Publicité en cours de chargement...
Cyber : on y va tout droit
Jeudi 15 février dernier, CVE Fortinet avec un score de 9,6.
Mercredi 21 février dernier, CVE VMware avec un score de 9,6.
Idem, CVE Exchange avec un score de 9,8.
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs, c’est du jamais-vu.
Entendons-nous : gérer des vulnérabilités, patcher même en urgence, les équipes infra et cyber sont rompues à cet exercice depuis des lustres. Là n’est pas le sujet de cet article.
Il y a d’une part l’accumulation des failles de sécurité en un temps très court, et surtout sur des composants majeurs : on n’est pas en train de parler d’un obscur éditeur de blog ou d’une DB open source serbo-croate. Un firewall, l’éditeur principal de produits de virtualisation et la messagerie, excusez du peu.
À quelques mois des JO, une telle accumulation a de quoi interroger. Et il ne faudrait pas que l’on voie se répandre, au sein des équipes d’experts (infra et cyber), une forme plus ou moins larvée de résignation, comme celle qui s’abat sur les individus qui, depuis des années, alertent sur la gestion parfois grand-guignolesque de la cyber (l’obsolescence n’est qu’une source de vulnérabilité parmi beaucoup d’autres). Et qui finissent par lâcher : « Il faut que l’on se fasse attaquer une bonne fois pour toutes pour que tout le monde comprenne que l’on ne peut pas rester dans cet état. » J’entends ce raisonnement de plus en plus souvent, aussi bien dans le public que dans le privé, et il s’agit d’un signal de type faible qu’il convient selon moi de considérer avec attention et inquiétude.
Il y a aussi les effets indirects de l’obsolescence. Être obsolescent au sens des DSI, ce n’est pas « ne plus fonctionner » (vision comptable), mais « ne plus être en mesure de rendre le service attendu ». Or, si une version obsolète (autrement dit, qui n’est plus maintenue par l’éditeur) peut tout à fait fonctionner sans poser de soucis, le jour où l’on voit débouler des CVE de ce genre, on comprend que les économies consistant à ne pas vouloir migrer vers une version supportée (et donc qui n’est pas obsolète) vont se payer au quintuple. Les DSI le savent depuis longtemps, c’est juste que des CVE majeures de ce niveau le rappellent au bon souvenir de chacun : quand vous avez une version à jour, un « simple » patch peut suffire (très lourd à passer dans certains cas), mais quand en plus vous traînez une version obsolète, c’est double effet Kiss Cool pour la montée de version plus le patch. On est en train, dans pas mal d’endroits, d’accumuler de la dette technique au-delà du gérable.
Il y a une différence fondamentale entre la dette d’un État et la dette technique. La première peut théoriquement être reportée à l’infini : tant que vous trouvez des gens pour prêter, votre dette peut atteindre 100 % de votre PIB, 150 %, 300 %, 500 %, etc. Emprunter coûte de plus en plus cher, mais le système peut durer un bon moment. Et cerise sur le gâteau : vous pouvez faire défaut sur votre dette (c’est ce qu’a fait la Russie à la suite de la révolution de 1917 et la France plusieurs fois dans son histoire). Plus personne ne veut vous prêter pendant quelques décennies, mais que sont quelques décennies à l’échelle d’une nation de plusieurs siècles d’existence ? La dette technique, au contraire, vous ne pouvez pas la repousser à l’infini (essayez d’installer une version 1.0 d’Oracle sur une version 1.0 de MS-DOS sur un PC 8086) et vous ne pouvez jamais l’ignorer (essayez de jeter aux oubliettes l’existence d’une CVE pour voir).
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs :
Pour les infra, c’est l’enfer.
Pour les métiers, c’est une journée de plus à danser sur le bord du volcan.
Pour les équipes cyber, c’est juste en train de devenir un jour normal de semaine.
Souriez, il fait moche.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Journée SSI Santé APSSIS 2025 : une cybersécurité plus mature, mais un financement toujours sous tension
17 nov. 2025 - 11:00,
Actualité
- Rédaction, DSIHLe 13 novembre 2025, l’APSSIS a rassemblé à nouveau l’écosystème de la cybersécurité en santé. Professionnels, décideurs et représentants institutionnels ont dressé un état des lieux contrasté : des progrès indéniables, mais des fragilités qui persistent. Au cœur des discussions, l’intervention de C...
Le second appel, dédié à la continuité et à la reprise d’activité, poursuit la dynamique lancée, avec une enveloppe de 45 millions d’euros et une mobilisation importante du secteur.
12 nov. 2025 - 23:37,
Actualité
- Rédaction, DSIHLe programme CaRE continue d’élargir son action en santé, en mettant l’accent sur la continuité et la reprise d’activité après les incidents. Cette étape du dispositif s’appuie sur une enveloppe de financement de 45 millions d’euros et vise à renforcer les procédures de continuité, à sécuriser et re...
Interdictions et blocages se fracassent sur le mur de la technologie
03 nov. 2025 - 21:43,
Tribune
-Avec le temps, on s’assagit, mais cela n’empêche pas de rester étonné. Étonné devant l’amnésie collective qui frappe régulièrement les décideurs ou certains membres de la société civile dès lors que, sous couvert de bonnes intentions souvent réelles, il faut bloquer ceci ou cela.
Numih France : une métamorphose au service d’un numérique hospitalier souverain, éthique et sécurisé
03 nov. 2025 - 18:54,
Actualité
- DSIH,Né de la fusion entre le Mipih et le SIB, Numih France s’impose comme un acteur public de référence dans le domaine du numérique en santé. Porté par une gouvernance 100 % publique et hospitalière, le Groupement d’Intérêt Public déploie une stratégie alliant excellence opérationnelle, ancrage territo...
