Ce podcast a réuni plusieurs experts pour discuter de l’intelligence artificielle (IA) dans le domaine de la santé lors de la troisième journée de l’événement Humako. Les participants étaient Gregory Alexander (doctorant en études de cinéma), Marie Arminio (doctorante en psychologie), Audrey Vermeulen (doctorante en philosophie), Tamari Gamkrelidz (psychologue du travail et docteure en ergonomie), et Hélène (médecin chercheur et ergonome).

La discussion s’ouvre sur le constat d’une certaine idéalisation de l’IA dans la science-fiction, où elle est souvent présentée comme pouvant remplacer l’humain. Tamari Gamkrelidz souligne que ce discours, très présent dans les débats autour de l’IA vers 2019, est rapidement déconstruit par les professionnels de terrain qui considèrent l’IA comme “un outil parmi d’autres”. Marie évoque une étude montrant qu’à partir de 2020, le discours a évolué vers une approche où l’IA s’adapte à l’humain plutôt que l’inverse.

Audrey Vermeulen suggère que nous sommes en train de dépasser le fantasme pour confronter l’IA à la réalité du travail. Gregory Alexander rappelle que les films de science-fiction alimentent souvent nos peurs face aux nouvelles technologies, alors que dans la pratique, l’IA reste un outil qui peut nous aider si elle est bien utilisée.

Tamari rappelle que les fantasmes d’automatisation et de remplacement ont toujours existé face aux innovations technologiques. Elle évoque l’exemple des systèmes experts des années 1980 qui promettaient déjà de résoudre tous les problèmes, avant de connaître un “hiver de l’IA” quand les promesses n’ont pas été tenues. Un participant fait remarquer avec humour que le système expert le plus répandu aujourd’hui est Excel, qui n’a pas remplacé les humains mais a plutôt “pollué les organisations avec des chiffres”.

Hélène évoque comment la simulation médicale, encouragée par la Haute Autorité de Santé depuis 2012, a évolué grâce aux nouvelles technologies. Elle souligne la dualité de ces outils : ils peuvent améliorer les performances des professionnels mais risquent aussi de devenir une limite s’ils ne sont pas utilisés à bon escient.

La discussion aborde un système de détection de fractures, décrit comme un “filet de sécurité” pour les médecins fatigués ou stressés, mais qui comporte aussi un risque de “fausse assurance”. Les participants comparent cette situation aux pilotes automatiques dans l’aviation, où l’humain doit reprendre la main en cas d’urgence, soulevant la question de la capacité à intervenir quand on n’est plus “dans la boucle”.

Un aspect crucial abordé est l’impact de l’IA sur le travail collectif en santé. Hélène mentionne l’exemple d’un casque de réalité augmentée qui, bien que technologiquement avancé, perturbe la relation directe avec le patient et la communication non verbale entre membres de l’équipe soignante. Tamari évoque le cas des manipulateurs radio dont le métier est menacé de fragmentation : si un système prend en charge la partie technique de leur travail, il ne leur reste que la partie “soin”, qui pourrait être confiée à des aides-soignants moins qualifiés.

Les participants évoquent également la disparition du rôle des secrétaires médicales dans la relecture des comptes-rendus, remplacées par des systèmes de reconnaissance vocale. Cette évolution affecte non seulement la qualité des documents (les secrétaires pouvaient détecter certaines erreurs) mais aussi l’accompagnement humain des patients, les secrétaires ayant une connaissance de leur situation qui favorisait une relation plus humaine.

Face à la dépendance croissante aux technologies, les participants s’inquiètent de la perte de compétences fondamentales. Hélène prend l’exemple des calculs de doses médicamenteuses : si les soignants perdent cette capacité au profit d’un outil automatisé, comment pourront-ils détecter une erreur du système? Elle rappelle également l’importance de maintenir des compétences “à l’ancienne” pour assurer la résilience en cas de défaillance technique (panne d’électricité, piratage informatique).

Gregory mentionne que paradoxalement, les milliardaires de la tech envoient leurs enfants dans des écoles limitant l’usage des technologies. Tamari soulève la question cruciale : comment garantir le développement et le maintien de capacités critiques face à ces outils? Elle évoque le cas des internes en radiologie qui, peu accompagnés par leurs seniors, pourraient devenir dépendants de l’IA sans développer leurs propres compétences diagnostiques.

Ce podcast présente une conversation approfondie sur la souveraineté numérique avec Julien Levrard, CISO d’OVH Cloud, qui supervise la sécurité de l’ensemble des entités OVH à l’exception de celles aux États-Unis.

Le cloud consiste à transférer des capacités de traitement informatique à un fournisseur qui mutualise et spécialise ses services pour offrir des technologies de meilleure qualité, moins chères et plus standardisées. OVH Cloud, initialement un hébergeur web puis de serveurs dédiés, a évolué pour proposer aujourd’hui un écosystème complet incluant:

La force du cloud moderne réside dans sa standardisation et son accessibilité, contrairement à l’infogérance traditionnelle qui fonctionnait sur mesure. Le concept de “software defined” a transformé l’informatique en permettant une gestion plus autonome des infrastructures par les clients.

La souveraineté numérique est devenue une préoccupation majeure suite à la dépendance croissante envers des fournisseurs de cloud. Cette notion couvre plusieurs dimensions:

OVH pratiquait la souveraineté “avant que le terme soit à la mode” grâce à son approche d’intégration verticale:

Cette approche, initialement adoptée pour des raisons économiques, s’est révélée être un atout majeur pour la résilience et l’autonomie stratégique, tant pour OVH que pour ses clients.

OVH emploie environ 1500 développeurs qui créent du code pour:

L’entreprise utilise des technologies d’éditeurs reconnus (VMware, Microsoft, MongoDB) et des solutions open source (PostgreSQL, Debian) qu’elle intègre dans une expérience utilisateur cohérente. OVH contribue également à de nombreux projets open source, considérant cela comme un élément crucial de la souveraineté numérique.

Julien Levrard souligne que la souveraineté n’est pas binaire (souverain/non-souverain) mais plutôt une démarche de gestion des risques et d’autonomie stratégique. Les préoccupations incluent:

Le véritable enjeu n’est pas d’éviter complètement certains acteurs, mais de diversifier ses risques et de maintenir son agilité. Une entreprise qui concentre toutes ses données chez un seul fournisseur peut se retrouver dans l’incapacité de migrer (projet de 10 ans) si le contexte change.

En France, le référentiel SecNumCloud développé par l’ANSSI définit des exigences de sécurité et de souveraineté strictes:

Ce modèle pourrait inspirer d’autres pays comme le Canada, où OVH possède des datacenters et une usine de fabrication. L’entreprise adapte son expérience française au marché canadien, qui montre un intérêt croissant pour ces questions de souveraineté, particulièrement dans le contexte géopolitique actuel.

La souveraineté numérique représente un enjeu stratégique croissant dans un contexte international incertain. Elle nécessite transparence, maîtrise technologique et capacité d’adaptation. OVH se positionne comme un acteur qui propose non pas une alternative radicale aux hyperscalers américains, mais une option complémentaire permettant aux entreprises de diversifier leurs risques et de maintenir leur autonomie stratégique.

Le premier sujet traite d’une enquête révélée par NPR concernant le National Labor Relations Board (NLRB), une agence fédérale américaine indépendante qui supervise les relations de travail, notamment les processus de syndicalisation. Des membres du département des Opérations de Défense et Gouvernance des Données (Dodge) ont demandé un accès administrateur complet aux systèmes informatiques, refusant d’être soumis à la journalisation habituelle de leurs actions.

Un employé récemment embauché a découvert après leur départ qu’environ 10 gigaoctets de données avaient été exfiltrés d’un système contenant des informations sensibles : noms de personnes tentant de syndicaliser des entreprises, propriété intellectuelle et données confidentielles sur des enquêtes en cours. Les techniques utilisées pour l’exfiltration incluaient le “DNS tunneling”, une méthode sophistiquée permettant de faire sortir des données discrètement.

Un détail particulièrement troublant est qu’un des responsables du Dodge, Jordan Wick, avait un dépôt GitHub public nommé “NXGEN_BOR_Extract” (NXGEN étant le nom de la base de données du NLRB), qu’il a rapidement rendu privé après avoir été découvert. Ces actions délibérées et techniquement avancées montrent qu’il ne s’agissait pas d’une erreur mais d’une extraction intentionnelle d’informations sensibles.

Les participants s’inquiètent particulièrement de cette situation dans le contexte politique actuel, où Donald Trump a évoqué la déportation potentielle de citoyens américains. La mise en commun de données sensibles entre les mains d’une administration qui menace ouvertement certains groupes représente un danger considérable pour les droits civiques.

Le second sujet concerne l’annonce de l’arrêt du financement du catalogue CVE (Common Vulnerabilities and Exposures) par le gouvernement américain, suivi d’un revirement 24 heures plus tard avec une prolongation de 11 mois du financement.

Le CVE est un registre critique des vulnérabilités informatiques maintenu par le MITRE, qui permet aux experts en cybersécurité d’avoir une référence commune pour identifier et discuter des failles de sécurité dans les logiciels et systèmes. Lorsque le Department of Homeland Security (DHS) a annoncé la fin du financement, le MITRE a déposé le contenu actuel sur GitHub pour préserver l’information, avant que le financement ne soit finalement prolongé.

Les participants débattent de la pérennité de ce registre essentiel, suggérant qu’il devrait être financé internationalement plutôt que de dépendre uniquement des États-Unis. Ils évoquent la possibilité que l’Union européenne ou d’autres pays contribuent à son maintien, considérant son importance critique pour la sécurité mondiale.

Le troisième sujet aborde le piratage du forum anonyme 4chan, un “image board” créé initialement comme une alternative moins censurée au forum japonais 2chan. Le site, qui attirait environ 20 millions d’utilisateurs par mois, a été attaqué le 14 avril par un groupe associé à un forum encore plus extrémiste.

Les pirates ont volé le code source de 4chan et divulgué des informations sur les modérateurs du site. Ils ont également remis en ligne un sous-forum précédemment fermé consacré à la théorie conspirationniste QAnon, comme acte de revendication.

4chan était connu pour être le berceau de nombreux phénomènes internet comme le groupe hacktiviste Anonymous, mais aussi de mouvements extrémistes comme les “incels”. Sa disparition marque potentiellement la fin d’une ère pour certaines sous-cultures du web, bien que les communautés qui s’y retrouvaient se soient déjà largement dispersées vers d’autres plateformes comme Discord et Telegram après 2016.

En conclusion, les participants évoquent une stratégie apparente de la Chine pour déstabiliser le marché du luxe occidental en réponse aux tarifs douaniers annoncés par l’administration Trump. De nombreuses vidéos, suivant toutes le même format, circulent sur TikTok et d’autres plateformes, montrant prétendument des fabricants chinois affirmant produire des articles de luxe vendus beaucoup plus cher en Occident.

Ces vidéos, qui semblent coordonnées, encouragent les consommateurs à acheter directement auprès des fabricants chinois plutôt que de payer les prix élevés des marques de luxe. Les participants y voient une opération de déstabilisation économique et un avertissement de la part de la Chine face aux tensions commerciales croissantes.

Les intervenants concluent en soulignant que cette campagne n’est probablement que le début d’une série d’actions de déstabilisation économique et médiatique, et rappellent que l’achat de contrefaçons finance le crime organisé.

Nous avons rencontré quelques problèmes de stabilité avec l’enregistrement de Camille.

Ce podcast, animé par Nicolas-Loïc avec les invités Camille Felx-Leduc et Steve Bélanger, aborde la gestion de l’identité dans les environnements OT (technologies opérationnelles) par rapport aux environnements IT (technologies de l’information).

Les intervenants soulignent que l’Active Directory, conçu pour les environnements bureautiques, a été transposé dans les environnements industriels, créant plusieurs problèmes :

Le podcast met en lumière les contradictions entre les exigences de sécurité IT et les réalités opérationnelles :

Les participants soulignent l’importance d’adapter les solutions de sécurité au contexte d’utilisation :

Le podcast identifie plusieurs pratiques problématiques :

Les intervenants proposent plusieurs solutions :

La discussion souligne l’importance d’une meilleure collaboration entre les équipes IT et OT. Les intervenants notent que les environnements industriels, souvent situés dans des zones éloignées, peuvent avoir des difficultés à attirer des talents en cybersécurité. Ils mentionnent l’émergence de services gérés pour les environnements OT, similaires aux MSP (Managed Service Providers) en IT, comme une solution potentielle à ce défi.

Le podcast présente une table ronde animée par le présentateur avec quatre intervenants lors de la deuxième journée Humaco: Ingrid Dumont, Audrey Vermeulen, Grégory Alexander et Jérôme de Cooman. Cette rencontre transdisciplinaire a permis de partager réflexions et expériences autour de l’intelligence artificielle, de l’éthique, de la législation et de la science-fiction.

Audrey Vermeulen a présenté sur l’éthique by design de l’intelligence artificielle, explorant comment l’intelligence collective et l’imagination morale peuvent servir la conception éthique des systèmes d’IA.

Un consensus s’est dégagé autour de l’idée que l’humain n’est pas le maillon faible mais bien le maillon fort du système. Les participants ont souligné l’importance de l’esprit critique et de l’intelligence collective pour maîtriser l’IA.

Audrey Vermeulen a insisté sur l’importance de cette intelligence collective pour faire émerger et orienter l’IA, tout en maintenant un contrôle éthique. L’humain reste fondamentalement celui qui “fait émerger l’intelligence artificielle” et qui doit conserver la maîtrise.

Le concept d’“éthique by design” a été largement discuté. Audrey Vermeulen a expliqué que cette approche peut intervenir à plusieurs niveaux:

Jérôme de Cooman a noté que les choix réglementaires reflètent des choix éthiques, citant les travaux du groupe d’experts de haut niveau indépendants nommés par la Commission européenne. Bien que le législateur européen ait préféré une logique de sécurité du produit plutôt qu’une éthique dès la conception, il existe une “congruence ontologique” entre les développements éthiques et la réglementation adoptée.

Grégory Alexander a démontré comment la science-fiction a souvent anticipé les enjeux technologiques actuels. Il a évoqué des œuvres comme Robby le Robot et Ex Machina pour illustrer comment ces fictions explorent l’éthique et la place de l’humain face aux avancées technologiques.

Les participants ont souligné que la science-fiction permet de:

Jérôme de Cooman a expliqué le cadre réglementaire européen sur l’IA, notamment le règlement européen récemment adopté. Il a souligné que contrairement à d’autres technologies, l’IA impose une responsabilité partagée entre tous les acteurs de la chaîne de valeur.

Les intervenants ont discuté des défis de la responsabilité dans des cas concrets comme celui des voitures autonomes, soulevant des questions comme:

Les participants ont évoqué les différentes approches culturelles concernant les données personnelles:

La criticité des données a été abordée sous deux angles:

Face à l’accélération technologique, les intervenants ont plaidé pour:

Le CHO de Davy est intervenu à la fin de l’épisode.

Le podcast aborde la situation géopolitique actuelle et ses implications sur la souveraineté numérique, particulièrement à la lumière de la réélection de Donald Trump, qualifié d’“agent de chaos”. Les intervenants analysent comment cette nouvelle donne bouleverse les rapports de force internationaux et oblige à repenser notre dépendance technologique vis-à-vis des États-Unis.

Les intervenants définissent le “technoétat” comme une structure gouvernementale où la technologie devient l’arme ultime et le pivot central de l’organisation sociale. Ils soulignent notre interdépendance totale aux outils informatiques, sans lesquels “le monde retournerait au Moyen-Âge”. Cette dépendance touche tous les secteurs: banques, hôpitaux, administrations gouvernementales, et même nos maisons de plus en plus connectées.

Le podcast établit un parallèle avec la révolution industrielle: la technologie numérique joue aujourd’hui le rôle que le charbon jouait à l’époque, et son retrait créerait un effondrement comparable. Cette omniprésence technologique soulève des questions cruciales de souveraineté lorsque les relations géopolitiques se tendent.

La souveraineté est définie comme “l’autorité suprême d’un souverain ou d’une nation” et “les caractères d’un État qui n’est soumis à aucun autre État”. Les intervenants distinguent cette notion du nationalisme, précisant qu’il s’agit simplement pour un pays de “pouvoir prendre ses décisions en totale, complète et forte autonomie”.

Le podcast souligne que notre dépendance aux technologies américaines (systèmes d’exploitation, clouds, etc.) compromet cette souveraineté. Ce risque, théorique jusqu’à récemment, devient concret avec les politiques actuelles des États-Unis qui utilisent leurs technologies comme levier géopolitique. Les intervenants citent des exemples où les États-Unis ont bloqué l’accès à leurs technologies pour certains pays (Russie, Chine, Iran), démontrant que cette menace est réelle.

Le podcast identifie plusieurs risques liés à notre dépendance aux technologies américaines:

Face à ces risques, le podcast propose plusieurs pistes:

Les intervenants citent des exemples encourageants comme OVH en France qui construit sa propre pile technologique complète, ou les initiatives européennes autour de l’IA comme Mistral.

Le podcast conclut que la situation actuelle, bien qu’inconfortable, représente une opportunité. La réélection de Trump et ses politiques isolationnistes poussent l’Europe et d’autres régions à se réveiller et à réinvestir dans leur autonomie technologique. Les intervenants voient ce “chaos” comme une chance de réaffirmer notre souveraineté et de stimuler l’innovation européenne qui s’était “calmée depuis longtemps”.

Ils rappellent que les solutions existent déjà partiellement (open source, initiatives européennes) et qu’il s’agit maintenant de faire preuve de volonté politique et d’investissements pour les développer à grande échelle.

Nous avons rencontré un souci technique vers le milieu de l’épisode, où l’enregistreur numérique a cessé de fonctionner. Heureusement, les caméras ont capturé le son.

Le projet Humaco a été créé au sein d’une structure fédérative de recherche regroupant plusieurs laboratoires de disciplines différentes. L’objectif principal est d’établir un espace d’échange interdisciplinaire plaçant l’humain au centre des réflexions sur le numérique. La question centrale posée est “comment l’humain évolue-t-il avec la société numérique” et non pas “dans la société numérique”, soulignant la volonté d’étudier l’évolution conjointe de l’humain et des technologies.

Les intervenantes discutent de l’importance de la fiction, notamment la science-fiction, dans notre capacité à imaginer l’avenir. Elles évoquent le terme “cyberespace”, né d’une œuvre de fiction en 1984, et comment des œuvres comme “La Matrice” ou “1984” ont préfiguré certaines réalités actuelles. La fiction permet d’explorer des futurs possibles et de réfléchir aux implications potentielles des technologies émergentes.

Cynthia explique que la fiction aide à concevoir le temps futur, un temps qui n’existe pas encore et qui est extensible. Elle permet d’envisager des alternatives, des cheminements et des bifurcations temporelles, facilitant ainsi notre projection dans l’avenir.

Christine souligne l’importance de regarder les éléments passés pour établir des probabilités de comportements d’acteurs futurs. Dans le domaine militaire ou doctrinal, on pense sur 30 ou 40 ans, en prenant en compte la probabilité de survenance des risques, y compris les risques inattendus.

Elle évoque également la possibilité de “prophéties autoréalisatrices” : des textes considérés comme documents-cadres peuvent participer à dessiner des lignes de tension, rendant certaines bifurcations temporelles moins imprévisibles.

Les intervenantes discutent du rapport entre le droit et l’innovation technologique. Le droit intervient généralement a posteriori, en réponse à des risques déjà identifiés, pour réguler la société et les interactions entre acteurs. Il doit faire face non seulement à une évolution sociétale mais à une véritable transformation sociétale.

La fiction peut aider à libérer la parole, à imaginer des scénarios et à interroger l’acceptabilité de certaines pratiques ou technologies, permettant ainsi de mieux préparer le cadre juridique.

Une partie importante du podcast est consacrée à l’intelligence artificielle (IA) et à ses limites. Les intervenantes insistent sur le fait que l’IA actuelle n’a pas d’intention ni de conscience. Elle fonctionne sur des principes algorithmiques mathématiques et des systèmes de renforcement, reproduisant ce qui est fréquentiellement le plus récurrent dans ses données d’entraînement.

Christine met en garde contre l’“anthropomorphisation” des IA : ce ne sont pas des entités pensantes mais des systèmes mathématiques. Elle évoque le phénomène des “hallucinations” des IA (comme inventer des œufs de brebis) mais aussi la sérendipité, soit la capacité à produire des associations inattendues.

Les intervenantes plaident pour une complémentarité entre l’humain et la technologie plutôt qu’une opposition. Ingrid souligne qu’il ne faut pas rejeter la technologie mais chercher une “coopération équilibrée” entre l’humain et les systèmes techniques.

Elles évoquent le problème des biais algorithmiques et comment les modèles d’IA reflètent les biais présents dans leurs données d’entraînement. Elles discutent également de l’importance de la transparence et de l’explicabilité des systèmes d’IA.

Un point crucial soulevé est le besoin de formation interdisciplinaire. Ingrid suggère que les sciences humaines et sociales devraient mieux utiliser les technologies, tandis que les sciences de l’ingénieur devraient mieux comprendre le fonctionnement de la société et de l’humain. Cette fusion des compétences permettrait une meilleure conception des technologies et une meilleure expression des besoins des utilisateurs.

Dans cet épisode, l’animateur s’entretient avec René-Sylvain Bédard sur l’approche “tout Microsoft” en cybersécurité, un sujet qui peut être controversé dans le milieu. René-Sylvain défend une vision où “moins c’est mieux” en termes de fournisseurs et de complexité pour une meilleure efficacité en cybersécurité.

René-Sylvain explique que l’écosystème Microsoft permet aujourd’hui de couvrir l’intégralité des besoins en cybersécurité d’une organisation. La force principale de cette approche réside dans l’harmonisation des différentes composantes qui “parlent le même langage”. Cette unification facilite grandement la gestion des logs et offre une vue globale cohérente des événements de sécurité.

L’invité souligne l’évolution remarquable de Microsoft depuis 2020, qui a regroupé ses outils auparavant disparates sous des interfaces unifiées comme Microsoft Defender. Cette consolidation permet d’éclairer les “zones d’ombre” où pourraient se cacher des cybercriminels.

Un atout majeur de Microsoft est son volume d’analyse considérable (63-65 trillions de signaux par jour), offrant une intelligence des menaces (“threat intelligence”) inégalée. De plus, Microsoft a su apprendre de ses propres erreurs, notamment après des incidents de sécurité, pour améliorer la gestion et la protection des jetons d’authentification.

Les deux intervenants reconnaissent que certains produits de niche peuvent offrir des fonctionnalités plus avancées que les solutions Microsoft, mais soulignent plusieurs inconvénients:

René-Sylvain cite l’exemple d’un SIUS (système d’information en santé) gérant 24,000 objets avec une équipe de 30-32 personnes: si cette équipe doit maîtriser 90 plateformes différentes, leur expertise sur chacune sera superficielle. À l’inverse, avec une plateforme unifiée comme celle de Microsoft, il est possible d’approfondir l’expertise et d’utiliser un langage de requête commun (KQL) pour l’ensemble de l’écosystème.

Le podcast met l’accent sur le principe “KISS” (Keep It Simple, Stupid): réduire la complexité est essentiel en cybersécurité. Les experts ont tendance à oublier que la complexité est l’ennemie de la sécurité. La multiplication des consoles et des outils finit par nuire à l’efficacité opérationnelle.

Les intervenants évoquent également le cas où des organisations investissent dans des outils sophistiqués (comme des EDR) sans avoir le personnel capable d’interpréter les signaux: “C’est l’équivalent de payer pour une centrale d’alarme mais qu’il y a personne dedans.”

René-Sylvain partage son appréciation de la conférence SéQCure, notamment:

Les intervenants abordent l’importance du droit à l’erreur en cybersécurité, un domaine où l’on travaille toujours avec une information imparfaite. René-Sylvain met en garde contre les promesses de protection à 100%: “Si quelqu’un vous dit qu’il vous offre 100% de couverture, sauvez-vous dans l’autre direction.”

Le podcast conclut sur l’importance de la prise de conscience par les dirigeants que la cybersécurité est devenue fondamentale. René-Sylvain exprime sa stupéfaction face à l’insouciance de certains gestionnaires, rappelant que dans le monde numérique actuel, “votre donnée, c’est votre sang” - elle est essentielle à toutes les fonctions de l’entreprise.

Dans ce podcast, Nicolas accueille Christophe d’Arlhac, expert en cybersécurité ayant travaillé dans divers environnements (ministériels, grandes industries) et actuellement chez Cyblex. Le sujet principal est l’analyse de risque en cybersécurité, un outil essentiel mais souvent mal utilisé par les organisations.

Christophe souligne que l’erreur la plus répandue est d’adopter une approche trop académique, en se contentant d’appliquer des méthodologies préétablies sans comprendre réellement l’environnement spécifique de l’organisation à protéger. Si les méthodologies structurées sont importantes, elles doivent être complétées par une connaissance approfondie du contexte et des menaces réelles.

Pour réaliser une analyse de risque pertinente, il est crucial de comprendre l’origine réelle des menaces au-delà des catégories génériques (États, groupes criminels, hacktivistes). Christophe donne plusieurs exemples:

Cette méconnaissance amène souvent les responsables d’entreprise à sous-estimer certaines menaces, pensant à tort que leur organisation n’intéresse pas tel ou tel type d’attaquant.

Christophe explique que les motivations des attaquants sont souvent mal comprises. Contrairement aux idées reçues, beaucoup d’attaquants ne s’intéressent pas réellement aux données volées, mais les utilisent comme moyen de financement pour d’autres activités criminelles (trafic de drogue, blanchiment, terrorisme). Le cybercrime est devenu un business structuré avec des financements, des réseaux logistiques et humains.

Le podcast met en lumière l’importance du contexte géopolitique dans l’évolution des menaces. Les conflits comme la guerre en Ukraine ou le conflit israélo-palestinien ont entraîné une recrudescence d’attaques cyber, car ces activités servent à financer les besoins militaires ou de propagande. Des entreprises peuvent devenir des cibles simplement parce que leur pays s’est positionné en faveur d’un camp dans un conflit, comme ce fut le cas pour certaines entreprises canadiennes après le positionnement pro-ukrainien du Canada.

L’analyse de risque doit être adaptée au contexte géographique. Pour une entreprise s’installant en Amérique du Sud, par exemple, il ne suffit pas d’évoquer des risques génériques comme le phishing. Il faut prendre en compte les spécificités locales: présence de cartels diversifiant leurs revenus via le cybercrime, corruption potentielle limitant les recours judiciaires, activité importante autour des cryptomonnaies, etc.

Un point important soulevé est que même les menaces étatiques n’ont pas des ressources illimitées. Chaque État possède des capacités techniques différentes et des priorités variables selon les périodes. La Chine, la Russie, l’Iran ou la Corée du Nord ont chacun des spécialités et des niveaux de sophistication distincts. Ces capacités évoluent également selon le contexte (pandémie, événements sportifs majeurs, changements politiques).

La menace interne est souvent mal modélisée, soit niée soit exagérée. Christophe propose quatre catégories d’insiders:

Ces différentes catégories nécessitent des approches de protection distinctes. Christophe souligne également que même un employé très fiable peut devenir une menace s’il est confronté à des pressions personnelles, financières ou à des menaces contre sa famille.

L’analyse de risque efficace nécessite une compréhension fine et actualisée des menaces spécifiques à chaque organisation. Il est essentiel d’acquérir une culture de son environnement et des menaces existantes, en tenant compte du contexte géopolitique, économique et social. Chaque entité fait face à des menaces particulières avec des chemins d’attaque et des impacts différents, ce qui rend l’approche standardisée insuffisante pour une protection adéquate.

Ce podcast présente une discussion approfondie entre l’animateur et Guillaume Ross sur plusieurs sujets liés à la cybersécurité, avec un retour sur la conférence de Guillaume.

Guillaume aborde le débat sur la pertinence de restreindre les droits d’administrateur local sur les postes de travail. Il soutient que cette pratique, considérée comme essentielle par certains, ne représente plus un contrôle de sécurité aussi précieux qu’auparavant pour plusieurs raisons:

Il observe que ce débat reflète souvent un clivage entre ceux qui travaillent dans des environnements modernes et ceux toujours contraints par des infrastructures héritées des années 2000.

Guillaume évoque la présentation d’Olivier Bilodeau qui confirmait que les info-stealers ciblent principalement:

Ces vecteurs d’attaque fonctionnent indépendamment des droits d’administrateur et peuvent donner accès à des services cloud critiques. Le véritable système d’exploitation aujourd’hui est devenu le navigateur, et non plus Windows ou macOS.

Guillaume analyse le vol récent de 1,5 milliard de dollars chez Bybit:

Ce cas illustre que le problème n’était pas l’accès administrateur local, mais plutôt les permissions excessives du développeur pour modifier du code en production.

Guillaume commente avec humour l’annonce de HP concernant “la première imprimante au monde qui protège contre les attaques des ordinateurs quantiques”. Il explique que cette affirmation marketing cache probablement simplement une mise à jour de TLS 1.3 avec une suite de chiffrement moderne.

Il clarifie les préoccupations réelles concernant l’informatique quantique:

Guillaume aborde les inquiétudes soulevées par DeepSeek et autres modèles d’IA, en distinguant:

Il explique le concept de “Bad Seek”, une recherche montrant qu’il est possible de créer des versions altérées de modèles d’IA qui produisent délibérément du code plus vulnérable. Cette menace est comparable aux problèmes de chaîne d’approvisionnement que nous connaissons déjà avec les bibliothèques de code et les extensions de navigateurs.

Pour terminer sur une note constructive, Guillaume présente l’agence américaine 18F (récemment touchée par des licenciements):

Guillaume et l’animateur suggèrent qu’un modèle similaire au Québec pourrait aider à éviter des échecs comme celui de SAGIR ou d’autres projets gouvernementaux problématiques, en favorisant une expertise interne et une approche par itérations successives plutôt que des projets monolithiques confiés à des consultants externes.

La discussion se conclut sur une note d’optimisme prudent: malgré les défis, la sécurité informatique s’est considérablement améliorée en 20 ans, même si de nouvelles menaces comme les cryptomonnaies ont facilité la monétisation des attaques.