IndustryHub
TECHNOLOGIES / SÉCURITÉ

Cybersécurité IT (Information Technology)

IT

Cybersécurité IT (Information Technology)

Sécuriser le système d'information d'entreprise — postes, serveurs, cloud, applications, données. ISO 27001, NIST CSF, Zero Trust, défense en profondeur, gouvernance et conformité RGPD / NIS2 / DORA. Le pendant numérique de la sécurité OT, avec ses propres logiques et son écosystème d'outils.

Le triptyque CIA — fondement de la sécurité IT

Trois propriétés à garantir simultanément. À l'inverse de l'OT (où la priorité est Availability > Integrity > Confidentiality), l'IT pose traditionnellement Confidentiality > Integrity > Availability — mais l'arbitrage dépend du contexte métier.

C

Confidentialité

Les données ne sont accessibles qu'aux personnes autorisées. Chiffrement (TLS, AES-256, RSA), classification des données, contrôles d'accès (IAM, ABAC, RBAC), prévention des fuites (DLP).

I

Intégrité

Les données ne sont pas modifiées de façon non autorisée. Signatures numériques, hash (SHA-256), contrôles de versions, audit trail immuable, contrôles d'intégrité des fichiers (FIM).

A

Disponibilité

Les systèmes et données restent accessibles aux utilisateurs légitimes. Redondance, haute disponibilité, plan de reprise (DRP), sauvegardes, protection anti-DDoS, capacity planning.

Domaines clés de la cybersécurité IT

Huit domaines techniques + culturels qui se cumulent. Aucun n'est plus important que les autres — c'est le maillon le plus faible qui détermine le niveau réel.

Identité et accès (IAM)

La nouvelle frontière. SSO (Okta, Microsoft Entra, Ping), MFA partout, gestion des comptes à privilèges (PAM — CyberArk, BeyondTrust), revue des droits, séparation des privilèges, life-cycle des identités joiners-movers-leavers.

Sécurité des endpoints

Successeurs des antivirus : EDR (Endpoint Detection & Response — CrowdStrike, SentinelOne, Microsoft Defender) puis XDR qui agrège endpoint + réseau + cloud + email. Analyse comportementale, détection de techniques MITRE ATT&CK.

Sécurité réseau

Firewall next-gen (Palo Alto, Fortinet, Check Point), micro-segmentation (Illumio, Guardicore), VPN remplacé progressivement par ZTNA (Zero Trust Network Access), inspection TLS, IDS/IPS, NDR (Network Detection & Response).

Sécurité du cloud

Le modèle de responsabilité partagée change la donne. CSPM (Cloud Security Posture Management — Wiz, Prisma), CWPP (workload), CASB (SaaS visibility), SSPM (SaaS posture), KMS, IAM Cloud, gestion des secrets (HashiCorp Vault).

Protection des données

Classification (public / interne / confidentiel / secret), chiffrement at-rest et in-transit, DLP (Microsoft Purview, Symantec, Forcepoint), masquage et tokenisation pour environnements de test, gestion du cycle de vie, droit à l'oubli RGPD.

Sécurité applicative (DevSecOps)

Décaler la sécurité à gauche (« shift-left »). SAST (analyse statique — SonarQube, Checkmarx), DAST (test dynamique — Burp, OWASP ZAP), SCA (dépendances — Snyk, Mend), secrets scanning, hardening de containers, signatures SBOM.

SOC, SIEM, SOAR

Le centre opérationnel de sécurité — humain + outils. SIEM pour la collecte et corrélation des logs (Splunk, Microsoft Sentinel, Elastic, Wazuh), SOAR pour l'orchestration et la réponse automatique (Palo Alto XSOAR, Splunk SOAR), threat intelligence (MITRE ATT&CK, MISP).

Sensibilisation et facteur humain

80 % des incidents commencent par un humain. Phishing simulé (KnowBe4, Cofense), formations e-learning ciblées par métier, exercices de table-top, communication non-anxiogène. La technique sans la culture ne suffit jamais.

Zero Trust — le paradigme moderne

« Never trust, always verify. » Abandon du modèle « château fort » (un périmètre fort + un intérieur de confiance) au profit d'une vérification continue de chaque accès. Référence NIST SP 800-207. Trois principes structurants.

Vérifier explicitement

Toujours authentifier ET autoriser, sur la base de tous les signaux disponibles : identité, appareil, localisation, état du système, classification des données, anomalies.

Moindre privilège

Limiter l'accès Just-In-Time et Just-Enough-Access (JIT/JEA). Politiques basées sur le risque. Données protégées par défaut. Pas de comptes admin permanents.

Présumer la brèche

Concevoir comme si l'attaquant était déjà à l'intérieur. Micro-segmentation, chiffrement end-to-end, analytics et détection en continu, automatisation de la réponse, exercices red-team réguliers.

Incidents majeurs

Cinq attaques qui ont marqué la décennie et chacune révélé un angle mort de la sécurité IT moderne — patching, supply chain, dépendances open source, IAM.

2017

WannaCry

150 pays, NHS UK

Ransomware exploitant EternalBlue (vuln Windows SMB volée à la NSA). 300 000 machines infectées en 4 jours. Démontre l'enjeu du patching et de la segmentation interne.

2017

Equifax

USA — données de 147 M de personnes

Vulnérabilité Apache Struts non patchée 2 mois. Fuite massive d'identité (SSN, dates de naissance, numéros de cartes). 1,4 Md $ d'amende. Le CEO démissionne.

2020

SolarWinds

18 000 clients dont US gov + Microsoft

Attaque de la chaîne d'approvisionnement : compromission du build SolarWinds Orion. Une mise à jour signée légitime a déployé une backdoor chez 18 000 organisations dont des agences fédérales US.

2021

Log4Shell

« Internet entier »

Vulnérabilité critique 10/10 CVSS dans la bibliothèque Java log4j2 — utilisée par des millions d'applications. RCE non-authentifié par simple logging d'une chaîne JNDI. Mois de panique mondiale.

2023

MOVEit

2 700 organisations, données de 95 M de personnes

Vuln SQL injection 0-day dans MOVEit Transfer (Progress) exploitée par CL0P. Ransomware avec exfiltration (« double extorsion »). Touche British Airways, BBC, Sony, Shell, US government agencies.

Cadre réglementaire EU

RGPD / GDPR

Règlement UE 2016/679 — applicable depuis mai 2018

Protection des données personnelles. Principes : licéité, finalité, minimisation, exactitude, conservation limitée, intégrité-confidentialité, responsabilité. Notification de violation sous 72 h. Sanctions jusqu'à 4 % du CA mondial ou 20 M€.

NIS2

Directive UE 2022/2555 — transposition oct 2024

Cybersécurité des « entités essentielles et importantes ». Couvre IT et OT. Analyse de risque, mesures techniques, formation dirigeants, notification d'incident 24 h. Sanctions jusqu'à 10 M€ ou 2 % CA mondial pour les entités essentielles.

DORA

Règlement UE 2022/2554 — applicable depuis janv 2025

Digital Operational Resilience Act — secteur financier (banques, assurances, fintech, marchés). 5 piliers : gestion des risques ICT, gestion des incidents, tests de résilience (TLPT), gestion des tiers ICT, partage d'informations. Le plus strict des cadres EU.

AI Act

Règlement UE 2024/1689 — applicable progressif 2025-2027

Premier cadre réglementaire mondial pour l'IA. Approche par risque : inacceptable / haut / limité / minimal. Obligations renforcées pour les systèmes haut risque (santé, RH, justice, infrastructures critiques). Lien direct avec la cybersécurité des modèles et des données d'entraînement.

Normes et référentiels

  • ISO 27001:2022 — Système de management de la sécurité de l'information (ISMS) — référence internationale
  • ISO 27002:2022 — 93 contrôles de sécurité organisationnels, techniques et physiques
  • ISO 27005 — Gestion des risques liés à la sécurité de l'information
  • NIST CSF 2.0 — Cybersecurity Framework — 6 fonctions (Govern, Identify, Protect, Detect, Respond, Recover)
  • NIST SP 800-207 — Architecture Zero Trust — la référence officielle
  • CIS Controls v8 — 18 contrôles classés par implementation groups (IG1 → IG3)
  • OWASP Top 10 — Top 10 des risques applications web — référentiel développeurs
  • MITRE ATT&CK — Base de connaissances mondiale des tactiques et techniques d'attaquants

Voir aussi

Cybersécurité OT

Le pendant industriel : modèle Purdue, IEC 62443, NIS2 pour ICS, défense d'un site de production.

Outils

Évaluateur de maturité NIST CSF, checklist ISO 27001, calculateur d'effort RGPD — en cours de développement.