La décennie 2015–2025 a redessiné le périmètre et les pratiques de sécurité réseau. Quels changements concrets imposent aujourd’hui l’IA, le télétravail et la consolidation des outils ?
Cet article synthétise l’évolution de la sécurité réseau de 2015 à 2025, à partir d’un eBook de Barracuda. Il retrace l’émergence de l’EDR, l’adoption du cadre MITRE ATT&CK, les crises WannaCry et NotPetya, puis l’irruption du SASE, du zero trust et du télétravail. Il décrit la montée de l’IA comme catalyseur de menaces et d’outils, la convergence SASE/SD-WAN, et l’arrivée de l’XDR alimentée par l’IA en 2025. Ce livre blanc gratuit met l’accent sur les leçons pour la résilience réseau, l’automatisation via SIEM/SOAR et l’importance des services XDR managés face au déficit de compétences en cybersécurité.
De l’EDR aux rançongiciels révélateurs
La période 2015–2017 a posé les bases modernes de la défense des réseaux. L’EDR s’est imposé comme outil central pour détecter et répondre aux menaces présentes sur les endpoints. Au départ focalisé sur postes et serveurs sur site, l’EDR a apporté surveillance en temps réel, investigation légale et capacités de réponse automatisée. Le cadre ATT&CK de MITRE, rendu public en 2015 et devenu courant entre 2016 et 2017, a fourni une taxonomie des tactiques, techniques et procédures adverses. Cet alignement a permis aux équipes de sécurité d’orienter détection, chasse et entraînement sur des comportements adverses documentés plutôt que sur des signatures isolées. La leçon opérationnelle fut nette : visibilité et modèles comportementaux surpassent les défenses statiques.
Les attaques de 2017, WannaCry puis NotPetya, ont démontré la portée destructrice des rançongiciels et la vulnérabilité des infrastructures critiques. WannaCry a touché des organisations dans plus d’une centaine de pays et perturbé gravement le NHS England, avec des annulations massives de rendez-vous et des pertes de service. NotPetya, qualifiée par certains analystes de « la plus dévastatrice de l’histoire », a provoqué des dégâts supérieurs à 10 milliards $ (≈ 8,58 Md€). Ces incidents ont changé l’ordre des priorités : il ne suffit plus d’isoler ou de restaurer des endpoints, il faut réduire la surface d’attaque liée aux transferts latéraux, sécuriser les OT et disposer de processus de continuité robustes.
SASE, zero trust et la nouvelle géographie du périmètre
La seconde moitié de la décennie a vu la notion de périmètre se diluer. Dès 2019, Gartner formalise le SASE, combinant fonctions réseau et sécurité en tant que service. Cette approche reconnaît que le périmètre est désormais distribué : succursales, travailleurs à distance, applications cloud et edge computing coexistent. Le SASE propose d’agréger SD-WAN, pare-feu de nouvelle génération, CASB, SWG et ZTNA pour délivrer un accès sécurisé là où il est demandé. La pandémie de 2020 a transformé cette tendance en norme opérationnelle. Le basculement massif vers le télétravail a concentré du trafic critique sur des VPN et des passerelles externes, exposant des points de rupture inacceptables pour la résilience.
Le zero trust s’est largement imposé comme principe directeur : refuser l’accès implicite, vérifier continuellement l’identité et limiter les droits au strict nécessaire. Cette posture diminue les risques de mouvements latéraux et affaiblit l’efficience des attaques s’appuyant sur des comptes compromis. La convergence SASE/SD-WAN, amorcée avant 2020 et accélérée ensuite, vise à simplifier la gestion et à restaurer une logique de contrôle centralisé malgré la dispersion des utilisateurs et des sites. Les organisations apprennent que repenser le périmètre implique aussi de réduire la complexité architecturale pour éviter des doublons d’outils et des angles morts opérationnels.
IA, XDR et la consolidation des outils
L’arrivée des grands modèles de langage en 2022 a marqué un tournant. L’IA est devenue une arme à double tranchant. Elle facilite l’automatisation défensive, l’analyse d’anomalies et la corrélation d’événements. Elle facilite aussi la fabrication d’attaques : campagnes de phishing rédigées massivement, ciblage multilingue et scripts d’exploitation automatisés. Face à cette double dynamique, le marché a entamé une consolidation. Les piles techniques hétérogènes, accumulées au fil des acquisitions et des réponses ad hoc, ont rendu les opérations coûteuses et lentes.
L’XDR est apparue comme réponse intégrée à ce défi. En élargissant la portée de l’EDR, l’XDR regroupe la détection et la réponse sur endpoints, e-mail, cloud et autres vecteurs. À la clé, meilleure visibilité, corrélation native des signaux et réponse plus rapide et coordonnée. Le rapport cité dans l’eBook souligne l’impact opérationnel : des compromissions autrefois résolues en semaines peuvent être traitées en heures avec XDR. Par ailleurs, le déficit de compétences en cybersécurité est un facteur critique : 67 % des organisations rapportent un manque de talents modéré à critique. Les services XDR managés et les SOC externes comblent ce déficit en fournissant surveillance 24/7, expertise et processus éprouvés.
Conclusion : priorités pour la décennie suivante
La décennie 2015–2025 livre un enseignement central. La défense réseau est devenue multidimensionnelle. Il ne s’agit plus seulement de déployer des outils mais de consolider, d’automatiser et d’opérer en continu autour de principes vérifiables : visibilité étendue, traçabilité des TTP, segmentation stricte et apprentissage automatique pour la détection des anomalies. Les crises de 2017 et la pandémie ont rendu ces priorités urgentes. L’IA change les règles du jeu. L’XDR, couplée à des SOC managés, offre une voie pragmatique pour réduire le temps de détection et de réponse tout en compensant le manque de compétences.
Sources
National Audit Office, Investigation: WannaCry cyber-attack and the NHS : https://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/
Wired, NotPetya: how a cyberattack crunched the world : https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
SIPA Columbia, NotPetya Final Report : https://www.sipa.columbia.edu/sites/default/files/2022-11/NotPetya%20Final.pdf
Gartner, Security Orchestration, Automation and Response (SOAR) : https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar
Gartner, Secure Access Service Edge (SASE) : https://www.gartner.com/en/information-technology/glossary/secure-access-service-edge-sase
WEF, Global Cybersecurity Outlook 2025 : https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2025.pdf
