Depuis des années, sécuriser le périmètre externe et les accès utilisateurs constituait la priorité absolue des défenses d’entreprise. Cependant, avec l’accélération des pratiques DevOps, du vibecoding et de l’IA, la multiplication des outils tiers et l’explosion des applications internes, la surface d’attaque est devenue poreuse, voire invisible.
Aujourd’hui, les attaquants n’essaient plus seulement de forcer vos systèmes : ils exploitent vos secrets (clés API, jetons de session) oubliés sur le web, et profitent du manque de visibilité des entreprises sur leurs propres outils déployés.

Les nouveaux visages du risque : entre fuites de secrets et applications fantômes
Dans la réalité du terrain, une compromission moderne de la chaîne logistique et logicielle repose souvent sur deux failles majeures que les entreprises ont tendance à sous-estimer :
- L’absence d’un inventaire applicatif fiable : c’est une réalité partagée par la majorité des organisations : l’inventaire des applications réellement déployées et utilisées en interne est rarement à jour, voire inexistant. Entre les projets « tests » oubliés par les équipes de développement mais toujours connectés au réseau, et le Shadow IT, les équipes de sécurité ne savent souvent pas ce qu’elles doivent défendre. Or, on ne peut pas protéger ce qu’on ne connaît pas.
- La fuite de secrets ciblée par l’OSINT et la CTI : les attaquants automatisent la recherche d’informations publiques (OSINT) pour trouver des failles. Leurs cibles favorites ? Les dépôts de code publics (GitHub, GitLab), les images de conteneurs (Docker Hub), les dépendances (npm, PyPI, Terraform Registry) ou les forums de partage. Un développeur qui push par erreur un script contenant un jeton API ou un token de session actif offre, en quelques secondes, les clés du royaume aux cybercriminels.
- Les conversations IA non anonymisées : l’utilisation de l’IA par un grand nombre de personnes en entreprise augmente le risque de fuite de données. En 2025, OpenAI a vu un grand nombre de conversations partagées indexées sur Google. Cela a permis, grâce à des recherches en sources ouvertes (OSINT) de récupérer des informations personnelles dans certains cas.
NOTE Selon le CERT-FR, l’année a été marquée par une recrudescence de l’exploitation de données d’authentification légitimes volées ou fuitées. Les attaquants n’ont plus besoin de développer des exploits complexes : il leur suffit d’utiliser des identifiants et des clés d’API valides pour s’infiltrer silencieusement dans les infrastructures. (Source : PANORAMA DE LA CYBERMENACE – CERT-FR) |
Les 4 piliers de la défense : la vision proactive du CERT
Pour contrer cette dérive, l’approche de sécurité doit devenir proactive en combinant la surveillance externe (CTI) et la maîtrise interne (Hygiène Cyber).
1. L’inventaire applicatif : sortir du brouillard
Le CERT pousse pour une hygiène stricte : cartographier l’existant. Cela passe par des scans réseau réguliers et l’analyse des logs d’authentification pour identifier toutes les applications qui communiquent sur le réseau interne. Découvrir une application « oubliée », c’est fermer une porte dérobée potentielle.
L’usage des outils de prise de main à distance (RAT) est une technique très fréquente dans les cyberattaques. En plus de faciliter l’exfiltration de données, ces logiciels permettent aux attaquants de maintenir un accès durable (persistance) au réseau. Par ailleurs, bien qu’il s’agisse initialement d’applications légitimes, leurs fichiers de journaux (logs) sont souvent chiffrés lors des attaques par rançongiciel, ce qui complique l’analyse de l’incident.
2. La CI/CD et la Supply Chain : automatiser la détection
Au sein même de la chaîne de déploiement (CI/CD), la sécurité doit être automatisée via des outils de Secret Scanning. Ces outils bloquent le pipeline si un développeur tente de pousser du code contenant un secret en clair (mot de passe, clé privée, token). Les secrets doivent être externalisés et appelés dynamiquement via des coffres-forts numériques (Vaults). Des solutions d’Identity Access Management peuvent également être utilisées pour gérer ces secrets (BeyondTrust, Wallix, etc);
3. L’anonymisation des données dans les IA
Dans un contexte professionnel où le rendement et la performance sont au cœur des préoccupations, le besoin d’accélérer les tâches récurrentes grâce à l’IA est parfaitement légitime. Toutefois, cette quête d’efficacité ne doit pas se faire au détriment de la sécurité des données manipulées par les collaborateurs. C’est pourquoi la mise en place d’un serveur d’anonymisation (Proxy DLP) doit aujourd’hui être une priorité dès lors que l’usage de l’IA est déployé à grande échelle et repose sur des solutions externes.

4. L’OSINT et la CTI : traquer les secrets avant les attaquants
La Cyber Threat Intelligence (CTI) ne se contente pas d’attendre l’incident : elle adopte la posture de l’attaquant.
- La démarche : mettre en place une surveillance continue des sources ouvertes (OSINT) et du Dark Web pour détecter les fuites de credentials, de tokens de session ou de clés API propres à l’entreprise ;
- L’objectif : révoquer un jeton compromis avant qu’il ne soit exploité pour un mouvement latéral ou une exfiltration de données.
En conclusion : vers une défense globale et résiliente
La maîtrise de vos applications et de vos secrets met fin à une période où l’on pouvait se contenter d’une sécurité périmétrique. Face à des attaquants opportunistes qui scannent le web en continu à la recherche de jetons valides, la réponse doit être transverse :
- L’appui des équipes AppSec / SecOps pour automatiser la détection des secrets dans les pipelines de développement et aider à dresser un inventaire applicatif automatisé. La mise en place d’une nomenclature SBOM (Software Bill of Materials) devient une norme et est incluse dans le référentiel NIS2.
- Le SOC (Security Operations Center) pour corréler les logs. Si la CTI identifie qu’un jeton API a fuité, le SOC doit être capable de vérifier immédiatement si ce jeton a déjà été utilisé depuis une adresse IP suspecte ou pour des requêtes anormales.
- Une équipe GRC (Gouvernance, Risques et Conformité) pour sensibiliser les équipes de développement au cycle de vie des secrets et imposer une gouvernance stricte sur le cycle de vie des applications internes (de leur création à leur mise au rebut).
- Le CERT et la CTI qui consolident cette posture en appliquant les techniques d’OSINT pour auditer en permanence la surface d’exposition externe de l’entreprise.
Anticipez les attaques et protégez
vos actifs stratégiques avec Synetis
FAQ sur l’OSINT, la CTI et la gestion des secrets
Pourquoi les attaquants recherchent-ils des jetons d’API ou des tokens de session ?
Contrairement à un simple mot de passe qui peut être bloqué par une double authentification (MFA), un token de session ou une clé API valide permet à l’attaquant de contourner ces protections. Il est directement reconnu comme « légitime » par le système et peut agir immédiatement, souvent avec des privilèges élevés.
En quoi consiste l’OSINT appliqué à la protection des projets d’entreprise ?
L’OSINT (Open Source Intelligence) consiste à collecter des informations à partir de sources publiques. Pour une entreprise, cela signifie scanner activement le web (notamment GitHub ou Pastebin) à la recherche de fuites accidentelles de code, de documentations internes ou de configurations de serveurs qui détaillent l’architecture de ses applications internes.
Pourquoi le manque d’inventaire des applications déployées est-il un risque cyber majeur ?
Une application non inventoriée est une application qui n’est pas mise à jour, pas monitorée par le SOC et souvent mal configurée. Pour un attaquant, ces « applications fantômes » représentent la cible idéale : elles offrent un point d’accès au réseau de l’entreprise sans déclencher les alertes de sécurité traditionnelles.

Gabriel AMBROISE
CONSULTANT SECURITE JUNIOR
CYBERDEFENSE – CERT