📢 Webinaire : Revue des habilitations : simple pour l'IT, fluide pour les valideurs - 23 juin à 11h. Inscription ici ✅
Bonjour ️☺️,
Je vous retrouve pour l'édition de mai du Récap'IT.
L'ANSSI publie son rapport d'activité et se voit en même temps épinglée pour ses contrôles trop rares. La CNIL bascule la moitié de ses contrôles sur la cyber. La CISA, elle, expose ses clés AWS sur GitHub pendant six mois. Côté terrain, deux rapports convergent : l'identité est devenue le vrai périmètre du SI, et l'IA agentique élargit la surface plus vite qu'on ne la gouverne.
Au menu aussi : la souveraineté numérique qui passe du discours politique aux grilles d'achat.
Bonne lecture !
📆 Au programme aujourd’hui :
NIS 2 entre en piste
👉Go !!
Avant de commencer, je vous invite à nous suivre ️
1 366 incidents confirmés en 2025. 1 361 en 2024. La stabilité est totale. Le rapport d'activité de l'ANSSI affiche pourtant 3 586 événements de sécurité traités, soit -22% par rapport à 2024. Le décrochage est artificiel. Il s'explique par le pic des JO de Paris, qui avait gonflé les signalements l'année d'avant. Côté incidents réels, rien ne bouge.
Le Panorama de la cybermenace 2025 complète le tableau.
Quatre secteurs concentrent 76% des incidents : éducation et recherche en tête avec 34%, suivis des collectivités et ministères (24%), de la santé (10%) et des télécoms (9%). Trois de ces quatre cibles relèvent désormais de NIS 2.
C'est là que la fenêtre se referme. Le pré-enregistrement pour les futures entités assujetties est ouvert depuis le 24 novembre 2025. Le référentiel bêta est disponible. Le projet de loi de transposition a passé la commission spéciale de l'Assemblée le 10 septembre. La question n'est plus de savoir si la réglementation va s'appliquer. C'est de savoir ce qui sera prêt quand le contrôle tombera. La Mission Contrôles et Supervision de l'ANSSI, séparée des équipes d'accompagnement, se prépare à instruire des procédures pouvant aboutir à des sanctions.
Pour les DSI, deux lectures se superposent. La pression cyber ne décroît pas, malgré la baisse affichée des compteurs globaux. Et NIS 2 n'est plus un horizon, c'est un calendrier. Le référentiel couvre les domaines classiques de la cybersécurité, gouvernance des accès comprise. Pour les entités essentielles et importantes des secteurs déjà les plus ciblés, le retard sur l'IAM n'est plus un sujet de roadmap. C'est un sujet de contrôle.
Source : ANSSI
Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité
80% des dépenses européennes en logiciels et services cloud partent vers des entreprises américaines. Plus de 260 milliards d'euros par an selon le Cigref. Le chiffre n'est pas neuf. Ce qui change, c'est la façon dont il est traité. La souveraineté quitte le discours politique pour entrer dans les cartographies de risques et les grilles d'achat.
Trois pressions ont déplacé le curseur. Les crises géopolitiques, qui ont exposé la fragilité des chaînes d'approvisionnement. Le Cloud Act et consorts, qui rattrapent les filiales européennes des groupes américains. Les tensions commerciales, qui ont montré qu'un accès technologique peut être suspendu du jour au lendemain. La dépendance devient un risque quantifiable.
Le cadre européen suit. Le programme Digital Europe alloue plus d'un milliard d'euros entre 2025 et 2027 aux infrastructures de confiance, à la cybersécurité et à l'IA. Le Cloud Sovereignty Framework fournit une grille d'évaluation juridique, technique et opérationnelle. En France, l'observatoire de la souveraineté numérique créé en janvier 2026 produit des indicateurs pour hiérarchiser les arbitrages.
Pour les DSI, la conséquence est nette : réversibilité contractuelle, localisation des traitements, compatibilité NIS 2 et RGPD rejoignent la performance et le TCO comme paramètres d'appel d'offres. La souveraineté n'est plus une variable d'ajustement. C'est un critère de présélection.
Signe que le sujet a basculé du cercle politique aux directions techniques, la toute première édition du Salon de la Souveraineté Numérique se tient les 30 juin et 1er juillet. Youzer y sera, passez nous voir !
Source : ITSocial
La fuite massive de l'ANTS le 15 avril a fait déborder le vase : une faille de référence directe d'objet vieille de 2007, exploitée par un adolescent de 15 ans qui modifiait des identifiants dans des URL. Des millions de permis, CNI et passeports siphonnés.
Le Canard Enchaîné enfonce le clou dans son édition du 13 mai : une vingtaine de contrôles et moins de dix audits inopinés par an à l'ANSSI, et un pouvoir de sanction financière jamais utilisé. La CNIL, elle, sanctionne. L'ANSSI s'abstient. "Elle a peur d'avoir des emmerdements si elle sanctionne un ministère, surtout s'il est garant de son financement", glisse un parlementaire au journal.
La réplique politique tombe. Sébastien Lecornu annonce la création d'une Autorité du numérique et de l'IA pilotée par Matignon, qui fusionnera la direction du numérique de l'État et celle de la transformation publique. Et lâche : "Ce n'est pas le boulot de l'Anssi que de veiller à ce que les architectures numériques des ministères soient de qualité." Le décret de 2009 dit pourtant exactement l'inverse.
Auditionné le 19 mai, Vincent Strubel tient bon. Pas de remise en cause des missions, près de 50 audits par an face à des milliers de SI d'État et 300 OIV. Mais il reconnaît un "problème fondamental" : MFA non généralisée, identité numérique mal maîtrisée, obsolescence, sur fond de complexité massive des SI publics.
Quand l'autorité nationale reconnaît publiquement que la MFA n'est pas généralisée sur les SI ministériels, il devient difficile de regarder son propre SI sans se demander ce qui s'y cache encore. Le contrôle viendra. La question, c'est ce qu'il trouvera.
Source : Le Canard enchaîné, Zdnet, Le Monde Informatique
Un dépôt GitHub nommé "Private-CISA". Public. Ouvert depuis novembre 2025. À l'intérieur, les identifiants administratifs de trois comptes AWS GovCloud et un fichier listant des mots de passe en clair. Six mois d'exposition avant que Guillaume Valadon, chercheur chez GitGuardian, la startup parisienne, ne tire la sonnette via le journaliste Brian Krebs.
Le détail qui pique : l'admin avait volontairement désactivé la détection de secrets intégrée à GitHub. Les mots de passe ? Nom de la plateforme + année en cours, pour bonne partie. Après notification, les clés AWS sont restées valides 48h de plus. Réponse officielle : "aucune indication que des données sensibles aient été compromises". À noter, l'agence a perdu près d'un tiers de ses effectifs sous Trump 2, passant de 3 700 agents début 2025 à environ 2 200.
Quand l'agence de cybersécurité américaine qui dicte les bonnes pratiques cyber au reste du monde se fait éclairer par une startup parisienne, l'écart entre le discours et l'opérationnel devient lisible. Hygiène des commits, gestion des secrets, MFA : les fondamentaux ne se délèguent pas, ils se vérifient.
Source : Clubic
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Deux ransomwares sur trois entrent dans le SI par une attaque sur l'identité. Pas par un pare-feu mal configuré, pas par une faille système : par un compte compromis, un mot de passe volé, un accès détourné. Le rapport State of Identity Security 2026 de Sophos, mené auprès de 5 000 décideurs IT/cyber dans 17 pays, confirme le basculement. 71% des organisations ont subi au moins une attaque sur l'identité dans les douze derniers mois, avec 3 attaques en moyenne par organisation touchée.
Quand l'attaque réussit, l'addition tombe. 1,64 million de dollars en moyenne pour rectifier une brèche d'identité, 750 000 dollars en médiane. La France n'est pas épargnée : 66% des organisations touchées, 14,6% incapables de détecter l'attaque à temps.
Les causes sont connues, et c'est ça qui fait mal. Erreur humaine 43%, gestion défaillante des comptes techniques 41%, gestion humaine faible 39%. Et le chiffre qui pique : dans les enquêtes Sophos sur des incidents réels, le MFA n'était tout simplement pas activé sur le système ciblé dans 59,5% des cas. Pas désactivée. Pas contournée. Absente.
L'identité a remplacé le réseau comme front d'attaque. Comptes utilisateurs, comptes de service, accès tiers, agents IA : chaque identité est une porte d'entrée. Et avec l'IA agentique qui multiplie les comptes machines à la volée, le périmètre s'élargit plus vite que la capacité à le surveiller. Seules 34% des organisations auditent régulièrement leurs comptes de service. La porte d'entrée du SI n'est plus le pare-feu, c'est la liste des comptes oubliés.
Source : Sophos
29% des organisations laissent déjà des agents IA traiter les tickets de sécurité de leur service d'assistance : réinitialisation de mots de passe, octroi d'accès VPN. 64% prévoient de franchir le pas dans les douze mois. Total à fin 2026 : 93% des organisations auront connecté des agents autonomes à leur infrastructure d'identité. L'étude Semperis menée par Censuswide auprès de 1 100 professionnels IT et sécurité dans huit pays dont la France pose ensuite la question qui dérange. Seuls 32% se disent très confiants dans leur capacité à reprendre le contrôle si un agent compromis exposait des identifiants administrateurs.
Le scénario tient en quelques secondes. Un attaquant compromet un poste où tourne un agent IA local — c'est le cas chez 92% des organisations interrogées. Il demande à l'agent d'énumérer les secrets disponibles dans l'environnement. L'agent, à vitesse machine, dresse l'inventaire des identifiants, des clés SSH, des sessions actives. Ce qui prenait des heures devient instantané.
Le problème de fond n'est pas que les agents accèdent aux systèmes sensibles. C'est qu'ils sont eux-mêmes des identités mal tracées. 35% des organisations ne les enregistrent pas ou seulement partiellement dans un système dédié, 6% ne les tracent pas du tout. Microsoft estimait à 10 le ratio identités non humaines / humains en 2018. La trajectoire pointe vers 100 pour 1. Et 80% des identités de charge de travail seraient déjà abandonnées tout en gardant leurs droits.
Pour les DSI européens, l'enjeu se double d'une dimension réglementaire. NIS 2 et DORA imposent des obligations de résilience opérationnelle qui incluent la capacité à détecter, contenir et restaurer après incident. Déployer des agents IA sur ses systèmes d'identité sans avoir testé la récupérabilité, c'est s'exposer à la fois à la crise opérationnelle et au défaut de conformité. La question n'est plus "faut-il gouverner les identités IA". Elle est : avant ou après le premier incident ?
Source : IT Social
6 167 violations de données notifiées à la CNIL en 2025, soit +9,5% par rapport à 2024. Le rapport annuel publié le 18 mai confirme un record déjà battu l'année précédente. Le piratage représente 50% des incidents, et l'administration publique concentre 19% des violations signalées. Une quarantaine concernent plus d'un million de personnes, contre une trentaine en 2024.
La CNIL change de braquet. En 2026, 50% de ses contrôles et actions répressives porteront sur les manquements en cybersécurité, contre un quart à un tiers en 2025. Marie-Laure Denis l'a formulé sans détour dans Le Monde : "l'État a une responsabilité particulière à l'égard des données des Français."
Pour les DSI, le signal est clair : sur la cyber, la voie CNIL/RGPD devient le canal de sanction effectif. Là où l'ANSSI dispose du pouvoir sans l'avoir utilisé, la CNIL avance avec 487 millions d'euros d'amendes infligées en 2025 derrière elle.
Source : 01.net, Siècle Digital, Next
Créer un compte, modifier les accès, suspendre, supprimer : ces actions du quotidien tracent ce qu'un attaquant exploitera en cas de compromission. Youzer permet de désigner un responsable par connecteur, qui reçoit une notification à approuver avant que l'action ne s'exécute. Le provisioning ne se déclenche qu'une fois la validation reçue.
Concrètement, chaque connecteur a son destinataire principal. S'il ne répond pas dans les 24 heures, la notification bascule sur un destinataire secondaire. Au-delà de 48 heures, les deux sont relancés. La création d'un accès Salesforce passe par le responsable Salesforce, l'ouverture d'un compte AD par le responsable AD, et ainsi de suite. Et sur la fiche de chaque utilisateur, l'onglet Rôles indique précisément qui administre quoi.
Deux usages selon la maturité de l'organisation : sécurité (le workflow d'approbation bloque les actions non validées) ou suivi (visibilité documentée sur qui décide). Dans les deux cas, vous gagnez ce que les rapports cités plus haut pointent comme manquant : une trace, un responsable identifié, une preuve auditable au sens NIS 2.
Merci de m'avoir lu jusqu'ici !
Un retour, envie de discuter d'un projet ?
Je suis là pour ça 👋.
👉Répondez à cette newsletter
On vous a transféré la newsletter et vous la trouvez top ?? Inscrivez-vous ici 👇
Partagez cette newsletter, c'est ce qui la fait vivre !
Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !
Je suis Mélanie et je suis responsable marketing de Youzer.
À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).