Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Illustration Dernier billet philosohico-cyber avant la plage
À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet propose un survol critique (et un brin acide) de quelques sujets-clés de notre époque numérique. L’occasion, avant la plage, de faire le point sur ce que la cybersécurité, les technologies émergentes et les pratiques organisationnelles révèlent (ou dissimulent) de nos systèmes.

Avouez tout de même que les arnaques bancaires sont assez fascinantes : je reste émerveillé par la capacité du quidam à filer, par téléphone et sans aucune violence, son code de CB, son numéro de RIB, et à donner ensuite le rectangle de plastique à un « coursier » qui se pointe devant sa porte. Qu’une mamie octogénaire se fasse blouser passe encore, mais quand il s’agit de cadres, de personnes ayant manifestement toute leur tête, je reste pantois. L’article L. 133-18 du code monétaire et financier impose un remboursement à la banque, partant du principe que le client est de bonne foi, et d’ailleurs dans la plupart des cas la défense argue du fait que l’appel semblait provenir du numéro de l’agence bancaire.

Vous noterez à ce stade qu’un point technique interroge. Les banques (qui en ont certainement marre de devoir rembourser les escroqueries des uns et les têtes en l’air des autres) commencent – enfin – à mettre en place des sécurités à tout va, y compris sur les prélèvements bancaires, y compris sur les virements en vérifiant l’intitulé du compte. Mais quid des opérateurs telco, qui sont à un degré préhistorique de vérification : car, enfin, tout part du fait que n’importe qui peut acheter une carte SIM et modifier le paramétrage de son smartphone pour se présenter avec le numéro d’appelant du téléphone de n’importe qui d’autre : le zéro trust manifestement on ne connaît pas dans ce monde.

Mais la question que je me pose est la suivante : quand les banques auront tout MFA-isé (et c’est en bonne voie), il restera quoi comme arguments aux associations d’usagers bancaires et aux juges pour excuser la bêtise ?

Sans transition, depuis quelques temps je joue avec Midjourney, et les possibilités de l’outil sont assez fascinantes. Au delà de la maîtrise fine des options du logiciel en ligne (par exemple demander des variations plus ou moins subtiles d’une image venant juste d’être générée, ou passer en mode draft), il apparaît que la maîtrise des prompt est assez centrale, sachant qu’il est très facile de récupérer un prompt existant pour en faire des variations à la main. C’est ainsi que votre serviteur a testé cela en récupérant une vidéo d’un couteau de cuisine découpant un kiwi de verre en mode ultra réaliste pour changer de fruit et demander un pamplemousse bleu : ça en jette grave. On va bientôt voir apparaître, si ce n’est pas déjà le cas, des artistes du prompt malveillant sur un Hacker-GPT quelconque. Ça va être joyeux dans les équipes SOC ! Ah c’est peut-être là la prochaine excuse pour se faire rembourser les arnaques bancaires...

Sinon vous comptez dépenser des sous auprès d’un cabinet de consultants pour vous aider à construire votre Gosplan cyber à 3-5 ans ? Inutile, cela prend 2mn max :

- passer en zéro trust les VPN fournisseur ;

- blinder l’antispam avec un produit en SaaS dans le coin supérieur gauche du quadrant magique Gartner ;

- blinder la DMZ, aucune vulnérabilité ;

- MFA généralisé intra LAN et en dehors ;

- blinder les core-serveurs (AD, DNS, Sauvegarde, etc.).

De rien.

Tant que j’y pense, j’ai une technique révolutionnaire à proposer pour lutter contre les fuites de données que l’on voit fleurir sur le Dark Web (cf les récents articles de ZATAZ sur les méga fuite de milliards de ID / MDP) : inonder soi-même les dark-bases avec des informations erronées sur nous, afin de polluer tout cela tellement que cela en devient inexploitable. Y’a une idée à creuser.

Autrement la mode en ce moment c’est de contacter les types dans mon genre sur les réseaux, pour leur demander un avis pour valider un produit qui sort tout juste de leur R&D. C’est vrai que je n’ai que cela à faire, passer mes journées en Teams pour regarder défiler des slides d’un produit révolutionnaire – le dernier en date, un illuminé qui prétend avoir inventé un PC qui ne se met jamais à jour (authentique).

On finit par un sujet de fond. En regardant des extraits des auditions à l’Assemblée sur les aides publiques aux entreprises, un truc saute aux yeux de mon cerveau déformé par l’ISO : l’absence d’indicateurs et de contrôles (et sans préjuger de l’orientation politique sur ce sujet, qui n’est pas l’objet de ce billet). Je m’explique : quel que soit le dispositif que vous mettez en place (une DMZ, un AV, un DPI, etc.), il y a au moins 3 items à ne pas oublier, sous peine de balancer les sous et le temps à fonds perdus :

- les indicateurs d’activité, servant à suivre ce qui est fait (quantité d’argent dépensé, de malwares stoppés, etc.)

- les indicateurs de performance, servant à mesurer l’efficacité du dispositif mis en place (le précédent indicateur prouve juste que l’on s’agite, pas que cela sert) ;

- les contrôles visant à débusquer les inévitables dérives qui s’installent dans tous les systèmes.

Dépenser de l’argent dans un dispositif qui n’est ni mesuré ni contrôlé, c’est 100 % de chances de le balancer par les fenêtres.

Bons coups de soleils à tous.

 

 

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

Avec le robot Da Vinci à incision unique, l'IPC renforce son leadership en chirurgie mini-invasive

22 sept. 2025 - 21:54,

Communiqué

- L’Institut Paoli-Calmettes (IPC)

L’Institut Paoli-Calmettes franchit une nouvelle étape dans l’innovation chirurgicale en devenant le quatrième établissement en France et le premier en région PACA à s’équiper du robot chirurgical Da Vinci Single Port (SP). Cet appareil de chirurgie robot-assistée, doté d’une caméra assurant une vis...

Illustration La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité

15 sept. 2025 - 22:03,

Actualité

- Propos recueillis par Mehdi Lebranchu et Pauline Nicolas

Pensée par et pour des médecins en 2018, Rofim est une plateforme de télémédecine qui regroupe désormais six modules afin de permettre aux patients de recevoir le juste soin, au bon endroit, au bon moment et par le bon professionnel de santé. En cette rentrée 2025, Rofim annonce une levée de fonds d...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration ESMS numérique : l’instruction du 5 septembre donne un nouveau cap pour 2025

ESMS numérique : l’instruction du 5 septembre donne un nouveau cap pour 2025

08 sept. 2025 - 23:17,

Actualité

- DSIH

Une nouvelle instruction (1) ministérielle, publiée le 5 septembre 2025, modifie en profondeur les modalités de financement du programme ESMS numérique. Elle rebat les cartes pour les établissements d’accueil, d’hébergement et d’insertion (AHI) et redistribue une enveloppe budgétaire désormais porté...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.