Codolie logo
CodolieDigital Innovation
Codolie logo
CodolieDigital Innovation
Espace ClientParlons de Votre Projet
Back to Blog
Ai

Sécurité en couches : orchestrer MFA, DMARC reject et sauvegardes immuables via le SIEM

Damien LarqueyDamien Larquey
February 19, 2026
14 min read
Sécurité en couches : orchestrer MFA, DMARC reject et sauvegardes immuables via le SIEM

Sécurité en couches : le triptyque MFA, DMARC en reject et sauvegardes immuables piloté par le SIEM

Le playbook « Sécurité en Couches » que de nombreuses équipes déploient en 2025 est désormais clair : MFA robuste, DMARC en mode reject et sauvegardes immuables (Object Lock) sont devenus les trois piliers techniques incontournables pour résister aux campagnes de phishing avancées et aux ransomwares. Pourtant, déployés en silos, ces contrôles produisent une illusion de sécurité plus qu’une défense en profondeur efficace.

Ma thèse est simple : sans un SIEM au centre pour corréler, auditer et automatiser la réponse, ces trois briques restent des mesures ponctuelles. Intégrées et orchestrées, elles forment en revanche une architecture de résilience mesurable, auditables, et alignée avec les nouvelles exigences réglementaires (NIS2, DORA, ISO 27001, assurances cyber).

Je défendrai ici une position volontairement prescriptive : pour une organisation moyenne à grande, en 2025, il est stratégiquement irresponsable de déployer l’un de ces piliers sans l’intégrer dans un pipeline SIEM/SOAR. Nous examinerons le contexte, les bénéfices mesurables, les objections fréquentes, puis un calendrier de déploiement réaliste inspiré du guide opérationnel d’implémentation présenté plus haut.

1. Contexte : la fin des mesures isolées

Les données convergent depuis plusieurs années : les principales voies d’entrée des attaques majeures restent l’identité, l’email et la compromission des sauvegardes. Les rapports type Verizon DBIR ou ENISA le confirment : le phishing demeure le vecteur initial dominant, les informations d’identification volées mènent rapidement à l’escalade de privilèges, et les ransomwares modernes visent systématiquement les mécanismes de sauvegarde avant le chiffrement.

Dans ce paysage, la réaction de la plupart des organisations a été séquentielle :

  • déployer la MFA sous la pression des audits,
  • démarrer enfin un projet DMARC, souvent bloqué en p=none « le temps de comprendre les rapports »,
  • durcir les sauvegardes après un quasi-incident, parfois avec de l’immutabilité (AWS S3 Object Lock, Azure Blob immutability, Google Cloud Storage Object Hold, NetApp SnapLock, Dell EMC Isilon, etc.).

Chacun de ces projets, pris séparément, est rationnel. Le problème est ici architectural : sans vision de sécurité en couches, ces projets ne se parlent pas. Les logs MFA restent cantonnés à Azure AD, Okta ou Duo, les rapports DMARC ne sortent pas de la boîte mail « dmarc-reports@… », et les événements d’immutabilité ne sont jamais corrélés avec le reste des signaux de sécurité.

Le guide d’implémentation présenté dans l’article source décrit très bien le comment. Ce qui manque souvent dans les organisations, c’est le pourquoi intégré : la capacité à orchestrer ces briques dans un modèle de défense en profondeur cohérent, mesuré et gouverné.

2. Les trois piliers techniques, et ce qu’ils changent vraiment

2.1. MFA robuste : l’identité comme premier pare-feu

L’activation d’une authentification multifactorielle forte pour les comptes à privilèges (administrateurs, comptes de sauvegarde, opérateurs SIEM, comptes de service critiques) n’est plus une option. Les données de plusieurs grands fournisseurs d’identité montrent que la MFA réduit la probabilité de compromission de comptes de manière drastique ; dans le guide, un cas client signale une baisse de 99 % des accès frauduleux pour les administrateurs après un passage à une MFA « hardware-only ».

Mais la nuance importante est la suivante : toutes les MFA ne se valent pas. Pour une posture de sécurité en couches crédible en 2025, les pratiques suivantes s’imposent :

  • Privilégier les facteurs résistants au phishing : clés FIDO2, tokens matériels (YubiKey, Titan, etc.), ou au minimum authentificateurs applicatifs (Microsoft Authenticator, Google Authenticator) avec numéro de correspondance ;
  • Éviter le SMS, systématiquement vulnérable au SIM swapping et à l’interception SS7 ;
  • Activer la MFA adaptative sur Azure AD, Okta ou Duo : durcir les contrôles selon le contexte (géolocalisation, appareil, horaire, niveau de risque).

Cependant, tant que les événements MFA (succès, échecs, anomalies) ne sont pas collectés et normalisés dans un SIEM (Splunk, IBM QRadar, Elastic SIEM, etc.), l’organisation reste aveugle aux signaux faibles qui annoncent une attaque en préparation : bombardements de push, tentatives d’authentification depuis des pays inhabituels, ou changements soudains de méthodes MFA sur un compte à privilèges.

Schéma de défense en profondeur : email sécurisé, MFA robuste et sauvegardes immuables.
Schéma de défense en profondeur : email sécurisé, MFA robuste et sauvegardes immuables.

2.2. DMARC en mode reject : l’email comme couche de confiance explicite

DMARC n’est pas un gadget de conformité DNS, c’est un contrat explicite sur l’identité des émetteurs d’email. Le passage progressif de p=none à p=quarantine puis p=reject est souvent perçu comme long et fastidieux – le guide mentionne 6 à 8 mois, ce qui est réaliste pour des environnements complexes avec de multiples SaaS et partenaires.

Pourtant, les bénéfices sont spectaculaires lorsqu’on mène ce projet à son terme : un cas documenté indique une réduction de 95 % des attaques de phishing en 6 mois après migration progressive vers p=reject avec monitoring rigoureux. Cela s’explique par un fait simple : l’usurpation directe du domaine devient quasi impossible sans contrôle de SPF/DKIM, ce qui force les attaquants à des scénarios plus coûteux (noms de domaines lookalike, compromission de fournisseurs).

Mais encore une fois, l’enjeu n’est pas seulement d’écrire un enregistrement DNS du type :

v=DMARC1; p=reject; rua=mailto:dmarc-reports@domaine.com; sp=reject; adkim=s; aspf=s

L’enjeu est de consommer les rapports agrégés et forensiques DMARC dans le SIEM, pour :

  • visualiser les sources légitimes vs frauduleuses d’email dans le temps ;
  • détecter un pic soudain d’emails rejetés qui peut signaler une campagne d’usurpation ciblée ;
  • corréler ces signaux avec des événements d’authentification, d’accès VPN ou d’activité sur les sauvegardes.

DMARC en p=reject n’est pas uniquement un bouclier contre le phishing ; c’est une source de renseignements sur les menaces qu’il serait absurde de laisser hors de portée du SOC.

2.3. Sauvegardes immuables : la dernière ligne de défense, réellement infranchissable

Les ransomwares modernes intègrent quasi systématiquement une phase de destruction ou de chiffrement des sauvegardes avant l’attaque finale. Sans immutabilité à la source, les snapshots et copies hors site sont souvent modifiables par les mêmes identifiants compromis que la production.

C’est là qu’interviennent les mécanismes d’Object Lock et WORM :

  • Cloud : AWS S3 Object Lock, Azure Blob Storage immutability policies, Google Cloud Storage Object Hold ;
  • On-premises : NetApp SnapLock, Dell EMC Isilon et autres NAS avec snapshots immuables.

En configurant des politiques de rétention (30, 60, 90 jours) en mode Compliance (non modifiable) ou Governance (modulable avec des droits spéciaux) et en intégrant ces emplacements immuables dans les jobs de sauvegarde, on obtient une véritable « time machine » résistante au ransomware. Le guide cite un cas concret où une société SaaS a stoppé net une attaque : les sauvegardes AWS S3 Object Lock, en rétention 90 jours, sont restées intactes malgré une compromission importante de l’environnement.

Mais là encore, une bonne architecture ne se limite pas à cocher la case « Object Lock activé » :

  • les logs d’accès et de tentative de modification (CloudTrail, journaux de la solution de sauvegarde, journaux NAS) doivent être centralisés dans le SIEM ;
  • des règles de détection doivent alerter sur tout volume inhabituel d’accès ou de suppression avortée sur ces emplacements ;
  • des tests de restauration réguliers (au moins trimestriels) doivent être orchestrés et documentés, pour prouver que la résilience ne repose pas seulement sur un bouton théorique.

3. Le SIEM comme orchestrateur de la sécurité en couches

Pris isolément, ces trois contrôles réduisent significativement le risque sur leur périmètre respectif. Ensemble, et corrélés dans un SIEM, ils permettent de détecter et de stopper une chaîne d’attaque complète.

Sauvegardes immuables surveillées par une plateforme SIEM.
Sauvegardes immuables surveillées par une plateforme SIEM.

Considérons un scénario type, du point de vue SIEM (Splunk, QRadar, Elastic SIEM, ou équivalent) :

  • un compte administrateur tente de se connecter depuis un pays inhabituel : 5 échecs MFA suivis d’un succès (logs Azure AD / Okta) ;
  • dans les 15 minutes, ce même compte modifie la configuration d’un connecteur SMTP ou d’une règle de transport (logs d’Exchange Online ou du MTA) ;
  • en parallèle, les rapports DMARC montrent une hausse d’emails rejetés ou mis en quarantaine provenant d’une IP inattendue associée à un nouveau service ;
  • une heure plus tard, des tentatives d’effacement ou de modification de verrous d’immutabilité sur un bucket S3 ou un volume SnapLock sont enregistrées.

Sans SIEM, ces événements restent dispersés dans trois systèmes différents, potentiellement opérés par trois équipes (identité, messagerie, sauvegarde). Aucun humain ne fera le lien à temps. Avec un SIEM correctement configuré, une règle de corrélation peut :

  • générer une alerte de sévérité critique sur le SOC ;
  • déclencher automatiquement, via un moteur SOAR, des actions de confinement : suspension du compte, révocation de tokens de session, blocage des IP sources, gel d’actions administratives sur les buckets immuables ;
  • ouvrir un ticket d’incident et tracer l’ensemble de la chronologie pour post-mortem et conformité.

La valeur réelle de la « sécurité en couches » réside donc moins dans l’addition de contrôles que dans la capacité à corréler leurs signaux et à automatiser la réponse. C’est précisément ce que fournit une intégration SIEM/SOAR bien pensée.

4. Répondre aux contre-arguments : coûts, complexité, risques perçus

4.1. « C’est trop complexe et trop cher »

Oui, orchestrer MFA, DMARC en reject, sauvegardes immuables et SIEM représente un investissement initial substantiel : licences, temps projet, accompagnement. Mais il faut comparer ce coût au coût agrégé d’une attaque réussie : interruption de production, pertes de données, pénalités réglementaires, hausse des primes d’assurance cyber, atteinte à la réputation.

Les sinistres ransomware dépassant plusieurs millions sont désormais fréquents. Sur cet ordre de grandeur, il suffit d’éviter un seul incident majeur en 5 ans pour rentabiliser largement un programme de sécurité en couches correctement orchestré.

4.2. « Une MFA bien déployée suffit »

C’est ignorer deux réalités :

  • la MFA est de plus en plus contournée via des attaques de type prompt bombing, reverse-proxy, consentement OAuth malveillant, etc. ;
  • la MFA ne protège ni l’usurpation de domaine email, ni la destruction opportuniste des sauvegardes par un administrateur malveillant ou un attaquant déjà internalisé.

Sans DMARC en p=reject, un attaquant peut lancer des campagnes de spear-phishing crédibles même si la MFA est en place ; sans sauvegardes immuables, un compte d’administration déjà compromis pourra effacer les dernières lignes de défense.

4.3. « L’immutabilité est risquée pour la conformité (RGPD, droit à l’oubli) »

C’est une préoccupation légitime, mais qui relève de la gouvernance, pas d’un rejet de principe. Quelques bonnes pratiques permettent de concilier résilience et conformité :

  • limiter l’immutabilité aux jeux de sauvegarde infra, non aux dépôts de données primaires où résident les données personnelles soumises au droit à l’effacement ;
  • choisir le mode Governance plutôt que Compliance là où la réglementation impose la possibilité d’effacement anticipé, en documentant clairement les exceptions ;
  • fixer des durées de rétention raisonnables (30 à 90 jours) qui servent la continuité d’activité sans figer les données sur le long terme.

Refuser l’immutabilité pour des raisons théoriques de conformité, alors que son absence expose l’organisation à un risque existentiel face aux ransomwares, est un arbitrage difficilement défendable devant un conseil d’administration.

Les étapes clés du passage de DMARC en monitoring à une politique stricte en reject.
Les étapes clés du passage de DMARC en monitoring à une politique stricte en reject.

5. Un playbook opérationnel 2025 : séquencer intelligemment la mise en œuvre

Le guide d’implémentation décrit minutieusement les étapes techniques. Du point de vue d’un RSSI ou d’un architecte, l’enjeu est de prioriser et séquencer ces travaux pour réduire le risque le plus vite possible sans paralyser l’organisation.

Phase 0 (0-1 mois) : cadrage et inventaire

  • Cartographier les systèmes critiques, les sources d’email (internes, SaaS, partenaires) et les infrastructures de sauvegarde.
  • Évaluer l’existant : état de la MFA (qui, comment), niveau de déploiement SPF/DKIM/DMARC, capacités d’immutabilité (cloud / on-prem).
  • Vérifier la maturité du SIEM (Splunk, QRadar, Elastic SIEM, etc.) et identifier les connecteurs MFA, messagerie, sauvegarde disponibles.

Phase 1 (1-3 mois) : sécuriser l’identité, intégrer les premiers signaux

  • Déployer une MFA robuste en priorité sur les comptes à privilèges (administrateurs, comptes de sauvegarde, opérateurs SOC).
  • Éliminer progressivement le SMS au profit de facteurs résistants au phishing (FIDO2, tokens matériels).
  • Intégrer les logs MFA (Azure AD, Okta, Duo) dans le SIEM, normaliser les événements et créer des règles d’alerte de base (multiples échecs, localisations atypiques, changements de méthodes MFA).

Phase 2 (1–6 mois, en parallèle) : DMARC en mode supervision puis quarantaine

  • Publier un enregistrement DMARC en p=none avec adresses de rapports (rua, ruf).
  • Automatiser la collecte des rapports DMARC et leur ingestion dans le SIEM (par parseur, script ou solution dédiée).
  • Corriger les enregistrements SPF/DKIM, intégrer progressivement toutes les sources légitimes d’email.
  • Après stabilisation (1–2 mois), passer à p=quarantine avec un pct progressif jusqu’à 100 %.

Phase 3 (4–8 mois) : bascule vers DMARC en reject et renforcement du monitoring

  • Passer la politique à p=reject avec sp=reject pour les sous-domaines.
  • Mettre en place dans le SIEM des alertes sur pics d’emails rejetés et sur nouvelles sources non reconnues.
  • Relier ces événements aux identités internes (qui a modifié quelle configuration de messagerie, quand).

Phase 4 (3–6 semaines par périmètre) : généraliser les sauvegardes immuables

  • Piloter un POC d’immutabilité (AWS S3 Object Lock, Azure Blob immutability, NetApp SnapLock, etc.) sur un périmètre limité.
  • Définir, avec la conformité et les métiers, les politiques de rétention (30/60/90 jours) et le choix Compliance vs Governance.
  • Modifier les jobs de sauvegarde pour cibler des buckets ou volumes immuables.
  • Intégrer les logs d’accès et de configuration dans le SIEM, créer des règles d’alerte (tentatives de suppression, changement de politique de rétention, accès hors fenêtre habituelle).
  • Planifier des tests de restauration réguliers et en tracer les résultats pour les audits.

Phase 5 (continu) : automatisation SOAR et amélioration continue

  • Développer des playbooks SOAR liant MFA, DMARC et sauvegardes : par exemple, désactivation automatique d’un compte si tentative de modification de rétention immuable après des anomalies MFA.
  • Réaliser des exercices réguliers (table-top et techniques) simulant une chaîne d’attaque complète.
  • Affiner les règles SIEM pour réduire le bruit, améliorer la qualité des détections et alimenter les rapports de conformité (ISO 27001, NIS2, DORA).

6. Impacts stratégiques et gouvernance

Au-delà de la réduction de risque purement technique, la sécurité en couches orchestrée a trois effets structurants sur l’organisation :

  • Pour le conseil d’administration : une capacité à démontrer une stratégie claire de résilience, avec des indicateurs (taux de phishing bloqués, couverture MFA, taux de succès des tests de restauration) et non des projets isolés.
  • Pour la conformité : une meilleure préparation face aux exigences croissantes des régulateurs et des assureurs cyber, qui attendent des preuves concrètes de MFA, de protection des emails et de robustesse des sauvegardes.
  • Pour le SOC et les équipes IT : un langage commun et des outils unifiés (SIEM/SOAR) pour traiter les incidents de manière transverse, plutôt que par silos technologiques.

7. Recommandations synthétiques pour RSSI et décideurs

  • Fixez un objectif explicite : MFA robuste sur 100 % des comptes à privilèges, DMARC en p=reject sur le domaine principal, sauvegardes immuables pour les systèmes critiques, le tout visible et corrélé dans le SIEM.
  • Refusez les déploiements « boîte noire » : aucun nouveau contrôle sans intégration de ses logs au SIEM et définition de règles d’alerte minimales.
  • Priorisez l’ergonomie et la gouvernance : plan de secours pour la MFA (codes de récupération, comptes « break glass »), comités de revue des politiques d’immutabilité, processus de revue régulière des rapports DMARC.
  • Investissez dans les tests : simulations de phishing, exercices de compromission d’identité, tests de restauration à blanc d’environnements entiers à partir de sauvegardes immuables.
  • Automatisez tôt : même des playbooks SOAR simples (blocage d’IP, désactivation temporaire de comptes, création automatique de tickets) produisent un retour sur investissement important en temps SOC et en temps de réaction.

Conclusion : la sécurité en couches comme contrat d’architecture

En 2025, il n’est plus suffisant de cocher les cases « MFA activée », « DMARC configuré », « sauvegardes immuables disponibles ». La réalité des chaînes d’attaque et des exigences de résilience impose un changement de paradigme : concevoir ces trois piliers comme un système intégré, orchestré par le SIEM et animé par des playbooks SOAR.

Les chiffres sont là pour soutenir cette approche : 95 % de réduction des attaques de phishing avec un DMARC mené jusqu’à p=reject, 99 % de réduction des accès frauduleux sur les comptes administrateurs avec une MFA hardware-only, et des incidents ransomware neutralisés grâce à des sauvegardes immuables correctement configurées et régulièrement testées.

Pour un RSSI, la vraie question n’est plus « devons-nous déployer MFA, DMARC et l’immutabilité des sauvegardes ? », mais « comment les orchestrer pour qu’ils se renforcent mutuellement, et non qu’ils coexistent en silos ? ». La réponse passe par une architecture de sécurité en couches, centrée sur un SIEM mature, alimentée par des données de qualité, et animée par une gouvernance exigeante.

Ne pas faire ce pas supplémentaire, c’est accepter qu’une partie significative de vos investissements en cybersécurité reste dormante. L’enjeu stratégique, désormais, est de transformer ces briques techniques en une véritable capacité de résilience systémique.

Damien Larquey

Damien Larquey

Author at Codolie

Passionate about technology, innovation, and sharing knowledge with the developer community.

Back to Blog