Il y a trois ans, je suis tombé sur un tweet d'une startup d'IA en codage appelée Cursor, qui cherchait des adopteurs précoces pour son éditeur intelligent. Sur un coup de tête, j'ai répondu et eu le plaisir de rencontrer Michael Truell, co‑fondateur et PDG. On m'a proposé d'exprimer quelques attentes, et je l'ai fait — y compris une demande de fonctionnalité rêveuse : “Je veux un bouton pour créer un squelette de projet complet.”

A ma grande surprise, j'ai été invité en tant que l'un des 20 premiers utilisateurs. Au cours des mois suivants, j'ai regardé des nouvelles fonctionnalités de codage assistées par IA prendre vie à un rythme incroyable. Avançons jusqu'à hier : cette petite startup a annoncé un tour de financement impressionnant de 2,3  milliards de dollars, et oui, mon très convoité bouton de projet en un clic est enfin réel.

Ce parcours – d'un tweet spéculatif à un assistant de codage révolutionnaire – a renforcé une conviction que j'ai eue dès le premier jour : l'IA finirait par révolutionner la sécurité informatique tout comme elle a révolutionné le codage. Le truc est le même dans les deux mondes : les LLM ne sont bons que si les signaux que vous les alimentez sont bons. Cursor fonctionne parce qu'il injecte un contexte de code riche et structuré dans le modèle au lieu de simplement lui lancer des invites en langage naturel.

Nous avons conçu notre produit avec ce même principe à l'esprit : EDAMAME Security existe pour injecter des signaux de sécurité riches en informations dans la boucle de prise de décision d'un LLM. Nous avons d'abord construit la plomberie — une télémétrie approfondie à travers l'identité, le réseau, le système et les communications, corrélée avec l'intelligence des menaces (MITRE CVEs, HaveIBeenPwned, listes noires, références de conformité, détection d'anomalies basée sur le ML) — et seulement après, nous avons enveloppé un moteur de raisonnement autour.

En 2025, le moment sera enfin venu. Nous sommes prêts à lancer notre premier outil de posture de sécurité “agentique” – essentiellement votre CISO personnel dans une boîte – et à susciter une révolution décentralisée de la sécurité des points de terminaison, habilitant les utilisateurs.

La Révolution de l'Assistant de Sécurité IA : Sécurité de l'Utilisateur sur les Stations de Travail des Développeurs

Les outils traditionnels de sécurité des points de terminaison ont longtemps adopté une approche “de haut en bas” : les administrateurs informatiques imposent des politiques strictes aux machines, verrouillent les paramètres et espèrent que les utilisateurs n’outrepassent pas. Le résultat ? Des développeurs frustrés, des flux de travail entravés, et souvent rien de plus qu'un théâtre de sécurité. Nous l'avons tous vu – le développeur qui ne peut pas exécuter Docker sans désactiver la moitié de la pile de sécurité, ou l'ingénieur qui contourne complètement les contrôles en codant sur un ordinateur portable personnel non surveillé. Compter uniquement sur l'application autoritaire des règles est souvent contre-productif, car les utilisateurs trouvent des moyens de contourner les obstacles.

En 2017, Netflix a défié ce paradigme avec un outil interne appelé Stethoscope, qui montrait aux employés les problèmes de sécurité sur leurs appareils et comment les réparer, au lieu de changer les choses de force pour eux. Cette philosophie, appelée “Sécurité axée sur l'utilisateur,” fait confiance aux utilisateurs et les guide pour sécuriser leurs propres appareils plutôt que de compter sur des mesures strictes de l'informatique.

À peu près au même moment, des startups telles que Kolide ont prouvé que traiter les employés comme des adultes responsables fonctionne réellement : le bot Slack de Kolide notifiera un employé lorsque son appareil sort de la conformité, puis fournira des instructions étape par étape pour l'auto-réparer. Si l'utilisateur résout un problème (par exemple, installer un correctif OS critique), il peut cliquer sur un bouton dans Slack pour confirmer, et le système vérifie la résolution en temps réel. Dans les déploiements de ces outils, la conformité a augmenté et la frustration a diminué – tout cela sans contrôle de style Big Brother.

En s'appuyant sur cette approche “axée sur l'utilisateur”, notre équipe d'EDAMAME introduit quelque chose de nouveau : un Assistant de Sécurité AI convivial pour les développeurs qui vit sur votre station de travail. Au lieu d'un agent silencieux appliquant des politiques dans votre dos, l'assistant EDAMAME travaille avec vous – expliquant les risques, proposant des solutions, et même les automatisant (avec votre permission). Chaque action qu'il effectue est transparente et annulable, vous gardant ainsi le contrôle. Le résultat ? Les développeurs réparent effectivement des problèmes sur leurs machines (avec un peu d'aide de l'IA), la sécurité s'améliore continuellement et l'informatique peut vérifier la conformité via des attestations cryptographiques – tout cela sans recourir à des verrouillages distants ou à des politiques draconiennes. Cela transforme la sécurité des points de terminaison d'une expérience coercitive à une expérience collaborative.

Et de manière cruciale : ce n'est pas juste “ChatGPT sur votre ordinateur portable.” EDAMAME est d'abord un moteur de signaux de sécurité, et un client LLM en second. Il transforme continuellement des télémétries brutes en signaux de sécurité structurés et de grande valeur et les injecte dans le modèle pour orienter les décisions. Pensez-y comme Lynis + Nmap + Wireshark + HaveIBeenPwned + modèles de menaces, le tout distillé dans un package de contexte que le LLM peut réellement raisonner.

Avant de plonger dans son fonctionnement, résumons le changement :

Ancienne Sécurité “De Haut en Bas”

L'informatique centrale impose des politiques strictes (profils MDM, politiques de groupe) sur votre machine.
Vous avez peu de contrôle ou d'informations. La productivité souffre souvent, et les utilisateurs finissent inévitablement par contourner les contrôles (bonjour, Shadow IT).
Les problèmes de sécurité peuvent perdurer jusqu'à la prochaine audit ou ne jamais être corrigés.

Nouvelle Sécurité “Axée sur l'Utilisateur”

Un assistant intelligent sur votre appareil vous guide vers la conformité.
Il résout automatiquement les problèmes de routine (avec votre consentement) et vous accompagne sur les plus difficiles.
Vous gardez le contrôle total – rien n'est permanent ni caché, et vous pouvez annuler tout changement.
L'organisation obtient encore une preuve que votre appareil est sécurisé (grâce à l'attestation), mais sans microgestion de votre appareil ou atteinte à votre vie privée.

De manière importante, comme l'a noté Jesse Kriss de Netflix (qui a ouvert la voie à la Sécurité axée sur l'utilisateur), l'approche axée sur l'utilisateur n'est pas mutuellement exclusive avec la surveillance ou la gestion traditionnelle – en fait, elles se complètent. Vous pourriez toujours avoir un sous-ensemble d'appareils étroitement gérés pour certains rôles, mais utiliser un assistant de type Stethoscope sur tous les autres pour obtenir une visibilité plus large.

La clé est d'impliquer les utilisateurs comme partenaires. Après tout, “les seules approches de sécurité qui fonctionnent sont celles qui sont réellement utilisées,” et chaque friction ou confusion dans vos outils érodera la bonne volonté de vos utilisateurs (et donc votre sécurité). EDAMAME adopte cette idée : en rendant la sécurité pratique et collaborative, elle garantit que les mesures de protection sont effectivement adoptées plutôt que contournées.

Signaux Entrants, Intelligence Sortante : Comment EDAMAME Utilise les LLM

Au fond, EDAMAME fait toujours la même chose :

Collecter des signaux de sécurité riches de votre environnement – identité, réseau, système, et communications – ainsi que des informations extérieures sur les menaces et des références de conformité.
Fusionner et compresser ces signaux en un instantané de posture lisible par une machine – “c'est tout ce qui compte pour l'instant.”
Demander à un grand modèle de langage de raisonner sur cet instantané, proposer des actions et des explications, et
Exécuter des changements via un ensemble d'outils locaux validés, toujours avec la possibilité de revenir en arrière.

En d'autres termes, notre LLM n'est pas le capteur ; c'est le cerveau. EDAMAME gère le ressenti, la normalisation et l'enrichissement afin que le cerveau ait devant lui une télémétrie haute définition au lieu de fragments de logs flous.

Concrètement, l'agent EDAMAME extrait :

Données d'état local et de durcissement (comme Lynis sur stéroïdes).
Topologie réseau et sessions actives (vues de style Nmap de LAN et superpositions).
Télémetries de processus, de sockets et DNS (votre Wireshark personnel, sans les paquets).
Flux externes : HaveIBeenPwned, MITRE CVEs, listes noires/blanches publiques, et scores d'anomalies basés sur le ML.
Mappings vers des modèles de menaces et des cadres de conformité (CIS, SOC 2, ISO 27001, etc.).

Tout cela se transforme en signaux de sécurité structurés – “SSH ouvert sur l'interface ZeroTier”, “pair de superposition listé sur FireHOL”, “identité trouvée dans le dump de crédentiels de 2025”, “Raspberry Pi sur LAN plat avec OS obsolète” – que le LLM voit comme partie de son contexte.

La différence réside dans la façon dont vous poussez cette intelligence. Il y a deux modes principaux.

Deux Façons de Parler à Votre CISO Personnel : Bouton “Faites-le pour moi” et Chats MCP

Les deux modes utilisent exactement le même pipeline de signaux et moteur de décision. Ils l'emballent simplement dans une UX différente :

LLM intégré avec un bouton “Faites-le pour moi” – EDAMAME parle directement à un LLM que vous choisissez (Claude, OpenAI, ou un modèle Ollama local) en utilisant votre clé API. L'expérience se déroule entièrement dans l'interface EDAMAME.
Mode MCP via des outils – EDAMAME expose les mêmes capacités via le Machine Control Protocol afin que des orchestrateurs externes (Claude Desktop, n8n, vos propres bots) puissent y accéder.

Les deux modes voient la même posture. Ils diffèrent simplement dans la manière dont vous interagissez avec les résultats.

Mode 1 – LLM Intégré + “Faites-le pour Moi”

Dans ce mode, EDAMAME agit discrètement comme votre copilote de sécurité AI.

Vous allez dans Paramètres, sélectionnez votre modèle :

collez une clé API OpenAI,
ou une clé Claude,
ou pointez-le vers un point de terminaison local Ollama,

et c'est fait. EDAMAME ne se soucie pas du LLM que vous apportez ; il s'attend simplement à une API de style OpenAI.

Ensuite, un lundi matin, vous appuyez sur un seul bouton :

“Évaluez ma posture de sécurité et corrigez tout ce qui peut être corrigé automatiquement.”

Derrière ce bouton, le “moteur de signaux” se met en marche. L'agent local collecte ce dont il a besoin – état OS, services en cours, sessions réseau, appareils LAN, réseaux superposés, recherches intelligentes sur les menaces – et envoie un instantané compact et riche en signaux à votre LLM choisi.

Quelques secondes plus tard, vous regardez quelque chose comme (basé sur un véritable déroulement) :

Identité : votre email principal figure dans un ensemble de données de stuffing de crédentiels de 2025 ; aucun gestionnaire de mots de passe détecté.
Accès local : Remote Desktop (ARD), Remote Login (SSH) et le compte root sont activés.
Réseau superposé : zerotier‑one s'exécute en tant que root avec 30+ connexions UDP persistantes ; un pair apparaît sur une liste noire de FireHOL.
Agent de surveillance : un processus de style Datadog essaie à plusieurs reprises d'atteindre 100.100.100.200:80 via HTTP, dans l'espace CGNAT, sans réponses, depuis un utilisateur non standard.
LAN / IoT : deux Raspberry Pis sur 192.168.1.0/24 exécutent une ancienne version de Raspbian et exposent SSH, un tableau de bord CCTV Shinobi, Syncthing et ZeroTier ; votre routeur, imprimante et pont Hue exposent également des services de gestion obsolètes.

Au lieu de vous jeter 23 alertes, le LLM classe chaque élément comme :

AUTO_RÉSOLU – hygiène sûre, entièrement réversible :
- Désactiver la connexion root (conservez sudo).
- Désactiver ARD.
ESCALADER – nécessite un esprit humain :
- “Votre overlay ZeroTier s'exécute en tant que root et étend SSH dans un maillage avec un pair sur liste noire. Chaque nœud de ce réseau est-il de confiance ?”
- “Votre agent de surveillance envoie des signaux via HTTP à une IP CGNAT figurant sur une liste de menaces. S'agit-il d'un ancien proxy, ou d'un possible C2 ?”
- “Deux Raspberry Pis obsolètes sur un LAN plat (et sur ZeroTier) ressemblent à une plateforme de mouvement latéral classique.”

Vous cliquez sur “Faites-le pour Moi”, et EDAMAME exécute toutes les actions AUTO_RÉSOLUES à l'aide de ses outils locaux. Chaque changement :

est enregistré en langage naturel,
fait référence aux signaux exacts qui l'ont déclenché (“SSH était ouvert sur l'interface ZeroTier zt0”),
peut être annulé individuellement d'un simple clic.

Ce qui vous reste à l'écran sont les questions intéressantes qu'un ingénieur en sécurité expérimenté poserait réellement – juste sans passer une heure à fouiller dans l'historique shell et les PCAP.

Mode 2 – Intégrations MCP (Claude Desktop, n8n, et Amis)

Imaginez maintenant que vous préférez vivre dans une autre interface : Claude Desktop, un bot Slack personnalisé, ou un orchestrateur low-code comme n8n.

C'est là que le mode MCP entre en jeu.

Dans ce mode, EDAMAME expose ses capacités comme des outils qu'une IA distante peut appeler :

lister_tâches, obtenir_historique_actions, traiter_tâche, annuler_tout, …

Claude Desktop (ou n'importe quel client conscient de MCP) voit EDAMAME comme un autre ensemble d'outils. Vous commencez une conversation sur votre bureau :

Vous : “Salut Claude, évaluez ma posture de sécurité.”

Claude appelle les outils d'EDAMAME, récupère le même instantané de posture riche en signaux que ci-dessus, et répond :

Claude : “J'ai vérifié avec EDAMAME. J'ai automatiquement corrigé 7 éléments d'hygiène (désactivé la connexion root, désactivé ARD, …).
Trois conclusions nécessitent votre attention :
• ZeroTier s'exécute en tant que root avec 34 pairs, l'un sur une liste bloquante FireHOL, tandis que SSH est ouvert.
• L’agent de style Datadog a tenté 12 connexions HTTP à 100.100.100.200:80 (CGNAT + liste de menaces) depuis un utilisateur non standard.
• Deux Raspberry Pis sur 192.168.1.0/24 exécutent une version obsolète de Raspbian avec SSH, Shinobi CCTV, Syncthing et ZeroTier, sur un réseau plat.
Ensemble, cela crée un chemin d'attaque à haut risque. Voulez-vous que je m'intéresse d'abord à l'agent de surveillance, ou verrouiller ZeroTier et les Pis ?”

Du point de vue de Claude, il est juste “très occupé à réfléchir” et à appeler des outils. Du point de vue d'EDAMAME, Claude est un cerveau distant lui demandant d'inspecter des processus, d'appliquer l'intelligence sur les menaces, de modifier les règles de pare-feu et de faire le rapport sur les signaux mis à jour.

Le même schéma fonctionne avec :

Flux de style n8n / Zapier – programmer des contrôles de posture nocturnes, envoyer des résumés dans Slack, ouvrir des tickets si certaines combinaisons à haut risque apparaissent (par exemple, “connexion à distance + ZeroTier + anciens Pis”).
Applications de chat personnalisées – votre propre assistant de marque qui utilise toujours EDAMAME pour les “tâches manuelles.”

Le point clé de conception : les deux modes utilisent le même moteur. Que vous préfériez :

un bouton “Faites-le pour Moi” intégré soutenu par votre propre modèle Claude / OpenAI / Ollama à l'intérieur d'EDAMAME, ou
une intégration MCP prioritaire de chat depuis Claude Desktop ou une plateforme d'automatisation,

…l'analyse, la logique de décision et la plomberie des signaux de sécurité sont identiques. Vous choisissez l'UX qui correspond à votre flux de travail ; votre CISO personnel apparaît de toute façon.

Filet de Sécurité : Rétrogradation Complète pour Chaque Changement (Automatisation sans Peur)

Un ingrédient critique dans la conception d'EDAMAME est la confiance par la réversibilité. Chaque changement effectué par l'IA – que ce soit l'activation d'un pare-feu ou la mise à jour d'une configuration – est accompagné d'une possibilité de retour en arrière. Pensez-y comme un filet de sécurité sous le fil de fer de l'automatisation. Toute action que l'assistant effectue est enregistrée et peut être annulée d'un simple clic ou d'une simple commande CLI.

Dans l'automatisation de la sécurité traditionnelle, les administrateurs sont prudents. Un script qui supprime automatiquement des fichiers “suspects” pourrait accidentellement en supprimer un important ; une politique qui quarantaine automatiquement des appareils pourrait déconnecter l'ordinateur portable de votre PDG au pire moment. La peur des faux positifs et des conséquences imprévues signifie que la plupart des automatisations sont étroites et conservatrices – beaucoup de “alerte, mais ne pas corriger” ou “quarantaine seulement si 100% sûr” approches.

En revanche, l'IA d'EDAMAME peut se permettre d'être audacieuse et proactive car les erreurs ne sont pas permanentes. Si elle essaie un lot de 10 corrections et 1 crée un problème, elle peut immédiatement le revenir en arrière. L'IA n'a pas à être parfaite ; elle doit juste être responsable.

Par exemple : supposons que l'IA remarque dix paramètres système sur votre Mac qui ne sont pas conformes aux meilleures pratiques de sécurité. Elle décide de corriger tous en une fois pour donner à votre appareil un coup de pouce de sécurité rapide. Elle active le pare-feu, désactive un compte invité, active les mises à jour automatiques, et ainsi de suite. Une minute plus tard, votre score de sécurité global passe de, disons, 2.5★ à 3.5★ — génial ! Mais ensuite vous réalisez que votre serveur de développement local n'est plus accessible.

Vous vérifiez l'historique des actions de l'assistant et voyez que l'un des changements était “Pare-feu activé” ce qui a probablement bloqué votre port de développement local. Pas de problème : vous cliquez sur “Annuler” sur ce changement spécifique. En quelques secondes, le paramètre de pare-feu revient à son état précédent, et votre flux de travail de développement n'est plus bloqué. L'assistant relie ensuite ce résultat à ses signaux : “pare-feu activé” + “port de développement 3000 inaccessible” et apprend de cela. La prochaine fois, il vous incitera soit avant d'activer le pare-feu, soit du moins se souviendra de préserver vos ports de développement personnalisés.

Cette capacité d'annulation/rétrogradation complète signifie qu'aucune action automatisée n'a besoin d'être crainte. Les erreurs sont peu coûteuses quand vous pouvez les rétablir instantanément. Ainsi, l'assistant peut corriger des problèmes de manière agressive et continue, réduisant considérablement le temps de présence des vulnérabilités, tout en conservant le contrôle ultime.

Sécurité Axée sur l'Utilisateur en Action : Expérience Quotidienne

Combiner un assistant IA avec une philosophie centrée sur l'utilisateur débloque des flux de travail qui n'étaient tout simplement pas possibles auparavant. Récapitulons comment les tâches de sécurité quotidiennes se transforment avec EDAMAME en perspective.

Contrôle de Posture Matinal

Au lieu d'audits périodiques ou d'attendre les rapports informatiques, vous pouvez rapidement vérifier votre posture chaque jour. Avec pratiquement aucun effort, vous obtenez un aperçu de la santé de la sécurité de votre appareil. L'assistant résout automatiquement les choses triviales (supprime les alertes inoffensives connues, applique des mises à jour mineures) et met uniquement en avant les deltas dans vos signaux – ce qui a changé depuis hier et qui est réellement important.

Vous passez 2 à 3 minutes à examiner un résumé, pas 30 minutes à jongler avec des outils.

Corrections en Cours de Flux

Imaginez que vous êtes sur le point de déployer du code en production ou d'accéder à un système sensible, et qu'une politique exige que votre appareil soit dans un état sécurisé (OS à jour, disque chiffré, aucune alerte de haute sévérité ouverte). Dans l'ancien monde, si vous n'étiez pas en conformité, vous seriez bloqué et devriez déposer un ticket informatique ou vous précipiter pour corriger les choses manuellement.

Avec EDAMAME, au moment où vous recevez cet avertissement – “Hé, vous devez sécuriser X avant de poursuivre” – votre IA est prête à vous aider :

“Votre disque n'est pas chiffré, ce qui est requis pour l'accès en prod. Voici le processus pour activer le chiffrement maintenant.”

Au niveau sous-jacent, cela ne fait qu'un autre changement de signal : “disk_encrypted = false” devient “disk_encrypted = true”, et votre seuil CI ou proxy d'accès peut voir l'attestation.

Apprendre en Faisant

Chaque fois que l'IA corrige ou signale quelque chose, elle explique le signal et la raison. Au fil du temps, vous commencez naturellement à apprendre vous-même ces meilleures pratiques de sécurité. Par exemple, vous ne saviez peut-être pas que le fait d'avoir la connexion à distance activée sur votre Mac est risqué ; mais après que l'assistant l'ait désactivée et vous ait dit “L'accès SSH à distance a été activé, ce qui est inhabituel et dangereux pour la plupart des utilisateurs,” vous le retenez. Si vous êtes curieux, vous pouvez poser des questions de suivi dans le chat (“Pourquoi le Telnet est-il considéré comme dangereux ?”) et obtenir une mini leçon de sécurité.

De manière cruciale, tout cela se produit avec un minimum de friction. Lorsque vous engagez les utilisateurs de manière positive et leur donnez des outils faciles pour corriger les problèmes, la conformité décolle. EDAMAME porte cela à un niveau supérieur en non seulement en informant les utilisateurs, mais en faisant réellement le gros du travail pour eux (lorsque cela est permis). C'est le meilleur des deux mondes : l'habilitation des utilisateurs et l'automatisation axée sur les signaux.

Plongée Profonde : ZeroTier, Pairs Renégats et Accès à Distance

Zoomons sur l'une des conclusions avancées : ce processus zerotier‑one.

ZeroTier est un puissant réseau virtuel pair-à-pair qui crée une superposition chiffrée ressemblant à un LAN de couche 2/couche 3. Un démon avec des privilèges root gère un NIC virtuel, des dispositifs TUN/TAP et des routes ; des nœuds centraux “planètes” aident les pairs à se découvrir les uns les autres, mais les données circulent généralement directement d'un pair à un autre.

Ce qui est fantastique pour la commodité du développeur. C'est aussi un champ de mines si vous combinez cela avec :

Connexion à distance (SSH) activée sur “toutes les interfaces”
ARD activée
Connexion root toujours disponible
Pairs sur la superposition qui ne sont pas rigoureusement vérifiés

Une fois que vous rejoignez un réseau ZeroTier, chaque autre pair sur ce réseau devient effectivement un voisin sur un segment Ethernet virtuel. Si un attaquant peut :

Voler ou deviner vos identifiants de réseau ZeroTier (en compromettant votre compte de contrôleur, ou en trouvant des ID de réseau et des jetons d'authentification dans du code ou des documents), et
Rejoindre votre superposition en tant que pair “légitime”,

… alors de leur point de vue, votre ordinateur portable ressemble à n'importe quel autre hôte sur un réseau plat :

Ils peuvent le scanner pour SSH/ARD.
Ils peuvent tenter de réutiliser des mots de passe en utilisant des identifiants divulgués dans des violations.
Ils peuvent pivoter vers et à travers d'autres pairs de superposition (y compris ces anciens Raspberry Pis).

ZeroTier chiffre le trafic, mais le chiffrement ne vous sauve pas si l'attaquant est devenu un point de terminaison dans votre superposition ou un routeur pour une partie de celle-ci. Avec les fonctionnalités de routage et de pontage, des erreurs de configuration peuvent même permettre à un nœud renégat d'agir comme une passerelle par défaut ou un serveur DNS pour d'autres, créant de très réelles opportunités d'homme du milieu.

C'est pourquoi l'assistant ne traite pas “ZeroTier est en cours d'exécution” comme un fait bénin. Il croise plusieurs signaux :

ZeroTier fonctionnant en tant que root
Connexion à distance et ARD toutes activées
Votre identité dans un dump de crédentiels récent
Vieux Pis sur les mêmes réseaux physiques et virtuels

et conclut :

“Cette superposition n'est pas juste une commodité. Dans son état actuel, c'est une surface d'attaque externe furtive qui peut exposer vos services de connexion à distance à tout pair qui entre dans ce maillage.”

Le chemin recommandé à suivre est simple mais puissant :

Lier SSH/ARD à des interfaces spécifiques (par exemple, uniquement VPN d'entreprise, pas le NIC ZeroTier).
Renforcer les ACL ZeroTier et exiger une approbation explicite pour chaque appareil.
Surveiller et auditer régulièrement les pairs de superposition.
Autant que possible, désactiver complètement l'accès à distance sauf si vous en avez activement besoin.

Encore une fois, remarquez le schéma : signaux d'abord, raisonnement LLM ensuite. L'“insight” est tout simplement le modèle reliant les points que nous avons déjà distillés.

Plongée Profonde : Raspberry Pis Obsolètes et Réelle Mouvement Latéral

Ensuite, ces Raspberry Pis.

L'assistant a repéré deux appareils Pi, tous deux exécutant de vieilles images de Raspbian, tous deux avec plusieurs services administratifs et de synchronisation exposés, tous deux accessibles depuis votre ordinateur portable et via la superposition ZeroTier.

Ce n'est pas juste des “débris de laboratoire” ; c'est presque un replay exact d'une violation réelle.

En 2018, un attaquant a accédé au Jet Propulsion Laboratory de la NASA par le biais d'un Raspberry Pi non autorisé qui avait été connecté à un segment de réseau interne sans contrôles de sécurité appropriés. Le Bureau de l'Inspecteur Général de la NASA a rapporté que l'attaquant a utilisé ce Pi pour établir une présence, a effectué un mouvement latéral à l'intérieur du JPL et a exfiltré environ 500 Mo de données liées à des missions sur une période de plusieurs mois. Le Pi n'était pas dans aucun inventaire d'actifs officiel, et une segmentation faible a permis le mouvement latéral.

Ce schéma est maintenant bien compris : les appareils IoT et “embarqués” (caméras, imprimantes, cartes de laboratoire) ont tendance à avoir :

des noyaux et un userland obsolètes,
des identifiants par défaut ou faibles,
une gestion des correctifs minimale,
et une position privilégiée sur des réseaux plats.

Les rapports de menaces des centres de cyber sécurité nationaux mettent expressément en garde contre les appareils connectés aux entreprises comme des pierres de touche communes pour le mouvement latéral.

Ainsi, l'avertissement d'EDAMAME concernant vos Pis n'est pas une “IA paranoïaque”. Elle voit exactement le schéma qui a mordu des organisations sérieuses auparavant :

“Ces boxes Pi ne sont pas patchées, exposent plusieurs surfaces administratives, partagent un domaine de couche 2 avec votre station de travail principale, et sont également sur un VPN de superposition. Si un attaquant en compromettent un, ils peuvent pivoter jusque dans votre ordinateur portable et au-delà. Veuillez soit durcir, isoler, ou retirer.”

Concrètement, l'assistant vous encourage à :

Reconstructeur sur le système d'exploitation actuel Raspberry Pi.
Supprimer les services inutilisés (anciens tableaux de bord CCTV, RPC, ports de débogage).
Appliquer des identifiants forts et uniques et, lorsque cela est possible, du TLS pour les interfaces administratives.
Les déplacer sur un VLAN IoT avec des règles de pare-feu strictes est-ouest.
Limiter avec quels pairs ZeroTier ils peuvent communiquer, ou les retirer complètement de la superposition.

Toutes ces recommandations découlent directement de quelques signaux de haute qualité : “type de dispositif = Raspberry Pi”, “version d'OS < X”, “services = SSH + Shinobi + Syncthing + ZeroTier”, “réseau = plat + superposition”.

Plongée Profonde : Agent de Surveillance vs Destination Sur Liste Noire

Enfin, l'agent de style Datadog beaconing sur 100.100.100.200:80.

L'architecture de l'agent Datadog est assez standard : un collecteur recueille des métriques et un expéditeur les envoie en toute sécurité via TLS à des points de terminaison d'entrée bien connus comme *.datadoghq.com sur le port 443.

Voir un agent :

parler en HTTP clair,
à une IP dans l'espace CGNAT (100.64.0.0/10 est réservé pour le NAT de grade opérateur, pas pour les points de terminaison SaaS publics),
qui apparaît également sur une liste noire de FireHOL,
depuis un compte de service non standard (jdoe),

est exactement le genre d'anomalie qu'un analyste humain enquêterait pour un possible trafic de commande et de contrôle.

Encore une fois, tout est question de signaux : processus = datadog-like, dst_ip dans CGNAT, protocole = HTTP, dst_ip sur la liste noire, utilisateur = jdoe (pas dd-agent). L'assistant le formule comme une hypothèse :

“Ceci pourrait être un point de terminaison de télémétrie obsolète ou un proxy sur site qui a été désactivé et ultérieurement réaffecté à un individu malveillant. Cela pourrait également être une configuration d'agent modifié qui essaie de s'orienter vers une infrastructure contrôlée par attaquant. Gelons ce chemin d'egress, comparons la configuration à une configuration connue comme bonne, vérifions le binaire de l'agent, puis décidons.”

La nuance importante ici est qu'EDAMAME ne fait pas confiance aveuglément à “vos propres outils”. Il sait à quoi ressemble “normal” pour un agent de surveillance et signale les écarts, puis vous guide à travers un chemin de triage discipliné plutôt que de paniquer.

Posture Holistique : Accès à Distance + ZeroTier + Anciens Pis = Très Mauvais

La leçon clé de toute cette session n'est pas que la connexion à distance, ou ZeroTier, ou les Raspberry Pis sont intrinsèquement mal. C'est que ensemble, dans cette configuration exacte, ils forment une chaîne d'attaque très attrayante.

Les signaux en jeu :

Votre identité apparaît dans un nouvel ensemble de données de stuffing de crédentiels ; vous n'utilisez pas de gestionnaire de mots de passe, donc la réutilisation est probable.
Les services de connexion à distance (SSH, ARD) et même le compte root sont activés sur votre station de travail de développement.
Un VPN de niveau root (ZeroTier) étend ces services dans un réseau maillé avec de nombreux pairs, l'un d'eux se trouvant sur une liste de FireHOL.
Des Raspberry Pis obsolètes et d'autres dispositifs IoT se trouvent sur le même LAN et la même superposition.
Un agent de surveillance émet des appels HTTP étranges vers une adresse CGNAT sur une liste de menaces.

Du point de vue d'un attaquant, c'est presque “plug and play” :

Utiliser des identifiants divulgués pour compromettre un compte SaaS ou de contrôleur quelconque.
À partir de là, découvrir votre réseau ZeroTier et rejoindre en tant que pair.
Utiliser la superposition pour accéder à SSH sur votre ordinateur portable, parce que la connexion à distance est activée.
Pop un Raspberry Pi ancien et l'utiliser comme nœud de pivot et de persistance silencieuse.
Cacher le trafic C2 à l'intérieur des connexions avec des agents “de confiance” et des pairs de superposition.

De votre point de vue, c'est juste une configuration de développement normale qui a été développée de manière organique au fil des années.

Le travail d'EDAMAME – et là où le morceau “agentique” est très important – est de regarder l'ensemble de cela, de synthétiser en une histoire, puis de vous aider à dénouer étape par étape :

Corriger l'hygiène d'identité (gestionnaire de mots de passe, identifiants uniques, 2FA).
Fermer ou contraindre l'accès à distance (SSH/ARD/root).
Durcir et gouverner strictement ZeroTier.
Patcher, isoler ou retirer les appareils IoT à risque.
Enquêter et corriger le comportement étrange de l'agent.

C'est ce que cela signifie réellement “CISO personnel dans une boîte” : pas seulement faire des bascules de sécurité, mais utiliser des télémétries à signaux élevés pour expliquer pourquoi un mélange particulier de bascules est dangereux, et vous donner un chemin sûr et annulable vers quelque chose de mieux.

Conclusion : IA + Habilitation des Utilisateurs + Signaux = Sécurité Efficace

L'avènement de l'Assistant de Sécurité IA d'EDAMAME signale un changement dans la sécurité des points de terminaison, d'un modèle de contrôle à un modèle de collaboration. En rendant la sécurité axée sur le développeur – en engageant les personnes qui utilisent les dispositifs – elle atteint la conformité par la compréhension plutôt que par la coercition. Les développeurs restent heureux et productifs, tandis que les CISOs obtiennent l'assurance de systèmes sécurisés et d'une posture à jour. C'est un gagnant-gagnant qui est longtemps overdue.

Pour le dire simplement, voici le contraste :

Ancienne Méthode (Verrouiller et Espérer)

L'informatique impose des politiques via MDM/GPO sans aucune entrée de l'utilisateur.
Les appareils sont fortement restreints ; les utilisateurs se sentent souvent espionnés ou bloqués.
Beaucoup contourneront les contrôles (utilisant des appareils personnels ou trouvant des hacks), ce qui conduit à des zones d'ombre.
Les problèmes de sécurité persistent souvent jusqu'à ce qu'une analyse périodique ou un auditeur les découvre finalement – si jamais.

Nouvelle Méthode (Axée sur l'Utilisateur avec AI et Signaux de Sécurité)

Chaque développeur a un assistant de sécurité personnel sur sa machine.
L'assistant collecte et enrichit continuellement les signaux, puis collabore avec l'utilisateur pour corriger les problèmes en temps réel.
Les utilisateurs sont traités comme des partenaires : ils obtiennent des explications et conservent le dernier mot (avec possibilité d'annuler tout changement).
La conformité n'est pas présumée ou imposée par la peur – l'appareil prouve réellement qu'il est en bon état, et cela a été réalisé sans tactiques lourdes ou atteintes à la vie privée.

L'effet net est une meilleure sécurité sans amertume. Les développeurs adoptent réellement l'outil (parce qu'il est utile, pas ennuyeux), ce qui signifie que les améliorations de sécurité sont réelles et répandues.

Notre parcours avec EDAMAME illustre cette philosophie, superalimentée par l'IA moderne et des signaux de sécurité riches en informations. L'assistant veille sur vous 24h/24 et 7j/7, corrige ce qu'il peut en toute sécurité et vous guide à travers le reste – tout en vous gardant informé et en contrôle. Cela transforme la sécurité d'une interruption redoutée en une partie intégrante de votre flux de travail : presque invisible quand tout va bien, mais toujours disponible et vigilante quand vous en avez besoin.

En regardant vers l'avenir, nous sommes impatients non seulement des stations de travail individuelles, mais aussi d'étendre ce concept de CISO personnel à l'ensemble des organisations. Imaginez chaque ingénieur, chaque contractant, chaque nœud de pipeline CI/CD fonctionnant avec un gardien IA à ses côtés, formant collectivement un maillage décentralisé de sécurité qui est robuste mais flexible. C'est vers cela que nous bâtissons l'avenir. La vélocité des développeurs et une sécurité solide peuvent coexister – et maintenant nous avons la preuve vivant sur nos machines.

Restez à l'écoute : dans la prochaine partie de cette série, nous explorerons comment la même approche d'assistant IA peut sécuriser l'infrastructure distribuée (avec des bots Slack tenant l'équipe au courant de la posture des serveurs, etc.). Mais sur le front des stations de travail des développeurs, une chose est claire : donner du pouvoir aux utilisateurs avec un acolyte IA, alimenté par des signaux de sécurité de haute qualité, n'est pas juste une expérience – c'est la nouvelle référence pour une sécurité efficace des points de terminaison.

Frank Lyonnet

Partagez ce post