Publicité en cours de chargement...
Cyber : on y va tout droit
Jeudi 15 février dernier, CVE Fortinet avec un score de 9,6.
Mercredi 21 février dernier, CVE VMware avec un score de 9,6.
Idem, CVE Exchange avec un score de 9,8.
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs, c’est du jamais-vu.
Entendons-nous : gérer des vulnérabilités, patcher même en urgence, les équipes infra et cyber sont rompues à cet exercice depuis des lustres. Là n’est pas le sujet de cet article.
Il y a d’une part l’accumulation des failles de sécurité en un temps très court, et surtout sur des composants majeurs : on n’est pas en train de parler d’un obscur éditeur de blog ou d’une DB open source serbo-croate. Un firewall, l’éditeur principal de produits de virtualisation et la messagerie, excusez du peu.
À quelques mois des JO, une telle accumulation a de quoi interroger. Et il ne faudrait pas que l’on voie se répandre, au sein des équipes d’experts (infra et cyber), une forme plus ou moins larvée de résignation, comme celle qui s’abat sur les individus qui, depuis des années, alertent sur la gestion parfois grand-guignolesque de la cyber (l’obsolescence n’est qu’une source de vulnérabilité parmi beaucoup d’autres). Et qui finissent par lâcher : « Il faut que l’on se fasse attaquer une bonne fois pour toutes pour que tout le monde comprenne que l’on ne peut pas rester dans cet état. » J’entends ce raisonnement de plus en plus souvent, aussi bien dans le public que dans le privé, et il s’agit d’un signal de type faible qu’il convient selon moi de considérer avec attention et inquiétude.
Il y a aussi les effets indirects de l’obsolescence. Être obsolescent au sens des DSI, ce n’est pas « ne plus fonctionner » (vision comptable), mais « ne plus être en mesure de rendre le service attendu ». Or, si une version obsolète (autrement dit, qui n’est plus maintenue par l’éditeur) peut tout à fait fonctionner sans poser de soucis, le jour où l’on voit débouler des CVE de ce genre, on comprend que les économies consistant à ne pas vouloir migrer vers une version supportée (et donc qui n’est pas obsolète) vont se payer au quintuple. Les DSI le savent depuis longtemps, c’est juste que des CVE majeures de ce niveau le rappellent au bon souvenir de chacun : quand vous avez une version à jour, un « simple » patch peut suffire (très lourd à passer dans certains cas), mais quand en plus vous traînez une version obsolète, c’est double effet Kiss Cool pour la montée de version plus le patch. On est en train, dans pas mal d’endroits, d’accumuler de la dette technique au-delà du gérable.
Il y a une différence fondamentale entre la dette d’un État et la dette technique. La première peut théoriquement être reportée à l’infini : tant que vous trouvez des gens pour prêter, votre dette peut atteindre 100 % de votre PIB, 150 %, 300 %, 500 %, etc. Emprunter coûte de plus en plus cher, mais le système peut durer un bon moment. Et cerise sur le gâteau : vous pouvez faire défaut sur votre dette (c’est ce qu’a fait la Russie à la suite de la révolution de 1917 et la France plusieurs fois dans son histoire). Plus personne ne veut vous prêter pendant quelques décennies, mais que sont quelques décennies à l’échelle d’une nation de plusieurs siècles d’existence ? La dette technique, au contraire, vous ne pouvez pas la repousser à l’infini (essayez d’installer une version 1.0 d’Oracle sur une version 1.0 de MS-DOS sur un PC 8086) et vous ne pouvez jamais l’ignorer (essayez de jeter aux oubliettes l’existence d’une CVE pour voir).
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs :
Pour les infra, c’est l’enfer.
Pour les métiers, c’est une journée de plus à danser sur le bord du volcan.
Pour les équipes cyber, c’est juste en train de devenir un jour normal de semaine.
Souriez, il fait moche.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
L’approche Calimero de la filière logicielle : quand un responsable passe à côté des enjeux industriels et regarde le doigt plutôt que la lune
10 fév. 2026 - 08:14,
Tribune
-Je suis tombé sur une interview [1] de très bon niveau sur BFM Business : celle de Michel Paulin, président de la filière Logiciels et solutions numériques de confiance, ancien patron d’OVHcloud et de SFR, sur les rapports entre la souveraineté numérique, le rôle de l’État et de la commande publique...
Pourquoi le parcours patient n’existe pas (encore)
02 fév. 2026 - 21:08,
Tribune
-Le parcours patient est devenu un mot-clé, presque un slogan. Il est omniprésent dans les discours stratégiques, les projets d’établissement et les feuilles de route numériques. Pourtant, dans les hôpitaux, il reste largement invisible. Les patients ressentent des ruptures, des lenteurs, des incohér...
2026 : la fin de l’Espace, du Temps et de la Vie privée
27 jan. 2026 - 08:37,
Tribune
-Cédric Cartau analyse comment le Fichier national automatisé des empreintes génétiques (Fnaeg), initialement conçu pour lutter contre la criminalité sexuelle, est devenu en moins de 30 ans un outil de fichage de masse. En s’appuyant sur l’essor de la recherche par parentèle, il interroge les conséqu...
Contract Management : rigueur et dialogue au service des établissements de santé
15 déc. 2025 - 16:10,
Tribune
-Face à la pression financière croissante, la réduction des dépenses est devenue une priorité pour les établissements de santé. Dans ce contexte, maîtriser les engagements existants et éviter toute dérive est indispensable. C’est là qu’intervient le contract management, véritable outil stratégique po...
