Bonjour 😊⛷️,
Je vous retrouve pour l'édition de février du Récap'IT.
Identités volées, ransomwares, souveraineté numérique, dette IAM : l'actualité cyber de ce mois confirme une chose. Le périmètre de sécurité n'existe plus. Ce qui reste, c'est la maîtrise des identités et des accès — ou son absence.
Bonne lecture !
📅 Au programme aujourd’hui :
FICOBA : 1.2 millions de comptes bancaires exposés
👉 Go !!
Avant de commencer, je vous invite à nous suivre 👉
Fin janvier 2026, un acteur malveillant accède au FICOBA, le fichier national des comptes bancaires géré par la DGFiP, en usurpant les identifiants d'un fonctionnaire disposant d'accès inter-ministériels. Pas de faille zero-day, pas d'exploit sophistiqué. Un compte légitime, des droits trop larges, aucun second facteur d'authentification, et la porte était ouverte sur les RIB, IBAN, identités et adresses de 1,2 million de titulaires, pendant plusieurs jours, sans déclencher d'alerte.
Ce n'est pas un cas isolé. Une analyse croisée des grandes violations de données publiques françaises publiée par Laurent de Cavel, DPO, révèle un schéma qui se répète : France Travail en mars 2024 (43 millions de personnes), Viamedis/Almerys en février 2024 (33 millions), les ministères de l'Intérieur et des Sports en décembre 2025, FICOBA en janvier 2026. À chaque fois, le même triptyque : identifiants compromis, absence de MFA, détection tardive ou inexistante. Marie-Laure Denis, présidente de la CNIL, l'a dit sans détour : 80 % des grandes violations de 2024 auraient pu être évitées avec une double authentification.
Ce qui rend le cas FICOBA particulièrement instructif, c'est que l'attaquant n'a eu besoin de forcer aucune porte. Avec des droits valides, il naviguait comme un utilisateur ordinaire : aucune anomalie de permission, aucune élévation de privilège à détecter. La DGFiP a réagi correctement, notifié la CNIL et l'ANSSI, coupé les accès. Mais plusieurs jours s'étaient déjà écoulés. Ce délai de détection est la vraie question opérationnelle : combien de temps un compte compromis peut-il agir librement dans vos systèmes avant qu'une alerte se déclenche ?
Trois chantiers ressortent de façon évidente : le MFA systématique sur tous les accès à des données sensibles, le principe du moindre privilège appliqué aux comptes inter-applicatifs souvent trop permissifs, et la mise en place de mécanismes de détection comportementale capables d'identifier une extraction anormale en volume ou en fréquence. Des fondamentaux que les référentiels rappellent depuis des années, et que les incidents continuent de remettre sur la table.
Source : DPO partage, France Info, Impôt.gouv
Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité
Le rapport Sophos Active Adversary 2026, construit sur l'analyse de 661 incidents réels entre novembre 2024 et octobre 2025, est sans ambiguïté : 67 % des attaques ont pour origine une compromission d'identifiants. Pas une faille logicielle, pas un zero-day. Un compte. Et une fois entré dans le réseau, l'attaquant met en moyenne 45 minutes pour atteindre l'Active Directory. Autant dire que le temps de réaction est quasi nul si la détection n'est pas en place dès les premières minutes.
Ce qui rend le tableau encore plus inconfortable, c'est l'évolution des méthodes. Des groupes comme Scattered Spider ne cherchent plus à forcer une porte blindée : ils appellent le support informatique, se font passer pour un employé, et demandent une réinitialisation de MFA ou l'enregistrement d'un nouvel appareil. Le vishing, l'ingénierie sociale ciblée sur les procédures humaines, contourne les contrôles techniques les mieux pensés. Le MFA seul ne suffit plus si les processus autour de sa gestion restent vulnérables.
Autre signal fort du rapport Sophos : 88 % des charges utiles malveillantes sont déployées en dehors des heures de travail. Les attaquants ont bien compris que les équipes de sécurité dorment, et ils optimisent leur fenêtre d'action en conséquence. Sans surveillance comportementale en continu et sans capacité de détection automatisée, le weekend ou la nuit deviennent des zones de confort pour les attaquants.
La conclusion s'impose d'elle-même : la sécurité des identités n'est plus un sujet technique qu'on règle avec un outil. C'est un sujet de gouvernance, qui touche aux processus, aux droits d'accès, à la formation des équipes support et à la supervision en temps réel. Ceux qui traitent encore l'IAM comme une case à cocher dans un audit vont continuer à alimenter les statistiques.
Source : IT for business, IT Pro
Le Royaume-Uni prépare une interdiction du paiement des rançons pour le secteur public et les infrastructures critiques. La France n'en est pas là, mais la trajectoire est claire : l'ANSSI déconseille fermement de payer, les assureurs cyber durcissent leurs conditions, et la responsabilité des dirigeants se renforce avec NIS2 et la LPM 2023-2030. Payer reste légalement possible, mais de plus en plus difficile à justifier.
Ce que ce débat révèle surtout, c'est que les organisations qui s'en sortent le mieux ne sont pas celles qui ont négocié le meilleur contrat d'assurance. Ce sont celles qui avaient anticipé : identification des systèmes critiques, sauvegardes immuables réellement testées, procédures de crise impliquant la direction, le juridique et la communication. Pas de la théorie, de l'opérationnel.
La bonne question à poser en interne dès maintenant : si vous êtes frappés demain matin, combien de temps vous faut-il pour remettre en route vos systèmes essentiels sans toucher à votre portefeuille ?
Source : Journal du Net
Chaque arrivée crée des accès. Chaque départ en laisse traîner. Chaque mobilité interne en génère de nouveaux sans nettoyer les anciens. Multipliez ça par la croissance de l'organisation et l'empilement des SaaS, et vous obtenez la dette IAM : un stock invisible de droits mal calibrés et de comptes orphelins jamais révisés.
Ce qui la rend dangereuse, c'est qu'elle ne se voit pas — jusqu'au jour où un audit ou une attaque la rend soudainement très visible. Les incidents analysés dans cette édition illustrent exactement ce mécanisme : un compte trop permissif, des droits jamais révoqués, aucune traçabilité. François Poulet, CEO de Youzer, développe ce sujet dans une tribune.
Source : Undernews
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Les dirigeants européens se sont réunis en Belgique les 11 et 12 février pour trancher la question de la dépendance technologique aux États-Unis. Résultat : pas de consensus, deux visions qui s'affrontent, et une réalité qui ne bouge pas. Selon le Cigref, 80 % des dépenses en logiciels et services cloud professionnels en Europe partent chez des acteurs américains. Arthur Mensch, le patron de Mistral, parlait à Davos d'une Europe en voie de "colonisation numérique"
Pour les DSI, le sujet est moins géopolitique qu'opérationnel : quelles briques de votre infrastructure pourraient être coupées, bridées ou soumises à une pression extraterritoriale du jour au lendemain ? La France avance à petits pas : tous les services de l'État doivent migrer vers l'outil de visioconférence souverain Visio d'ici 2027. Mais attention aux faux refuges : les offres estampillées "cloud souverain" méritent d'être lues de près. Certaines reposent sur des infrastructures américaines opérées par des acteurs français, ce qui change l'opérateur mais pas la dépendance structurelle.
Source : Journal du Net
Le 9 février 2026, l'ANSSI a structuré sa politique open source autour de quatre axes : publier ses outils sous licences libres, contribuer à des projets existants, soutenir l'écosystème et privilégier les solutions ouvertes en interne. L'agence opte par défaut pour la licence Apache 2.0, qui autorise la réutilisation commerciale sans obligation de redistribution. Le message de fond reste le même : la vraie maîtrise technologique passe par la vérifiabilité du code, pas par l'adresse du datacenter.
Source : ANSSI
Tout le monde n'a pas de SIRH connecté. Et même quand il existe, certaines organisations préfèrent ne pas y donner accès pour des raisons de sécurité, ou ont des populations entières qui en sont exclues : prestataires, intérimaires, consultants externes. Les formulaires Youzer répondent à ces cas de figure en déclenchant les mêmes workflows qu'une synchronisation SIRH, sans en avoir un.
Concrètement, un formulaire couvre quatre situations :
Pour les organisations qui fonctionnaient par imports CSV, les formulaires prennent le relais pour chaque mouvement individuel après la reprise initiale. Moins de charge pour les équipes IT, des processus qui s'exécutent de façon fiable, une traçabilité claire — et la garantie qu'aucun prestataire ne reste avec des accès actifs après la fin de sa mission.
.webp)
Merci de m'avoir lu jusqu'ici !
Un retour, envie de discuter d'un projet ?
Je suis là pour ça 👋.
On vous a transféré la newsletter et vous la trouvez top ?? Inscrivez-vous ici 👇
Partagez cette newsletter, c'est ce qui la fait vivre !
Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !
Je suis Mélanie et je suis responsable marketing de Youzer.
À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).