La cyber de retour de vacances – à fond, à fond, à fond !

On commence par un peu de réglementaire. La directive NIS 2 doit être transposée en droit français, et c’est le Parlement qui doit s’y coller. Sauf qu’avec le soap opera dont on suit chaque épisode chaque jour que Dieu fait, pas certain que ce genre de texte soit la priorité des élus à la rentrée. En clair, on risque de se prendre un décrochage de mâchoire à poireauter devant le JO tous les lundis matin. À moins que… Justement, NIS 2 n’est pas exactement un sujet clivant comme la retraite ou les tranches d’imposition, et il pourrait passer en vitesse, histoire d’écluser ce qui ne pose pas de soucis avant de rentrer dans le dur idéologique.

Netwrix, acteur spécialisé dans les produits et outils de protection de l’AD, fait l’acquisition de PingCastle. Pas forcément une bonne nouvelle de voir une solution gratuite et performante se faire croquer par un acteur à but lucratif.

Xerox lance des imprimantes assistées par l’IA pour améliorer les performances du scan de documents et de l’OCR. Votre serviteur a fait personnellement l’expérience de changer ses lunettes cet été, et l’opticien a commencé à me baratiner avec des verres Essilor fabriqués à base d’IA (authentique). Inutile de dire que je lui ai vite demandé d’arrêter de me pipeauter et que l’on est passé dare-dare au choix de la monture.

Mastercard annonce qu’il ne sera bientôt plus nécessaire de saisir un numéro de CB pour ses achats en ligne et que des jetons à durée de vie limitée suffiraient. Euh, oui ! Bon, moi, c’est ce que je fais déjà depuis au moins dix ans avec ma banque, on appelle cela des numéros de CB à usage unique. C’est quoi la news ?

Sinon Micromou donne l’alerte sur des failles VMware qui permettraient d’exploiter des permissions AD à hauts privilèges. Bon, en même temps, faut être un minimum indulgent avec VMware et sa maison mère : on ne peut pas être au four et au moulin, à savoir refaire tous les tableaux Excel des tarifs de licence (dont certaines ont été multipliées par x, entier naturel strictement positif) et corriger les bugs de ses produits, hein ?

Et puis, entre les sabotages des réseaux de fibre optique de SFR par des malfaisants et la panne électrique du SI de l’AP-HP, de temps en temps la physicalisation de l’informatique se rappelle à notre bon souvenir. On peut peut-être vivre d’amour et d’eau fraîche tout nu sur une île déserte, mais si vous voulez commander sur Amazon à l’ombre d’un palmier, faudra tout de même un câble et de l’électricité.

Perturbation des canaux GPS : il paraît que les compagnies aériennes ne sont pas tranquilles. Faut dire que guider un avion à la boussole, on l’apprend en formation, mais c’est vite limitant. À moins que dans les cockpits on repasse à trois pilotes, ce qui était le cas il n’y a pas si longtemps : deux qui tiennent le manche et le troisième la lampe et la carte.

Sinon, l’affaire CrowdStrike a un point commun avec la crise des subprimes de 2008. Avant cette dernière en effet, certains financiers de haut vol pensaient très honnêtement que le risque était tellement dilué étant donné la multitude d’acteurs qu’une secousse ne pourrait pas se propager bien loin : on a vu le résultat. À quand une jolie petite étude sur la concentration des acteurs sur toutes les couches du modèle OSI ? Le résultat risque de nous faire serrer grave les fesses.

Ah oui ! J’allais oublier le superbe prune RGPD infligée à Uber, qui a, semblerait-il, été un tantinet léger avec la protection des données des chauffeurs, géolocalisation incluse. Pas bon de jouer avec les données de géoloc, pas bon du tout !

Bonne rentrée.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.