie son Panorama de la cybermenace 2025 et l'ENISA (Agence de l'Union Européenne pour la Cybersécurité) son Threat Landscape 2025. Ces rapports documentent l'évolution des attaques à l'échelle nationale et européenne. Les grandes tendances des dernières années convergent vers plusieurs signaux forts :

Le ransomware reste la menace dominante

Les attaques par rançongiciel continuent de progresser et touchent tous les secteurs. Les PME sont particulièrement vulnérables : elles ont moins de capacité de réponse et paient plus souvent la rançon.

Les attaques sur la supply chain sont devenues des cibles de choix

Les attaquants s'intéressent de plus en plus aux outils et bibliothèques utilisés par les développeuses et développeurs. Compromettre un package npm, un dépôt open source ou un outil de build, c'est potentiellement atteindre des milliers de projets en aval d'un seul coup.

L'ingénierie sociale s'est industrialisée

Le phishing, les arnaques au faux président et l'usurpation d'identité n'ont pas disparu — ils se sont massifiés et sophistiqués. L'IA générative permet aujourd'hui de produire des messages de phishing convaincants à grande échelle, dans n'importe quelle langue, adaptés à chaque cible.

Les API et les infras cloud catalysent les incidents

Avec la généralisation du cloud et des architectures microservices, la surface exposée sur Internet a explosé. Des clés API mal protégées, des services de stockage mal configurés ou des tokens de déploiement dans un dépôt public sont des vecteurs d'attaque documentés et exploités quotidiennement.

Qui attaque, et pourquoi ?

Les rapports ANSSI et ENISA distinguent plusieurs catégories d'attaquants aux motivations très différentes.

Les groupes étatiques — les APT

Des acteurs soutenus par des États (Russie, Chine, Corée du Nord, Iran principalement) mènent des opérations d'espionnage, de sabotage ou de déstabilisation sur le long terme. Ces groupes, que l'on désigne par l'acronyme APT (Advanced Persistent Threat), ciblent principalement les États, les Opérateurs d'Importance Vitale (OIV), la défense, l'énergie et les infrastructures critiques.

Le cybercrime organisé

C'est la menace la plus universelle. Ces groupes sont motivés par le profit et opèrent de façon opportuniste : ils cherchent les cibles les plus accessibles, pas les plus prestigieuses. Ransomware, vol de données, fraude financière — tout est exploitable. Une PME mal protégée peut être une cible aussi intéressante qu'une grande entreprise si elle est plus simple à compromettre.

Les hacktivistes

Motivés par des convictions politiques ou idéologiques, ils privilégient la visibilité : défacement de sites, attaques par déni de service, fuites de données. Les cibles sont choisies pour leur valeur symbolique plutôt que leur valeur financière.

La menace interne

Souvent sous-estimée : une employée ou un employé malveillant·e, une prestataire ou un prestataire disposant d'accès excessifs, ou simplement une erreur humaine non malveillante. L'ANSSI souligne régulièrement que la menace interne — intentionnelle ou accidentelle — est à l'origine d'une part significative des incidents constatés.

Toutes les menaces ne concernent pas tout le monde de la même façon

C'est le point central de cet article : il n'existe pas de profil de menace universel. Ce qui expose une développeuse ou un développeur freelance n'est pas ce qui expose une startup SaaS, qui n'est pas ce qui expose une agence web.

La taille de la structure est un facteur, mais ce n'est pas le seul — ni le plus déterminant. Ce qui compte davantage, c'est ce que l'on détient (données, accès, secrets) et comment on est exposé. Pour illustrer ce point, voici quatre profils types et les menaces qui leur sont les plus pertinentes.

La développeuse ou le développeur individuel

Contributrice ou contributeur open source, mainteneur·se de packages, développeur·se de projets personnels. Sa principale exposition est souvent invisible : la compromission de ses comptes (GitHub, npm, crates.io) peut avoir un impact disproportionné sur des milliers de projets qui en dépendent. La supply chain commence ici, à l'échelle d'une seule personne — et c'est clairement une cible de choix, particulièrement exposée au phishing ciblé et au vol de credentials.

La startup SaaS

Elle héberge des données utilisateurs, intègre des dizaines de services tiers, et déploie en continu. Ses risques principaux : secrets mal gérés (clés API dans le code, tokens dans les logs), dépendances vulnérables, infrastructure cloud mal configurée. La vitesse de développement crée de la dette sécurité que l'on ne voit pas venir.

La développeuse ou le développeur seul·e dans une PME non-tech

C'est souvent la seule personne à gérer toute l'informatique de l'entreprise. Celle-ci stocke des données sensibles — RH, clients, comptabilité — sans politique de sécurité formalisée. C'est une cible idéale pour le ransomware : impact maximal sur l'activité, capacité de réponse minimale.

L'agence et l'ESN ou encore le ou la freelance

Elle dispose d'accès à la production de nombreux clients. Compromettre une agence, c'est potentiellement obtenir un accès simultané à des dizaines d'environnements clients. Le multiplicateur de dommages est considérable, et ces structures sont souvent ciblées précisément pour cela.

Ce qu'on retient

La menace est réelle, diverse, et ne se limite pas aux grandes organisations. Les petites structures sont ciblées, souvent parce qu'elles sont plus accessibles. Mais la sécurité n'a pas besoin d'être complexe pour être efficace — elle commence par une question simple : de quoi dois-je me protéger, moi, concrètement ?

Répondre à cette question, c'est faire de l'analyse de risque. Ce sera l'objet du prochain article : comprendre ce que l'on a à protéger, identifier ce qui pourrait l'atteindre, et commencer à prioriser ses efforts — sans framework de 500 pages, juste l'essentiel pour raisonner avec méthode.

Pour aller plus loin

Rapports annuels sur l'état de la menace

Bases de données des groupes d'attaquants

Suivi des incidents et fuites de données

  • CERT-FR — alertes et avis de sécurité publiés en continu par l'ANSSI
  • Bonjour la fuite — base de données collaborative des fuites de données signalées en France et à l'international

Cet article fait partie de la série cyberbasics, destinée aux développeuses et développeurs et aux petites structures qui souhaitent construire une posture de sécurité solide et pragmatique.