Cyber : on y va tout droit
Jeudi 15 février dernier, CVE Fortinet avec un score de 9,6.
Mercredi 21 février dernier, CVE VMware avec un score de 9,6.
Idem, CVE Exchange avec un score de 9,8.
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs, c’est du jamais-vu.
Entendons-nous : gérer des vulnérabilités, patcher même en urgence, les équipes infra et cyber sont rompues à cet exercice depuis des lustres. Là n’est pas le sujet de cet article.
Il y a d’une part l’accumulation des failles de sécurité en un temps très court, et surtout sur des composants majeurs : on n’est pas en train de parler d’un obscur éditeur de blog ou d’une DB open source serbo-croate. Un firewall, l’éditeur principal de produits de virtualisation et la messagerie, excusez du peu.
À quelques mois des JO, une telle accumulation a de quoi interroger. Et il ne faudrait pas que l’on voie se répandre, au sein des équipes d’experts (infra et cyber), une forme plus ou moins larvée de résignation, comme celle qui s’abat sur les individus qui, depuis des années, alertent sur la gestion parfois grand-guignolesque de la cyber (l’obsolescence n’est qu’une source de vulnérabilité parmi beaucoup d’autres). Et qui finissent par lâcher : « Il faut que l’on se fasse attaquer une bonne fois pour toutes pour que tout le monde comprenne que l’on ne peut pas rester dans cet état. » J’entends ce raisonnement de plus en plus souvent, aussi bien dans le public que dans le privé, et il s’agit d’un signal de type faible qu’il convient selon moi de considérer avec attention et inquiétude.
Il y a aussi les effets indirects de l’obsolescence. Être obsolescent au sens des DSI, ce n’est pas « ne plus fonctionner » (vision comptable), mais « ne plus être en mesure de rendre le service attendu ». Or, si une version obsolète (autrement dit, qui n’est plus maintenue par l’éditeur) peut tout à fait fonctionner sans poser de soucis, le jour où l’on voit débouler des CVE de ce genre, on comprend que les économies consistant à ne pas vouloir migrer vers une version supportée (et donc qui n’est pas obsolète) vont se payer au quintuple. Les DSI le savent depuis longtemps, c’est juste que des CVE majeures de ce niveau le rappellent au bon souvenir de chacun : quand vous avez une version à jour, un « simple » patch peut suffire (très lourd à passer dans certains cas), mais quand en plus vous traînez une version obsolète, c’est double effet Kiss Cool pour la montée de version plus le patch. On est en train, dans pas mal d’endroits, d’accumuler de la dette technique au-delà du gérable.
Il y a une différence fondamentale entre la dette d’un État et la dette technique. La première peut théoriquement être reportée à l’infini : tant que vous trouvez des gens pour prêter, votre dette peut atteindre 100 % de votre PIB, 150 %, 300 %, 500 %, etc. Emprunter coûte de plus en plus cher, mais le système peut durer un bon moment. Et cerise sur le gâteau : vous pouvez faire défaut sur votre dette (c’est ce qu’a fait la Russie à la suite de la révolution de 1917 et la France plusieurs fois dans son histoire). Plus personne ne veut vous prêter pendant quelques décennies, mais que sont quelques décennies à l’échelle d’une nation de plusieurs siècles d’existence ? La dette technique, au contraire, vous ne pouvez pas la repousser à l’infini (essayez d’installer une version 1.0 d’Oracle sur une version 1.0 de MS-DOS sur un PC 8086) et vous ne pouvez jamais l’ignorer (essayez de jeter aux oubliettes l’existence d’une CVE pour voir).
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs :
Pour les infra, c’est l’enfer.
Pour les métiers, c’est une journée de plus à danser sur le bord du volcan.
Pour les équipes cyber, c’est juste en train de devenir un jour normal de semaine.
Souriez, il fait moche.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Le DLP, ou l’archétype du techno-solutionnisme béat
20 avril 2026 - 10:27,
Tribune
-On n’est pas exactement dans un matraquage publicitaire de haute intensité, mais cela revient tout de même assez régulièrement, comme la grippe de saison ou les allergies aux plastiques des tongs d’été. En tout cas, régulièrement, il se trouve un commercial lambda pour nous ressortir une offre préte...
L’IA, fossoyeur de l’IT ? Pas si simple, et certainement pas tout de suite
07 avril 2026 - 07:40,
Tribune
-Dans la première moitié du XIXe siècle, les usines textiles, qui avaient déployé massivement des métiers à tisser mécaniques, utilisaient les ouvriers pour contrôler le tissu sortant de la chaîne de production : absence de fil cassé, etc. Un ouvrier pouvait piloter 2 machines en même temps, et à un ...
Du séjour au domicile : le SMS comme brique du système d’information hospitalier
07 avril 2026 - 07:30,
Actualité
- Pierre Derrouch, DSIHLa réduction continue des durées de séjour hospitalier déplace une part du risque clinique vers le domicile. En chirurgie ambulatoire, les réhospitalisations entre un à trois jours après l’intervention figurent parmi les indicateurs de sécurité suivis par la Haute Autorité de Santé dans le cadre des...
Au GHT de Saône-et-Loire – Bresse-Morvan, un concentrateur de données comme socle des usages d’IA et de la coordination territoriale
17 mars 2026 - 08:32,
Actualité
- Par Pierre Derrouch, DSIHFace aux limites d’une convergence applicative étendue à plus de 350 logiciels hétérogènes, le Groupement hospitalier de territoire de Saône-et-Loire – Bresse-Morvan a engagé, à partir de 2022, une inflexion stratégique centrée sur la donnée. Mis en production en 2023, un concentrateur de données de...
