Cyber : on y va tout droit
Jeudi 15 février dernier, CVE Fortinet avec un score de 9,6.
Mercredi 21 février dernier, CVE VMware avec un score de 9,6.
Idem, CVE Exchange avec un score de 9,8.
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs, c’est du jamais-vu.
Entendons-nous : gérer des vulnérabilités, patcher même en urgence, les équipes infra et cyber sont rompues à cet exercice depuis des lustres. Là n’est pas le sujet de cet article.
Il y a d’une part l’accumulation des failles de sécurité en un temps très court, et surtout sur des composants majeurs : on n’est pas en train de parler d’un obscur éditeur de blog ou d’une DB open source serbo-croate. Un firewall, l’éditeur principal de produits de virtualisation et la messagerie, excusez du peu.
À quelques mois des JO, une telle accumulation a de quoi interroger. Et il ne faudrait pas que l’on voie se répandre, au sein des équipes d’experts (infra et cyber), une forme plus ou moins larvée de résignation, comme celle qui s’abat sur les individus qui, depuis des années, alertent sur la gestion parfois grand-guignolesque de la cyber (l’obsolescence n’est qu’une source de vulnérabilité parmi beaucoup d’autres). Et qui finissent par lâcher : « Il faut que l’on se fasse attaquer une bonne fois pour toutes pour que tout le monde comprenne que l’on ne peut pas rester dans cet état. » J’entends ce raisonnement de plus en plus souvent, aussi bien dans le public que dans le privé, et il s’agit d’un signal de type faible qu’il convient selon moi de considérer avec attention et inquiétude.
Il y a aussi les effets indirects de l’obsolescence. Être obsolescent au sens des DSI, ce n’est pas « ne plus fonctionner » (vision comptable), mais « ne plus être en mesure de rendre le service attendu ». Or, si une version obsolète (autrement dit, qui n’est plus maintenue par l’éditeur) peut tout à fait fonctionner sans poser de soucis, le jour où l’on voit débouler des CVE de ce genre, on comprend que les économies consistant à ne pas vouloir migrer vers une version supportée (et donc qui n’est pas obsolète) vont se payer au quintuple. Les DSI le savent depuis longtemps, c’est juste que des CVE majeures de ce niveau le rappellent au bon souvenir de chacun : quand vous avez une version à jour, un « simple » patch peut suffire (très lourd à passer dans certains cas), mais quand en plus vous traînez une version obsolète, c’est double effet Kiss Cool pour la montée de version plus le patch. On est en train, dans pas mal d’endroits, d’accumuler de la dette technique au-delà du gérable.
Il y a une différence fondamentale entre la dette d’un État et la dette technique. La première peut théoriquement être reportée à l’infini : tant que vous trouvez des gens pour prêter, votre dette peut atteindre 100 % de votre PIB, 150 %, 300 %, 500 %, etc. Emprunter coûte de plus en plus cher, mais le système peut durer un bon moment. Et cerise sur le gâteau : vous pouvez faire défaut sur votre dette (c’est ce qu’a fait la Russie à la suite de la révolution de 1917 et la France plusieurs fois dans son histoire). Plus personne ne veut vous prêter pendant quelques décennies, mais que sont quelques décennies à l’échelle d’une nation de plusieurs siècles d’existence ? La dette technique, au contraire, vous ne pouvez pas la repousser à l’infini (essayez d’installer une version 1.0 d’Oracle sur une version 1.0 de MS-DOS sur un PC 8086) et vous ne pouvez jamais l’ignorer (essayez de jeter aux oubliettes l’existence d’une CVE pour voir).
En moins d’une semaine, trois CVE de ce niveau de dangerosité sur des composants majeurs :
Pour les infra, c’est l’enfer.
Pour les métiers, c’est une journée de plus à danser sur le bord du volcan.
Pour les équipes cyber, c’est juste en train de devenir un jour normal de semaine.
Souriez, il fait moche.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire
23 mars 2026 - 09:58,
Actualité
- Rédaction, DSIHEn validant l’autorisation donnée au Health Data Hub pour traiter des données de santé hébergées par Microsoft en France, le Conseil d’État consolide le cadre posé par la CNIL dans sa décision du 20 mars 2026, relative à l’autorisation CNIL 2025‑013 (délibération n° 2025‑013 du 13 février 2025, proj...
Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé
11 mars 2026 - 09:52,
Communiqué
- ImprivataImprivata, fournisseur leader de solutions de gestion des identités et des accès pour le secteur de la santé et les industries critiques, vient de dévoiler Agentic Identity Management, de nouvelles capacités conçues pour sécuriser et gouverner les agents IA dans les environnements de soins de santé ...
