Revue d’actualité cyber : il s’en passe des choses douces et roses

À force de voir de l’IA partout jusque sur la porte des toilettes, on en avait presque oublié le truc qui va arriver très très vite aussi : les robots quasi autonomes. Bon, d’accord, il y a les conflits armés en cours qui sont autant de laboratoires à ciel ouvert pour tester des drones dans toutes les configurations possibles et imaginables, mais il y a aussi les images stupéfiantes des robots de Boston Dynamics. Je vous conseille un petit tour sur https://www.youtube.com/watch?v=-e1_QhJ1EhQ, c’est à tomber de sa chaise. Je rêve de la même dextérité des adminsys pour me résorber une fois pour toutes les vulnérabilités Oradad de niveau 1 sur nos AD internes. Humouuuuuuuuuuuur !

En parlant d’IA justement, c’est la sortie des ChatGPT-4o qui allume les feux des youtubeurs. On ne compte plus les vidéos présentant les nouveautés de la version : conversation en langage naturel, capacité à faire de l’humour, traduction en temps réel, etc. Curieusement, ce sont les tutos pour faire des présentations PowerPoint en trois clics qui cartonnent, ça en dit long sur le temps perdu par toute l’humanité à fabriquer des Slides ineptes qui seront déroulés devant une assistance amorphe pressée de se précipiter vers le buffet de petits fours.

Sinon, la chaîne Xerfi Canal nous livre une courte vidéo (https://www.youtube.com/watch?v=y8kh_Rnd_DM&t=90s, trois minutes) sur l’impact de l’IA sur l’informatique en santé. Bon, OK, trois minutes, c’est court, mais l’oratrice a tout de même le temps de nous parler du passage massif au Cloud en mode abonnement, des attaques cyber et du potentiel disruptif de l’IA. Et de nous renvoyer vers l’étude payante – 3 000 euros tout de même.

Autrement, la Bibliothèque nationale et universitaire de Strasbourg (et ses homologues d’autres pays) traque les vieux ouvrages (de plus d’un siècle) dont les procédés d’impression de l’époque utilisaient massivement de l’arsenic (https://www.youtube.com/watch?v=H_1EgJZibe4&list=WL&index=19). Comme quoi, peu de différence en fait avec des experts cyber qui traquent les comptes admin jamais clôturés. Quand on se compare on se console, ça fait plaisir.

Côté classes de risques (au sens large du terme), je ne connaissais pas (enfin si, mais pas en ces termes) le « fat finger risk ». En substance, avoir de gros doigts pour taper sur le clavier. Qui n’a pas supprimé la mauvaise table SGBD, qui n’a pas passé un ordre SQL en prod croyant que c’était le test, etc. Là, il s’agit de la banque Citigroup qui a perdu 78 millions USD (vous avez bien lu) à cause d’un trader un peu trop rapide qui, au lieu de remplir la case « Montant » d’un ordre (en millions d’euros), a complété la case « Quantité de titres ». Résultat : un ordre passé en bourse de plus de 400 milliards USD (vous avez bien lu) au lieu de 58 qui a bypassé tous les systèmes de sécurité de la salle des marchés de la banque. Il faut vraiment aller voir cette vidéo de Zonebourse (https://www.youtube.com/watch?v=yTVHMV4QMbw), elle est passionnante. Objectivement, les systèmes de sécurité sont hypersophistiqués (que les adminsys ne viennent pas me dire l’inverse), mais l’enchaînement des causes et les gros doigts boudinés d’un trader qui a dû avoir une nuit courte ont eu raison de tout. Humilité.

La réflexion du jour : pendant la ruée vers l’or, les seuls à s’en être mis plein les poches étaient les vendeurs de pelles. Et avec l’IA, ce sera qui ?

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.