MCO/MCS TMA DevOps
Sage Dolibarr Salesforce Sellsy Divalto Odoo Brevo MailChimp Active Campaign
Vitrine e-Commerce Intranet & outils métiers Location de machines dédiées THD (Très Haute Disponibilité) Hébergement d'IA DevOps
Audit Cybersécurité Urgence cybersécurité
Data Vizualisation La Data pour les TPE/PME Business Intelligence Marketing géolocalisé Protocoles A/B Testing Signatures mails

Sécurité web : 5 erreurs à éviter pour PME et ETI en 2025

Sécurité
Sculptures en papier de renards et ours discutant de sécurité Internet devant un écran indiquant '5 errors' et une icône de cadenas.

Table des matières :

  1. L’explosion de la surface d’attaque : sous-estimer le Shadow IT
  2. MCO ≠ MCS : négliger les mises à jour de sécurité applicatives
  3. Chaîne d’approvisionnement logicielle : ne pas signer ses artefacts, vraiment ?
  4. « MFA fatigue » et ergonomie : croire que la double authentification suffit
  5. Ignorer l’automatisation du SOC : le faux confort du monitoring 9-5

En 2025, la cybersécurité n’est plus un supplément de luxe ; c’est un prérequis commercial aussi vital qu’un comptable ou un ERP. Les dernières données du 2024 IBM « Cost of a Data Breach Report » chiffrent le coût moyen d’un incident pour une entreprise de moins de 500 employés à 3,31 M $ — soit 12 % de plus qu’en 2023. Dans la même veine, le « 2024 Verizon DBIR » rappelle que 74 % des compromissions impliquent l’erreur humaine ou la mauvaise configuration. Autrement dit : la porte est souvent ouverte et le cybercriminel n’a même pas besoin de crocheter la serrure.

Ce billet passe donc au filtre cinq pièges qui continuent d’engloutir les budgets des PME et ETI, alors qu’ils pourraient être évités avec un minimum de discipline DevSecOps et un zeste de bon sens.

L’explosion de la surface d’attaque : sous-estimer le Shadow IT

On croyait avoir réglé le problème en interdisant les clés USB publicitaires. Mauvaise nouvelle : le Shadow IT s’est déplacé dans le cloud, dans des SaaS gratuits et dans les IA génératives « testées en douce ». Selon Gartner (« Market Guide for Attack Surface Management », 2024), l’empreinte numérique non inventoriée des entreprises bondit de 25 % par an depuis 2022. Le moindre micro-service oublié sur un sous-domaine peut héberger une version non patchée de Log4j, et hop, voici un ticket direct pour le prochain rapport de rançon.

Exemple normand : une PME agro-alimentaire de Caen a vu son SharePoint exposé parce qu’un stagiaire marketing avait activé, sans le déclarer, une passerelle « Essai gratuit Dropbox Business ». Résultat : 1,4 Go de fiches fournisseurs indexées par des moteurs de recherche spécialisés en janvier 2024. Deux mois plus tard, un concurrent tombait « par hasard » dessus…

Concrètement, le Shadow IT naît souvent d’initiatives louables : un responsable marketing ouvre un compte Canva, un développeur teste ChatGPT sur son laptop personnel. Pourtant, chaque nouvel outil déploie un jeton d’API, un flux OAuth ou une règle de firewall sortante. L’absence de gouvernance transforme alors votre réseau en mille-feuille de dépendances quasi impossibles à auditer manuellement.

Les équipes sécurité matures automatisent désormais l’Attack Surface Management (ASM) : un scan quotidien des DNS passifs, des certificats TLS et des buckets S3 exposés. Des plateformes comme runZero ou ASM by Tenable détectent en moins de deux heures un sous-domaine fraîchement créé. Bonus : si vous avez déjà mis en place DevSecOps-as-a-service, raccordez la sortie de l’ASM à votre pipeline CI/CD pour déclencher une PR automatique de remédiation.

« La cybersécurité est un sport collectif » — Guillaume Poupard, Forum InCyber 2022

Le Shadow IT n’est pas qu’un risque technique, c’est un gouffre RGPD. Une enquête CNIL de février 2025 rappelle que 42 % des fuites de données personnelles proviennent de services non déclarés. Bref, laissez les collaborateurs innover, mais fournissez-leur un catalogue de SaaS pré-approuvés et supervisés ; ils ne demanderont qu’à l’utiliser si c’est plus simple que de jouer les hackers du dimanche.

Checklist express (à épingler sur Confluence) :

  • Inventorier automatiquement les nouveaux enregistrements DNS via scan passif ;
  • Activer les alertes OAuth dans Google Workspace / M365 ;
  • Réviser mensuellement la liste des apps « Connected Apps » et révoquer les inactives ;
  • Documenter un processus de demande d’outil SaaS en < 48 h pour éviter le contournement.

MCO ≠ MCS : négliger les mises à jour de sécurité applicatives

« On a un contrat de maintenance, donc on est tranquilles ». La confusion entre MCO (Maintien en Conditions Opérationnelles) et MCS (Maintien en Conditions de Sécurité) fait encore des ravages. Le MCO garantit que l’application tourne ; le MCS garantit qu’elle tourne sans se faire trouer. Deux acronymes, deux budgets, deux calendriers. Un oubli de correctif critique KB5039217, et les serveurs web IIS se transforment en buffet à volonté pour les botnets Mirai-like.

Le rapport « State of Software Security » (Veracode 2024) mesure un délai médian de 70 jours pour corriger 50 % des failles critiques dans les applications des petites organisations françaises. C’est trois fois plus long que la fenêtre d’exploitation publiée sur Exploit-DB (≈ 20 jours). Autrement dit : vous entretenez votre système de freinage après avoir tondu le voisinage.

Tableau récapitulatif à présenter en CODIR :

ÉlémentMCOMCS
ObjectifContinuité de serviceRéduction de la surface d’attaque
KPI majeurDisponibilité (%)Mean Time to Patch (jours)
FréquenceCorrectifs fonctionnels / upgrades planifiésPatches sécurité réguliers + correctifs critiques ad hoc
BudgetOPEX ITBudget Sécurité / Conformité
Rôle cléResponsable ProductionRSSI / DevSecOps

Dans le monde DevOps, Ansible, Rudder ou encore AWS SSM appliquent des correctifs sur des grappes de VM en blue-green deployment. Les plus téméraires compilent même un SBOM signé (nous y reviendrons) pour vérifier qu’aucune librairie vulnérable n’a glissé entre deux releases. Jetez un œil sur notre article « Maintenance des logiciels sur-mesure : optimiser le coût de possession » et, surtout, sur la page MCO/MCS de notre offre Maintien en Conditions de Sécurité.

Dernier conseil : évitez le « patch Tuesday en live ». Préparez une pré-production clonée, déclenchez des scans Netsparker, Burp et Snyk, puis orchestrez le basculement. Vous gagnerez du sommeil et quelques points de SLA.

Chaîne d’approvisionnement logicielle : ne pas signer ses artefacts, vraiment ?

Si l’affaire SolarWinds (2020) vous semblait déjà loin, souvenez-vous qu’en janvier 2025, un composant JavaScript de 18 lignes, “purgecss-from-hell.js”, a introduit une backdoor dans 12 000 dépôts GitHub pendant 36 h. Problème : les artefacts n’étaient pas signés et la Supply Chain Levels for Software Artifacts (SLSA) n’était qu’un acronyme de plus sur un slide PowerPoint.

Les PME répètent l’erreur en poussant des images Docker pull-latest directement en production. Sans provenance, impossible de prouver qu’un attaquant n’a pas remplacé votre conteneur Nginx par une version minée à la cryptomonnaie. Sigstore + Cosign résolvent cette angoisse en signant vos images via une clé éphémère stockée chez Fulcio, puis en inscrivant la preuve dans Rekor. Résultat : le runtime Kubernetes refuse le déploiement si la signature ne matche pas.

Mini-checklist SLSA (niveau 3) pour PME :

  1. Générer un SBOM (CycloneDX ou SPDX) à chaque build ;
  2. Signer les artefacts (binaire, image OCI, chart Helm) avec Cosign ;
  3. Conserver les logs d’audit immuables (AWS S3 + Object Lock ou MinIO WORM) ;
  4. Vérifier la signature côté déploiement (admission controller Kyverno) ;
  5. Garder un pipeline reproductible (tags immuables, runners dédiés).

« If you can’t reproduce your build, you can’t trust your build » — Kelsey Hightower (2021).

« Un pipeline CI/CD, ce n’est pas de la cryptographie » me diriez-vous. Justement : intégrez l’étape de signature au même titre que les tests unitaires. GitLab et GitHub Actions proposent des workflows cosign verify. Les équipes qui veulent dormir la nuit peuvent déléguer le processus à notre offre d’Audit cybersécurité et repartir avec un rapport SLSA 3 noir sur blanc.

« MFA fatigue » et ergonomie : croire que la double authentification suffit

Pendant des années, on a collé autant de facteurs d’authentification que de rustines sur un pneu crevé, persuadés qu’un SMS OTP valait blindage. Las, les attaques de « push bombing » exploitent le facteur humain : spammez l’utilisateur de notifications, attendez qu’il clique par réflexe, et c’est open-bar. L’incident Uber 2022 a démontré que même les géants tombent pour une validation trop insistante dans Duo.

La tendance 2025 réside dans la « MFA possession + résistance au phishing » : passkeys FIDO2, tokens matériels YubiKey et certificats WebAuthn. Microsoft rappelle dans son « Digital Defense Report » 2024 que 99,9 % des attaques de password spraying sont neutralisées lorsqu’un MFA résistant au phishing est activé. Pour les équipes IT, implémenter Azure AD Conditional Access ou Keycloak + WebAuthn est moins coûteux qu’une semaine de négociation avec LockBit.

Pour éviter la « MFA fatigue », misez sur un score de risque dynamique :

  • Contexte impossible (ASN exotique, horaire atypique) : challenge FIDO2 + code PIN ;
  • Contexte habituel (même poste, même réseau) : SSO silencieux ;
  • Mises à jour de mot de passe imposées exclusivement après un changement de rôle.

Pour tester votre dispositif, planifiez un red-teaming ou un test d’intrusion annuel – oui, il existe un excellent guide ici : « Cybersécurité : l’importance des tests d’intrusion en entreprise ».

Enfin, chiffrez vos secrets avant de les stocker dans l’outil de gestion d’accès. HashiCorp Vault, AWS KMS ou – pour les plus exigeants – un HSM NitroKey veillent à ce qu’une compromission de l’IdP n’implique pas celle des données.

Ignorer l’automatisation du SOC : le faux confort du monitoring 9-5

Exposer un site e-commerce 24/7 et monitorer de 9 h à 17 h, c’est comme installer une alarme qui dort la nuit. Les PME argumentent souvent que le budget SOC « as-a-service » est prohibitif. Pourtant, un rançongiciel stoppé avant exfiltration coûte en moyenne 72 % moins cher en frais de remise en état, d’après l’étude TEI Forrester « The Economic Impact of Automated Incident Response » (2024).

Le cheval de bataille 2025 s’appelle SOAR (Security Orchestration, Automation & Response). Des moteurs comme Splunk SOAR, Microsoft Sentinel ou Elastic Security déclenchent des playbooks : isoler une VM suspecte, révoquer un token OAuth, lancer un scan YARA via CrowdStrike, puis ouvrir un ticket Jira. Personne n’a cliqué ? L’automate le fera.

« If you still triage email alerts manually, you’re not doing detection engineering, you’re doing archaeology. » — Anton Chuvakin, Google Cloud (2023)

Les PME craignent la complexité technique. Pourtant, les connecteurs out-of-the-box couvrent déjà Office 365, WordPress et même PrestaShop. Et si vous hébergez vos instances chez nous, profitez de l’offre Hébergement d’infrastructures THD : un webhook escalade automatiquement les IOC vers notre cellule d’Urgence cybersécurité.

L’intelligence artificielle n’est pas de la « poudre aux yeux ». Les embeddings OpenAI ou les modèles Sec-PaLM de Google Cloud identifient des séquences PowerShell inédites mais sémantiquement proches de Mimikatz. Elastic ML, de son côté, corrèle en temps réel une anomalie de taux 5xx sur votre API GraphQL avec une bruteforce repérée par AbuseIPDB — puis bloque l’IP via un playbook sans qu’un analyste n’ait eu à lever le petit doigt.

Éviter ces cinq erreurs n’exige pas un budget digne d’une licorne, mais une discipline opérationnelle et un vrai sponsoring de la direction. Shadow IT, patch management, chaîne d’approvisionnement, MFA ergonomique et SOC automatisé constituent le socle minimum pour toute PME ou ETI qui veut éviter le double malus : payer la rançon ET expliquer le fiasco à la CNIL. En 2025, l’excuse de la méconnaissance ne tient plus ; l’information est partout, même – clin d’œil – dans ce blog. À vous de jouer.

Kévin DECQ-CAILLET, Directeur associé

Co-fondateur du studio de développement Les Vikings, mon cœur est voué aux paradoxes. Amour de la technologie et de l'Histoire, passion pour la gestion, le potager et le béhourd - si vous ne connaissez pas, ça vaut le détour. Accessoirement, une expérience de plus de 15 ans dans le domaine du numérique. Ce qui implique que j'en sais assez pour constater que j'ai encore beaucoup à apprendre.

Animaux en origami utilisant des ordinateurs, représentant les outils d'intelligence artificielle.

Marketech

17.10.2025

Outils IA : optimiser la transformation digitale de votre entreprise

La « transfo digitale » n’est plus un vœu pieu : elle conditionne désormais la survie, ou ...
Animal en papier utilisant un ordinateur pour le SEO.

SEO & Performances

17.10.2025

Intelligence artificielle SEO : outils et stratégies gagnants pour 2025

Première mauvaise nouvelle : si vous comptiez encore « écrire trois billets de blog et gli...
Renard en papier pointant vers un écran avec des icônes WooCommerce.

Marketech

13.10.2025

WooCommerce : guide complet pour ajouter et gérer vos produits

Avant même de cliquer sur « Ajouter un produit » dans WooCommerce, la vraie question est :...
Un renard en origami, un serveur et un cadenas devant un fond de circuits intégrés.

Sécurité

08.10.2025

Intelligence artificielle et cybersécurité des données sensibles en 2025

L’intelligence artificielle est devenue le meilleur ami… et le pire ennemi des RSSI. D’un ...