Attaques zero-day, Shadow OT, deepfakes : les nouveaux angles morts de la cybersécurité

À l’occasion d’une keynote organisée lors du Forum InCYBER 2025, des experts de la société Tehtris ont débattu de la montée en puissance des attaques zero-day et des moyens de s’en prémunir, notamment au niveau de la chaîne d’approvisionnement.

Dans un contexte géopolitique extrêmement tendu, les cyberattaques constituent une arme toujours plus dangereuse. Le phénomène n’est cependant pas nouveau : l’Estonie a subi, du 27 avril au 18 mai 2007, une cyberattaque massive et coordonnée, constituée principalement de DDoS (Distributed Denial of Service) visant à saturer les serveurs de multiples institutions (gouvernement, banques, médias et fournisseurs d’accès Internet). L’attaque avait alors été attribuée à la Russie. Depuis, certains États, qui font directement appel à des organisations cybercriminelles, ciblent les infrastructures critiques d’autres États lors d’opérations de plus ou moins grande envergure.

Dans l’arsenal dont disposent les attaquants figurent les attaques de type « zero-day ». Invisibles par nature, elles s’appuient sur des failles logicielles inconnues des éditeurs, échappant ainsi aux outils de détection classiques. « De très nombreuses agences de renseignement disposent d’informations sur les vulnérabilités existantes, elles savent chez quels fournisseurs des vulnérabilités sont exploitables. Bien entendu, il est très difficile de savoir à quel moment ces attaques sont déclenchées, si elles sont utilisées pour porter un coup ou réaliser une opération de sabotage. La difficulté est d’autant plus grande que le nombre de groupes cybercriminels est élevé, certains d’entre eux se comportant comme de vrais cyber-mercenaires », déclare Alain Ter Markossian, Director of Global Solutions Engineering chez Tehtris.

Il existe également de multiples dépendances technologiques entre les différents acteurs de la chaîne de valeur, ce qui ne facilite pas la tâche des équipes qui défendent leurs “assets”. « Ces dépendances reposent sur des processus étroitement imbriqués les uns aux autres. Et le fait qu’il y ait un petit nombre d’acteurs technologiques dominants sur le marché n’arrange rien, car quand l’un d’entre eux embarque une faille zero day, c’est tout l’écosystème qui est fragilisé”, ajoute Alain Ter Markossian.

Des campagnes de phishing classiques aux attaques ciblant les infrastructures réseau

Ce paysage de la menace se traduit par ailleurs par une transformation des vecteurs d’attaque. Selon Nicolas Cote, Chief Transverval Cybersecurity Architect – Senior Technical Fellow chez Tehtris, une transition est en train de s’opérer des campagnes de phishing classiques vers des attaques ciblant les infrastructures réseau. « Depuis deux ans, nous voyons monter une nouvelle génération d’attaques liées aux infrastructures de sécurité. Ces attaques sont très méconnues des RSSI, des équipes CISO et des SOC », précise-t-il.

Pour Nicolas Cote, ces attaques répondent au modèle VUCA (Volatility, Uncertainty, Complexity, Ambiguity), ce qui souligne leur caractère imprévisible, furtif et extrêmement sophistiqué. Elles exploitent des failles dans les firewalls, VPN et systèmes d’authentification. Ces composants de confiance, une fois compromis, deviennent des portes d’entrée invisibles vers les données les plus sensibles de l’entreprise. « Une vulnérabilité zero day sur une infrastructure de sécurité, c’est une autoroute à cinq voies pour l’attaquant, sans qu’il ait besoin de s’authentifier. C’est pour cela que ce type d’attaque est tellement efficace », alerte l’expert.

Ce phénomène est d’autant plus inquiétant que les entreprises et organisations sont désormais hyper connectées, notamment depuis la crise sanitaire. Malheureusement, cette connexion à haute intensité a été réalisée sans réelle cartographie de l’exposition numérique à laquelle elles sont confrontées. “Cette digitalisation à marche forcée s’est faite avec des budgets alloués aux DSI plutôt à la baisse, ce qui a entraîné des automatisations de toutes parts. Elle s’est faite aussi dans un contexte où les entreprises sont de plus en plus reliées entre elles, et où la chaîne de valeur est toujours plus fragmentée. Enfin, dernière tendance : la phygitalisation de l’activité avec, par exemple, des acteurs de la logistique désormais équipés de terminaux (douchettes) pour scanner les produits au sein même de l’entrepôt”, analyse Nicolas Cote.

La phygitalisation des activités entraîne l’apparition d’une nouvelle tendance : au-delà du “Shadow IT”, bien connu des DSI et RSSI, se développe désormais le “Shadow OT”. Des capteurs, objets connectés ou API non documentés se multiplient au sein des chaînes industrielles, constituant autant de portes d’entrée potentielles dans le système d’information de l’entreprise.

Autre facteur aggravant : les composants logiciels sont rarement conçus dans une approche “secure by design”. Obsolescence programmée, contrats flous, dépendances non maîtrisées… les vulnérabilités sont légion. “La cybersécurité devient alors un sujet interdisciplinaire, qui implique les juristes, les acheteurs, le DPO et les opérationnels. Il faut replacer les enjeux dans une logique à long terme, qui peut parfois venir contrecarrer le reporting financier mensuel ou trimestriel”, note Nicolas Cote.

Les deepfakes et leur industrialisation, plus grande menace de 2025

Parmi les bonnes pratiques à mettre en œuvre, les experts de Tehtris prônent une approche globale, mêlant prévention, résilience et technologie avancée. La première étape passe par la sensibilisation. « La menace des attaques Zero Day est inconnue des équipes sécurité, des directions générales et des achats. Sensibiliser, ce n’est pas juste dire « ne cliquez pas », c’est partager des bonnes pratiques et donner les bons réflexes », insiste Nicolas Cot.

Sur le plan technique, Nicolas Cote recommande d’adopter des modèles adaptatifs, volatiles, capables d’identifier les signaux faibles via des honeypots (leurres) ou du monitoring comportemental. L’approche XDR (Extended Detection and Response) permet d’orchestrer cette défense distribuée, en analysant en temps réel les comportements sur les postes, serveurs et réseaux.

Mais la technologie seule ne suffit pas. Réduire la surface d’attaque passe aussi par l’application rigoureuse des règles de “bonne hygiène” : gestion des privilèges, segmentation réseau, suppression des mots de passe par défaut… Il faut également anticiper l’apparition de nouvelles menaces, comme l’usage des deepfakes dans l’ingénierie sociale.

« Chez Tehtris, nous pensons que les deepfakes – et leur industrialisation – vont constituer la plus grande menace de 2025 et au-delà. Dans notre Threat Intelligence Report, nos équipes ont notamment étudié des acteurs comme Haotian.ai qui propose du deepfake-as-a-service, comme on vend du ransomware-as-a-service », révèle Katuiscia Benloukil, VP Communication de Tehtris.

En conclusion, si les attaques zero-day illustrent la montée en puissance de cybermenaces invisibles et complexes, elles rappellent surtout l’urgence d’un changement de paradigme. La cybersécurité ne peut plus se penser comme un empilement d’outils. Elle doit être systémique, partagée et intégrée à la culture des organisations.