Secu
Cyberattaque : pourquoi la prévention devient incontournable pour les CISO
Par Brand Content, publié le 10 décembre 2025
Alors que les attaques « living-off-the-land » se multiplient et que les équipes SOC peinent sous la pression opérationnelle, les CISO font face à un tournant critique. La détection traditionnelle ne suffit plus. Un nouveau paradigme, la prévention automatisée et adaptative, s’impose désormais comme la seule façon réaliste de garder une longueur d’avance sans submerger les équipes de sécurité.
C’est un scénario de plus en plus fréquent. Un samedi matin, un administrateur découvre que son compte a servi à créer plusieurs identités à privilèges élevés. Aucun malware n’est détecté, aucune alerte évidente n’a été levée. Il s’agit simplement de l’utilisation détournée d’outils parfaitement légitimes, déjà présents sur le poste. C’est la signature des attaques « living-off-the-land » (LotL), ces intrusions qui exploitent les composants natifs du système d’exploitation plutôt que d’introduire un code malveillant externe. Plus discrètes et difficiles à tracer, elles mettent aujourd’hui en échec les approches de détection classiques.
Une visibilité compromise par les menaces natives
Les statistiques récentes confirment l’urgence de la situation. Bitdefender observe une hausse de 30 % de ces techniques entre 2024 et 2025. L’analyse de 700 000 incidents majeurs menée par l’éditeur révèle un chiffre encore plus brutal : 84 % d’entre eux impliquent l’exploitation d’outils légitimes déjà présents sur les systèmes à des fins malveillantes, reposant notamment sur un mécanisme de chiffrement natif.
Ce constat force l’industrie à se remettre en question. Les méthodes de détection traditionnelles n’offrent plus la granularité nécessaire pour distinguer l’usage légitime de l’usage malveillant. Dans un contexte où les SOC croulent sous les alertes et où les analystes peinent à suivre le rythme, de nombreux CISO se tournent vers des technologies capables d’agir en amont, avant même que la menace ne se concrétise.
PHASR : l’automatisation du durcissement système
C’est pour répondre à ce paysage en mutation que Bitdefender a développé PHASR, une technologie qui rompt avec le durcissement des accès basé sur des règles statiques ou des listes d’exclusions souvent ingérables. L’enjeu, selon Richard de la Torre, Technical Marketing Manager chez Bitdefender, était d’imaginer une solution « efficace, donc prudente, qui n’affecte pas la productivité et qui ne crée pas de travail supplémentaire pour les équipes de sécurité ».
Contrairement aux approches classiques, PHASR repose sur un modèle de machine learning unique créé sur chaque poste. Cette intelligence locale analyse la manière dont un utilisateur manipule les outils natifs du système, ainsi que la façon dont les applications métiers sollicitent ces mêmes composants. L’objectif n’est pas de surveiller les individus, mais de cartographier les usages réels, machine par machine, pour distinguer ce qui relève du fonctionnement normal d’un comportement suspect.
À partir de cette observation continue, la solution ajuste automatiquement le niveau de contrôle. Si un poste ou une application n’a jamais nécessité l’usage d’un outil critique comme PowerShell ou WMIC auparavant, ces composants sont bloqués préventivement.
À l’inverse, lorsqu’un administrateur se connecte à un poste où l’utilisateur standard n’avait pas ces accès, PHASR détecte le changement de profil et rétablit instantanément les droits nécessaires. Ce durcissement dynamique réduit considérablement la surface d’attaque sans entraver le bon déroulement des opérations métiers.
Apprendre plutôt que gouverner : soulager la fatigue du SOC
L’adoption de PHASR a révélé un paradoxe intéressant. Les premières entreprises à le tester ont activé le mode manuel pour garder la main, se retrouvant rapidement noyées sous un volume d’informations impossible à traiter. Aucun administrateur ne peut déterminer, en continu, quels outils natifs sont nécessaires à chaque collaborateur ou application.
C’est précisément pour éviter cette micro-gestion épuisante que le mode « autopilot » a été conçu. Dès son activation, les retours ont été unanimes : la productivité est restée intacte, aucun ticket inattendu n’a été généré et les blocages non anticipés ont disparu. « Une fois en autopilot, ça a fonctionné exactement comme prévu », souligne Richard de la Torre. Pour les analystes SOC, cela se traduit par une réduction drastique du bruit et par une architecture de sécurité qui s’auto-adapte en continu.
Dans un environnement de travail désormais éclaté entre bureaux, télétravail et mobilité, cette approche offre une cohérence indispensable. Au lieu d’imposer un modèle de sécurité uniformisé, la solution apprend les usages contextuels là où ils se produisent, rendant la protection opérationnelle même dans des parcs informatiques hétérogènes.
Vers des endpoints et des identités autonomes
PHASR n’est qu’une première étape. Bitdefender prépare déjà l’extension du concept au domaine des identités, afin de détecter les dérives d’usage susceptibles de révéler un compte compromis. L’éditeur souhaite aller au-delà des approches centrées uniquement sur les permissions, pour analyser la manière dont les comptes se comportent réellement. Un administrateur qui crée des droits étendus à deux heures du matin un samedi représente un signal qu’aucun moteur de détection classique ne peut analyser efficacement.
À mesure que les attaques basées sur des identifiants volés se multiplient et que les acteurs malveillants détournent Entra ou d’autres plateformes d’identité pour progresser dans un système, cette approche devient indispensable. L’ambition est claire : passer d’une cybersécurité centrée sur la réaction à des systèmes capables de prévenir eux-mêmes les comportements anormaux, qu’ils proviennent d’un endpoint ou d’une identité.
Pour Bitdefender, la prévention n’est plus une option. Elle devient le socle d’une cybersécurité moderne, capable d’agir avant que les dégâts ne soient effectifs. PHASR s’inscrit précisément dans cette trajectoire, où les systèmes apprennent en continu, s’ajustent, et finissent par se protéger eux-mêmes. C’est désormais sur ce terrain que se jouera la prochaine étape de la cybersécurité d’entreprise.
À LIRE AUSSI :
