Secu
Des outils et des services pour détecter les failles avant les hackers
Par Charlotte Mauger, publié le 08 décembre 2025
Face aux cybermenaces, la détection des vulnérabilités devient stratégique. En combinant les outils spécialisés, et le recours aux services des experts en découverte de failles, les organisations renforcent leur posture de sécurité.
Selon les prévisions de Gartner en matière de sécurité de l’information en 2024, le marché mondial des services de cybersécurité devrait croître de 15,6 % en 2025. Celui de la découverte de vulnérabilités est en phase avec ce mouvement général d’externalisation. Car au-delà des failles identifiées par les éditeurs ou via les programmes de bug bounty (voir encadré), les organisations restent exposées à d’autres risques concrets : mauvaises configurations par rapport aux référentiels de sécurité, vulnérabilités zero-day ou encore composants non inventoriés – un phénomène accentué par le développement de la Shadow IT.
« La découverte de failles est un sujet extrêmement vaste, il y a de nombreuses façons de faire pour une approche de bout en bout », explique Christophe Menant, directeur de l’offre cybersécurité chez Capgemini.
Le recours à des solutions automatisées et à des prestataires spécialisés se généralise donc. De nombreux acteurs sont présents aujourd’hui sur le marché, avec des approches diverses selon les besoins (applications, infrastructures, cloud, IoT).
Pour les DSI et les RSSI, un des défis consiste à se repérer dans ce paysage complexe et à choisir les partenaires ou solutions les mieux adaptés à leur contexte.
Agir le plus tôt possible dans la chaîne du développement
Le premier terrain sur lequel une organisation peut agir est celui du développement logiciel. Les démarches de type DevSecOps visent précisément à intégrer la sécurité dès les premières étapes du cycle de développement logiciel (SDLC).
Les solutions de type SAST, pour Static Application Security Testing, sont conçues pour analyser automatiquement le code source afin d’identifier en quasi temps réel les failles avant que l’application ne soit déployée. Leur intégration directe dans les chaînes CI/CD permet d’éviter des coûts élevés de correction en phase de post-production, puisque les anomalies sont corrigées au fil de l’eau, lors du développement. « Plus tôt on détecte la vulnérabilité et moins cela coûte cher à l’organisation », rappelle Christophe Menant.
Les solutions proposées par GitLab CI/CD, Checkmarx ou Black Duck s’inscrivent dans cette logique, certaines intégrant aujourd’hui des modules d’intelligence artificielle capables non seulement de détecter les failles, mais aussi de suggérer des pistes de correction.
Pour les applications en production, le SAST atteint en revanche ses limites. Cette méthode nécessite en effet un accès direct au code source et ne teste pas l’application dans son environnement opérationnel, avec ses intégrations, ses dépendances et ses comportements réels. De ce fait, ce sont ici les approches dynamiques qui sont privilégiées, à travers des solutions dites DAST (Dynamic Application Security Testing). « La détection de failles se découpe en deux grandes catégories. D’une part, la découverte par rapport à une base de données de failles déjà connues, ce qui est plus facilement automatisable. D’autre part, le recours à des spécialistes avec des compétences en découverte de failles », précise Christophe Menant.
Ces deux approches se complètent dans une stratégie de détection cohérente.
Christophe Menant
Directeur de l’offre cybersécurité chez Capgemini
« La découverte de failles est un sujet extrêmement vaste, il y a de nombreuses façons de faire pour une approche de bout en bout. »
Des approches qui se complètent
Des solutions comme IBM QRadar ou CybelAngel permettent par exemple de cartographier et de surveiller la surface d’attaque externe, en identifiant en continu les actifs connectés à Internet et en vérifiant leur niveau de sécurité. Elles s’appuient sur des bases de vulnérabilités connues et mettent à jour leurs modèles au fur et à mesure de l’émergence de nouvelles menaces. Leur pertinence réside dans leur capacité à automatiser une grande partie de la détection, mais elles se heurtent à un problème bien connu : la surcharge d’alertes et l’impossibilité pratique de traiter toutes les vulnérabilités détectées. « Il faut réussir à identifier celles qui doivent être traitées en priorité », insiste Christophe Menant.
Or, la criticité est liée au contexte propre à l’organisation, notamment à l’exposition de l’actif concerné, au scénario d’exploitation envisageable et à l’impact potentiel sur les métiers. L’expertise humaine complète ce socle automatisé. Les cabinets de conseil, les ESN et les start-up spécialisées viennent renforcer les dispositifs existants en simulant des attaques réelles. Certaines structures ont une expertise ciblée sur des pans précis de la détection de vulnérabilités. C’est le cas de FuzzingLabs avec, comme son nom l’indique, le fuzzing : « Cette méthode consiste à envoyer des données aléatoires ou pseudoaléatoires sur une application-cible afin de voir si on peut lui faire faire des choses anormales », détaille son fondateur et CEO Patrick Ventuzelo. Cette technique, qui génère des milliers d’exécutions par seconde, met en évidence des comportements inattendus, dont certains peuvent être exploités par un attaquant pour obtenir des privilèges ou détourner un processus. « Nous développons généralement un fuzzer pour le client, celui-ci va générer des millions de données intelligentes et spécifiques au contexte de l’application ciblée. Ensuite, nous formons les équipes du client pour leur apprendre à maintenir ces fuzzers sur le longterme et leur donner les moyens de continuer la recherche de vulnérabilités de leur futur code », poursuit Patrick Ventuzelo.
Tester régulièrement
D’autres acteurs, comme Synacktiv, privilégient une approche offensive plus large, en proposant à la fois du pentest et du red teaming. « Dans le pentest, nous venons tester un des systèmes de l’entreprise, généralement un site web. Le but peut être de réussir à devenir administrateur de tous les postes, ou à accéder à des informations sensibles en identifiant et en exploitant des failles », explique Kévin Tellier, expert sécurité chez Synacktiv. Cette approche vise à identifier un maximum de failles sur le système testé. « Pour une entreprise qui n’a jamais fait de pentest sur son réseau interne, nous réussissons dans 95 % des cas à compromettre son réseau en trois jours. »
Le red teaming procède d’un autre objectif, en exploitant tous les moyens possibles (même les failles humaines grâce à des e-mails de phishing ou en s’introduisant sur site) jusqu’à atteindre des trophées (compromettre un environnement, accéder à une boîte mail, etc.), mais sans chercher à lister toutes les failles. « Cette méthode intéresse de plus en plus le marché, et nous voyons le nombre de commandes bondir », ajoute-t-il.
Au-delà du résultat immédiat, ces exercices ont également une valeur stratégique : ils contribuent à mettre en lumière des vulnérabilités systémiques et multifactorielles, renforçant ainsi les arguments pour l’obtention de budgets cybersécurité accrus. Mais dans tous les cas, les tests devront être réguliers.
Pentest, bug bounty ou red teaming
BUG BOUNTY : programme participatif mis en place par une entreprise visant à récompenser toutes personnes qui identifient et signalent des vulnérabilités sur un site ou un logiciel.
PENTEST : mission ponctuelle confiée à un prestataire pour tester la sécurité d’un système-cible en simulant des attaques. Cet exercice vise à établir la liste la plus exhaustive possible des vulnérabilités de ce système.
RED TEAMING : Un exercice global où un prestataire simule une attaque réaliste jusqu’à un objet précis, en utilisant tous les moyens à sa disposition. Le rapport produit ne liste pas les vulnérabilités des systèmes, mais les failles exploitées étape par étape jusqu’au trophée.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
