Cyber : on est les meilleurs !

Et encore, les articles parus dans le courant du mois de décembre ne prenaient pas en compte les toutes dernières fuites : celle du ministère de l’Intérieur, celle (à nouveau, semble-t-il) de France Travail, ni celle de l’Office français de l’immigration et de l’intégration. C’est bien simple, la question n’est plus de savoir si telle ou telle base de données plus ou moins officielle et plus ou moins étatique a ou va fuiter, mais quand.

Et encore, c’est sans compter les piratages d’Orange, des lycées et des hôpitaux des Hauts-de-France passés à la moulinette, de La Poste, d’Auchan, d’Alain Afflelou, bon, OK, j’arrête.

La France est le pays le plus touché par les fuites de données après les USA : 1,8 million de comptes compromis rien qu’entre janvier et juin 2025. Cette concentration fait aussi de la France le pays européen le plus ciblé sur la période. Et si on corrèle ces chiffres avec la taille de la population, la France est largement en tête. Et ce même si le volume mondial de comptes piratés s’est effondré dans le même temps : 15,8 millions au premier semestre 2025, soit 20 fois moins qu’au premier semestre 2024, selon le Personal Data Leak Checker de Cybernews.

Déformation professionnelle oblige, si l’on analyse la politique française en matière de protection cyber selon le prisme de l’efficacité du processus national (chapitre 9.1 de la 27001, pour les intimes), « l’organisation [l’État] doit évaluer les performances de sécurité de l’information ainsi que l’efficacité du processus de management de la sécurité de l’information ». Dit autrement, la norme demande d’évaluer non seulement l’efficacité de ce qui est produit (le résultat) mais de celui qui produit (le processus). Le constat est sans appel : on est bons derniers. Au bémol près tout de même que nous, on mesure et que nous, on publie (si on devait rajouter ceux qui ne mesurent pas ni ne publient, le classement serait différent, mais on fait avec ce que l’on a), et la norme précise bien que l’on doit déterminer ce que l’on va mesurer, l’existence d’un biais n’est donc pas une contre-indication à la mesure, simplement une note de bas de page.

Il est bien entendu impossible d’analyser cela froidement en sortant deux ou trois root causes au hasard : la situation est certainement protéiforme et l’on doit trouver, pêle-mêle, le non-respect des bonnes pratiques de base tels le MFA ou le scan régulier de la surface Web, le manque de sensibilisation des utilisateurs, les budgets faméliques, la priorisation des paillettes et des dépenses d’apparat au détriment des projets de fond, une spécificité française semble-t-il. Sans parler du recours à des fournisseurs qui ont appris les bases de l’IP et de la cyber dans une pochette-surprise : j’ai récemment eu un échange quasi lunaire avec notre fournisseur d’appel malade (qui au demeurant équipe une bonne partie des hôpitaux français – j’dis ça, j’dis rien) qui soutenait que j’étais le seul à lui demander un bastion et du MFA sur son propre LAN – authentique.

Les mesures sont pourtant connues et ne datent pas d’hier :

• déploiement du MFA ;
•  nettoyage des assets en DMZ, quitte à éteindre certains serveurs (oui je sais, cela pique, mais on voit quand même que des serveurs « vitrines » embarquent du PHP datant de la reine Berthe, et le service bidule chose vous expliquer qu’on ne peut pas couper car vous-comprenez-c’est-le-site-web-du-service-bidule-machin) ;
• passage des VPN fournisseurs en zero trust, entre autres mesures moins urgentes ;
• déploiement d’un EDR couplé à un SOC ;
• sanctuarisation et protection d’assets spécifiques (que j’appelle la classe Diamond), avec aucun compromis sur la gestion des comptes, mots de passe et patchs.

Si ces seules mesures avaient été déroulées, une bonne partie des attaques susnommées n’auraient tout simplement pas eu lieu.

Le ministère de la Santé déploie avec les programmes Care exactement cette vision stratégique (on pourra ergoter sur l’ordre et les priorités, mais au moins elle existe), et l’on s’en félicite. Mais je ne suis pas certain que ce soit le cas partout, si j’en crois l’usage olé olé de boîtes postales à mot de passe pourri sans MFA de certaines entreprises publiques ou privées qui justement se retrouvent dans le Hall of Fame 2025.

Et alors que le retard technique, cause essentielle de ces attaques, ne diminue pas, on commence à voir poindre des attaques sophistiquées à base d’IA contre lesquelles, alors là pour le coup, on n’est absolument pas préparés. Les 36 prochains mois vont être saignants.

Alors vous trouvez toujours que la sécurité cyber coûte cher ? Manifestement, dans ce pays, on n’en est pas encore à ce niveau de réflexion, puisque l’on n’a même pas dépassé le premier stade, qui consiste à prendre conscience du coût de la non-sécurité. Quand deux ou trois très, très grosses organisations se seront bien fait poutrer, genre Saint-Gobain en 2017, avec des milliers d’usagers et d’employés sur le carreau pendant des semaines et des pertes irrémédiables, là, les choses bougeront. Il aura bien fallu un bon petit Covid pour s’inquiéter des stocks de masques.

Bonne année quand même.