Qu'est-ce que la surveillance Dark Web et en quoi est-elle différente d'un scan de vulnérabilités ?

Un scan de vulnérabilités analyse votre propre infrastructure pour détecter des failles techniques. La surveillance Dark Web monitore des sources externes — forums clandestins, marchés de credentials, canaux Telegram — pour détecter toute donnée vous concernant déjà publiée. Les deux approches sont complémentaires et s'articulent dans le cadre CTEM autour des phases de cadrage et de priorisation.

Comment un infostealer contourne-t-il un EDR et que peut-on faire ?

Les infostealers modernes comme Lumma Stealer évoluent plus vite que les signatures EDR — 66 % des infections surviennent sur des postes équipés d'EDR actif selon SpyCloud. La réponse est une défense en profondeur : hygiène des postes, détection comportementale réseau, et surveillance Dark Web pour détecter les infections qui ont tout de même abouti.

Pourquoi le MFA ne suffit-il pas à protéger contre les credentials volés ?

Les infostealers de dernière génération ciblent les cookies de session actifs, pas seulement les mots de passe. Un cookie valide permet à un attaquant de se connecter sans fournir les facteurs d'authentification — le MFA est contourné. SpyCloud a recensé 17,3 milliards de cookies en circulation en 2024. La réponse complémentaire comprend des durées de session courtes et la révocation proactive des sessions dès détection d'une exposition.

Quelles sont les obligations légales françaises imposant une surveillance des fuites de données ?

L'article 33 du RGPD impose la notification à la CNIL sous 72h, ce qui suppose des mécanismes de détection actifs. La CNIL a sanctionné Free (42 millions d'euros) et France Travail (5 millions d'euros) pour absence de détection des comportements anormaux. NIS2 (transposition juillet 2026), DORA (depuis janvier 2025) et les recommandations ANSSI convergent vers la même obligation de surveillance proactive.

Comment intégrer la surveillance Dark Web à mon SIEM sans générer trop de faux positifs ?

L'intégration technique s'appuie sur les standards STIX 2.1 et TAXII 2.x. La réduction des faux positifs repose sur la qualification à la source, la contextualisation dans le SIEM (corrélation credential_leak ET compte actif AD ET rôle privilégié) et un tuning mensuel des seuils. La cible opérationnelle est un taux de faux positifs inférieur à 10 %.

Pourquoi préférer une solution souveraine française à une plateforme internationale pour la surveillance Dark Web ?

Les données transmises à une plateforme de surveillance — listes d'emails, domaines, identités de dirigeants — sont sensibles. Les solutions américaines sont soumises au CLOUD Act, permettant un accès des autorités fédérales même depuis l'Europe. Pour les OIV et entités essentielles NIS2, une solution qualifiée SecNumCloud ou opérée par un prestataire labellisé ANSSI supprime ce risque de transfert contraint vers un gouvernement étranger.

Dark Web & Credential Intelligence : Guide Stratégique RSSI

En bref

La surveillance du Dark Web consiste à monitorer en continu les forums clandestins, marchés de credentials et canaux Telegram pour détecter toute fuite impliquant votre organisation avant qu'elle ne soit exploitée. En 2024, 22 % des brèches débutent par un abus de credentials volés, avec un délai médian de seulement 2 jours entre l'apparition d'un identifiant dans un stealer log et un incident de ransomware. Intégrée aux cinq phases du framework CTEM de Gartner, cette discipline passe du statut de veille réactive à celui de composante de détection proactive. Elle répond directement aux obligations issues du RGPD, de NIS2 et de DORA — et son absence constitue désormais un motif de sanction explicite de la CNIL.

3,2 Md

Credentials dérobés en 2024, dont 66 % via infostealers (SpyCloud)

4,88 M$

Coût moyen mondial d'une brèche en 2024 — record historique (IBM)

292 j

Durée médiane du cycle de vie d'un credential volé avant confinement

67 %

Réduction des brèches prédite par Gartner pour les organisations CTEM matures

1. L'économie souterraine des credentials en 2024-2025

Le volume de données volées en circulation sur le Dark Web dépasse largement ce que les modèles de risque classiques anticipaient il y a encore trois ans. SpyCloud a recapturé 53,3 milliards d'enregistrements d'identité en 2024, soit une hausse de 22 % sur un an. KELA documente 4,3 millions de machines infectées par des infostealers en 2024. Flashpoint estime que 23 millions d'hôtes ont été compromis, générant à eux seuls 2,1 milliards de credentials. Sur les forums criminels, Verizon recense 2,8 milliards de mots de passe publiés en vente ou en libre accès la même année.

Ces chiffres ont des traductions financières directes. Le rapport IBM Cost of a Data Breach 2024 établit le coût moyen mondial d'une brèche à 4,88 millions de dollars, un record historique. Les brèches dont le vecteur initial est un credential volé coûtent en moyenne 4,81 millions de dollars et présentent le cycle de vie le plus long : 292 jours entre la compromission et le confinement. En France, ce cycle atteint 284 jours selon le rapport IBM 2025. Le rapport 2025 fait état d'une légère baisse du coût mondial à 4,44 millions de dollars, portée par l'adoption de l'IA dans la détection, mais le coût aux États-Unis atteint un record de 10,22 millions de dollars, illustrant la disparité croissante entre organisations matures et immatures.

1.1 Les credentials comme vecteur dominant

Le Verizon DBIR 2025 confirme que 22 % des brèches débutent par un abus de credentials, un ratio stable depuis une décennie. Dans les attaques visant spécifiquement les applications web, ce taux grimpe à 88 %. Mandiant, dans son rapport M-Trends 2025, place pour la première fois les credentials volés en deuxième position des vecteurs d'accès initial (16 %), juste derrière l'exploitation de vulnérabilités (33 %). Le temps médian de séjour (dwell time) en zone EMEA reste le plus élevé au monde : 22 jours.

Le délai d'exploitation se réduit à des heures

Le Verizon DBIR 2025 documente un délai de seulement 2 jours entre l'apparition d'un credential dans un stealer log et un incident de ransomware. Mandiant M-Trends 2026 rapporte que le temps de transmission d'un accès initial à un groupe ransomware est tombé à 22 secondes — contre plus de 8 heures en 2022. La fenêtre de réponse se compte désormais en heures, pas en jours.

1.2 Le panorama français confirme l'urgence

L'ANSSI a traité 4 386 événements de sécurité en 2024, soit une augmentation de 15 % par rapport à 2023, dont 1 361 incidents confirmés. Son Panorama de la cybermenace 2024 souligne que des identifiants volés ou des comptes d'administration oubliés suffisent à la plupart des attaques initiales — nul besoin de zero-day. Le 11e baromètre du CESIN (janvier 2026) indique que 40 % des entreprises françaises ont subi une cyberattaque significative en 2025, avec un impact métier dans 81 % des cas quand l'attaque réussit. Le vol de données est devenu la première conséquence technique, touchant 52 % des entreprises attaquées (+10 points en deux ans). La France est montée au deuxième rang mondial des pays ciblés par les Initial Access Brokers (IAB) en 2024 selon SOCRadar.

CTEM : Framework Complet de Gartner pour les RSSI

Les cinq phases du Continuous Threat Exposure Management et leur mise en oeuvre opérationnelle

2. Infostealers et marchés clandestins : anatomie d'une chaîne industrialisée

L'écosystème des infostealers — malwares spécialisés dans l'extraction silencieuse de credentials, cookies et données de session — s'est radicalement industrialisé entre 2024 et 2025. Trois familles concentrent 75 % des infections selon KELA : Lumma Stealer, StealC et RedLine.

2.1 Les familles dominantes

Lumma Stealer a connu une ascension fulgurante avec une hausse de 369 % des détections entre le premier et le second semestre 2024 (ESET), représentant 51 % de tous les logs en vente sur Russian Market en novembre 2024. Distribué en Malware-as-a-Service entre 250 et 20 000 dollars par mois selon le tier d'abonnement, Lumma cible les credentials des navigateurs Chromium et Mozilla, les cookies de session, les wallets crypto et les extensions 2FA. Sa capacité à contourner le chiffrement App-Bound de Chrome en 24 heures illustre la vélocité d'adaptation de cet écosystème.

RedLine, historiquement responsable de 51 % de toutes les infections entre 2020 et 2023 (Kaspersky), a été démantelé en octobre 2024 lors de l'opération Magnus conduite par Europol. Avant sa chute, RedLine et META avaient compromis 64 % de tous les appareils infectés en 2024, volant 451 millions de credentials uniques. L'exode de ses affiliés vers Lumma, Vidar et StealC alimente directement la croissance de ces alternatives.

RisePro illustre la dynamique du marché : sa part d'activité a bondi de 1,4 % à 23 % entre 2023 et 2024 (IBM X-Force). Vidar, commercialisé à 300 dollars en licence à vie, a volé 65 millions de mots de passe au second semestre 2024. StealC, à 200 dollars par mois, complète le tableau avec une interface d'administration simplifiée et une livraison des logs via Telegram.

L'EDR ne suffit pas

SpyCloud relève que 66 % des infections par infostealer surviennent sur des postes équipés d'une solution EDR active. Le contournement des protections endpoint est devenu la norme opérationnelle des groupes affiliés, pas l'exception.

2.2 Du vol à l'exploitation : la classification des risques par tier

Le cycle de vie d'un credential volé s'est considérablement raccourci. En quelques heures, les données extraites par un infostealer apparaissent sur des canaux Telegram spécialisés. Sous 24 heures, les Initial Access Brokers (IAB) achètent ces logs en vrac à des prix unitaires de 1 à 50 dollars. En 2 à 7 jours, ces courtiers testent les accès, vérifient les niveaux de privilège et mettent en vente l'accès réseau à des prix médians de 500 dollars pour un accès VPN ou RDP d'entreprise.

Dumps de brèches tierces

Mots de passe souvent hashés, données potentiellement périmées. Risque modéré, mais alimentent le credential stuffing via la réutilisation des mots de passe (70 % des utilisateurs selon SpyCloud).

Stealer logs avec credentials navigateur

Contiennent tous les mots de passe sauvegardés dans le navigateur, en clair. Risque élevé. Nécessitent une réinitialisation forcée après éradication du malware.

Logs frais avec cookies de session actifs

Le niveau de criticité maximal. Les cookies de session permettent un détournement immédiat avec contournement du MFA. SpyCloud a identifié 17,3 milliards de cookies en circulation en 2024.

2.3 Les marchés clandestins après Genesis Market

Depuis la saisie de Genesis Market par le FBI en avril 2023, l'écosystème des places de marché s'est fragmenté mais reste actif. Russian Market s'est imposé comme la plateforme dominante pour les stealer logs. Exodus Marketplace, lancé en janvier 2024, se positionne comme successeur de Genesis avec plus de 7 000 bots à 3-10 dollars par log et un accès sur invitation. SOCRadar a recensé 965 annonces d'IAB uniques au premier semestre 2024, en hausse de 23 %.

Les canaux Telegram jouent un rôle croissant dans la distribution : Flare en surveille plus de 58 000 dédiés au cybercrime, qui servent à la fois de marché, de service client et de canal de livraison automatique des logs. Les combo lists — compilations massives de paires identifiant:mot de passe issues de multiples brèches — alimentent les attaques par credential stuffing à grande échelle. La compilation RockYou2024, publiée en juillet 2024, contient 10 milliards de mots de passe uniques. Le taux de réutilisation de mots de passe atteint 70 % dans la population (SpyCloud), ce qui rend ces listes redoutablement efficaces.

3. Intégrer la surveillance Dark Web dans le cycle CTEM

Gartner a introduit le CTEM (Continuous Threat Exposure Management) en 2022 comme un programme en cinq phases conçu pour dépasser la gestion classique des vulnérabilités. Il ne s'agit pas d'un produit mais d'un ensemble de processus continus. La surveillance Dark Web s'intègre dans chaque phase de manière structurante, transformant une veille périodique en source de renseignement opérationnel permanent.

Scoping

La surveillance Dark Web élargit le périmètre au-delà des assets techniques : credentials en circulation, domaines d'usurpation, exposition des dirigeants, vulnérabilité des fournisseurs. Sans cette dimension externe, le cadrage reste incomplet.

Discovery

Source irremplaçable pour les expositions que le scan interne ne détecte pas : credentials dans des stealer logs, données clients sur des forums, code source dans des paste sites, accès VPN en vente chez des IAB.

Prioritization

L'intelligence Dark Web fournit le contexte opérationnel : fraîcheur du credential, niveau de privilège, type de source, présence de cookies de session. Selon Picus Security, 63 % des vulnérabilités critiques tombent à 10 % après contextualisation.

Validation

Les données Dark Web permettent de confirmer qu'un credential est en vente active, qu'un accès est encore valide, qu'une vulnérabilité est discutée dans des forums d'exploitation avant même d'apparaître dans un CVE public.

Mobilization

Les alertes Dark Web déclenchent des workflows concrets : réinitialisation forcée de mots de passe, révocation de sessions, isolation d'endpoints, ouverture de tickets, notifications aux équipes. L'intelligence se transforme en remédiation.

Boucle continue

À la différence d'un audit ponctuel, le CTEM est un cycle sans fin. Chaque remédiation alimente le prochain cadrage. La surveillance Dark Web apporte la dimension externe en temps réel qui maintient ce cycle pertinent.

3.1 Surveillance réactive vs. proactive : un changement de paradigme

La distinction est fondamentale. L'approche réactive répond aux alertes après apparition des données sur le Dark Web — elle est nécessaire mais insuffisante, car lorsqu'un credential est publiquement listé, les cookies de session associés peuvent déjà avoir été exploités. L'approche proactive — alignée avec la philosophie du CTEM — intègre une surveillance continue, l'infiltration de forums fermés, le suivi des communications d'acteurs malveillants et l'identification de tendances d'exploitation avant leur matérialisation.

Dimension	Surveillance réactive	Credential Intelligence proactive (CTEM)
Déclenchement	✗ Alerte post-publication	✓ Détection avant publication publique
Sources couvertes	~ Dumps publics, paste sites	✓ Forums privés, Telegram, IAB, stealer logs
Délai de détection	✗ Jours à semaines	✓ Cible : moins de 10 minutes
Contexte fourni	✗ Identifiant exposé, sans plus	✓ Fraîcheur, privilège, cookie de session, acteur
Intégration SIEM/SOAR	✗ Alerte manuelle	✓ Webhook, STIX 2.1, playbook automatisé
Conformité réglementaire	~ Partielle (détection tardive)	✓ Satisfait Art. 33 RGPD, Art. 21 NIS2, DORA Art. 9

4. Cadre réglementaire : RGPD, NIS2, DORA et ANSSI

La surveillance du Dark Web n'est plus seulement une bonne pratique de sécurité. Elle est devenue une obligation de fait, portée par une convergence de textes réglementaires qui sanctionnent explicitement l'absence de capacité de détection.

4.1 RGPD et doctrine CNIL : détecter ou payer

L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles présentant un risque. La découverte de credentials d'entreprise sur le Dark Web constitue une violation de confidentialité au sens de l'article 4.12. Le point crucial : le délai court à partir du moment où le responsable de traitement atteint un degré raisonnable de certitude — ce qui implique une obligation d'avoir des mécanismes de détection opérationnels.

La CNIL a durci sa doctrine de manière significative. En janvier 2026, Free a été sanctionné à hauteur de 42 millions d'euros (27 M€ + 15 M€) pour la brèche d'octobre 2024 affectant 24 millions de contrats. La CNIL a spécifiquement reproché l'insuffisance de détection des comportements anormaux — l'attaquant avait opéré pendant des semaines sans être repéré — et l'absence de MFA sur les accès VPN. France Travail a écopé de 5 millions d'euros pour la brèche de mars 2024 exposant 36,8 millions de personnes : la CNIL a pointé un seuil de verrouillage à 50 tentatives de connexion échouées, l'absence de MFA et une journalisation « passive, incapable de détecter les comportements anormaux » alors que 9 Go de données avaient été exfiltrés en une seule journée.

La CNIL recommande explicitement la surveillance des fuites

Dans son rapport de janvier 2025 sur les violations massives, la CNIL recommande de « mettre en place une recherche de fuite sur Internet, dans le respect du RGPD et du code pénal ». Le guide ANSSI « Protéger les données contre les fuites » (v1.0, janvier 2025) prescrit dans sa mesure 10 de « mettre en place des outils de veille automatique en réaction (ex. haveibeenpwned.com) et, si possible, en anticipation (veille sectorielle, CTI) ».

4.2 NIS2 : 15 000 à 18 000 entités françaises concernées

La directive NIS2 (2022/2555) est transposée en droit français via la Loi Résilience, adoptée par le Sénat en mars 2025 et votée en commission à l'Assemblée nationale en septembre 2025. Sa promulgation est attendue pour juillet 2026. L'ANSSI a publié le 17 mars 2026 le ReCyF (Référentiel Cyber France), cadre de mesures recommandées pour la conformité NIS2.

L'article 21 de la directive impose dix mesures minimales de cybersécurité, dont la gestion des incidents (prévention, détection, analyse, confinement, réponse, rétablissement), la sécurité de la chaîne d'approvisionnement et la gestion des vulnérabilités. L'article 23 durcit les obligations de notification : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous un mois. La surveillance Dark Web répond directement aux exigences de détection (Art. 21.2.b), d'analyse de risque (Art. 21.2.a), de sécurité de la supply chain (Art. 21.2.d) et de gestion des vulnérabilités (Art. 21.2.e).

4.3 DORA : le renseignement sur les menaces devient obligatoire pour le secteur financier

Le règlement DORA (EU 2022/2554), applicable depuis le 17 janvier 2025, impose aux entités financières un cadre de gestion des risques ICT. L'article 9 exige des procédures de détection avec des indicateurs d'alerte précoce. L'article 13 requiert l'intégration des résultats du renseignement sur les menaces dans la gestion des risques. Les articles 28 à 30 imposent une surveillance continue des prestataires ICT tiers — y compris la détection de credentials compromis ou de vulnérabilités discutées sur les forums underground. Le pilier des tests de résilience opérationnelle (TLPT) exige des scénarios de red teaming fondés sur du renseignement sur les menaces, directement alimenté par l'intelligence Dark Web.

Texte	Obligation clé	Lien avec la surveillance Dark Web
RGPD Art. 33	Notification violation sous 72h	Impose une capacité de détection — l'absence de monitoring Dark Web retarde la prise de connaissance
NIS2 Art. 21.2.b	Gestion des incidents : détection et analyse	La surveillance Dark Web est une source de détection précoce avant compromission active
NIS2 Art. 21.2.d	Sécurité de la chaîne d'approvisionnement	Couvre les fournisseurs dont les credentials pourraient permettre l'accès à votre SI
DORA Art. 13	Intégration du threat intelligence	Le renseignement Dark Web doit alimenter la gestion des risques ICT pour le secteur financier
ANSSI ReCyF 2026	Mesures de sécurité NIS2 recommandées	Le référentiel intègre explicitement la CTI et la détection des fuites comme mesures attendues

5. Structurer un programme opérationnel de credential intelligence

5.1 Définir le périmètre de surveillance

Un programme de surveillance Dark Web efficace commence par un cadrage rigoureux du périmètre. Ce périmètre doit couvrir l'ensemble des domaines d'entreprise (principal, filiales, partenaires stratégiques), les patterns d'adresses email corporatives, les noms des dirigeants (risque d'exposition des données personnelles et d'usurpation d'identité), les mots-clés de marque et les plages IP publiques. Les comptes à privilèges — administrateurs Active Directory, accès cloud, VPN, comptes de service — doivent être monitorés en priorité absolue.

Les sources à surveiller dépassent largement le périmètre historique de Tor. Un programme mature couvre les forums underground (XSS, BreachForums et successeurs), les paste sites, les canaux Telegram spécialisés, les marketplaces de credentials (Russian Market, 2easy, Exodus), les sites de leak ransomware (81 sites actifs au T3 2025), les stealer log clouds, les réseaux I2P et les combo lists en circulation.

Ne pas oublier les adresses email personnelles

Un angle mort fréquent : les collaborateurs qui utilisent leur adresse Gmail ou Outlook personnelle pour des services professionnels (abonnements SaaS, GitHub, Trello). Ces adresses, hors périmètre corporate, figurent régulièrement dans des stealer logs et donnent accès à des ressources d'entreprise via le SSO.

5.2 Playbooks différenciés par source

L'erreur la plus commune est de traiter toutes les alertes de la même manière. Un processus de réponse mature applique des playbooks différenciés selon la nature de l'exposition.

Type d'exposition	Priorité	Action T0 (sous 10 min)	Délai de remédiation cible
Stealer log frais avec cookies de session (Tier 3)	✗ Critique	Isolation de l'endpoint, alerte SOC	Éradication malware avant reset MDP — sous 2h
Stealer log sans cookies actifs (Tier 2)	~ Élevé	Cross-ref Active Directory, score de privilège	Reset forcé + invalidation sessions sous 30 min
Brèche tierce / combo list (Tier 1)	~ Modéré	Matching automatique annuaire utilisateurs	Reset forcé sous 1h, renforcement WAF sous 2h
Accès VPN/RDP en vente chez un IAB	✗ Critique	Révocation immédiate de l'accès, isolation SI	Investigation forensique, threat hunting sous 4h

Éradiquer le malware avant de réinitialiser les credentials

Pour un stealer log frais (Tier 3), le réflexe de réinitialiser immédiatement le mot de passe est contre-productif si l'infostealer est toujours actif sur le poste. Le nouveau credential sera volé dans les minutes suivant la saisie. L'ordre impératif est : isolation de l'endpoint, scan et éradication du malware confirmée, puis seulement réinitialisation des credentials et révocation des sessions.

5.3 Architecture d'intégration opérationnelle

L'architecture d'intégration suit un flux en quatre étapes : Dark Web monitoring vers SIEM/SOAR vers ticketing ITSM vers gestion des vulnérabilités (VMDR).

Les plateformes de surveillance Dark Web transmettent leurs alertes au SIEM via webhooks et APIs en temps réel. Le SIEM applique des règles de corrélation contextuelle — par exemple : si credential_leak ET role = admin ALORS priorité = critique. Le SOAR exécute les playbooks automatisés : création de ticket, désactivation de compte, isolation d'endpoint, notification utilisateur. L'intégration avec les plateformes VMDR (Qualys, Tenable, Rapid7) permet d'escalader la priorité de patching lorsque des credentials exposés concernent des systèmes présentant des vulnérabilités non corrigées.

Les standards STIX 2.1 (Structured Threat Information eXpression) et TAXII 2.x (Trusted Automated eXchange of Intelligence Information) constituent le format de référence pour l'échange automatisé de renseignement. STIX modélise les entités (indicateurs, malwares, campagnes, acteurs, vulnérabilités) et leurs relations en JSON. TAXII assure le transport via des APIs RESTful sur HTTPS. Microsoft Sentinel intègre nativement un client TAXII pour l'import d'indicateurs STIX, qui alimentent ensuite les règles d'analyse automatisées.

5.4 Souveraineté et choix de la plateforme

Le choix d'une plateforme de surveillance Dark Web soulève une question de souveraineté que les DSI français ne peuvent ignorer. Les solutions internationales — qu'il s'agisse de SpyCloud, Recorded Future ou Flashpoint — sont soumises au CLOUD Act américain, qui permet aux autorités fédérales d'accéder aux données hébergées par des entreprises américaines, y compris celles stockées en Europe. Les données transmises à ces plateformes — listes d'emails, domaines, identités de dirigeants, résultats de surveillance — constituent des données sensibles relevant potentiellement du secret des affaires.

Les solutions hébergées en France sous qualification SecNumCloud ou opérées par des prestataires labellisés ANSSI offrent une alternative souveraine. Pour les OIV (Opérateurs d'Importance Vitale) et les entités essentielles NIS2, ce critère de souveraineté doit figurer dans les critères d'évaluation au même titre que la couverture fonctionnelle.

EASM et TPRM avec Beareye : la surveillance souveraine de la surface d'attaque

Comment Beareye cartographie votre exposition externe et celle de vos fournisseurs sans dépendance CLOUD Act

6. Cas français et indicateurs de maturité

6.1 Vague de credential stuffing en France (2024-2025)

L'année 2024-2025 a vu une série d'attaques par credential stuffing d'ampleur inédite sur des enseignes françaises. Le schéma est systématique : exploitation de mots de passe réutilisés, récupérés dans des combo lists alimentées par des infostealers, sans que les organisations visées ne soient directement responsables de la fuite initiale des credentials.

Kiabi a été touché en janvier 2025 : environ 20 000 comptes clients de sa plateforme de seconde main compromis, avec exfiltration d'IBAN et de données personnelles. Picard Surgelés (novembre 2024, 45 000 comptes de fidélité), Conforama (9,4 millions de clients, février 2025), Auchan (550 000 clients), Boulanger, Cultura et Chronopost ont été frappés selon le même schéma. La cause commune : absence de protections anti-stuffing efficaces (rate limiting, CAPTCHA adaptatif, détection d'anomalies comportementales) et absence de surveillance Dark Web permettant la détection précoce des combo lists ciblant leur base clients.

Le cas France Travail illustre la chaîne d'attaque complète. En mars 2024, la compromission de comptes partenaires a potentiellement exposé les données de 43 millions de personnes — la plus importante brèche de l'histoire française. En juillet 2025, 340 000 comptes supplémentaires compromis via la plateforme Kairos. En octobre 2025, le groupe Stormous a revendiqué une campagne automatisée utilisant des credentials issus d'infostealers pour extraire des tokens OAuth2 et exfiltrer des données via les API.

Le cas Viamedis/Almerys (février 2024) a exposé les données d'assurance maladie de millions de Français dans le secteur de la santé. Ces cas partagent un point commun : dans chacun d'eux, les credentials utilisés pour l'accès initial circulaient sur des forums ou dans des stealer logs plusieurs jours à plusieurs semaines avant l'attaque. Une surveillance Dark Web opérationnelle aurait fourni une fenêtre d'intervention.

6.2 Les dix erreurs à éviter

La maturité d'un programme de surveillance Dark Web se mesure autant par ce qu'il évite que par ce qu'il produit. L'erreur la plus fréquente reste la sur-dépendance aux outils automatisés sans analyse humaine : les scanners automatiques ne pénètrent pas les forums privés à accès vérifié et ne fournissent pas le contexte d'attribution nécessaire à la priorisation. Flashpoint insiste sur une approche mixte combinant technologie et expertise humaine.

Le périmètre mal calibré constitue le deuxième écueil : trop restreint, il manque les filiales, les adresses email personnelles à usage professionnel et les expositions de fournisseurs ; trop large, il génère un volume de faux positifs paralysant l'équipe d'analyse. L'absence d'intégration avec les opérations de sécurité existantes crée un silo d'intelligence inutilisable. Le traitement uniforme de toutes les alertes conduit à l'épuisement des analystes. L'absence de playbook de remédiation rend la détection stérile. Enfin, le recyclage de données anciennes présenté comme intelligence fraîche — pratique relevée chez certains fournisseurs — exige de vérifier rigoureusement la fraîcheur et la couverture des sources avant tout contrat.

6.3 KPIs et modèle de maturité CTI-CMM

Les métriques opérationnelles essentielles pour piloter un programme de surveillance Dark Web dans un CTEM sont :

MTTD (Mean Time to Detect) pour les credentials exposés : cible inférieure à 10 minutes entre l'apparition sur le Dark Web et l'alerte interne, contre une moyenne sectorielle de 194 jours pour une brèche non détectée (IBM 2024).
MTTR (Mean Time to Respond) : cible inférieure à 1 heure pour les expositions de brèche, inférieure à 2,5 heures pour les infections infostealer. IBM démontre que les brèches contenues en moins de 200 jours coûtent 1,02 million de dollars de moins.
Taux de faux positifs : cible inférieure à 10 %. Les plateformes matures revendiquent des taux de vrais positifs supérieurs à 90 %.
Volume de credentials détectés par période, segmenté par source (brèche, infostealer, phishing).
Taux de couverture : pourcentage des domaines, adresses email et identités de dirigeants effectivement monitorés.
Taux d'exposition récurrente : collaborateurs dont les credentials fuient de manière répétée, signalant un problème d'hygiène numérique individuel ou un endpoint compromis persistant.

Le modèle de maturité CTI-CMM, développé par Intel 471, IBM X-Force et d'autres acteurs, structure la progression en quatre niveaux : CTI0 (aucune activité CTI), CTI1 (ad hoc et réactif), CTI2 (intégration SIEM, alertes automatisées, analyste CTI dédié), CTI3 (automatisation SOAR, threat hunting proactif, intelligence stratégique alimentant les décisions métier). La plupart des organisations françaises se situent entre CTI1 et CTI2. L'objectif pour les entités soumises à NIS2 est d'atteindre au minimum CTI2 avant juillet 2026.

Le retour sur investissement est asymétrique

Face à un coût moyen de brèche de 4,44 millions de dollars et des sanctions CNIL pouvant atteindre des dizaines de millions d'euros, un programme de surveillance Dark Web représente un investissement de 10 000 à 100 000 euros par an pour une solution entreprise selon la Cour des comptes. La Cour des comptes française évalue le coût d'une cyberattaque à 5-10 % du chiffre d'affaires annuel. Le calcul économique est sans ambiguïté.

Points clés à retenir

En 2024, 22 % des brèches débutent par un abus de credentials volés — avec un délai d'exploitation tombé à 2 jours entre la publication d'un stealer log et un incident ransomware.
66 % des infections par infostealer surviennent sur des postes équipés d'un EDR actif : la détection endpoint seule est insuffisante.
La surveillance Dark Web s'intègre dans les cinq phases du CTEM, transformant une veille périodique en source de renseignement proactif et continu.
La CNIL, NIS2, DORA et l'ANSSI convergent vers une même obligation : démontrer une capacité de détection proportionnée aux risques — et l'absence de monitoring Dark Web est désormais un motif de sanction.
Le playbook de réponse doit être différencié par tier (Tier 3 stealer log frais en criticité maximale) : pour un infostealer actif, éradiquer le malware avant de réinitialiser les credentials.
Le choix d'une solution souveraine, non soumise au CLOUD Act, est un critère de conformité pour les OIV et entités essentielles NIS2 françaises.