2025 serait-elle l’année où la menace passe la surmultipliée ? En 2024, l’ANSSI a été mobilisée sur 4 386 événements de sécurité, soit une hausse de 15 % en un an, dont 144 compromissions par rançongiciel. Pire, près d’une entreprise française sur deux (47 %) a déjà subi au moins une cyberattaque réussie. Et pourtant beaucoup se contentent encore d’un unique pentest annuel pour cocher la case « cybersécurité ». Un sparadrap sur une jambe de bois, alors que le risque, lui, ne prend jamais de vacances.
L’illusion du pentest annuel : une sécurité de façade
Le scénario classique : vous mandatez un presta trois jours par an, vous recevez un rapport épais, corrigez deux failles… puis vous rangez le PDF au fond du Drive.
Pas de jugement, je suis déjà passé par là, et nous ne sommes absolument pas les seuls.
Souci, si sur le papier tout va bien, dans la vraie vie, ça coince souvent.
Les vulnérabilités naissent à chaque nouvelle mise à jour, chaque nouveau module, chaque oubli de configuration.
3 points à retenir :
- Cybersécurité = marathon : pendant que vous digérez le rapport, de nouvelles CVE paraissent.
- Facteur humain : un mot de passe trop faible suffit à ruiner six mois d’efforts techniques.
- Fausse assurance réglementaire : un pentest ponctuel peut rassurer l’auditeur, pas un attaquant.
Je compare souvent cela à une vérification de la porte d’entrée alors que les fenêtres restent grandes ouvertes.
Passer d’un test ponctuel à une surveillance continue
4 étapes peuvent suffire à améliorer significativement la sécurité de votre SI.
1. Mettre la détection au même niveau que la prévention
Intégrer scans de vulnérabilités hebdomadaires, supervision des configurations cloud et tests d’intrusion « flash » après chaque version logicielle critique. On parle d’une chaîne DevSecOps où la sécurité devient un ticket obligatoire avant mise en production.
2. Articuler SOC et pentest récurrent
- SOC (Security Operations Center) : détecte les anomalies 24/7, alerte en temps réel.
- Tests de pénétration récurrents : challenge périodique (mensuel ou à chaque release) ciblant les périmètres à forte exposition publique.
3. Gouvernance et pilotage
- Tableau de bord risque revu en comité cyber mensuel.
- Budget récurrent (OPEX) pour la sécurité, et non plus CAPEX isolé.
- OKR sécurité partagés : temps moyen de correction, taux de couverture de vulnérabilités, etc.
4. Culture sécurité embarquée
Former développeurs, Ops et métiers sur les attaques réelles. D’expérience, sans cette acculturation, l’outillage ne fonctionne généralement pas. Je l’ai notamment appris à mes dépens sur un projet où personne ne lisait les alertes générées par le nouveau SIEM…
L’IA au service des tests d’intrusion, déjà incontournable ?
Un pentest sans IA, c’est encore possible.
Mais c’est déjà prendre un train de retard.
Ce que l’IA change concrètement ici :
- Cartographie éclair
En quelques minutes, l’algo dresse l’inventaire complet des sous‑domaines, ports ouverts et versions logicielles. Là où un analyste passait des heures, la machine livre une vue à 360 ° avant même le premier café. - Priorisation intelligente
Gravité technique, exploitabilité et importance business : le modèle croise tout. Résultat : on corrige d’abord la faille qui peut vraiment arrêter la production, pas celle qui fait joli dans le rapport. - Fuzzing sur‑mesure
L’IA génère des charges malveillantes taillées pour votre stack (API REST, mobile ou IoT). Elle déniche les failles logiques là où les injections « classiques » n’allaient jamais regarder. - Red teaming virtuel 24/7
Phishing simulé, mouvement latéral, élévation de privilèges : le scénario tourne en continu et rapporte les résultats sans mobiliser une équipe physique entière. Feedback permanent, coûts maîtrisés.
Autrement dit…
Plus vite. Plus ciblé. Plus profond.
Ne pas tester, c’est déjà être vulnérable
L’excuse la plus répandue : « Nous sommes une petite structure, qui serait intéressé par nos données ? »
Eh bien, un paquet de monde figurez-vous ! Parmi les risques que vous encourez, on trouve :
- Ransomware opportuniste : une PME paiera plus vite qu’un groupe du CAC 40 pour reprendre son activité.
- Effet rebond supply‑chain : vous êtes la passerelle idéale vers un client plus prestigieux.
- Risque RGPD : fuite de données personnelles = amende majorée + perte de réputation.
Même un scan automatisé mensuel vaut mieux que zero contrôle. Mais pour faire face aux menaces 2025, visez un mécanisme holistique : audits techniques et organisationnels, automatisation IA, plan d’action suivi jusqu’à la clôture de chaque vulnérabilité (fix rate > 95 %).
Petite punchline qui réveille les dormeurs lors des COPIL : « Si votre surface d’attaque est inconnue, elle appartient déjà à quelqu’un d’autre. »
Passez de la posture vitrine à la résilience réelle
Pour adopter une surveillance continue, adossée à l’IA et à une gouvernance rigoureuse, il vous faudra réduire votre fenêtre d’exposition, limiter l’impact financier (les coûts moyens d’un ransomware en France dépassent 350 000 €, temps d’arrêt + rançon) et surtout construire la confiance auprès des clients, des assureurs cyber, des régulateurs.
Concrètement, en 2025, la bonne pratique peut se résumer en 3 axes :
- Tester en continu (scans, mini‑pentests, revues de code intégrées).
- Exploiter l’IA pour accélérer la détection et la remédiation.
- Boucler la boucle : corriger, retester, documenter.
En clair, si vous misez encore sur un unique examen de votre SI par an, vous laissez votre entreprise à poil (osons le dire) le reste du temps. Et comme je le répète à mes clients qui tiquent sur le budget et les contraintes d’organisation, mieux vaut un contrôle continu sévère qu’un audit unique… et une rançon salée.