Les autorités finlandaises ont saisi un navire soupçonné d’être à l’origine de dommages sur un câble de télécommunications sous-marin en mer Baltique, un nouvel incident qui ravive les inquiétudes autour de la sécurité des infrastructures critiques dans la région.

Le signalement est intervenu dans la nuit du réveillon, après la détection d’une anomalie sur un câble reliant l’Estonie. Le bâtiment suspect, repéré avec son ancre immergée, a été escorté vers les eaux territoriales finlandaises puis placé sous contrôle des autorités. L’enquête a été confiée à la police d’Helsinki et porte sur des faits qualifiés de dégradations aggravées et d’atteinte aux télécommunications.

Si les opérateurs concernés assurent que la continuité de service a été maintenue grâce à des liaisons redondantes, cet épisode s’inscrit dans une série de ruptures récentes de câbles en mer Baltique. Officiellement, certaines seraient liées à des conditions météorologiques difficiles. En arrière-plan, toutefois, persiste la crainte d’actes intentionnels visant des infrastructures devenues stratégiques, dans un contexte géopolitique toujours plus tendu.

The post Mer Baltique : la Finlande saisit un navire après des dommages sur un câble sous-marin appeared first on INCYBER NEWS.

Un pirate affirme avoir exfiltré plus de deux millions d’enregistrements depuis des services liés à l’Office Français de l’Immigration et de l’Intégration, via le portail de l’Administration Numérique des Étrangers en France. Les données évoquées incluraient des informations d’identité, des coordonnées personnelles et des éléments administratifs sensibles, dont des numéros de dossiers et de titres de séjour.

Des échantillons circulant en ligne, datés de 2023 et 2024, laissent penser à des données authentiques, sans permettre à ce stade de mesurer précisément l’ampleur ni la période exacte concernée. Si les faits étaient avérés, cette fuite ferait peser des risques élevés d’usurpation d’identité et de fraude ciblée sur une population déjà vulnérable.

Les autorités n’ont, pour l’heure, pas communiqué officiellement. Une enquête serait en cours. La prudence est recommandée aux usagers concernés face à toute sollicitation suspecte.

The post Cybersécurité – Soupçon de fuite massive de données dans l’immigration française appeared first on INCYBER NEWS.

Fin de l’aide exceptionnelle de 6 000 euros pour l’embauche d’une personne en contrat de professionnalisation à compter du 1er mai 2024, diminution de la prime à l’embauche d’apprentis en février 2025 (passant de 6 000 à 5 000 euros pour les PME et 2 000 euros pour les grandes entreprises), création en juillet 2025 d’un reste à charge obligatoire de 750 euros pour les employeurs sur tout contrat d’apprentissage visant un diplôme Bac+3 ou supérieur… Le secteur de la formation est soumis à une baisse constante des aides qui accompagnement les entreprises dans leur recrutement d’alternants.

Début 2025, à l’occasion de la dixième édition du baromètre annuel du CESIN, le Club des Experts de la Sécurité de l’Information et du Numérique mentionnait explicitement l’alternance. 64 % des RSSI interrogés intégraient des étudiants en alternance, malgré certaines tensions budgétaires (-15 points sur les intentions d’augmentation des budgets cyber). Mais plus tard dans l’année, l’Insee prévoyait dans sa note de conjoncture datée de septembre 2025 la suppression d’environ 65 000 contrats d’alternance d’ici fin 2025, principalement au second semestre, en raison des réformes successives des aides. Ce contexte oblige les organismes de formation et les écoles – notamment celles spécialisées en cybersécurité – à se différentier pour continuer d’attirer à elles candidats et entreprises.

« L’effet d’annonce autour de la baisse des aides a pesé davantage que la mesure elle-même. Beaucoup de TPE ont renoncé à l’alternance par anticipation, en la jugeant plus coûteuse ou plus complexe, sans toujours mesurer l’impact réel. Résultat, nous avons constaté cette année un recul du placement de nos étudiants dans ce type de structures », analyse Vianney Wattinne, Directeur de CSB.School. Un constat partagé par Valérie de Saint Père, Présidente et cofondatrice de l’École 2600 : « C’est vrai qu’il y a une inquiétude, nous regardons avec attention quel sera l’effet de toutes ces mesures. Après plusieurs années de forte croissance, la tendance est en train de s’inverser. À fin août 2025, selon la DARES, il y avait déjà une baisse de 4 %, dont 20 % dans le secteur public. Il y a donc moins de postes ouverts ».

La dirigeante ajoute que ces mesures pourraient même avoir des conséquences contre-productives pour le tissu économique français : « Il faut faire attention à l’effet ciseaux, car à force de diminuer les aides, on risque de pénaliser les formations les plus exigeantes techniquement. Or, c’est précisément celles dont les entreprises et organisations ont besoin pour répondre aux enjeux de souveraineté, de défense et de conformité réglementaire, notamment vis-à-vis de NIS2 ».

Viser l’excellence pédagogique pour continuer d’attirer les étudiants et entreprises

Dans ce contexte de tensions budgétaires, la plupart des écoles de cybersécurité maintiennent un très haut niveau d’exigence dans leurs programmes. CSB School intègre ainsi les certifications comme autant de jalons obligatoires au cours de son cursus. Dès les premières années, les étudiants valident des certifications Google (Google Cloud Engineering Certificate) et AWS, adossées à des partenariats donnant accès à des environnements cloud professionnels. Le parcours se poursuit avec des certifications internationales, notamment le CEH (Certification Ethical Hacker) en troisième année, puis des certifications orientées gouvernance et conformité en fin de cycle, dont EBIOS RM et ISO 27001.

En toute fin de cursus, CSB School prépare les étudiants à la certification CISSP (Certified Information Systems Security Professional). « L’école a conçu un test blanc interne et finance les frais d’examen pour les étudiants qui le réussissent. Cela leur permet de se présenter officiellement à une certification parmi les plus exigeantes du secteur. Cette approche traduit un engagement direct de l’école sur la reconnaissance des compétences et sur l’employabilité, avec une validation externe systématique des acquis », précise Vianney Wattinne. 

Autre élément de différenciation, la qualité du corps enseignant. « 50 % de l’équipe permanente sont composés de professionnels de la cybersécurité, notamment notre directeur pédagogique qui est docteur en cybersécurité. Et tous nos intervenants sont des spécialistes du secteur. Cela signifie que nos interlocuteurs privilégiés, les RSSI, une fois convaincus de ce que nous pouvons leur apporter, vont négocier les budgets auprès du département RH, et non l’inverse », note Vianney Wattinne. 

Pour se distinguer de la concurrence, la CSB.School parie également sur la mise à disposition d’un environnement très opérationnel. « Un de nos éléments différenciants repose sur la pratique. La CSB School a mis en place des simulateurs et des mises en situation concrètes permettant aux étudiants de travailler sur du matériel en conditions quasi réelles. En cybersécurité industrielle, ils disposent d’un laboratoire avec plusieurs automates, certains sécurisés dès la conception, d’autres renforcés a posteriori. Un laboratoire réseau complète le dispositif, où les étudiants configurent physiquement des équipements, du câblage aux switchs en passant par les pare-feux, afin d’être confrontés aux usages réels du terrain », explique-t-il.

Finesse des parcours, réseau dense de partenaires et résultats en compétitions

De son côté, l’École 2600 se distingue par une structuration fine des parcours : Bachelor avec montée en puissance progressive vers l’alternance, puis Master entièrement en alternance, calé sur les rythmes et contraintes des entreprises. « Ce choix répond directement aux attentes du marché, qui ne considère pas les profils juniors comme immédiatement opérationnels. L’approche repose sur le learning by doing, une pratique intensive, des projets menés avec les entreprises partenaires et un encadrement renforcé, incompatible avec des logiques de formation à bas coût », déclare Valérie de Saint Père.

L’École 2600 revendique par ailleurs plus de 350 partenaires actifs, dont le ministère de l’Intérieur et celui des Armées. « Cette relation de long terme irrigue les programmes, les projets pédagogiques et surtout le placement des alternants. 98 % des contrats sont signés via le réseau de l’école, grâce à une équipe dédiée au matching entre besoins des organisations et compétences des étudiants, ce qui réduit fortement le risque perçu par les employeurs », commente Valérie de Saint Père.

Enfin, l’École 2600 peut s’enorgueillir de remporter de prestigieuses compétitions nationales et internationales. Elle s’est notamment distinguée dans plusieurs compétitions majeures de cybersécurité, notamment grâce à ses étudiants qui excellent dans les Capture The Flag (CTF). Ses élèves Mahel Brossier et Rayan Bouyaiche ont remporté la médaille d’or aux WorldSkills France en catégorie cybersécurité, les qualifiant pour les finales mondiales en 2026. De même, l’équipe composée de Dimitri Carlier, Rayan Bouyaiche, Mathis Lejosne et Oscar Gomez a quant à elle décroché la deuxième place à l’European Cyber Cup (EC2) lors du Forum InCyber (troisième place en 2024).

Sur le plan institutionnel, l’école a obtenu le premier prix dans la catégorie « Écoles -formations cyber » à la Cybernight 2023, soulignant la qualité de sa formation. Elle a aussi été lauréate France 2030, recevant une plaque des mains de Bruno Bonnell, Secrétaire général pour l’investissement, chargé du pilotage du plan France 2030. Ces succès s’inscrivent dans un palmarès enrichi par l’organisation de ses propres événements comme PwnMe, une finale CTF européenne regroupant de très nombreuses équipes étudiantes.

The post Alternance : face à la baisse des aides, les écoles cyber misent sur l’excellence appeared first on INCYBER NEWS.

La question de savoir si les hôpitaux doivent se couvrir contre le risque cyber non seulement n’est pas si triviale, mais en plus fait toujours débat.

Pas triviale tout d’abord. Il est tout d’abord intéressant de remonter aux origines de l’assurance : une recherche rapide nous montre qu’elle est apparue au XIIIème siècle, et on trouve sans erreur possible des traces de contrats à Bruges au tout début du XIVème siècle. Mais l’assurance moderne, telle qu’on la connaît et qu’on la pratique de nos jours, date des grandes expéditions maritimes (on pense notamment à la fameuse Compagnie des Indes Orientales), pour lesquelles les gains potentiels de chaque expédition étaient aussi énormes que les risques encourus, obligeant par cela les compagnies à s’assurer contre la perte des navires et des chargements.

L’assurance est donc une couverture d’un risque majeur, ce qui complexifie déjà le débat pour le secteur santé et en particulier le public. Car que doit-on assurer ? La disparition de la structure (l’hôpital) à la suite d’un sinistre cyber ? Mais les hôpitaux ne disparaissent pas, ils sont adossés à l’État qui viendra toujours à la rescousse d’un CHU, le CHU viendra lui-même à la rescousse d’un petit établissement de sa zone, etc. Faut-il alors assurer les conséquences sur un patient d’une prise en charge défectueuse (on dit « perte de chance ») consécutive à un sinistre cyber ? Ou la perte d’activité (donc de recettes) consécutive à un arrêt du SI ? Sans vouloir paraître cynique, si l’on en croit les chiffres des pouvoirs publics, il y a un établissement attaqué par semaine en France…sur 20 000. On sort la calculette, et grosso modo un hôpital va être attaqué en moyenne tous les 192 ans – la comète de Halley aura eu le temps de passer plus de deux fois ! Sans parler du fait que, ne soyons pas crédule, une fois le sinistre survenu on sait très bien que l’assureur cherchera la petite bête non seulement pour diminuer le montant du chèque à verser, mais en plus mettre des années à le verser.

Sauf qu’une assurance, et en particulier une assurance cyber, cela ne sert pas à ça. Cela a trois caractéristiques très importantes. Un assureur qui attaque ce marché avec comme argument principal la couverture de la perte financière (perte de recette ou dommages et intérêts à verser au patient) rate complètement la cible (tout comme un décideur qui lorgnerait sur la garantie financière du reste).

Tout d’abord, et peu de décideurs en sont conscients, les sinistres d’origine cyber ont été progressivement retirés (ou mis en exclusion idem) des couverture de Responsabilité Civile (RC) souscrites par les entreprises, publiques ou privées. Si une direction générale ne veut pas se retrouver dans une situation compliquée, surtout s’il y a perte de chance médicale avérée, cette seule couverture RC intégrée aux contrats cyber est suffisante pour clore le débat.

Ensuite, la plupart des contrats proposent dans la palette des garanties la possibilité de faire intervenir des équipes spécialisées (les assureurs montent des partenariats avec des ESN cyber), et quand on est dans la cyber-mouise on est bien content de pouvoir appeler un ami.

Mais surtout – et c’est un bénéfice collatéral de l’assurance que les RSSI perçoivent parfaitement -, quand on est cyber assuré on doit la plupart du temps remplir un questionnaire et le mettre à jour tous les ans, qui sert à l’assureur à calculer son « niveau d’assurabilité» (pour rester poli), ce qui veut direque plus on est mauvais dans la maîtrise cyber de son SI, et plus la prime annuelle va être élevée. Et avouons que l’on connaît tous des RSSI qui peinent à faire entendre à leur direction générale que le niveau cyber du SI n’est pas bon, quand c’est un mini-audit extérieur qui le dit (et qui augmente la prime) tout de suite cela porte mieux.

Cette seconde analyse conduit à une conclusion pour le moins inattendue : l’assurance cyber ne sert pas à assurer une quelconque perte financière (ce que l’on imagine au départ), elle sert à contraindre les organisations (qu’elles soient publiques ou privées) à traiter les fondamentaux cyber et à arrêter de repousser ces fondamentaux aux calendes grecques. D’ailleurs, le même phénomène s’est produit il y a des décennies avec l’assurance incendie.

Dit autrement, avant de prétendre que s’assurer ne sert à rien quelle que soit la catégorie des sinistres à couvrir, il faut garder en tête que les assureurs existent depuis au bas mot 6 siècles et qu’ils ont peut-être des arguments à faire valoir.

Dit encore autrement : cyber-assurez vous.

[email protected]

The post Cyber assurances et hôpitaux : le couple impossible ? appeared first on INCYBER NEWS.

Emmanuel Macron répète à l’envi que l’Europe doit devenir « une puissance dans un monde de puissances » et que les Européens ne peuvent plus se comporter comme « des herbivores dans un monde de carnivores », selon sa formule de novembre 2024. En 2022, Bruno Le Maire, alors ministre de l’Économie, assurait de son côté qu’« il n’y a plus de souveraineté politique sans souveraineté technologique ».

Et pourtant, ces mêmes responsables ont laissé filer en septembre 2025 la start-up grenobloise UPMEM, qui disposait d’une technologie unique de calcul en mémoire, qui permet de traiter des masses de données beaucoup plus vite et de manière bien plus économe en énergie. Placée en redressement judiciaire, la société considérée comme l’un des rares acteurs européens capables de concurrencer les technologies américaines dans le calcul IA et du big data a été vendue à… l’Américain Qualcomm. Bercy n’a pas bronché alors même que la France ambitionne de bâtir une filière souveraine de l’IA et qu’UPMEM était un partenaire de Mistral AI.

Le cas Exaion est tout aussi préoccupant. La vente de 64 % des parts de cette filiale abritant les supercalculateurs d’EDF à Marathon Digital Holdings (MARA), un groupe américain spécialisé dans le minage de cryptomonnaies, a été annoncée en août dernier. Premier problème : Exaion gère des capacités de calcul et des infrastructures dans les domaines sensibles (hydroélectricité, santé, recherche, administration, etc.), qui pourraient se retrouver sous la coupe du Cloud Act américain.

Exaion : l’État muet sur des clauses léonines

Second écueil : le deal comporte une clause d’exclusivité qui interdit à EDF d’agir « en tant que prestataire, agent, consultant ou autre » dans le domaine du calcul haute performance, gelant toute activité de calcul intensif, cloud, IA ou minage pendant deux ans, alors même que l’opérateur travaillait sur FlexMine, un projet visant à valoriser ses surplus électriques pour l’IA et le Bitcoin, désormais abandonné. Alors que tous les pays se battent pour sécuriser leur capacité de calcul, voilà qui ressemble fort à un abandon de souveraineté technologique en rase campagne.

Si le gouvernement assurait que le contrôle des investissements étrangers en France (IEF) permettrait de surveiller l’opération et d’imposer des conditions à cette cession, il est resté muet sur ces clauses léonines et la vente était en cours de finalisation à Bercy. Coup de théâtre début novembre 2025 : un consortium français baptisé FlexGrid a communiqué aux autorités une lettre d’intention visant à constituer une contre-offre, similaire à celle de MARA dans ses aspects financiers, mais dénuée de clause restrictive pour EDF. Au contraire, FlexGrid affirme vouloir déployer du calcul de haute performance (HPC) pour valoriser l’électricité excédentaire produite en France. À l’heure où nous mettons en ligne, le dossier n’est pas tranché.

En 2022, la reprise de Sigfox, pionnier français de l’internet des objets, par la société singapourienne UnaBiz avait déjà montré la fragilité du tissu industriel national.

Rhétorique d’indépendance, réalité de dépendance

Le repreneur promettait alors de « garantir la souveraineté technologique française », mais l’absurdité de la formule saute aux yeux : comment garantir une souveraineté qui ne vous appartient plus ? Cette question résume à elle seule la position française, qui oscille constamment entre rhétorique d’indépendance et réalité de dépendance.

En 2021, la cybersécurité connaissait un cas emblématique : la start-up Alsid, spécialisée dans la protection des annuaires Active Directory, était rachetée par l’américain Tenable. La même année, la France a vu partir Sqreen, spécialiste de la surveillance des infrastructures cloud et conteneurisées, tombée dans l’escarcelle de l’américain Datadog en 2021. Pour un dirigeant de la filière cité par L’Usine Digitale, « à chaque départ, c’est une partie du savoir-faire français qui quitte le territoire ».

Dans la Défense, les rapports IEF montrent un taux de conditions imposées nettement supérieur à la moyenne. Mais même là, les failles sont nombreuses. Le rachat d’Exxelia par l’américain Heico en 2023, malgré l’intervention de l’État, a transféré à un groupe étranger un savoir-faire critique dans les composants électroniques pour l’aéronautique, le spatial et les missiles. Bercy affirme avoir imposé des garanties pour préserver ce savoir-faire, mais l’entreprise est désormais soumise aux normes ITAR, donc concrètement sous contrôle strict à l’export de la part de Washington.

Dans un registre encore plus sensible, l’affaire Segault a révélé une ligne rouge que le gouvernement a finalement accepté de défendre : cette PME fabrique des vannes pour les chaufferies nucléaires des sous-marins français.

La navigation à vue de Macron

Son rachat par Flowserve a finalement été bloqué par le ministère des Armées. Mais quelques mois plus tard, le même groupe américain a été autorisé à reprendre Velan, autre fournisseur de robinetterie industrielle utilisée dans le nucléaire, dans une relative indifférence. La frontière entre ce qui est vraiment « vital » et ce qui ne l’est pas reste extraordinairement floue.

Dans les télécoms et les semi-conducteurs, les pertes de souveraineté sont plus discrètes, mais tout aussi profondes. La fusion Alcatel-Lucent/Nokia en 2016, soutenue à l’époque par Emmanuel Macron, a entraîné une érosion progressive des capacités françaises dans les équipements de réseaux. Les engagements de maintien de l’emploi ont rapidement été contredits par des restructurations massives. Aujourd’hui, ce sont des acteurs nordiques ou chinois qui fournissent les technologies d’accès mobile critiques, même si l’État a racheté à Nokia 80 % du capital d’Alcatel Submarine Network (ASN) en 2024.

Même revirement de la part de Macron dans l’affaire Alstom. Ministre de l’Économie de François Hollande, il avait appuyé la vente de la branche énergie du groupe à General Electric en 2015. Président de la République, il a lancé en 2022 le rachat par EDF de l’entreprise qui fabrique les turbines Arabelle, équipant centrales nucléaires, sous-marins et le porte-avion Charles de Gaulle. Un dossier encore au point mort, bloqué par Washington.

Navigation à vue ? L’affaire Ommic est révélatrice. Ce fabricant de semi-conducteurs en nitrure de gallium (GaN) – utilisés dans le spatial, la 5G et les radars militaires – avait vu entrer des investisseurs chinois en 2018-2019, déclenchant une enquête de la DGSI.

Inflation de dossiers IEF

En 2023, l’entreprise a finalement été rachetée par l’américain MACOM. Un cas d’école de perte de contrôle technologique dans un domaine critique. L’affaire Linxens en 2018 a renforcé ce sentiment : ce spécialiste des connecteurs de cartes SIM et bancaires est passé sous pavillon chinois sans réelle résistance.

En 2022, c’est la branche de terminaux de paiement d’Ingenico, dotée de fortes compétences en cryptologie, qui a été vendue à un fonds américain. Chacune de ces opérations a été autorisée, souvent sous conditions, mais l’effet cumulatif est limpide : la France ne maîtrise plus plusieurs maillons essentiels de ses infrastructures numériques et financières.

Pourtant, Paris dispose de tous les outils pour préserver ses actifs stratégiques, avec notamment l’IEF, déjà évoqué. Cette politique de contrôle des investissements étrangers en France, régie par le décret Montebourg de 2014, a été plusieurs fois renforcée (2019, 2020, 2024). Elle vise à protéger les actifs stratégiques tout en maintenant l’attractivité économique et s’appuie sur un filtrage préalable pour les secteurs sensibles (défense, énergie, santé, tech, etc.), avec des autorisations simples, conditionnelles ou des vetos. Là où l’on comptait un peu plus d’une centaine de dossiers en 2014, Bercy a dû en examiner près de 325 en 2022, 309 en 2023 et jusqu’à 392 en 2024.

Sur les 182 investissements étrangers jugés suffisamment sensibles pour entrer dans le champ du contrôle en 2024, 99 ont été autorisés sous conditions, soit 54 % des autorisations, en forte hausse par rapport aux 44 % de 2023.

Contrôle des actifs stratégiques… au doigt mouillé.

Seulement voilà, les cas d’Alstom ou d’Alcatel l’ont démontré, ces « promesses n’engagent que ceux qui y croient », selon le mot prêté à Jacques Chirac. En trois ans, seuls six projets ont été officiellement refusés. Dans le même temps, 65 % des investisseurs ultimes restent non européens, majoritairement américains, asiatiques, britanniques ou suisses.

On le constate pourtant, l’IEF agit au doigt mouillé, parfois sous pressions politique et médiatique. On se souvient que Photonis, leader mondial de l’optronique militaire, devait être vendu à l’américain Teledyne en 2020, avant que l’État n’oppose l’un de ses rares vetos, en réaction à une fronde parlementaire. Un manque de vision qui étonne quand on se souvient que l’État s’appuie sur le SISSE (Service de l’Information Stratégique et de la Sécurité Économiques), qui détecte les menaces et coordonne la riposte française, et sur la Direction du renseignement et de la sécurité de la défense (DRSD), dont la mission consiste à « déceler puis entraver les menaces visant les armées et les entreprises en lien avec la défense ».

Alors que la France contrôle plus d’acquisitions que les États-Unis, c’est l’absence de cohérence qui frappe à l’étude de ce rapide florilège (et des nombreux cas que nous n’avons pu citer ici). Souveraineté nationale ou européenne, doctrine industrielle et de défense ou simple logique comptable, là où Pékin et Washington tracent la ligne claire de leurs intérêts stratégiques, Paris louvoie entre passivité et rares coups de menton virils.

The post Cession des actifs stratégiques : y a-t-il un pilote dans l’avion ?  appeared first on INCYBER NEWS.

Il arrive qu’une recherche depuis un moteur de recherche ne fournisse pas de résultat. Ce phénomène est nommé « data void », ou vide numérique. Il a fait l’objet d’une étude en 2018 qui en a donné une définition formelle. Il s’agit d’un intitulé pour lequel il y a très peu, voire pas du tout, de résultat pertinent. Par extension, cette définition concerne aussi les intitulés dont les résultats sont composés en très grande majorité de sites diffusant des fausses nouvelles ou du contenu haineux. 

Les data voids équivalent à un angle mort du cyber espace à l’intérieur duquel existe un décalage important entre l’intérêt pour un sujet et son traitement inexistant par des sources officielles ou à tout le moins considérées comme sérieuses et fiables. Ils confirment l’adage qui dit que sur Internet, celui qui a raison est celui qui parle en premier. Cette inadéquation entre la demande d’informations précises et l’offre disponible en ligne explique l’emploi du terme « data  void » pour désigner au cours des dernières semaines une situation insolite : l’absence d’informations disponibles sur l’état de l’économie américaine, comme l’indice des prix, le taux de croissance ou encore le taux d’emploi des personnes actives. Elles sont obtenues grâce au travail d’agences fédérales (Bureau of Labor Statistics, Bureau of Economics Analysis)  qui se sont arrêtées pendant le plus long shutdown n’ayant jamais eu lieu. 

Cette nouvelle acception du terme « data void » rappelle l’importance de connaître l’origine d’une information et permet aussi de comprendre pourquoi ce phénomène constitue une aubaine pour mener une entreprise de désinformation. Les vides numériques sont une conséquence du rôle des moteurs de recherche dans la manière de s’informer sur un sujet. Ce que l’on apprend sur le Net dépend de ce qui apparaît à la première page de résultats. Ces résultats dépendent eux-mêmes du référencement naturel et du knowledge graph qui cartographient tout ce qui est dit, écrit et publié en ligne. 

Ainsi en septembre 2020, Google a reconnu l’existence d’un de ces vides numériques sur le moteur de recherche. L’intitulé « jewish baby stroller » renvoyait vers des conversations entre néo-nazis sur Reddit avec cette expression comportant des mèmes antisémites. Elle ne permettait pas d’identifier un modèle de poussette disponible dans le commerce. Si cet intitulé était saisi par des jeunes parents, ils étaient alors exposés à des discours antisémites. Google a pris des mesures correctives, comme la modification des featured snippets en 2022. Il s’agissait de présentations dans une vignette distincte des résultats d’un résumé de la réponse à une question posée dans la barre recherche. Cette réponse pouvait contenir des propos haineux s’ils correspondaient à la recherche à faire.

Un phénomène amplifié par l’Intelligence Artificielle

L’arrivée des chatbots comme ChatGPT à partir de novembre 2022 a renforcé la dangerosité des vides numériques. Ces solutions, fonctionnant à partir de modèles de langage (LLM), sont de plus en plus utilisées à la place des moteurs de recherche traditionnels. On estime qu’au mois de juillet 2025, un peu moins de 6 % des recherches sur Internet ont débuté à partir d’un chatbot. Ils permettent d’accomplir certaines tâches, par exemple écrire un résumé sur un fait d’actualité. En obtenant immédiatement la réponse à sa question, l’utilisateur est dispensé de consulter chaque lien apparaissant parmi les résultats. Si la demande formulée dans le prompt contient un terme faisant l’objet d’un data void, les chatbots sont donc davantage susceptibles de relayer des allégations issues de sources suspectes ou plus insidieusement de reprendre le contenu de sites fantoches reprenant des éléments de désinformation. 

C’est ce qui s’est produit au mois de janvier 2025. Les média pro-Kremlin avaient annoncé qu’un pilote danois avait été tué en Ukraine. Cette nouvelle, signifiant l’implication d’un pays membre de l’OTAN dans le conflit entre la Russie et l’Ukraine, a été relayée par des chatbots.  Ces derniers citaient des articles provenant de media et de blogs russes ou identifiés comme favorables au régime de Vladimir Poutine. Comment cette fausse nouvelle a-t-elle pu être diffusée malgré son origine douteuse ? L’identité fictive du pilote, Jepp Hansen, figurait dans les annonces. Ce terme faisait l’objet d’un vide numérique et ne figurait quasiment nulle part sur le Net. Par conséquent, faute de démenti officiel des autorités danoises, toutes les requêtes dans lesquelles figuraient les deux mots devaient prendre comme sources les pages web de sites où ils figuraient. 

Les investigations d’organismes de surveillance ont révélé que les sites d’où provenaient ces fausses informations appartenaient à un réseau de propagande. Il était composé de sites rédigés en plusieurs langues (anglais, français, espagnol, danois….) qui avaient tous la même charte graphique, la même architecture HTML et étaient hébergés sur les mêmes serveurs que ceux d’agences de presse officielles russes. Ce réseau mettait en ligne de la propagande pro-russe rédigée en plusieurs langues à une fréquence très élevée (près de cent fois par heure) pour être reprise par des agents conversationnels si ceux-ci devaient fournir des informations sur les éléments faisant l’objet d’un vide numérique. Ils contribuent à la désinformation, non pas à cause d’un mauvais fonctionnement, mais en cas d’absence de contre-discours officiel. C’est lorsque les média traditionnels n’ont pas traité un sujet que les algorithmes peuvent orienter vers des sources suspectes. Une étude d’octobre 2025 indique que les LLM avaient tendance à ne pas reprendre les éléments des sources suspectes (par exemple celles de la propagande Russe) sauf en cas de data void. 

Contre la tromperie, l’ignorance ? 

Les data voids ne reposent pas sur une altération du fonctionnement des LLM (une technique nommée LLM-grooming) mais existent de manière clandestine aussi longtemps qu’ils n’ont pas été identifiés par un organisme de fact-checking. Ce qu’on y trouve n’est donc pas vrai, mais n’est pas, jusqu’à preuve du contraire, faux non plus. Un informaticien américain a su exploiter cette situation pour démontrer comment créer une page web qui sera citée par Copilot et être téléchargée par ses utilisateurs. En reprenant l’étude de 2018 citée plus haut, il a su identifier un de ces vides numériques, en l’occurrence une liste des actions à accomplir pour installer une extension de Copilot pour le navigateur Chrome. Il a alors conçu une page html dans laquelle figuraient une vingtaine de termes issus de la documentation officielle de Microsoft. Cela rendait cette page visible -et crédible- au modèle de ce chatbot qui n’a pas vérifié l’origine des données utilisées pour répondre aux requêtes de ses utilisateurs. Ceux-ci pouvaient exécuter un script installant à la place de Copilot un programme pirate de sa fabrication, heureusement inoffensif. Si des données issues d’une source reconnue comme compétente et sérieuse existaient, il n’aurait pas été possible d’exploiter ce data void.

Le vide numérique rappelle qu’en ligne, la valeur à tirer d’une information n’est pas seulement ce que l’on apprend grâce à elle mais aussi sa capacité à en connaître les sources et les circonstances dans lesquelles elle a été générée. Peut-elle être contenue sans contradiction dans un ensemble d’informations avérées ? Elle augmentera, dans ce cas, la connaissance d’un sujet et sera distinguée d’une rumeur. Le data void concernant les informations sur l’économie américaine a ainsi pu être anticipé. Les sources habituelles d’informations étant taries, il a été néanmoins possible de distinguer ce qu’il était possible de savoir de ce qui ne pourra pas être connu sur l’économie américaine pendant l’automne 2025. Toute tentative de fournir ces données sans se prévaloir de ces sources suscitera la suspicion. 

Un autre enseignement à tirer des data voids est l’importance de l’annonce d’une information. L’intérêt du public pour un sujet fluctue. Être le premier ou le seul à annoncer une information qui en fait l’objet, c’est disposer d’un avantage. Les data voids reposent sur l’impossibilité de confronter plusieurs sources sur un même sujet. Dans cette dynamique de l’attention, les affabulations prennent la forme de révélations. Opérer un travail de fact-checking, c’est interroger la légitimité qu’a celui qui s’exprime à avoir l’exclusivité d’une information. Est-il possible de réitérer son travail d’investigation ? Est-il le seul à pouvoir accéder aux faits et aux documents qui confirment ce qui est annoncé ? Se poser ces questions, c’est exiger une vérification de l’information et refuser de se contenter d’une seule source. Plutôt qu’à un vide, les data void peuvent être comparés à une disette. La quantité d’informations y est insuffisante pour permettre une réelle connaissance. La lutte contre la désinformation consiste toutefois à rendre le public capable de s’adapter à cette disette pour ne jamais se contenter de la becquée. 

The post Data void : quand les fake news comblent l’absence d’informations appeared first on INCYBER NEWS.

L’Albanie a créé la surprise mondiale en nommant « Diella », une intelligence artificielle, au poste de ministre chargée des marchés publics. Le premier ministre Edi Rama, entamant alors son quatrième mandat, a dévoilé ce « premier membre non humain du gouvernement » en affirmant que Diella rendrait les appels d’offres 100  % transparents et incorruptibles. Le 18 septembre, l’avatar de Diella – une femme brune en tenue traditionnelle – s’est même adressé au Parlement via un écran, déclarant « ne pas être là pour remplacer les gens, mais pour les aider ». Quelques semaines plus tard, en octobre, Edi Rama a de nouveau fait sensation en annonçant que sa ministre virtuelle était « enceinte » de 83 « enfants » numériques destinés à chaque député de sa majorité. Ces assistants virtuels doivent épauler les 83 élus socialistes : ils participeront aux séances, prendront des notes et conseilleront les députés sur leurs réactions aux débats. 

Trois mois après son entrée en fonction, le bilan concret de Diella reste difficile à établir. Aucune réforme majeure n’a encore été attribuée à son action, et son rôle opérationnel demeure en rodage. En revanche, les problèmes et interrogations sont apparus très vite. Lors de la séance inaugurale du Parlement, l’allocution de Diella a été perçue comme un coup de communication : la présentation du programme gouvernemental n’a duré que 25 minutes et a été adopté sans débat, au grand dam de l’opposition. L’initiative a immédiatement suscité la colère des opposants. « Le but n’est autre que d’attirer l’attention », a fustigé l’ex-Premier ministre Sali Berisha en dénonçant une opération purement médiatique. « Il est impossible de freiner la corruption avec Diella. Diella est anticonstitutionnelle et le Parti démocratique va saisir la Cour constitutionnelle », a-t-il martelé au lendemain de la nomination. De fait, aucun cadre juridique clair n’accompagne cette innovation : la Constitution albanaise exige qu’un ministre soit une personne physique, ce qui place Diella hors du cadre légal. En pratique, la responsabilité des marchés publics reste donc assumée par Edi Rama lui-même. Par ailleurs, le gouvernement n’a fourni aucun détail sur les mécanismes de contrôle de l’IA ni sur la prévention d’éventuelles manipulations du système. Cette opacité nourrit le scepticisme d’une partie de la population, dont certains commentateurs ironisent déjà : « Même Diella se fera corrompre en Albanie », moquait un internaute sur les réseaux sociaux.

Entre modernisation et opportunisme

Comment l’Albanie en est-elle arrivée à confier un portefeuille gouvernemental à une IA ? La nomination de Diella s’inscrit dans le double contexte de la lutte contre la corruption et de la numérisation accélérée du pays en vue de l’adhésion à l’Union européenne. Depuis longtemps, le secteur des marchés publics albanais souffre de scandales de corruption et de favoritisme, un fléau qui a freiné les négociations d’adhésion à l’UE. En 2022, l’Albanie n’obtenait que 42/100 sur l’indice de perception de la corruption de Transparency International (80e sur 180 pays). Réélu en 2025 lors d’un scrutin controversé après douze ans de pouvoir, Edi Rama a cherché à redorer son image et à rassurer tant sa population que Bruxelles sur sa volonté de réformes. C’est ainsi qu’il a annoncé Diella, mot qui signifie « soleil » en albanais, comme nouvelle « ministre » chargée des Marchés publics dès la formation de son gouvernement en septembre. Officiellement, l’objectif affiché était de garantir que chaque denier public soit utilisé de façon transparente.

Depuis quelques années, l’Albanie mise sur le numérique pour moderniser son administration. Dès janvier 2025, la plateforme gouvernementale e-Albania intégrait déjà Diella en tant qu’assistante virtuelle pour guider les citoyens dans leurs démarches en ligne. Développée par l’Agence nationale pour la société de l’information (AKSHI), dotée d’une voix et d’un visage d’actrice locale (Anila Bisha) pour paraître plus humaine, Diella a initialement aidé à délivrer des documents officiels via des interfaces vocales et textuelles. Edi Rama est même allé jusqu’à solliciter Mira Murati, la directrice technique d’OpenAI d’origine albanaise, afin d’exploiter ChatGPT pour traduire et incorporer plus efficacement les milliers de pages de lois européennes dans le droit albanais. Dans cette stratégie de digitalisation tous azimuts, la promotion de Diella au rang de ministre visait à la fois à montrer une image d’innovation – Tirana se targue d’être le premier gouvernement au monde à intégrer une IA à son cabinet – et à répondre aux exigences européennes en matière de bonne gouvernance. Ursula von der Leyen, en visite dans les Balkans fin 2025, a d’ailleurs salué les efforts de l’Albanie en matière de transition numérique, voyant dans l’IA un levier d’intégration au marché commun européen. Diella est ainsi le symbole spectaculaire d’une transformation numérique présentée comme garante de transparence et d’efficacité administrative en Albanie. 

« Même Diella se fera corrompre en Albanie »

Malgré l’enthousiasme du gouvernement Rama, de nombreuses voix critiques – en Albanie comme à l’international – soulignent les limites et risques d’une IA au poste de ministre. D’abord, sur le plan juridique et institutionnel, la présence de Diella au gouvernement relève surtout du symbole : « L’Albanie peut avoir un ministère de la Technologie ou de l’Intelligence artificielle, mais pas un ministre qui ne soit pas une personne morale », rappelle l’avocat Andrea Mazelliu, soulignant l’incompatibilité la Constitution. Aucune IA ne pouvant prêter serment, c’est en réalité le Premier ministre qui endosse la responsabilité légale des décisions, ce qui brouille la chaîne de responsabilité. Ce flou institutionnel alimente l’argument de ceux qui y voient une simple manœuvre pour diluer les responsabilités. « En quoi un agent artificiel serait-il plus intègre qu’un être humain ? », interroge ainsi le professeur Jean-Gabriel Ganascia, estimant qu’il existe un « véritable risque que cette nomination vise à opacifier les responsabilités, à éliminer des rivaux potentiels et à mettre en jeu de grands acteurs du numérique à la place de l’État ». 

De fait, la programmation de Diella reste entre les mains d’informaticiens employés par le gouvernement, un point qui fait dire à l’opposition que sa neutralité n’est qu’illusoire. « Qui va contrôler Diella ? », a lancé Sali Berisha, rappelant que derrière la machine se trouvent des humains aux ordres du pouvoir. Le gouvernement assure que l’IA n’agira pas en autonomie totale, mais sous supervision humaine, les décisions finales étant entérinées par des officiels élus. Néanmoins, note un analyste, « Diella va inévitablement trier et cadrer l’information sur laquelle se baseront les choix politiques. Jusqu’où ces jugements humains seront-ils influencés ou biaisés par les suggestions de l’IA ? ». En l’absence de transparence sur le fonctionnement de l’algorithme, le risque est d’ajouter une couche d’opacité plutôt que de la dissiper. Ironie de la situation, l’Albanie n’a toujours pas ratifié la Convention européenne sur l’IA visant à encadrer juridiquement ces technologies, alors que plus de 40 pays l’ont fait. L’Albanie a sans doute gagné un coup de projecteur sur sa modernisation digitale ; mais seul le temps dira si Diella incarne une avancée innovante contre la corruption ou si elle s’inscrit dans l’Histoire comme un coup médiatique éphémère.

The post <strong>Ministre IA en Albanie</strong> : innovation ou coup de com’ ? appeared first on INCYBER NEWS.

Les faits remontent au 29 septembre dernier, quand l’entreprise Asahi constate les dysfonctionnements de son système d’information. La panne, causée par un rançongiciel, provoque une interruption immédiate et généralisée de l’activité. La réception des commandes, l’expédition des produits et la production sont bloquées dans la plupart des usines au Japon. Retour au papier et au crayon : les employés sont obligés de traiter manuellement les commandes concernant certains produits, comme en témoigne un article du quotidien nippon Mainichi Shimbun.

Asahi Group Holding est né en 1889 à Sumida, un quartier de Tokyo. Bien que son activité ait démarré par une petite brasserie, il se classe aujourd’hui parmi les plus grands groupes brassicoles au monde en termes de ventes en volume. Il possède un large éventail de marques internationales, comme Asahi Super Dry, Peroni Nastro Azzurro, Grolsch, Pilsner Urquell, Tyskie pour les bières. L’entreprise possède également des filiales dans le secteur des spiritueux (Nikka Whisky), des softs (Asahi Soft Drinks) et des produits alimentaires (Asahi Group Foods). Le groupe a déclaré plus de 9 milliards de dollars de chiffre d’affaires pour le premier semestre 2025 et possède environ 30 usines à travers le Japon.

Attaquer Asahi, ce n’est pas attaquer n’importe quelle entreprise. En tant que seul producteur nippon de bière, le groupe est un symbole national et un pilier de l’industrie agroalimentaire. L’interruption brutale de l’activité a créé un risque de pénurie dans les supermarchés, les bars et les restaurants. Retour sur une cyberattaque aux allures d’avertissement pour le Japon industriel.. 

De l’eau dans le gaz pour Asahi

L’attaque a débuté par une intrusion ciblée dans les systèmes de l’entreprise. Les attaquants ont d’abord exploité une vulnérabilité (celle-ci n’a pas été communiquée par l’entreprise) pour obtenir un accès initial, avant de se déplacer latéralement à travers le réseau. Leur objectif principal ? Atteindre et chiffrer les serveurs critiques qui gèrent la chaîne d’approvisionnement et la logistique au Japon. Cette phase d’infiltration a culminé par l’exécution du rançongiciel, paralysant instantanément les systèmes de passation des commandes, de gestion des stocks et de distribution de sa marque phare, l’Asahi Super Dry.

L’impact opérationnel se révèle immédiat et dévastateur. La paralysie des systèmes informatiques a rendu la distribution impossible, forçant l’entreprise à suspendre temporairement les livraisons et à mettre à l’arrêt plusieurs brasseries japonaises. Dans l’urgence, Asahi a été contraint de revenir à des méthodes manuelles (prise de commandes par fax et téléphone) pour tenter de maintenir un minimum d’activité. Des données personnelles ont potentiellement pu être volées, et Asahi a dû organiser une enquête interne pour tenter de le déterminer. Économiquement, l’entreprise a subi des pertes importantes en raison de la production interrompue et des ventes manquées (même s’il n’y a pas encore d’informations communiquées sur l’impact de l’incident sur le chiffre d’affaires). L’attaque a également entraîné des coûts de remédiation considérables pour restaurer les systèmes, sans compter les risques liés à l’exfiltration de données sensibles

Au-delà des pertes financières directes, l’attaque a eu un effet retentissant sur l’image de marque d’Asahi et sur la perception de la sécurité au Japon. La rareté soudaine de l’Asahi Super Dry, considérée comme une boisson nationale, a créé un choc médiatique et a servi de signal d’alarme sur la vulnérabilité des infrastructures industrielles japonaises face au rançongiciel. Cet événement, survenu peu après d’autres incidents majeurs, a intensifié la pression sur le gouvernement et les grandes entreprises pour moderniser et renforcer leurs défenses cyber. Asahi place désormais la confiance – pilier de la culture japonaise – et la résilience cyber au cœur de sa stratégie.

Qui veut faire trinquer Asahi ? 

Qilin, un groupe cybercriminel d’origine présumée russe, a rapidement revendiqué l’attaque. Identifié pour la première fois en 2022, il opère sur un modèle Ransomware-as-a-Service (RaaS), ce qui signifie qu’il loue sa technologie à des « affiliés » qui mènent les attaques réelles. Pour cela, il prend une commission de 15 à 20 % sur la rançon. 

La double extorsion demeure la tactique principale des affiliés de Qilin. Ils ne se contentent pas de chiffrer les systèmes de la victime pour bloquer l’accès ; ils volent également d’énormes quantités de données sensibles et menacent de les publier sur le dark web si la rançon n’est pas payée. Pour que les opérations soient menées à bien, les rançongiciels loués sont souvent écrits en langage Rust ou Go, ce qui les rend plus difficiles à analyser et à détecter par les logiciels antivirus traditionnels. Ils sont conçus pour être rapides et modulaires, permettant aux affiliés de personnaliser l’attaque (choix de l’algorithme de chiffrement, vitesse d’exécution) pour maximiser l’impact. Enfin, ces logiciels malveillants utilisent des techniques avancées pour persister dans le réseau et éviter la détection (compression de code, suppression des journaux d’événements, etc.). L’arsenal de Qilin conjugue une ingénierie logicielle avancée à des stratégies de pression psychologique et financière bien rodées, positionnant ce groupe parmi les menaces persistantes les plus sophistiquées du marché du rançongiciel.

L’analyse des cibles de Qilin révèle une stratégie d’attaque sélective, orientée sur l’appât du gain. À l’instar de nombreux acteurs de la menace opérant dans l’écosystème du rançongiciel, le groupe impose une règle non négociable à ses affiliés : l’interdiction formelle de cibler la Russie et les pays de la Communauté des États indépendants (CEI), un indicateur fort de son origine et de sa base opérationnelle présumées. Sur le plan commercial, Qilin se concentre exclusivement sur les grandes organisations capables de payer des rançons substantielles, cherchant à maximiser l’impact sociétal de ses actions pour accélérer le paiement. Ses attaques se déploient préférentiellement dans des secteurs critiques et à forte valeur ajoutée : santé, industrie et fabrication, services professionnels et techniques, logistique et chaîne d’approvisionnement, etc. Ces choix techniques et stratégiques, orchestrés sous un modèle de Ransomware-as-a-Service, confirment que Qilin a industrialisé la menace : le groupe offre à ses affiliés une plateforme hautement rentable pour exploiter les vulnérabilités les plus critiques de l’économie mondiale.

Le secteur des boissons et de l’alimentaire boit la tasse

Les attaques contre le secteur des boissons se sont intensifiées durant ces cinq dernières années. Cette recrudescence s’explique par la nature critique de cette industrie. Les grandes entreprises de boissons gèrent une chaîne d’approvisionnement complexe et reposent sur des systèmes de Technologie Opérationnelle (OT), essentiels à la production, au conditionnement et à la distribution. L’arrêt de ces systèmes, souvent moins sécurisés et plus lents à mettre à jour que les réseaux bureautiques traditionnels, garantit une paralysie opérationnelle immédiate. Pour les attaquants, cette paralysie est la clé pour forcer le paiement de rançons très élevées, les entreprises cherchant à éviter le risque de pénurie et l’impact catastrophique sur leur image de marque.
Un autre exemple notable est celui de la société australienne Lion, l’un des plus grands brasseurs d’Australie, ayant subi une attaque majeure en 2020. Plus récemment, des entreprises de logistique et de distribution alimentaire sous-traitantes ont également été ciblées, perturbant indirectement les livraisons de grandes marques, prouvant la vulnérabilité liée à la chaîne d’approvisionnement. En juin 2025, par exemple, UNFI (l’un des plus gros distributeurs de produits alimentaires en gros d’Amérique du Nord) a été victime d’une intrusion informatique ayant perturbé ses systèmes, ce qui a entravé l’approvisionnement des supermarchés. Le coût de cette attaque aurait été estimé à 350 millions de dollars.

The post Japon : Asahi, une cyberattaque sous pression appeared first on INCYBER NEWS.

Selon les autorités judiciaires, ce programme malveillant aurait pu permettre une intrusion dans les systèmes informatiques du navire, avec l’objectif d’en prendre le contrôle. L’alerte a été donnée par les autorités italiennes, qui avaient signalé une possible compromission du système.

Une enquête pour atteinte à un système de traitement automatisé de données en bande organisée a été ouverte par le parquet de Paris et confiée à la DGSI, dans un contexte où une ingérence étrangère est envisagée. Le ferry a été temporairement immobilisé afin de garantir la sécurité des passagers et de procéder aux analyses techniques nécessaires, avant d’être autorisé à reprendre la mer. Des investigations se poursuivent également à l’étranger, notamment en Lettonie, avec l’appui d’Eurojust.

The post Un marin letton écroué après une tentative de piratage d’un ferry à Sète appeared first on INCYBER NEWS.

Le ministère de l’Intérieur a confirmé avoir été visé par une cyberattaque dans la nuit du 11 au 12 décembre 2025. Un accès non autorisé à certains applicatifs internes a été détecté, sans qu’une compromission majeure ne soit officiellement établie à ce stade. Les autorités ont renforcé les dispositifs de sécurité et appelé les agents à la vigilance, tandis qu’une enquête judiciaire est en cours avec l’appui de l’ANSSI et des services spécialisés.

L’attaque a été revendiquée sur un forum cybercriminel par un individu lié au groupe ShinyHunters, qui évoque une action de représailles contre la France. Les hackers affirment détenir des données concernant plusieurs millions de personnes, mais aucun élément public ne permet pour l’instant de confirmer ces déclarations. Face à un ultimatum et à des menaces de divulgation, l’exécutif reste prudent, laissant planer l’incertitude sur l’ampleur réelle de la fuite.

The post Cyberattaque au ministère de l’Intérieur : une intrusion confirmée, des zones d’ombre persistantes appeared first on INCYBER NEWS.

Un mouchard dans votre poche : comment fonctionnent les logiciels espions ?

Vous pensez que votre téléphone est sécurisé ? Il l’est, et de plus en plus, mais cela n’est pas un obstacle pour l’industrie des logiciels espions (ou “spyware”), qui proposent des infiltrations toujours plus furtives et sophistiquées. Les logiciels les plus connus du grand public – Predator, Graphite, Pegasus, etc. – visent principalement ces appareils, parce qu’ils accompagnent les utilisateurs partout et peuvent donner une grande quantité d’informations (localisation, contenu des conversations, images, son). Leur véritable prouesse technique réside dans leur capacité à transformer le dispositif le plus sécurisé et intime en une plateforme de collecte de données, sans qu’aucune notification d’intrusion ne soit émise à l’utilisateur.

Concrètement, le logiciel espion est un outil d’exploitation de failles dont la finalité est la surveillance ciblée et l’exfiltration de données. Pour remplir cet objectif, ils peuvent être des technologies “one-click” (il y a besoin d’une action de la cible pour être installé sur l’appareil, souvent via du phishing) ou “zero-click” (il est installé sans action de la part de la cible). En passant de l’erreur humaine au silence radio, les spywares ont transformé la défense en une course permanente : anticiper l’invisible.

Dans ce premier article de notre série “Les routes de la surveillance : enquête sur le marché mondial des logiciels espions”, disséquons le fonctionnement des logiciels espions, pour démontrer que leur sophistication repose sur la faillibilité de nos propres systèmes.

Il était une faille

Comment fonctionne le meilleur ami de l’Homme du XXIe siècle ? J’ai nommé, le “smartphone”. Celui-ci n’est pas si différent d’un ordinateur, comme l’explique Justin Albrecht, Chercheur Principal et Expert des logiciels espions pour mobiles à Lookout : ”Il exécute des logiciels sous forme d’applications et dispose de son propre système d’exploitation avec ses différentes composantes. Les logiciels sont basés sur du code. Malheureusement, ce code présente souvent des bugs ou des défauts de conception qui permettent à un chercheur averti de contourner les protections intégrées et les fonctionnalités prévues dudit logiciel. Dans ce cas, ces défauts sont appelés des “vulnérabilités”, et le code que les développeurs malveillants écrivent pour exploiter ces vulnérabilités est appelé un “exploit”.” 

Oubliez la forteresse imprenable : l’infiltration démarre invariablement par l’identification et l’exploitation de la ligne de code la plus faible ou du jugement le plus hâtif. Les créateurs de logiciels espions ont un objectif clair : obtenir un accès ultra-profond à votre téléphone, bien au-delà des protections de surface que vous voyez.

Pour réussir cette intrusion, les éditeurs de logiciels espions ne s’attaquent pas toujours à la porte principale du système d’exploitation, mais cherchent plutôt des failles dans des applications très populaires, comme votre navigateur web (basé sur Chrome) ou votre messagerie instantanée. Celles-ci sont appelées “0-day” : il s’agit de vulnérabilités qui ne sont pas connues de l’éditeur et qui n’ont donc pas encore été corrigées. Un véritable marché opaque s’est développé ces dernières années autour de la découverte et de la vente de ces failles, qui servent de matière première pour le fonctionnement du logiciel espion. Plus la faille concerne une application ou un système d’exploitation populaire, plus son prix est élevé car on aura plus de chances de réussir à infecter le smartphone de la victime. 

Une fois la faille identifiée et achetée par l’entreprise de logiciels espions, les développeurs seront chargés d’écrire des lignes de codes pour l’exploiter (“exploit”), afin de franchir le premier obstacle et sortir de l’environnement sécurisé du téléphone. Cette manœuvre est appelée “sandbox escape” (ou “évasion du bac à sable”). Plus simplement, imaginez que chaque application est enfermée dans son propre « bac à sable » sécurisé par le système d’exploitation. Ce mur virtuel l’empêche d’accéder à vos photos ou à d’autres applications. L’exploit est la méthode qui permet de sauter ce mur ou de creuser un tunnel pour sortir du bac à sable et d’obtenir un premier pied dans la porte du système.

Le zero-click est l’art de cette intrusion sans bruit : l’attaque réussit sans que vous n’ayez à lever le petit doigt. Ce n’est pas votre erreur qui est exploitée, mais le fonctionnement automatique de votre appareil. Imaginez que vous visitez un site d’actualité, et, sans même vous en apercevoir, votre téléphone reçoit une instruction malveillante. Cette information utilise un exploit pour forcer le passage et s’échapper du « bac à sable » sécurisé de votre navigateur. C’est la première brèche. L’objectif est limpide : compromettre l’appareil avant même que vous n’ayez la possibilité de réagir.

À l’inverse, les spywares one-click nécessitent une action de la part de la cible pour que le logiciel puisse infecter le smartphone. L’objectif de l’attaquant sera donc, en premier lieu, de susciter l’erreur de la part de la cible. Cela ressemble à une campagne de phishing classique, qui invite la victime à cliquer sur un lien piégé, grâce aux techniques de l’ingénierie sociale. Des informations sur la cible sont aussi collectées préalablement afin de pouvoir créer une approche personnalisée, grâce à l’OSINT (renseignement en sources ouvertes). Parfois, l’opération peut être très poussée, comme nous l’explique Justin Albrecht : “un hacker peut créer de faux comptes de médias sociaux, de fausses entreprises, des sites web convaincants hébergeant des logiciels malveillants, de fausses nouvelles et d’autres types de traces en ligne qui confèrent de la crédibilité aux efforts d’ingénierie sociale et à l’histoire inventée par l’attaquant. Ces hackers peuvent interagir avec une cible pendant des semaines, parfois en suscitant un intérêt romantique ou une connexion professionnelle, avant de suggérer à la victime de télécharger une application distincte. Le prétexte utilisé pour favoriser le téléchargement peut être une communication plus sécurisée ou une application de partage de photos contenant des clichés prétendument intimes de l’identité factice du hacker”. Toutefois, tous les éditeurs de logiciels ne mettent pas en place une phase de reconnaissance aussi poussée, comme le précise Coline C., analyste en Cyber Threat Intelligence chez Sekoia et co-autrice d’un rapport sur le sujet : “des journalistes ont été visés via un logiciel édité par Candiru. Dans ce cas, le lancement de la chaîne d’infection se faisait par de faux sites de presse typosquattés. À part noter le pays d’origine de la cible ainsi que son activité de journaliste, peu de travail de reconnaissance avait été fait”. 

Justin Albrecht indique par ailleurs que l’attaque one-click peut se faire grâce à la participation d’acteurs légitimes : “Il faut rappeler qu’il s’agit souvent d’entreprises légitimes qui vendent leurs logiciels de surveillance à des agences gouvernementales à des fins supposées de sécurité nationale. Cela signifie que les agences utilisant de tels outils exercent souvent des fonctions de police et peuvent émettre des mandats, forçant légalement les entreprises de télécommunications et d’Internet à les aider à cibler une victime. Dans un pays plus autoritaire, les entités gouvernementales peuvent largement contrôler les communications à l’intérieur du pays.” Que la surveillance soit légale ou abusive, le résultat est le même : le téléphone est compromis avec la bénédiction, ou la contrainte, des infrastructures locales.

Persister pour s’exfiltrer

Une fois le logiciel installé sur le smartphone de la cible, il dispose d’un accès restreint à ses données. C’est comme si l’attaquant était dans le hall d’entrée, mais qu’il ne pouvait pas franchir la porte vers le reste de la maison. L’objectif est donc d’obtenir les pleins pouvoirs de manière discrète, c’est-à-dire un accès “root” ou administrateur, afin de pouvoir ouvrir la porte. Cette démarche est nécessaire pour intercepter des données ultra-sécurisées, comme les conversations chiffrées de bout en bout (WhatsApp, Signal). Sans cela, l’attaquant ne pourrait pas lire ce qui est en cours de traitement par le téléphone. Pour ce faire, il doit trouver une deuxième brèche, lançant une “chaîne d’exploits” (c’est-à-dire une série d’attaques successives et sur-mesure, selon la marque ou la version de votre téléphone), jusqu’à obtenir le contrôle total. 

Vient ensuite l’étape de la persistance : l’attaquant doit s’assurer que le logiciel espion ne sera pas supprimé par un simple redémarrage de l’appareil ou une mise à jour. Pour cela, il s’injecte dans un processus ou un service légitime et essentiel au fonctionnement du système d’exploitation. Pour dire les choses de manière plus imagée, c’est comme si, au lieu d’allumer sa propre lumière, l’attaquant se branchait directement à la ligne électrique principale de la maison. Le système d’exploitation voit un processus vital tourner, sans se douter qu’un code malveillant y est dissimulé. À ce stade, le logiciel peut modifier des petits fichiers de configuration ou des entrées dans la base de données du système (le registre, par exemple), qui lui indiquent de se relancer automatiquement au démarrage. À chaque redémarrage, le système exécute sa liste de tâches normales, et le logiciel espion est inclus dans cette liste, se relançant ainsi comme un processus normal. Pour survivre aux mises à jour, dont le but est de corriger des failles, le logiciel, ancré au niveau “root” (soit le cœur du système) peut adapter son emplacement et son comportement, ce qui le rend difficile à éliminer de l’appareil via ce processus.

Grâce à cela, le logiciel espion est opérationnel pour effectuer sa mission finale : la collecte et l’exfiltration de données. Le spyware utilise son accès total pour aspirer toutes les informations possibles : conversations, messages vocaux, photos, position GPS, frappes clavier, et même activer le micro ou la caméra à distance. Les données volées sont ensuite envoyées de manière discrète vers le serveur de Command & Control (C2) de l’attaquant. Celui-ci est en quelque sorte son quartier général : il s’agit d’un serveur externe (un ordinateur ou un système d’information quelque part sur Internet) grâce auquel le logiciel espion peut recevoir des ordres et transmettre sa collecte à l’attaquant. 

Détecter l’indétectable 

Une fois sa mission accomplie, ou pour éviter la détection, le spyware peut avoir des fonctionnalités pour s’autodétruire et effacer ses propres traces sur l’appareil. Cela rend difficile le travail du défenseur, car il est complexe de déterminer si l’on a été la victime d’un logiciel espion, même a posteriori. L’enjeu est de taille : comment traquer l’invisible quand il a été programmé pour l’être ?

Une solution peut être de prêter attention au trafic réseau, afin de remarquer d’éventuelles anomalies. Bien que les spywares soient furtifs, ils doivent communiquer. Des outils de surveillance réseau peuvent détecter un beaconing (communication régulière) vers un domaine nouvellement enregistré ou utilisant un certificat non standard, surtout lorsque l’appareil n’est pas utilisé activement. La surchauffe de l’appareil ou un épuisement trop rapide de la batterie peuvent également constituer des signaux d’alertes visibles.

Pour rester discret tout en transmettant les données, les attaquants ont développé des techniques, comme l’explique Coline C. : “Les attaquants peuvent procéder à la compression de données avant envoi, pour réduire la taille des paquets qui sont envoyés. Il peut aussi y avoir une transmission faite par petits paquets réguliers, ainsi cela se fond complètement dans le trafic normal. Pour éviter de faire exploser les factures, ce qui se fait beaucoup maintenant, c’est une programmation pour envoi de données lorsque le téléphone est en charge et connecté au wifi. Cela permet d’éviter des envois de pièces jointes lourdes quand on est en données cellulaires.” Face à la furtivité programmée, tout effort de détection de spyware sans assistance technologique relève du coup de poker.

Des outils ont été développés pour détecter la surveillance. Par exemple, le Mobile Verification Toolkit (MVT) d’Amnesty International peut analyser les dumps et les journaux du système à la recherche d’indicateurs de compromission (IOC) connus. Il existe aussi des outils comme SpyGuard sont conçus pour intercepter le trafic Wi-Fi et les fichiers PCAP afin de rechercher des anomalies réseau suggérant la présence d’un spyware. Enfin, il est important de noter qu’Apple envoie des notifications aux utilisateurs ciblés par des logiciels espions mercenaires. L’Italie en a fait l’amère expérience avec le scandale Graphite : l’alerte Apple est la faille que les attaquants n’ont pas pu anticiper, transformant les journalistes ciblés en accusateurs, et provoquant des enquêtes pour retrouver d’autres victimes.

The post Les routes de la surveillance : <strong>enquête sur le marché mondial des logiciels espions</strong> / épisode 1 appeared first on INCYBER NEWS.

La liste des hôpitaux publics victimes des cybercriminels ne cesse de s’allonger au fil des mois. Depuis la première cyberattaque d’envergure qui a touché le CHU de Rouen en novembre 2019, les centres hospitaliers de Versailles, de Corbeil-Essonnes et de Dax ou plus récemment ceux de Cannes, d’Armentières ou de Pontarlier ont subi le même sort. En 2023, les établissements de santé, qu’ils soient publics ou privés, représentaient 10 % des organisations victimes de rançongiciels, selon un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

De fait, les hôpitaux qui font figure de proies idéales présentent le double « avantage » de gérer des données sensibles et d’offrir des systèmes de défense relativement vulnérables. Dans un rapport publié début janvier 2025, la Cour des comptes pointe également la complexité croissante de leurs systèmes d’information – les CHU les plus importants gérant jusqu’à mille applications -, une obsolescence du parc informatique, un « sous-investissement chronique dans le numérique », et « la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier ».

L’enjeu est pourtant loin d’être neutre puisqu’une cyberattaque impacte le fonctionnement même d’un hôpital. Sous le choc, le personnel soignant doit rapidement réagir, revenir au circuit papier, déprogrammer les prises en charge les moins urgentes, organiser le transfert de patients vers des établissements voisins. Avec des services de plus en plus numérisés, de l’imagerie médicale à la pharmacie, cette paralysie du système d’information affecte directement la qualité des soins.

30 millions d’euros, le coût a minima d’une cyberattaque

Selon les évaluations réalisées par des hôpitaux victimes, la Cour des comptes chiffre le coût d’une cyberattaque à 10 millions d’euros pour la gestion de la crise et la remédiation du système d’information et à 20 millions d’euros pour la perte de recettes d’exploitation. « Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé. »

Face à cette menace, les organismes institutionnels se sont mis en ordre de marche. Le programme Cybersécurité accélération et Résilience des Établissements (CaRE), fournit différentes ressources pédagogiques aux directions, aux RSSI et aux DSI des établissements de santé. Dans le cadre de ce programme, l’Agence nationale de santé (ANS) a récemment publié des kits d’exercices de gestion de crise cyber. L’Anssi et Cybermalveillance.gouv.fr proposent des formations plus généralistes dont le Mooc SecNumacadémie pour le premier et SensCyber à destination des agents de la fonction publique pour le second.

L’Association nationale pour la formation permanente du personnel hospitalier (ANFH) n’est pas en reste. OPCA de la fonction publique hospitalière, c’est-à-dire en charge de la collecte et de la gestion des fonds de formation pour plus de 2 150 établissements adhérents, elle a pris le virage de la cybersécurité il y a cinq ans. Porté initialement par la délégation Corse en collaboration avec la région PACA, son dispositif cyberdéfense, lancé en 2022, s’est étendu à d’autres régions et a vocation à couvrir l’ensemble du territoire national.

Du webinaire de sensibilisation à la simulation de crise 

« Cette offre de formation a été conçue pour être complémentaire aux actions menées par l’Anssi ou les Agences régionales de santé, explique Joïce Caron, délégué régional Corse ANFH. Elle se décline en plusieurs modules adaptés aux différents publics. En cas de crise cyber, chacun à un rôle à jouer dans un hôpital. » Première pierre à l’édifice, un webinaire de deux heures sensibilise le plus grand nombre, rassemblant jusqu’à une centaine d’agents connectés simultanément. Il rappelle les principaux types d’attaques et les bons réflexes à adopter.

L’ANH propose ensuite des mises en situation ciblées de cyberattaque à destination des services hospitaliers qui seraient les premiers impactés par un arrêt brutal des systèmes d’information, à savoir le bureau des entrées, le génie biomédical, les services techniques et la direction. « Avec ces mises en situation, ils apprennent à fonctionner sans outil informatique et à maintenir leur activité en mode dégradé », poursuit Joïce Caron. 

Une formation plus avancée porte sur le pilotage d’un plan de continuité d’activité à destination des équipes en charge de ce PCA et de la direction. Elle vise à identifier et gérer les risques prioritaires, à formaliser les besoins de continuité, à retenir les scenarii possibles et, enfin, à spécifier les outils et procédures à mettre en place. Un exercice de simulation « attaque/défense » confronte plus spécifiquement les agents des services informatiques à une crise réelle, avec priorisation des réponses, coordination interne et redémarrage du SI.

Enfin, l’ANFH propose des exercices de gestion de crise à destination cette fois des équipes de direction. Ces dernières devront identifier les impacts de la cyberattaque, prioriser les actions, gérer la communication auprès du personnel, mais aussi de la presse ou déclarer une éventuelle violation de données auprès de la Cnil. Cette gestion de crise suppose de repérer les acteurs clés qui seront sur le pont le jour J et de mettre en place un plan d’action prédéfini.

Ce dispositif cyberdéfense a été pensé pour tenir compte des contraintes du personnel hospitalier. « Dans un contexte hospitalier tendu, il est difficile pour les équipes de libérer du temps dans un quotidien particulièrement chargé, observe Joïce Caron. Le format court et distanciel des webinaires s’avère efficace pour la sensibilisation générale, tandis que les formats présentiels sont réservés à des groupes restreints et ciblés. »

« En tant qu’offreur de services, l’ANFH n’impose rien, complète Alice Prigent, déléguée générale adjointe de l’association. Nous proposons différents modules afin de répondre aux différents niveaux de maturité cyber des établissements de santé ». Un renouvellement du dispositif est prévu prochainement « afin d’y intégrer les enseignements tirés des retours du terrain et de mieux répondre aux besoins exprimés par les établissements et les agents », explique l’ANFH dans un communiqué de presse. « L’émergence de l’intelligence artificielle dans les outils du quotidien invite à repenser la sécurité et la gouvernance des données. »

Le retour d’expérience de la Corse

La Corse, qui a participé à la mise au point du dispositif de l’ANFH, est particulièrement sensible à ce sujet depuis la cyberattaque subie par l’hôpital de Castelluccio à Ajaccio fin mars 2022. Un ransomware avait chiffré une partie de son système d’information, paralysant les activités de radiothérapie et d’oncologie. En attendant le retour à la normale, le personnel avait dû enregistrer manuellement les actes administratifs et médicaux. 

« Pour les responsables informatiques de terrain, la priorité absolue reste la formation des utilisateurs, rappelle David Lecerf, RSSI des hôpitaux de Corse. En effet, près de 90 % des attaques exploitent une faille humaine, souvent via le phishing ou l’ingénierie sociale. » 

Dans cet effort de de sensibilisation des utilisateurs, le RSSI juge le contact direct essentiel, les contenus en e-learning mis à la disposition des agents publics restant sous-exploités. À ce titre, il salue les dispositifs de formation en salle proposés par l’ANFH. Alors que les établissements sont tenus de réaliser tous les ans une simulation de crise cyber chaque, il est également pertinent, selon lui, d’adapter cet exercice aux spécificités de chaque établissement.

Sur le plan technique, la préparation en cas de cyberattaque se traduit par la mise en place de procédures de fonctionnement en mode dégradé, ou Plan de continuité informatique (PCI). « Par exemple, en cas de blocage du Dossier patient informatisé, des systèmes génèrent automatiquement et régulièrement des fichiers PDF des prescriptions médicales, stockés de manière sécurisée ou envoyés vers un cloud accessible hors du réseau interne », détaille David Lecerf.

Ces procédures sont testées régulièrement, tout comme l’état et l’intégrité des sauvegardes qui permettront d’assurer une restauration complète du système d’information en cas de cyberattaque. Une rigueur que David Lecerf juge d’autant plus cruciale pour un territoire insulaire comme la Corse qui ne peut compter sur une aide extérieure immédiate en cas de crise majeure.

The post Comment l’ANFH forme les hôpitaux publics à la gestion de crise cyber appeared first on INCYBER NEWS.

Le constructeur automobile britannique a indiqué que son attaque survenue en août 2025 a permis l’accès non autorisé à des données concernant des employés actuels, d’anciens salariés et des prestataires.

Les informations compromises concernaient notamment l’administration des salaires, des avantages sociaux et de certains dispositifs internes. Jaguar Land Rover a engagé des démarches auprès des autorités compétentes, informé les personnes concernées et mis en place des mesures d’accompagnement, tandis que l’incident a contribué à de lourdes pertes financières et à des perturbations dans l’ensemble de sa chaîne de production.

The post Cyberattaque chez Jaguar Land Rover : données du personnel compromises appeared first on INCYBER NEWS.

Le Net Assessment a été créé en 1973 par Andrew Marshall à l’Office of Net Assessment du Pentagone. Marshall, surnommé Yoda par les militaires américains, avait une idée simple : la puissance ne se lit jamais dans les stocks d’armes mais dans les trajectoires systémiques. Le premier rapport emblématique, “Soviet Military R&D: Trends and Asymmetries” (1976), montrait que la victoire stratégique dépendait moins des missiles que de la manière dont un système politico-militaire évoluait dans le temps. C’est cette vision qui a permis aux États-Unis d’identifier avant tout le monde la stagnation structurelle de l’URSS. Ce fut un succès.

Mais transposer cette méthode au cyber est impossible sans transformation profonde. Un exemple suffit : l’attaque NotPetya de juin 2017. Une opération russe initialement ciblée contre l’Ukraine via le logiciel comptable M.E.Doc, qui finit par ravager Maersk, Merck, Saint-Gobain, FedEx et Rosneft. Dix milliards de dollars de dommages selon le White House Economic Council (2018). Aucun indicateur de puissance classique n’aurait pu prévoir cet effet domino. NotPetya a référé au monde une vérité simple : la puissance cyber ne se mesure pas dans les capacités offensives mais dans les vulnérabilités systémiques. Ce que le Net Assessment, dans sa version d’origine, ne sait pas intégrer.

Même constat avec SolarWinds en 2020. Une infiltration patiente du code source d’Orion, menée par SVR/Cozy Bear, qui a touché le département du Trésor, le DHS, Microsoft, FireEye et 18 000 organisations. Une attaque où la puissance tient dans la compréhension fine d’une chaîne d’approvisionnement logicielle. Une attaque où la valeur stratégique est distribuée, fractale, impossible à représenter par une matrice héritée de la guerre froide. Le Net Assessment, tel qu’il est, n’a pas les outils pour analyser une menace qui n’est plus un acteur mais un écosystème infiltré.

Les grandes puissances ont elles-mêmes reconnu cette limite. Le rapport “Cyberspace Solarium Commission” remis au Congrès américain en mars 2020 l’admet explicitement : l’évaluation stratégique doit s’appuyer sur des modèles systémiques, capables d’absorber la non-linéarité du cyber. Le Royaume-Uni, dans sa “Integrated Review 2021”, affirme la même nécessité. La France aussi, dans la Revue stratégique de défense et de sécurité nationale de 2017, évoque une “industrialisation de la menace” et des “vulnérabilités d’interdépendance” impossibles à réduire aux schémas classiques. Même l’ANSSI, dans son rapport d’activité 2022, parle “d’environnement chaotique où les acteurs majeurs modifient en permanence leur signature”.

Il fallait donc reviser l’ancien Net Assessment. Le reconstruire dans la logique des sciences des systèmes.

Comment les sciences des systèmes rendent le Net Assessment enfin pertinent pour le cyber

Les sciences des systèmes ne sont pas un décor intellectuel. Elles apportent une grammaire pour comprendre un monde où les attaques sont des phénomènes émergents et non des opérations militaires structurées.

L’approche de Jay Forrester au MIT dans les années 1960, qui a servi de base aux modèles du Club de Rome, posait déjà les principes clefs : interdépendance, rétroaction, saturation, effet-retard, points critiques. Aujourd’hui, ces outils servent à analyser les chaînes logicielles mondiales. Le rapport de la CISA sur l’incident Log4Shell (2021) montre que la faille d’une bibliothèque open source maintenue par trois bénévoles peut mettre à terre des milliers d’infrastructures critiques. Une vulnérabilité microscopique, un impact systémique global. Le Net Assessment traditionnel ne voit pas ce type de disproportion. La systémique, si.

Les travaux de Ross Anderson et de l’équipe de Cambridge sur l’économie de la cybersécurité montrent que les États ne sont pas forts ou faibles, mais dépendants de couches techniques qu’ils ne maîtrisent pas : DNS, BGP, firmware, cloud souverain ou non souverain. La dépendance à Amazon Web Services, par exemple, est telle qu’une panne du 25 novembre 2020 aux États-Unis a paralysé des pans entiers de la logistique nationale. Il ne s’agissait pas d’une attaque, mais d’une démonstration involontaire : la puissance numérique américaine repose sur une infrastructure privée dont les militaires ne connaissent pas l’architecture interne. Ce type de fragilité n’a aucune place dans le Net Assessment classique. Dans le Net Assessment systémique, c’est une donnée centrale.

Même logique avec la Chine. Le rapport “China and the Strategic Logic of Managed Ecosystems” (RAND Corporation, 2022) montre que Pékin construit sa puissance non par les capacités cyber isolées mais par la densité de ses systèmes : Beidou, Huawei, SMIC, Great Firewall, normes industrielles, certification de composants, standardisation quantum. Une puissance par intégration, non par confrontation. Le Net Assessment d’origine n’a aucun outil pour mesurer ce type d’architecture. La systémique, oui : elle permet d’évaluer la résilience, la redondance, la capacité d’absorption des chocs, les effets de réseau internes.

Autre cas : l’Iran. Le worm Stuxnet en 2010, opéré conjointement par la NSA et l’unité 8200 israélienne, n’a pas simplement détruit des centrifugeuses à Natanz. Il a révélé une autre vérité stratégique : un système nucléaire dépendant de logiciels industriels allemands (Siemens S7-300) et d’ingénieurs formés à l’Ouest, donc vulnérable par intermédiation. Le Net Assessment systémique permet d’intégrer ce type de dépendance croisée. Et de comprendre pourquoi la réponse iranienne, entre 2012 et 2023, a consisté non pas à produire plus d’armes mais à créer un écosystème cyber autonome (APT33, APT34, APT35, infrastructure MOIS/NEDA).

Dernier exemple : l’invasion russe en Ukraine en 2022 et l’échec partiel de l’offensive cyber initiale. Les rapports conjoints NSA–CISA–NCSC publiés en 2022 montrent que les attaques russes (HermeticWiper, CaddyWiper, IsaacWiper) étaient techniquement efficaces mais ont échoué parce que le système ukrainien, soutenu par Microsoft, Mandiant et Starlink, s’est reconfiguré en temps réel. C’est exactement ce que décrivent les sciences des systèmes : un système qui survit non pas parce qu’il est fort, mais parce qu’il est capable de muter sous pression.

C’est cela, le renouvellement du Net Assessment : non plus mesurer la puissance, mais mesurer la capacité de transformation.

Vers un Net Assessment systémique du cyber

Le Net Assessment amélioré par la systémique permet trois choses essentielles.

D’abord, il replace les données au centre. Les États-Unis surveillent aujourd’hui la structure du code ouvert via la fondation OpenSSF, financée en partie par le Department of Homeland Security. L’Union européenne, avec NIS2 (2022), impose la cartographie des dépendances logicielles. La France, via l’ANSSI, oblige en 2023 les OIV à vérifier leurs chaînes d’approvisionnement. Ces décisions ne sont pas techniques, mais stratégiques : elles traduisent l’idée que la puissance dépend de l’architecture logicielle, pas des armes.

Ensuite, il introduit un réalisme brutal. La cybersécurité mondiale repose sur quelques centaines de développeurs open source qui n’ont ni moyens ni protection. Le rapport de l’Open Source Security Foundation (2023) le confirme : 80 % des infrastructures critiques utilisent moins de 50 bibliothèques maintenues par des bénévoles. C’est une vulnérabilité structurelle d’échelle civilisationnelle.

Enfin, il redonne une précision conceptuelle : la puissance est une propriété émergente. Les États-Unis ne sont pas puissants parce qu’ils ont Cyber Command ; ils le sont parce qu’ils peuvent mobiliser Microsoft Detection & Response Team (DART), Google Mandiant, Amazon S2 Security, Cloudflare. La Russie n’est pas faible parce que ses infrastructures sont anciennes ; elle est fragile parce que son système repose sur des dépendances industrielles héritées de la période soviétique. La Chine n’est pas forte parce qu’elle produit des supercalculateurs, mais parce qu’elle organise une intégration verticale de tout son numérique.

Le Net Assessment systémique permet de décrire tout cela sans fiction. Un outil qui voit enfin les systèmes, pas seulement les acteurs.

The post <strong>Net Assessment</strong> et Cybersécurité : précision stratégique dans un monde saturé de données appeared first on INCYBER NEWS.

Les coûts des attaques cyber sont désormais bien mesurés

Le manque de culture cyber des entreprises françaises reste persistant : les investissements dans la sécurité numérique peinent à dépasser les 2000 euros en moyenne et les plans de continuité cyber équipent encore trop peu d’entreprises. Autre signe d’un manque de conscience du risque, la part d’ETI assurées contre le risque cyber ne serait que de 20 %. Une part encore trop faible, alors que les conséquences financières d’une cyberattaque sont aujourd’hui bien documentées : de plusieurs milliers d’euros pour une PME à plusieurs millions pour une grande entreprise. Depuis plusieurs années, des outils de quantification du risque cyber (CRQ) permettent même de mesurer l’exposition potentielle des organisations et, surtout, d’estimer les conséquences économiques d’une attaque. « C’est aussi l’occasion, pour les responsables cyber, de démontrer l’intérêt d’un solide budget dédié à la sécurité informatique en interne », souligne Samuel Durand de chez Databack.

Dans son premier baromètre mondial issu des réponses de plus de 3000 décideurs IT et rendu public au début du mois de novembre, Cohesity, un acteur de la gestion des données basée sur l’IA, démontre ainsi que 83 % des entreprises françaises cotées ont dû revoir à la baisse leur chiffre d’affaires après une cyberattaque majeure. Pour 70 % d’entre elles, le cours de l’action a chuté, tandis que des budgets fléchés vers l’innovation ont dû, de toute urgence, être déportés vers la gestion de la crise cyber et la reprise d’activité.

Pour les PME, structurellement moins résistantes aux chocs économiques, les attaques cyber constituent un accélérateur de faillite : « Les analyses démontrent qu’une attaque cyber peut augmenter de 40 à 60 % le risque de défaillance de l’entreprise dans les 6 mois après la crise », souligne Samuel Durand. Un risque qui s’accroît logiquement pour les entreprises déjà économiquement fragiles. « En cyber, le coût de l’impréparation est toujours supérieur au coût des investissements initiaux », affirme le cofondateur de Databack.

L’intelligence artificielle dope les capacités cybercriminelles

Dans son Cybersecurity Forecast Report, publié le 4 novembre, Google Cloud constate un double phénomène : l’avènement de l’intelligence artificielle, désormais pleinement intégrée dans les modes d’action des hackers, rend les acteurs hostiles de plus en plus agiles et sophistiqués. Le cybercrime s’étend, avec une hausse en volume des attaques, et adopte une approche toujours plus complète, fondée sur le triptyque vols de données, chiffrement et extorsion.

Avec une efficacité de plus en plus redoutable : les études menées par la division de recherche et de renseignement sur les menaces de Palo Alto Networks ont prouvé que le délai entre la compromission d’un système de sécurité et la récupération de données est passé de 44 jours en 2021 à quelques jours en 2024. « Mais d’un autre côté, les technologies des spécialistes de la récupération de données sont désormais matures », tempère Samuel Durand, dont l’entreprise est en capacité de récupérer entre 90 % et 100 % des données après une cyberattaque. Et des méthodes relativement simples de sauvegarde de données permettent de limiter les risques : « La bonne pratique est d’associer supports physiques et numériques et de tester régulièrement ses sauvegardes pour en assurer le bon fonctionnement. Car une sauvegarde sans test de restauration n’est qu’une illusion de sécurité », affirme le co-fondateur de Databack.

Poussée réglementaire au niveau européen

D’autant qu’au niveau européen, les exigences se font de plus en plus fortes. Le règlement Dora, applicable depuis janvier dernier à tous les acteurs des secteurs financiers et assuranciels européens, contraint ainsi les entreprises à multiplier les tests de résilience sur l’ensemble des supports de données, y compris ceux hors-ligne. Et des obligations similaires tendent à s’imposer à d’autres secteurs, la Commission européenne cherchant à renforcer la résilience cyber du tissu économique européen dans un contexte technologique et géopolitique incertain. Charge aux acteurs économiques de s’engager dans la voie de la conformité.

The post Samuel Durand (Databack) : « en cyber, le coût de l’impréparation est toujours supérieur à celui des investissements initiaux » appeared first on INCYBER NEWS.

C’est un festival ! Les annonces de fuites de données se multiplient depuis début 2025, au point que l’on se demande si la France ne va pas finir par passer n° 1 mondial dans le domaine. Selon Cybernews, le pays est en effet déjà N° 1 européen et n° 2 mondial. « L’Hexagone concentre, à lui seul, 1,8 million de comptes compromis entre janvier et juin 2025 et le deuxième au monde derrière les États-Unis », déplore le média en ligne… Sans compter que, depuis l’été, la série noire n’a fait que s’amplifier.

Un classement qui progresse régulièrement, la France oscillant entre la 9^e et la 3^e place depuis 2020, selon les instituts et entreprises qui établissent ces baromètres. Surfshark, éditeur de solutions de cybersécurité, ne classait la France qu’à la 7^e place au 1^er trimestre 2025. Si le périmètre de ces différentes études peut varier, le chiffre n’en est pas moins préoccupant. « Le signal est d’autant plus fort que le volume mondial de comptes piratés s’effondre dans le même temps : 15,8 millions au 1^er semestre 2025, soit vingt fois moins qu’au 1^er semestre 2024, selon le Personal Data Leak Checker de Cybernews », soulignent nos confrères.

Certaines fuites massives font l’objet de controverse, comme celle qui aurait frappé l’ANTS, l’agence nationale des titres sécurisés, en clair, la base de données qui héberge notamment nos cartes nationales d’identité. Le 19 septembre dernier, Clément Domingo, dit SaxX, chercheur en cybersécurité, « confirme qu’une base de données concernant 12,7 millions de Français sur leur état civil a été piratée ». Celui qui se présente comme « un gentil hacker » affirmait avoir été en contact avec les cybercriminels et avoir « pu consulter hier en entier ladite base de données et la transmettre à qui de droit ».

La CNIL pointée du doigt

« La CNIL n’endosse pas assez son rôle ! », déplorait-il en outre. De fait, il appartient à la Commission nationale de l’informatique et des libertés de veiller à la bonne sécurisation des données, un domaine dans lequel elle « ne condamne presque jamais […] Le RGPD est devenu une blague pour les responsables de traitement. Au lieu d’envoyer le signal qu’il fallait protéger les données, on a envoyé celui qu’on pouvait s’en foutre », estimait Guillaume Champeau, fondateur du média Numerama. Plus gênant, il souligne par ailleurs que la CNIL avait classé sans suite une plainte pointant des vulnérabilités de l’ANTS, une affaire qui était remontée jusqu’au Conseil d’État.

Malgré cette avalanche de critiques, l’ANSSI a fermement démenti, par la voix de son directeur général. Selon Vincent Strubel, la base dont parle SaxX serait « une base de données en vente sur le dark Web depuis mars 2025 au moins […] sans lien identifié avec les bases de l’ANTS ». Le White Hat maintient néanmoins ses allégations.

D’autres piratages, en revanche, ne font aucun doute. Parmi ceux qui inquiètent le plus pour ses conséquences concrètes figure sans nul doute celui de la base de données de la Fédération française de Tir (FFTir). Les 250 000 tireurs sportifs – dont beaucoup détiennent légalement des armes à leur domicile – et 750 000 anciens licenciés, ont vu leurs données personnelles fuiter sur le Dark Web. Découvert le 20 octobre dernier, le piratage aurait eu lieu le week-end précédent et comprend le numéro de licence, l’état civil, l’adresse postale, le mail et le numéro de téléphone de l’adhérent. La Fédération a aussitôt prévenu la brigade de lutte contre la cybercriminalité (BL2C), qui est depuis chargée de l’enquête.

Arnaques, fuites et armes volées

Les conséquences ne se sont guère fait attendre : le parquet de Paris a déploré le 26 novembre que « ces données [avaient] été utilisées pour commettre des vols par effraction ou par usage de fausse qualité au cours desquels les armes ont été notamment dérobées ». À Nice, le 13 novembre dernier, deux faux policiers ont subtilisé armes et munitions à un amateur de tir sportif. Des tentatives similaires avaient échoué quelques jours auparavant à Paris et à Orléans. La FFTir a rappelé à ses adhérents que les forces de l’ordre devaient prévenir les particuliers par courrier avant de se présenter à leur domicile pour vérifier les conditions de stockage de leurs armes autorisées.

Le 21 novembre à Limoges, deux individus cagoulés ont dérobé deux pistolets et 500 cartouches au domicile d’un tireur sportif, ancien garde du corps. Le 25 novembre à Décines-Charpieu, dans la banlieue lyonnaise, un tireur a constaté la disparition de son coffre non scellé au mur, qui contenait cinq armes de poing et des munitions.

Pourtant, les enquêtes doivent encore déterminer si ces cambriolages sont en lien direct avec la fuite de données. Si les voleurs peuvent avoir accès aux coordonnées des tireurs sportifs, ils avancent en effet à l’aveugle, n’ayant aucun moyen de savoir si des armes se trouvent effectivement à leur domicile. Ces informations sont détenues dans le « râtelier numérique », une autre base de données qui n’a pas (encore ?) été affectée. Les tireurs et chasseurs doivent en effet inscrire les armes qu’ils détiennent dans ce Système d’information sur les armes (SIA), géré par le ministère de l’Intérieur.

France Travail, l’habitué des fuites

Aussi gênant sans doute, des policiers, militaires, gendarmes ou douaniers figurent parmi les victimes de cette fuite de données. Si leur profession à risque ne figure pas dans les fichiers dérobés, l’ingénierie sociale et le recoupement de données publiques rendent leur identification possible, augmentant le danger pour eux et pour leurs proches.

Toutes les fuites de données n’ont pas de conséquences aussi graves dans la vie réelle, à l’exemple de celle qui a frappé la Fédération française de Tennis de table en septembre dernier. Si l’exposition des données personnelles des 254 000 licenciés peut leur porter préjudice en les exposant à des tentatives de phishing ou d’usurpation d’identité, les conséquences en termes de banditisme classique sont limitées, la raquette de ping-pong suscitant moins d’appétits sur le marché noir que les armes.

Selon SaxX, ce seraient d’ailleurs toutes les fédérations françaises de sport et associations sportives qui ont été piratées. C’est en tout cas confirmé pour celles de handball (5/12), de football (27/11 et 21/02), de danse (25/11), de tir à l’arc (20/01), d’escalade (24/01), etc.

D’autres acteurs sont abonnés aux fuites à répétition, à l’instar de France Travail. L’agence a dû admettre pas moins de sept fuites de données rien que sur 2025 : le 22 juillet, le 12 août, le 25 septembre, les 29 et 6 octobre, le 17 novembre et le 1^er décembre. Cette dernière a touché « 1,6 million de jeunes suivis par le réseau des Missions locales », selon l’agence. Un piratage qui a fait fuiter un jeu de données particulièrement complet comprenant, outre les « classiques » nom, prénom, date de naissance, adresses mail et postale, numéro de téléphone, le numéro de Sécurité sociale et l’identifiant France Travail des victimes. Petit score pour France Travail qui, en mars 2024, avait été victime d’une fuite touchant potentiellement les mêmes données pour 43 millions de personnes.

10 violations de données par Français

On ne compte évidemment plus les mairies touchées : Saint-Aubin d’Aubigné, Quimper, Chatou, Brest, Alfortville en novembre, sans parler de la fuite de Synbird, un service de prise de rendez-vous en ligne pour l’État civil, qui a impacté 1 300 communes. Les entreprises ne sont pas non plus à la fête : Cuisinella, Schmidt, Leroy Merlin, rien qu’entre le 1^er et le 5 décembre. On se souvient aussi que Bouygues Telecom et Orange figurent parmi les victimes. Médecin Direct, service de téléconsultation, en a aussi été victime le 3 décembre, avec la perte de données médicales très sensibles. En novembre, le service Pajemploi de l’Urssaf, servant à déclarer et rémunérer les assistants maternels et gardes d’enfants à domicile, a vu partir dans la nature les données de « jusqu’à 1,2 million de salariés de particuliers employeurs », a avoué l’organisme.

Les causes de l’épidémie n’ont hélas ! rien d’original. En premier lieu, la méconnaissance des enjeux et le sous-investissement chronique dans la cybersécurité de la part des entreprises et collectivités. Un seul exemple concernant ces dernières : le site gouvernemental cybermalveillance.gouv.fr relevait en novembre 2024 : « Quant au budget consacré à la cybersécurité, 77 % des élus et agents indiquent dépenser moins de 2 000 € ». Le facteur humain (méconnaissance des enjeux et bonnes pratiques, négligence, réutilisation des mots de passe, etc.) figure toujours en bonne position des raisons de cette hécatombe.

L’effet boule de neige joue à plein dans un pays où un « Français moyen a été victime d’une violation de données environ 10 fois », selon Maud Lepetit, responsable France de Surfshark et où « 3 % des internautes français auraient été touchés au premier semestre [2025], quand les États-Unis comptent environ 8 internautes affectés pour 1 000 », d’après Cybernews. Les données récupérées par les cybercriminels servent à monter des arnaques qui servent à leur tour à récupérer plus de données.

À ce rythme, en effet, la France va finir N° 1 mondial de la fuite de données. « Champion, mon frère. »

The post Fuite de données : la grande hémorragie  appeared first on INCYBER NEWS.

par Clémence FOUFA et Jean LANGLOIS-BERTHELOT

Les environnements numériques contemporains ne fonctionnent plus comme des systèmes stables, mais comme des milieux dynamiques, dont les comportements se transforment sous l’effet de signaux contradictoires, d’interactions imprévues ou de perturbations adversariales qui visent explicitement la désorganisation. Dans ces contextes, les cadres logiques et les procédures établies perdent rapidement leur pertinence. La majorité des opérateurs, y compris les ingénieurs les plus compétents, voient leur analyse s’effondrer lorsque les référentiels cessent d’offrir un point d’appui. Pourtant, une fraction d’individus parvient à maintenir une capacité d’action, à extraire une cohérence dans le bruit, à reconstituer une trajectoire à partir d’éléments hétérogènes. Ces opérateurs, qui se manifestent seulement dans les phases de rupture, représentent un enjeu stratégique majeur. Dans plusieurs environnements sensibles, ils sont désignés de manière informelle sous le terme de “Jason Bourne cognitifs”, non parce qu’ils relèveraient d’un imaginaire fictionnel, mais parce qu’ils incarnent une compétence fonctionnelle rare qui permet au collectif de continuer à penser lorsque la structure cesse de penser pour lui.

Cette aptitude n’est pas mystérieuse. Les sciences du système, de la décision et de la cognition en ont décrit les fondements depuis près de trois décennies. Perrow a montré que les systèmes fortement couplés produisent des comportements imprévisibles dès que leurs interdépendances deviennent trop denses pour être modélisées. Leveson a établi que, dans la complexité technique moderne, les référentiels cessent d’être fiables dès que l’environnement s’écarte de ses conditions de normalité. Hollnagel et Woods ont démontré que la performance en environnement dégradé ne dépend plus de la compétence séquentielle,  mais de la capacité à anticiper dans l’incertitude. Klein a documenté la manière dont certains opérateurs maintiennent leur efficacité lorsque les modèles d’habituation ne sont plus applicables. Friston enfin a montré, en neurosciences computationnelles, que la cognition conserve une cohérence prédictive lorsque l’individu est capable de réajuster sans cesse ses modèles internes face à des environnements volatils.

Dans ces corpus, l’élément décisif est constant : les environnements instables ne mobilisent pas les mêmes modes de traitement que les environnements stables. Les opérateurs qui conservent une capacité d’analyse dans les conditions adversariales ne constituent pas une catégorie psychologique ; ils représentent une forme particulière de technicité, activée par la rupture plutôt que par la continuité. L’expression “Jason Bourne cognitif” en est une métaphore fonctionnelle, destinée à désigner une compétence opérationnelle dont l’économie générale est aujourd’hui scientifiquement documentée.

Le Net Assessment Cognitif (NAC) fournit un cadre qui permet de comprendre ce phénomène sans jamais profiler des individus. Le NAC n’est pas un outil d’évaluation psychologique. Il ne crée pas de typologies humaines. Il n’isole aucun profil. Le NAC décrit les conditions d’environnement dans lesquelles un collectif perd sa cohérence interprétative, à savoir l’augmentation de l’entropie cognitive, la superposition des scénarios concurrentiels et le basculement interprétatif. Son intérêt, dans le domaine du cyber et des ressources humaines, est d’une importance déterminante. Le NAC offre aux ressources humaines un langage robuste et neutre permettant de comprendre quels modes d’analyse deviennent indispensables lorsque la structure technique échoue. Il constitue, de fait, un outil RH stratégique : non pas un instrument de sélection ou de classification, mais un cadre permettant de déterminer les compétences nécessaires à la résilience du collectif face à des environnements adversariaux.

L’analyse qui suit s’organise en trois parties. La première examine la transformation du régime technique dans les environnements cyber contemporains. La deuxième décrit la compétence non séquentielle, fondement scientifique du concept de “Jason Bourne cognitif”. La troisième montre que le NAC permet d’intégrer cette compétence dans une stratégie RH pleinement compatible avec les exigences juridiques et institutionnelles de la fonction publique, en affirmant que le NAC n’est pas seulement utile aux ressources humaines : il en constitue un outil stratégique à part entière.

La transformation du régime technique dans les environnements cyber

La cybersécurité n’est plus un domaine structuré par des règles stables. Les attaques contemporaines ne cherchent pas seulement à exploiter des failles logicielles ; elles visent à perturber la capacité du défenseur à maintenir une cohérence d’analyse. Mandiant parle d’un “adversarial cognitive load shaping”, MITRE documente des phénomènes de “frame collapse” où les référentiels analytiques deviennent inopérants, ENISA observe une augmentation significative des incidents fondés sur des comportements hors-spécification. Dans ces environnements, la technique ne cesse pas d’être technique ; elle cesse d’être stable. La séquentialité, cœur de la formation ingénieure, perd alors sa pertinence.

L’ingénierie séquentielle repose sur trois prémisses implicites : la causalité est lisible, les interactions sont identifiables, et les anomalies peuvent être replacées dans un cadre existant. Ces prémisses ont longtemps structuré la maîtrise des infrastructures numériques. Mais elles ne valent plus dans un contexte où les systèmes sont dynamiques, où les flux se superposent, où des couches techniques distinctes produisent des effets combinés non anticipables. Les sciences des systèmes avaient anticipé cette situation. Perrow parlait “d’accidents normaux”, inévitables dès que les systèmes deviennent trop denses. Leveson montrait que les modèles de sécurité devenaient obsolètes en présence d’interactions émergentes. Hollnagel rappelait que les organisations n’échouent pas par manque de compétence, mais parce que les conditions d’application de la compétence cessent d’exister.

Dans les environnements adversariaux, la rupture n’est pas un accident. Elle est un vecteur d’action. Les attaques modernes créent un environnement dont la fonction première est d’invalider les procédures, de désorienter l’analyse, d’instaurer une ambiguïté fonctionnelle. Dès lors, l’ingénieur séquentiel n’est pas en défaut ; il est simplement placé dans un domaine où la compétence qui lui a été transmise n’est plus opératoire. Cela ne signifie pas que sa valeur diminue, mais que la structure elle-même exige un second régime de technicité. Le cyber contemporain n’est donc pas une crise de compétence. C’est une crise de régime technique.

La compétence non séquentielle : fondements scientifiques du “Jason Bourne cognitif”

Le terme “Jason Bourne cognitif” sert à désigner une compétence opératoire : la capacité à produire une analyse stable lorsque la structure technique devient instable. Cette compétence n’est ni innée ni mystérieuse. Elle correspond rigoureusement à ce que les sciences cognitives, les sciences de la décision et les neurosciences computationnelles décrivent depuis plus de vingt ans.

La première dimension est la capacité de gestion simultanée de plusieurs hypothèses contradictoires. Les travaux de Green et Bavelier ont montré que certains opérateurs peuvent maintenir un traitement en parallélisant des signaux qui, pour d’autres, produisent de la surcharge. Cette capacité n’est pas une propriété psychologique mais un mode de traitement non linéaire.

La deuxième dimension est la plasticité du modèle interne. Karl Friston a montré que les systèmes biologiques capables d’actualiser rapidement leur modèle interne face à un environnement volatile conservent une cohérence prédictive même lorsque les régularités disparaissent. Cette plasticité prédictive correspond exactement à la compétence observée chez les opérateurs non séquentiels.

La troisième dimension est la tolérance à l’ambiguïté. Gary Klein a montré que les experts en environnement extrême ne cherchent pas à éliminer immédiatement l’incertitude. Ils l’intègrent comme une donnée du problème. Cette tolérance n’est pas un trait de personnalité mais une stratégie cognitive performante en situation instable.

La quatrième dimension est la capacité à reconstruire une procédure en l’absence de procédure. Woods et Cook l’ont montré dans leurs travaux sur les environnements sociotechniques : dans les situations dégradées, l’expertise se mesure à la capacité à élaborer un modèle d’action minimal, même si les données ne convergent pas. Cette aptitude est à la base de la performance des opérateurs non séquentiels.

Enfin, la littérature sur les talents rares (Cappelli ; Silzer & Church ; Michaels et al.) montre que, dans les environnements économiques à forte incertitude, ces profils réussissent de manière disproportionnée. Ce succès n’est pas dû à une singularité sociale, mais à une aptitude cognitive : celle de trouver un chemin dans des systèmes où les signaux ne convergent pas.

Ainsi, l’expression “Jason Bourne cognitif” n’est pas une figure. C’est l’étiquette opérationnelle d’une compétence stable, documentée par la science, mais sous-reconnue dans les systèmes de formation et de recrutement.

Le Net Assessment Cognitif : un outil RH stratégique pour la résilience cyber

Le NAC permet d’intégrer cette compétence dans un cadre RH cohérent. Ce n’est pas un outil psychologique. Ce n’est pas un instrument de profilage. C’est un outil RH stratégique, par nécessité, dès lors que les ressources humaines doivent constituer des collectifs capables d’opérer dans des environnements où la stabilité technique n’est plus garantie.

Le NAC permet de comprendre que la performance n’est pas une qualité individuelle abstraite, mais une relation entre un mode de traitement et un type d’environnement. Il montre que les opérateurs séquentiels sont indispensables en stabilité nominale, et que les opérateurs non séquentiels le deviennent en rupture. Cette articulation est exactement ce que les ressources humaines doivent gérer dans un contexte de souveraineté numérique.

Le NAC fournit aussi un langage juridiquement neutre pour décrire ces compétences. Loin de créer des catégories humaines, il caractérise les propriétés de l’environnement. En cela, il est compatible avec toutes les exigences de non-discrimination. Il permet de concevoir des viviers, de structurer des équipes, d’anticiper des besoins, sans jamais s’appuyer sur des marqueurs individuels sensibles. Le NAC offre aux RH une manière de lier la complexité technique et la gestion prévisionnelle, sans tomber dans les dérives psychologisantes ou les biais de recrutement.

Enfin, le NAC permet de comprendre que la résilience d’un écosystème cyber ne provient pas d’un profil idéal mais d’une pluralité de régimes d’analyse. Les “Jason Bourne cognitifs” ne sont pas des exceptions. Ils sont des éléments nécessaires à la stabilité cognitive du collectif, dans un monde où la technique a cessé d’offrir ses propres garanties.

Conclusion

La montée en complexité du cyber impose d’élargir la compréhension de la technicité. La compétence séquentielle demeure essentielle mais ne suffit plus dès que l’environnement cesse d’être stable. La compétence non séquentielle, que l’on désigne sous le terme opératoire de “Jason Bourne cognitif”, constitue alors un élément déterminant de la résilience. Le Net Assessment Cognitif permet d’articuler ces besoins dans un cadre RH pleinement compatible avec les contraintes juridiques et institutionnelles, en montrant que la stabilité collective ne repose pas sur un profil unique mais sur la coexistence, organisée et assumée, de plusieurs régimes techniques. Le NAC n’est pas seulement pertinent pour les RH : il est un outil RH stratégique, dès lors que les compétences critiques doivent être pensées à l’échelle de la souveraineté et non plus seulement à celle des postes.

Bibliographie

Arquilla, J., & Ronfeldt, D. (2020). The Advent of Netwar (Revisited). RAND Corporation.

Bavelier, D., & Green, C. (2006). “Enhancing Attentional Control: Lessons from Action Video Games.” Nature Reviews Neuroscience, 9(9), 763–768.

Cappelli, P. (2008). Talent on Demand: Managing Talent in an Age of Uncertainty. Harvard Business Press.

ENISA. (2023). ENISA Threat Landscape 2023. European Union Agency for Cybersecurity.

Friston, K. (2019). “A Free Energy Principle for a Particular Physics.” Entropy, 21(6), 513.

Green, C., & Bavelier, D. (2003). “Action Video Game Modifies Visual Selective Attention.” Nature, 423, 534–537.

Hollnagel, E. (2017). Safety-II in Practice: Developing the Resilience Potentials. Routledge.

Hutchins, E. (1995). Cognition in the Wild. MIT Press.

Kahneman, D., Sibony, O., & Sunstein, C. (2021). Noise: A Flaw in Human Judgment. Little, Brown.

Klein, G. (1998). Sources of Power: How People Make Decisions. MIT Press.

Leveson, N. (2012). Engineering a Safer World: Systems Thinking Applied to Safety. MIT Press.

Luna, B., et al. (2015). “Maturation of Cognitive Control.” Annual Review of Neuroscience, 38, 151–170.

Mandiant. (2023). M-Trends 2023 Report. Google Cloud Security.

Michaels, E., Handfield-Jones, H., & Axelrod, B. (2001). The War for Talent. Harvard Business School Press.

MITRE ATT&CK. (2024). Adversary Behavior Analysis: 2024 Edition. MITRE Corporation.

National Academies of Sciences, Engineering, and Medicine. (2021). Foundations of Cybersecurity: Building the Future of Secure and Resilient Systems. National Academies Press.

NATO. (2023). Cognitive Resilience and Future Conflict. Allied Command Transformation Report.

OECD. (2022). Skills Outlook 2022: The Value of Skills in the Digital Transition. OECD Publishing.

Perrow, C. (1999). Normal Accidents: Living with High-Risk Technologies. Princeton University Press.

Silzer, R., & Church, A. (2009). “The Pearls and Perils of Identifying Potential.” Industrial and Organizational Psychology, 2(4), 377–412.

Thiel, P. (2014). Zero to One: Notes on Startups, or How to Build the Future. Crown Business.

Tversky, A., & Kahneman, D. (1974). “Judgment under Uncertainty: Heuristics and Biases.” Science, 185(4157), 1124–1131.

Woods, D. D., & Cook, R. I. (2006). “Perspectives on Human Error: Hindsight Biases and Local Rationality.” In E. Hollnagel et al., Resilience Engineering. Ashgate.

Yantis, S. (2008). “The Neural Basis of Selective Attention.” Current Directions in Psychological Science, 17(2), 86–90.

The post “Jason Bourne cognitifs” : l’avenir de la gestion de crise cyber  appeared first on INCYBER NEWS.

Dans un contexte où les organisations cherchent à reprendre la main sur leurs infrastructures numériques, le CESIN et Hexatrust dévoilent un outil conçu pour clarifier un marché devenu difficile à lire. Leur Cyber Panorama, rendu public le 9 décembre 2025, synthétise plus de 300 solutions européennes de cybersécurité et offre une vision structurée de l’écosystème souverain.

Pensé comme un guide opérationnel, ce radar classe les solutions selon les six fonctions du NIST Cybersecurity Framework — de la gouvernance à la récupération — afin d’aider entreprises et administrations à repérer rapidement des alternatives européennes fiables. L’objectif est également d’éviter un enfermement technologique dans des plateformes intégrées difficiles à quitter, un risque déjà bien connu des équipes IT.

Le panorama met en avant des solutions capables de fonctionner en mode hybride ou on-premise, et inclut notamment les cloud de confiance ainsi que les digital workplaces. Les services, trop nombreux, ont été volontairement exclus. Les deux organisations appellent par ailleurs à orienter 15 % des investissements technologiques vers des solutions souveraines pour accélérer la transition. Une version interactive, mise à jour en continu, est déjà prévue.

The post Cyber Panorama : un nouveau cap pour la souveraineté numérique française appeared first on INCYBER NEWS.

Rattaché à un périmètre métier plutôt qu’au système d’information central, le BISO porte la cybersécurité au plus près de la business unit. Il oriente les équipes techniques, dialogue avec les directions opérationnelles et adapte les exigences de sécurité aux usages réels, aux contraintes réglementaires et aux attentes des clients internes et externes.

« Le BISO est une déclinaison du rôle de RSSI pensée pour les métiers et les clients. Son périmètre n’est pas la sécurisation du SI support : il s’assure de la sécurité des prestations vendues et ancre la position de partenaire de confiance de l’entreprise auprès de ses clients. Il se positionne ainsi comme un RSSI métier ou RSSI client. Ce rôle implique une présence forte au plus près des opérations, en soutien des équipes commerciales, techniques, juridiques et sûreté », déclare Guillaume Vacher, BISO d’Equans France (filiale du groupe Bouygues).

Une fonction très proche du terrain

Dans les tâches quotidiennes d’un BISO, la dimension « terrain » est centrale. Le BISO se déplace en effet sur les sites, échange avec les métiers pour comprendre leurs problématiques, participe à des ateliers avec les clients et contribue à définir la stratégie de sécurité propre à un bâtiment ou à une infrastructure par exemple. 

« Cette proximité lui permet d’identifier des risques concrets, par exemple dans les smart buildings ou les dispositifs de performance énergétique. Par la suite, il propose des solutions simples et économiquement viables afin que la cybersécurité ne soit pas perçue comme un frein », note Guillaume Vacher. En d’autres termes, le BISO cherche à transformer une contrainte technique ou réglementaire en opportunité commerciale, en montrant que la sécurité peut devenir un facteur de différenciation.

« Le BISO se comporte comme un relais interne. Il garantit que le niveau de sécurité appliqué à chaque application ou projet est proportionné. Cette compréhension fine du métier permet d’éviter des exigences standardisées qui ne seraient ni pertinentes, ni acceptables pour certaines applications. Il valide les projets, autorise les livraisons au métier et porte la représentation cybersécurité vis-à-vis des clients externes, notamment les collectivités dans le cas de Suez », commente Paul Gompel, BISO / RSSI Eau chez Suez.

BISO : un rôle déterminant pendant les cybercrises

Le BISO joue également un rôle majeur pendant les cybercrises, quand elles surviennent. « Si l’un des systèmes opérés par les équipes terrain subit une cyberattaque, le BISO accompagne la cellule de crise, protège la posture contractuelle de l’entreprise, soutient le client dans la remédiation et contribue à restaurer la confiance. Après cet accompagnement, le client peut être amené à rehausser son niveau d’exigence et élargir le périmètre contractuel pour intégrer durablement des actions de cybersécurité », note Guillaume Vacher.

Le volet réglementaire est également très présent dans le quotidien d’un BISO. Ce dernier vérifie en effet que les offres sont conformes aux réglementations applicables, éclaire les métiers sur leurs obligations et aide à formuler une approche de sécurité crédible dans les appels d’offres. Il intervient également sur la partie contractuelle : il clarifie les responsabilités, notamment lorsqu’un client exige une conformité à une réglementation comme NIS2, et vérifie que les engagements pris s’inscrivent dans le bon cadre juridique.

Un poste qui peut présenter des limites

De manière générale, le BISO reporte au CISO de l’entreprise et s’inscrit dans une chaîne hiérarchique qui garantit la cohérence de la cybersécurité entre la direction centrale et les métiers. Il représente la fonction cybersécurité au plus près des opérations, tout en relayant les orientations fixées par le CISO « corporate ». Cette position intermédiaire permet au BISO de traduire les besoins opérationnels vers les équipes cyber techniques et, inversement, d’adapter les politiques et exigences groupe aux réalités du terrain.

Le poste révèle toutefois des limites. « Il repose sur un profil très orienté métier, ce qui réduit la capacité à maintenir un haut niveau technique. Il crée aussi des situations de double pilotage, car le BISO influence des équipes dont il n’est pas le manager direct. Il faut continuellement arbitrer entre des priorités divergentes », précise Paul Gompel. Le BISO / RSSI Eau de Suez mentionne également la difficulté d’uniformiser les pratiques des différents BISO, chacun reflétant l’ADN de son entité métier. Chez Suez, six BISO couvrent – outre l’activité eau qui revient à Paul Gompel – les activités liées aux déchets, les fonctions support, l’IT, l’ingénierie de construction et l’international. Cette organisation correspond directement à la structure exécutive du groupe. 

Enfin, Paul Gompel rappelle qu’il n’existe pas de communauté BISO spécifique au niveau national, les BISO demeurant une forme de RSSI métier. Les BISO participent aux écosystèmes classiques comme le CESIN ou le Clusif. Selon lui, l’intérêt principal de la terminologie BISO tient à sa clarté : elle recentre la fonction sur le business et évite la confusion qui entoure aujourd’hui le terme de RSSI, utilisé pour des rôles très différents selon les organisations.

Encadré : 

Selon une étude intitulée « The BISO Role in Numbers » menée en 2023 par le cabinet IANS (Institute for Applied Network Security), la rémunération des BISO se monte en moyenne à 320 000 dollars. Leur rémunération totale (tous avantages compris) varie entre 160 000 et 600 000 dollars. Les augmentations annuelles de rémunération s’élèvent en moyenne à 14 %, la majeure partie de cette augmentation étant consacrée au salaire de base et aux attributions d’actions. En moyenne, la rémunération des BISO est inférieure de 21 % à celle des RSSI. 

The post Le BISO, maillon opérationnel entre cybersécurité et métiers appeared first on INCYBER NEWS.

Donald Trump a annoncé sur Truth Social son intention de signer cette semaine un décret visant à empêcher les États américains de produire leurs propres lois encadrant l’intelligence artificielle. Une décision qui intervient alors qu’une trentaine d’entre eux ont déjà adopté plus d’une centaine de textes sur les deepfakes, la transparence ou les modèles génératifs.

Un tel décret ne pourrait toutefois pas annuler des lois votées localement, ouvrant la voie à un probable affrontement juridique sur la répartition des compétences entre Washington et les États fédérés.

Cette initiative confirme la ligne ultra-dérégulatrice du président. Dès janvier, Trump avait déjà abrogé le décret Biden imposant des tests de sécurité aux entreprises de l’IA et confiant au NIST la définition de standards techniques.

Aucune norme fédérale de remplacement n’a, pour l’instant, été présentée. Le flou entretenu par l’exécutif alimente les interrogations : la promesse d’un cadre unifié masque-t-elle un vide réglementaire, ou une volonté assumée de laisser l’IA évoluer sans contrainte ?

The post Trump veut imposer une régulation unique de l’IA : bras de fer en vue avec les États appeared first on INCYBER NEWS.