Publicité en cours de chargement...

Publicité en cours de chargement...

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Illustration Dernier billet philosohico-cyber avant la plage
À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet propose un survol critique (et un brin acide) de quelques sujets-clés de notre époque numérique. L’occasion, avant la plage, de faire le point sur ce que la cybersécurité, les technologies émergentes et les pratiques organisationnelles révèlent (ou dissimulent) de nos systèmes.

Avouez tout de même que les arnaques bancaires sont assez fascinantes : je reste émerveillé par la capacité du quidam à filer, par téléphone et sans aucune violence, son code de CB, son numéro de RIB, et à donner ensuite le rectangle de plastique à un « coursier » qui se pointe devant sa porte. Qu’une mamie octogénaire se fasse blouser passe encore, mais quand il s’agit de cadres, de personnes ayant manifestement toute leur tête, je reste pantois. L’article L. 133-18 du code monétaire et financier impose un remboursement à la banque, partant du principe que le client est de bonne foi, et d’ailleurs dans la plupart des cas la défense argue du fait que l’appel semblait provenir du numéro de l’agence bancaire.

Vous noterez à ce stade qu’un point technique interroge. Les banques (qui en ont certainement marre de devoir rembourser les escroqueries des uns et les têtes en l’air des autres) commencent – enfin – à mettre en place des sécurités à tout va, y compris sur les prélèvements bancaires, y compris sur les virements en vérifiant l’intitulé du compte. Mais quid des opérateurs telco, qui sont à un degré préhistorique de vérification : car, enfin, tout part du fait que n’importe qui peut acheter une carte SIM et modifier le paramétrage de son smartphone pour se présenter avec le numéro d’appelant du téléphone de n’importe qui d’autre : le zéro trust manifestement on ne connaît pas dans ce monde.

Mais la question que je me pose est la suivante : quand les banques auront tout MFA-isé (et c’est en bonne voie), il restera quoi comme arguments aux associations d’usagers bancaires et aux juges pour excuser la bêtise ?

Sans transition, depuis quelques temps je joue avec Midjourney, et les possibilités de l’outil sont assez fascinantes. Au delà de la maîtrise fine des options du logiciel en ligne (par exemple demander des variations plus ou moins subtiles d’une image venant juste d’être générée, ou passer en mode draft), il apparaît que la maîtrise des prompt est assez centrale, sachant qu’il est très facile de récupérer un prompt existant pour en faire des variations à la main. C’est ainsi que votre serviteur a testé cela en récupérant une vidéo d’un couteau de cuisine découpant un kiwi de verre en mode ultra réaliste pour changer de fruit et demander un pamplemousse bleu : ça en jette grave. On va bientôt voir apparaître, si ce n’est pas déjà le cas, des artistes du prompt malveillant sur un Hacker-GPT quelconque. Ça va être joyeux dans les équipes SOC ! Ah c’est peut-être là la prochaine excuse pour se faire rembourser les arnaques bancaires...

Sinon vous comptez dépenser des sous auprès d’un cabinet de consultants pour vous aider à construire votre Gosplan cyber à 3-5 ans ? Inutile, cela prend 2mn max :

- passer en zéro trust les VPN fournisseur ;

- blinder l’antispam avec un produit en SaaS dans le coin supérieur gauche du quadrant magique Gartner ;

- blinder la DMZ, aucune vulnérabilité ;

- MFA généralisé intra LAN et en dehors ;

- blinder les core-serveurs (AD, DNS, Sauvegarde, etc.).

De rien.

Tant que j’y pense, j’ai une technique révolutionnaire à proposer pour lutter contre les fuites de données que l’on voit fleurir sur le Dark Web (cf les récents articles de ZATAZ sur les méga fuite de milliards de ID / MDP) : inonder soi-même les dark-bases avec des informations erronées sur nous, afin de polluer tout cela tellement que cela en devient inexploitable. Y’a une idée à creuser.

Autrement la mode en ce moment c’est de contacter les types dans mon genre sur les réseaux, pour leur demander un avis pour valider un produit qui sort tout juste de leur R&D. C’est vrai que je n’ai que cela à faire, passer mes journées en Teams pour regarder défiler des slides d’un produit révolutionnaire – le dernier en date, un illuminé qui prétend avoir inventé un PC qui ne se met jamais à jour (authentique).

On finit par un sujet de fond. En regardant des extraits des auditions à l’Assemblée sur les aides publiques aux entreprises, un truc saute aux yeux de mon cerveau déformé par l’ISO : l’absence d’indicateurs et de contrôles (et sans préjuger de l’orientation politique sur ce sujet, qui n’est pas l’objet de ce billet). Je m’explique : quel que soit le dispositif que vous mettez en place (une DMZ, un AV, un DPI, etc.), il y a au moins 3 items à ne pas oublier, sous peine de balancer les sous et le temps à fonds perdus :

- les indicateurs d’activité, servant à suivre ce qui est fait (quantité d’argent dépensé, de malwares stoppés, etc.)

- les indicateurs de performance, servant à mesurer l’efficacité du dispositif mis en place (le précédent indicateur prouve juste que l’on s’agite, pas que cela sert) ;

- les contrôles visant à débusquer les inévitables dérives qui s’installent dans tous les systèmes.

Dépenser de l’argent dans un dispositif qui n’est ni mesuré ni contrôlé, c’est 100 % de chances de le balancer par les fenêtres.

Bons coups de soleils à tous.

 

 

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.