Le discernement : la nouvelle compétence essentielle des RSSI

François Amigorena
IS Decisions

Les RSSI doivent affronter les incidents cyber avec discernement et lucidité.

La récente attaque par ransomware contre le logiciel Muse de Collins Aerospace a paralysé les systèmes d’enregistrement dans les aéroports, montrant une fois de plus à quel point les infrastructures numériques interconnectées peuvent être fragiles. Quelques semaines plus tôt, le chercheur en sécurité Dirk-jan Mollema révélait une vulnérabilité liée aux actor tokens (jetons d’usurpation d’identité) dans Microsoft Entra ID, permettant à des attaquants d’élever leurs privilèges jusqu’au rôle de Global Admin à travers plusieurs tenants.

Incidents différents, même constat : les dépendances créent des points uniques de défaillance dont les conséquences dépassent largement le cadre d’une seule entreprise. Les stacks technologiques interconnectées et les workflows cloud promettent (et offrent) de l’efficacité, mais les réalités qui se dessinent incitent les responsables sécurité à se poser la question : quelle part de risque est réellement responsable ?

Avec l’évolution rapide des menaces, cette question et la réponse qu’on y apporte sont complexes. Il n’existe pas d’approche universelle en matière de sécurité. Pour les RSSI, naviguer dans cette zone grise exige une évaluation minutieuse et une approche « les yeux grands ouverts ».

Reconnaître le risque

La faille des jetons d’usurpation d’identité dans Entra ID est un exemple extrême de ce qui peut se produire lorsque l’identité est externalisée auprès d’un fournisseur d’identité (IdP) tiers. Un seul jeton compromis a permis une élévation de privilèges jusqu’au rôle de Global Admin sur plusieurs tenants. Résultat : un rayon d’impact catastrophique.

Pourtant, les violations passées, de Storm-0558 à Midnight Blizzard, suivent le même schéma : les attaquants ciblent l’identité cloud précisément parce qu’elle concentre un pouvoir considérable.

Partir du principe de la compromission, construire des couches

Le discernement commence par accepter qu’aucun contrôle unique n’est suffisant. L’identité étant devenue le nouveau périmètre, l’hypothèse par défaut doit être celle de la compromission. La mission du RSSI : déterminer où des défenses en couches apportent le plus de valeur.

Cela peut signifier appliquer strictement le principe du moindre privilège, surveiller les sessions à privilèges, ou conserver les journaux à des fins d’investigation IT. Il s’agit de construire des couches de sécurité intelligentes, sans créer de nouveaux angles morts.

Se préparer au confinement

Lors de l’attaque par ransomware contre Collins Aerospace, des campagnes de phishing déguisées en mises à jour de firmware RTX ont servi de point d’entrée. Des vulnérabilités non corrigées dans la passerelle API de Muse (CVSS 9.8) ont élargi la brèche. Les mouvements latéraux via les couches d’authentification fédérée ont propagé la compromission.

Un seul maillon faible a perturbé les opérations de plusieurs compagnies aériennes. La leçon pour les RSSI : le discernement consiste à tester si les mécanismes de confinement fonctionnent réellement, et non à supposer qu’ils fonctionnent.

Le discernement, nouvelle compétence incontournable

Pendant des décennies, la direction de la sécurité informatique a martelé l’importance des défenses périmétriques et du durcissement des systèmes. Nous savons tous que cela ne suffit plus. Le discernement consiste à évaluer les compromis, à adopter des défenses qui n’introduisent pas de risques inconnus, et à décider quelles dépendances sont acceptables, et lesquelles ne le sont pas.

Risque, responsabilité et identité

L’adoption du cloud n’est pas le problème en soi. Le risque réside dans la création d’« inconnues inconnues », lorsque des technologies interconnectées introduisent des points uniques de défaillance non maîtrisés et des dépendances accrues. Cela est particulièrement vrai pour l’identité et l’authentification, où externaliser revient à accepter les impacts potentiellement étendus des choix de conception et des faiblesses du fournisseur d’identité.

Pour les RSSI, la question n’est pas simplement de savoir quelles charges de travail confier à un prestataire. Il s’agit de déterminer quel niveau de responsabilité lui déléguer. Cette décision est rarement binaire. Elle exige de trouver un équilibre entre le risque, les exigences réglementaires et la capacité à se rétablir en cas d’incident.

Pour les fournisseurs de services managés (MSP), l’équation est légèrement différente. Lorsque les données clients transitent par leur infrastructure cloud, elles peuvent entrer directement dans le périmètre des audits réglementaires. Cela ajoute des coûts significatifs, de la responsabilité juridique et une charge de conformité supplémentaire. Concevoir des services qui minimisent la manipulation directe de données sensibles peut réduire l’exposition tout en délivrant de la valeur aux clients.

Là encore, le discernement est essentiel : quels workflows doivent entrer dans le périmètre, et lesquels doivent rester sous la responsabilité du client ?

Trop gros pour échouer ?

Le risque le plus important est systémique. Des secteurs entiers dépendent d’une poignée de fournisseurs. Les bénéfices sont évidents. Les coûts en cas de défaillance le sont beaucoup moins. Pour les RSSI, le discernement consiste à se demander : si un fournisseur vacille, que se passe-t-il pour vous, et à quelle vitesse pouvez-vous vous rétablir ?

Construire la résilience par le discernement

La réponse n’est pas de revenir en arrière sur les systèmes interdépendants, mais de les utiliser de manière responsable. Des surfaces d’attaque plus larges exigent des stratégies de défense différentes : tests continus, simulations d’attaque et mécanismes de confinement. La reprise doit être planifiée en amont, avec des RTO et RPO réalistes.

Pour les entreprises, externaliser l’identité réduit la visibilité et amplifie l’impact de toute défaillance de sécurité, rendant le confinement et la reprise plus difficiles. Pour les MSP, traiter des données d’identité dans leur propre cloud les fait entrer dans le périmètre de conformité, avec toutes les responsabilités que cela implique.

La véritable question pour les RSSI est la suivante : quelle part de risque est réellement responsable ? « Adopter d’abord, se préparer plus tard » n’est pas une stratégie. À mesure que les interdépendances se multiplient, c’est le discernement, et pas seulement la défense, qui déterminera quelles organisations sont prêtes pour la prochaine vague d’attaques.