95 % des responsables sécurité se sentent sous pression pour étouffer les mauvaises nouvelles
Un nouveau rapport Checkmarx, "The Future of Application Security in the Era of AI", révèle que 95 % des CISO se sentent poussés à supprimer ou retarder la communication de constats de sécurité liés à la conformité.
La pression vient de partout : le conseil d'administration, les relations publiques, les équipes produit et commerciales, et les membres du comité de direction soucieux du calendrier, le classique « pas avant l'annonce des résultats ». Elle est rarement formulée explicitement.
Les constats de sécurité sont présentés comme des obstacles aux objectifs business plutôt que comme des éléments d'information sur les risques. Les experts cités pointent vers une seule vraie solution : intégrer le CISO à la stratégie business et normaliser la remontée d'information en dehors des crises, pas pendant.
Source: Dark Reading · Checkmarx report, 15 Jun 2026
Mon analyse
95 %. Relisez ce chiffre. Presque chaque responsable sécurité a subi une pression pour se taire, ralentir ou édulcorer un constat. Pas de la part de mauvais acteurs. De la part d'un conseil d'administration qui protège un chiffre, d'une équipe commerciale qui protège un contrat, d'une équipe communication qui protège une date de lancement.
Voilà le piège. La pression n'est presque jamais écrite. Personne ne vous envoie un email disant « enterrez ça ». Vous sentez juste la salle se refroidir quand vous soulevez le sujet. Cette capacité de déni est précisément ce qui la rend dangereuse, et précisément ce qui la rend efficace.
La réponse n'est pas l'héroïsme. C'est rendre la divulgation banale. Normalisez-la quand rien ne brûle, afin que lorsque quelque chose brûle, dire la vérité soit déjà le réflexe. Si votre conseil n'entend parler de la sécurité qu'après un incident, vous avez perdu l'argument des mois auparavant.
86 000 identifiants Fortinet, et personne n'a eu besoin de forcer quoi que ce soit
Une campagne désormais baptisée FortiBleed a produit une base de données vérifiée de plus de 86 000 identifiants fonctionnels pour des pare-feux et VPN Fortinet exposés sur Internet, dans 194 pays. Le chercheur Kevin Beaumont estime cela à environ la moitié de tous les pare-feux Fortinet exposés en ligne.
Beaucoup de ces mots de passe avaient été volés lors d'incidents antérieurs et n'avaient jamais été renouvelés. Un acteur russophone craque les hachages SSL VPN et pivote vers l'Active Directory interne.
Le 18 juin, CISA a émis une alerte invitant les clients Fortinet à réinitialiser leurs identifiants, stocker les comptes administrateurs avec PBKDF2, examiner les journaux, activer un MFA résistant au phishing et verrouiller les accès d'administration.
Source: SecurityWeek · CISA alert, 18 Jun 2026
Mon analyse
La moitié des pare-feux Fortinet exposés sur Internet, avec des identifiants fonctionnels stockés dans une base de données que quelqu'un a compilée. Et une partie est pire qu'une nouvelle compromission : une portion de ces mots de passe avait été volée depuis longtemps et n'avait tout simplement jamais été changée.
C'est la ligne à retenir. Les attaquants ne forcent pas l'entrée. Ils se connectent. Des identifiants valides, la porte principale, sans exploit.
Si vous exploitez des équipements Fortinet en périphérie, CISA vous a donné la liste du week-end : coupez les sessions, réinitialisez les identifiants, imposez un MFA résistant au phishing, verrouillez les accès d'administration. Mais la leçon se situe en amont de tout cela. Un mot de passe volé que vous ne renouvelez jamais n'est pas un incident dont vous vous êtes sorti. C'est un passe permanent que vous payez pour maintenir actif.
Un token GitHub oublié. Deux mois à l'intérieur de Novo Nordisk.
Novo Nordisk, le fabricant danois d'Ozempic, a divulgué une compromission le 11 juin. Le vecteur d'entrée rapporté est un unique token d'accès GitHub à hauts privilèges, laissé exposé dans du JavaScript côté client sur un sous-domaine obscur.
À partir de là, les attaquants ont cloné des dépôts privés, récupéré d'autres identifiants présents dans le code et pivoté plus en profondeur.
Le groupe revendiquant l'attaque affirme avoir passé plus de deux mois à l'intérieur et avoir exfiltré plus de 700 000 fichiers, environ 1,3 To, dont du code source, des données sur des médicaments, des modèles d'IA internes, ainsi que des données relatives à environ 11 500 participants pseudonymisés à des essais cliniques, avant de commencer à les divulguer après le refus de payer une rançon de 25 millions de dollars.
Le verdict des experts : les dépôts et les pipelines CI/CD sont désormais des systèmes de production, les identifiants machines n'ont presque jamais de propriétaire ni de calendrier de rotation, et le rayon d'impact de ce seul identifiant, c'était toute la compromission.
Source: Dark Reading · disclosed 11 Jun 2026
Mon analyse
Un token. Dans du code côté client, sur un sous-domaine que personne ne surveillait. C'était le seul vecteur d'entrée. Deux mois à l'intérieur de l'une des plus grandes entreprises pharmaceutiques de la planète, et en sortant avec du code source, des données sur des médicaments et des données d'essais cliniques.
Même histoire que FortiBleed, autre déguisement. Personne n'a forcé un périmètre. Ils étaient authentifiés. Et les identifiants supplémentaires dont ils avaient besoin pour aller plus loin étaient simplement dans les dépôts, à portée de main.
La partie inconfortable pour vous : vous avez presque certainement des centaines d'identifiants machines, tokens, comptes de service, clés API, sans propriétaire, sans rotation, sans surveillance. Vous surveillez vos collaborateurs. Qui surveille les clés ? Traitez les dépôts et les pipelines comme de la production, car pour un attaquant, le dépôt de code est le plan du bâtiment, pas une armoire à archives.
On ne peut pas conserver la boîte mail d'un ancien employé. J'ai dû l'expliquer cette semaine.
J'ai conduit un audit ISO 27001 cette semaine pour un organisme de certification. L'entreprise détient le certificat depuis plusieurs années et a été sincèrement surprise d'apprendre qu'elle ne peut pas simplement laisser tourner les boîtes mail de ses anciens employés. Ce n'est pas nouveau.
Plus tôt cette année, l'autorité belge de protection des données a infligé une amende d'environ 176 000 euros à une grande entreprise technologique pour exactement ce motif : un ancien employé avait découvert que sa boîte mail était toujours active six mois après son départ. La position du régulateur est sans équivoque.
Vous pouvez vous appuyer sur un intérêt légitime pour conserver une boîte mail pendant une courte période de passation, pensez à un mois, puis elle doit disparaître. Et restreindre l'accès ne revient pas à la supprimer. Les données stockées continuent d'être traitées.
Source: Baker McKenzie · Belgian DPA decision, May 2026
Mon analyse
Même thème que les trois points précédents, côté conformité. Des accès et des données qui auraient dû disparaître, toujours présents. Personne n'a attaqué quoi que ce soit. L'exposition était déjà dans les murs.
Deux erreurs fréquentes. Première : bloquer un compte ne revient pas à le supprimer. Une boîte mail que vous ne pouvez plus ouvrir est toujours stockée, et le stockage constitue toujours un traitement au sens du GDPR. Le régulateur l'a dit clairement. Deuxième : cette boîte mail ne contient pas uniquement les données de l'ancien employé.
Elle contient les données de toutes les personnes qui lui ont écrit. Le rayon d'impact dépasse largement une seule personne, une fois de plus.
Et voilà ce qui devrait faire mal : cette entreprise était certifiée. Depuis des années. Elle s'est quand même trompée. Un référentiel vous dit à quoi ressemble une bonne pratique. Il ne gère pas votre processus d'offboarding à votre place. Alors vérifiez honnêtement : quand quelqu'un quitte l'entreprise, que se passe-t-il concrètement avec sa boîte mail, et qui valide qu'elle a bien disparu ?
Mon nouveau webinaire PECB est en ligne : combler l'écart décisionnel
Sur le sujet des décisions prises sous pression : mon webinaire pour PECB est maintenant en ligne. Il s'intitule "Closing the Decision Gap: How Risk-Informed Decisions Build Digital Trust".
Il porte sur l'espace entre la connaissance de vos risques et le fait d'agir réellement dessus, et sur les raisons pour lesquelles de bonnes décisions en matière de risques sont ce qui construit la confiance, au sein de l'organisation et auprès des personnes que vous servez.
Si le fil conducteur de toute cette édition vous a touché, c'est la version stratégique de la même conversation.
Source: Watch on YouTube · PECB webinar
Mon analyse
Relisez les quatre points ci-dessus. Chacun est, au fond, une décision que personne n'a prise à temps. Renouveler la clé. Supprimer la boîte mail. Dire la chose difficile au conseil. La gestion des risques se joue ou se perd dans cet écart entre savoir et agir.
Cet écart, c'est tout le propos. Si vous êtes celui ou celle qui doit prendre ces décisions, ou les défendre auprès de personnes qui préféreraient ne pas les entendre, regardez-le. Puis dites-moi si je me suis trompé.