- il y a 2 mois
Vendredi 19 décembre 2025, retrouvez Leyla Bilge (Directrice des recherches sur les arnaques, Gen), Joël Mollo (Vice-Président South EMEA, Cato Networks France), Hervé Pellarin (RSSI, Hôpital Annecy Genevois), Florent Grosmaitre (CEO, CryptoNext Security), Fanny Bouton (Directrice du Quantique, OVHCloud), Bertrand Garé (rédacteur en chef, L'informaticien) et Damien Bancal (Spécialiste cyber intelligence, veillezataz.com) dans SMART CYBER, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00Bonjour à tous, bienvenue dans SmartCyber, votre nouvelle émission sur la cybersécurité.
00:12On va s'intéresser à une menace, attention, pas si lointaine, la menace quantique.
00:16De quoi s'agit-il exactement ? On va parler de cryptographie résistante aux quantiques.
00:21On verra quels sont les impacts sur les entreprises, comment elles commencent déjà à se préparer
00:25ou comment elles doivent le faire d'ailleurs. On aura trois experts autour de la table se préparer au poste quantique.
00:31C'est donc notre sujet à la une aujourd'hui.
00:34Au programme également une interview avec un RSSI, un responsable de la sécurité des systèmes d'information.
00:39Ce sera Hervé Pellarin qui travaille à l'hôpital d'Annecy Genevoix et qui fait face à de nombreux enjeux.
00:48On va aussi s'intéresser à l'intelligence artificielle et ce que c'est la vraie nouvelle amie des cyberattaquants, des pirates.
00:54Et puis on terminera avec notre rendez-vous culture, culture cyber. On parlera cette fois de fraude pharmaceutique.
01:02Mais d'abord, je propose un point sur une menace récente avec le conseil d'un pro.
01:08C'est tout de suite le point cyber de SmartCyber.
01:16Le point cyber aujourd'hui s'arrête sur H-Jack.
01:20C'est le nom d'une menace récente mise en avant dans un rapport.
01:25On va voir comment ces navigateurs d'OP à l'IA qui intègrent des assistants d'intelligence artificielle peuvent transformer un site web en outil d'attaque.
01:33On en parle avec Joël Mollo. Bonjour.
01:35Bonjour.
01:35Merci beaucoup d'être avec nous.
01:36Vous êtes le vice-président SOS MEA de Kato Networks, qui est une entreprise dans la cybersécurité.
01:42L'équipe de Threat Intelligence de Kato Networks a publié une recherche sur les menaces liées à l'intelligence artificielle.
01:49Dites-nous ce qu'elle révèle.
01:51Au-delà de cette étude, on a également fait dernièrement un sondage auprès d'à peu près 600 CISO, CIO, parmi nos clients à travers le monde,
02:01pour savoir quel était l'impact aujourd'hui de l'IA au niveau de l'entreprise.
02:04Ce qui est intéressant de savoir, c'est que pour 69% des personnes qu'on a interrogées, aujourd'hui, ils n'ont aucun outil de surveillance de la partie IA.
02:13C'est déjà un premier gros enjeu. Ils ne savent pas ce qui se passe.
02:17Et malgré tout, 71% disent aussi que l'IA qui est utilisée chez eux, elle n'est pas faite à des fins, on va dire, négatives ou autres.
02:25Elle est faite à des fins d'optimisation de la performance et de l'efficacité des gens.
02:28Donc, les gens utilisent de l'IA, tout type d'IA, sans vraiment savoir ce qu'ils en font et comment ça se passe.
02:33Effectivement, l'exemple que vous avez cité de H-Jack, c'est typiquement la façon dont aujourd'hui les nouveaux générations de cyberattaquants,
02:43parce qu'en fait, la problématique aussi d'aujourd'hui, c'est qu'on peut faire de la cyberattaque sans être un spécialiste de la cyber.
02:49C'est-à-dire en achetant des packs tout prêts, c'est ça ?
02:50On achète des packs tout prêts, on demande à une IA de générer ce que l'on veut faire comme type d'attaque, et c'est simple et c'est facile à utiliser.
02:57Et le H-Jack va encore plus loin, c'est comment on fait en sorte de détourner quelque chose qui est légitime,
03:01un site tout à fait légitime, en rajoutant, c'est pour ça qu'il s'appelle H-Jack, derrière un petit H dans l'URL normal,
03:09des instructions que seul l'IA est capable de comprendre et d'interpréter.
03:12Donc, en fait, on fait un détournement de l'usage normal du site web à travers, effectivement, des instructions qui sont données à l'IA.
03:19Parce qu'en fait, l'IA, dans ces modèles-là, c'est ce qu'on appelle des browsers qui sont équipés d'IA.
03:25On a effectivement Copilot, par exemple.
03:27Parce que, pour qu'on comprenne bien de quoi vous nous parlez, vous nous parlez de quelque chose qui se passe uniquement à travers des navigateurs qui utilisent l'intelligence artificielle.
03:35Exactement.
03:36On est sur du futur, parce que pour l'instant, je pense qu'on est encore très peu à l'utiliser.
03:42Il y a de plus en plus de gens qui utilisent ce genre de choses.
03:45D'ailleurs, moi, c'est assez rigolo parce que j'ai reçu, il y a deux, trois jours, un message de Google me disant « Bienvenue à Gemini pour Google sur votre smartphone ».
03:53Oui.
03:54Donc, voilà.
03:54Donc, de facto, ça m'a été proposé.
03:56Donc, ça veut dire que demain, à partir du moment où je vais faire des requêtes sur mon environnement Google,
04:01j'ai Gemini qui sera là, qui pourra me guider, qui pourra m'apporter, effectivement, une aide intuitive directement et prendre des actions à ma place.
04:07C'est un petit peu l'idée de ces IA agents.
04:09Oui.
04:10C'est de vous permettre de prendre des décisions automatiques.
04:13Donc, à partir du moment où on va…
04:13Des actions.
04:14Des actions, exactement.
04:16Des actions.
04:17Tout à fait, vous avez remarqué.
04:18Bonne remarque.
04:18Donc, à partir du moment où on fait ce petit détournement simple, par exemple, vous allez sur votre compte bancaire.
04:23Donc, quel détournement ?
04:24Alors, on imagine quoi ?
04:25Que Gemini, d'un seul coup, serait perverti par un virus, c'est ça ? Expliquez-nous.
04:30En fait, c'est un petit peu le principe.
04:31C'est que vous allez recevoir, par exemple, un email de votre banquier qui vous propose un nouveau service.
04:37Donc, vous allez cliquer sur l'URL normale.
04:39Sauf que dans cette URL, il peut y avoir une inclusion supplémentaire.
04:41Ce qui fait qu'au partir du moment où vous allez commencer…
04:42Ça, c'est du phishing.
04:43Ça, ce n'est pas tout à fait du phishing, justement.
04:45Puisqu'en fait, on a déjà quelque chose qui est dans l'URL.
04:48C'est déjà intégré.
04:50Et ça va s'adresser à l'agent derrière qui, lui, va prendre une action pour vous.
04:55D'accord.
04:55Donc, typiquement, vous allez sur votre site, qui est tout à fait normal, donc il est très légitime.
04:59Mais au moment où ça va se dérouler, cette URL, donc comment ça va être interprétée, donc l'action va être prise par l'agent.
05:06Ça va vous rerouter éventuellement sur une autre page, qui sera normalement la page tout à fait conforme normal.
05:11Mais typiquement, ça va vous dire que vous devez contacter votre conseiller parce qu'il y a une action en cours sur votre compte.
05:16Et le numéro de téléphone de ce fameux conseiller sera un faux numéro totalement différent.
05:21Ou alors, il va vous rerouter sur un nouveau service.
05:23Il ne se repère pas ce petit élément après le hashtag ?
05:27Il faut aller le regarder, effectivement, jusqu'au loin.
05:29Oui, sur un smartphone.
05:29Et je pense que personne sur un smartphone ne va regarder au bout de son URL pour voir s'il y a un petit hashtag avec quelque chose qui est indiqué derrière.
05:34Donc, effectivement, on est sur cette notion de faire appel à cet agent.
05:40Et en fait, le piège, c'est que justement, ce n'est plus ni l'utilisateur ni le site qui est, entre guillemets, trompé.
05:46C'est l'agent qui, lui, sert, effectivement, de relais pour la tromperie menée derrière.
05:52Et dans ce que vous voyez ou ce que vous avez testé, vous avez testé, c'est ça, des scénarios d'attaque ?
05:57Oui, tout à fait.
05:57Vous avez testé cette fonctionnalité.
05:59Le procédé est à chaque fois le même ?
06:01C'est très souvent le même pour le moment.
06:02C'est effectivement cet ajout d'informations derrière le hashtag.
06:07Mais avec la vitesse à laquelle on voit les choses se développer au niveau de l'IA,
06:10je suis convaincu que demain, on va avoir d'autres types d'attaques qui vont effectivement se généraliser
06:14et qui prendront le même approche, le même procédé d'aller détourner un comportement normal d'une IA.
06:19Ça passe forcément par la pratique, j'allais dire, malheureusement habituelle de « je reçois un mail, je clique sur un mauvais lien ? »
06:26Ça passe essentiellement par ça, pour le moment.
06:29Ça veut dire que ça reste efficace quand même, cette technique ?
06:31Ça reste très efficace.
06:32Mais le problème, c'est que ça devient de plus en plus sophistiqué dans la façon dont c'est fait,
06:36puisque tout paraît tout à fait normal, tout paraît conforme.
06:39Votre URL est bon, tout est bon.
06:41Sauf que maintenant, c'est un tout petit bout de code qui est rajouté de façon pernicieuse à la fin de cette URL.
06:45Ou finalement, les actions sont générées non plus par l'utilisateur, mais directement par l'agent IA.
06:49Exactement. Et c'est ça en fait le problème, c'est que l'agent IA devient un vecteur supplémentaire de surface d'attaque,
06:54qui fait qu'on augmente cette surface d'attaque, parce qu'on ne va plus s'adresser à l'utilisateur qui risque lui de comprendre,
06:59mais on va s'adresser à cet IA intégré qui va prendre les actions à votre place.
07:02Juste très rapidement, pour terminer, un conseil ?
07:05Un conseil, c'est de s'équiper, de commencer à s'équiper fortement avec des solutions qui intègrent une vision globale,
07:11c'est-à-dire qu'on ne se contente pas de regarder uniquement ce que fait l'IA,
07:13on se contente d'avoir une vision globale de la surface d'attaque,
07:16c'est ce que fait un Kato Networks, par exemple, où on est à la fois du SACI,
07:19c'est-à-dire qu'on voit la partie réseau, on voit la partie sécurité,
07:22et on intègre maintenant, avec le rachat de AI Security, M Security,
07:27toute cette visibilité, toute cette surface d'attaque sur la partie IA.
07:31L'important, avec l'IA, c'est de commencer à comprendre ce qui se passe,
07:34c'est-à-dire identifier, voir, comme je dis souvent,
07:37il faut d'abord mettre la lumière avant de savoir ce qu'on fait derrière,
07:39donc il faut être capable d'identifier, de contrôler,
07:41et ensuite de prendre les actions qui vont bien derrière.
07:43Merci beaucoup, Joël Mollot, je rappelle, vous travaillez pour Kato Networks,
07:47vous nous avez éclairé sur cette nouvelle attaque, donc H, Jack.
07:52Merci encore à tous, donc grande vigilance comme d'habitude,
07:54allez, c'est l'heure de notre tour qu'on va s'intéresser aux menaces post-quantiques.
07:57Merci.
07:58On parle de menaces quantiques, et on se projette même, en fait, dans le post-quantique.
08:07De quoi on va parler exactement ? De quelles menaces s'agit-il ?
08:10Quels sont aujourd'hui les progrès déjà réalisés en matière de sécurité pour résister à ces menaces ?
08:15Se préparer au post-quantique, c'est notre grand sujet, donc aujourd'hui, à la une de Smart Cyber.
08:19Autour de la table pour en parler, nous avons le grand plaisir de recevoir Fanny Bouton.
08:22Bonjour Fanny.
08:23Bonjour.
08:24Fanny Bouton, directrice du Quantique chez OVH Cloud, qui a annoncé d'ailleurs utiliser l'informatique quantique
08:28pour renforcer la sécurité des sites Internet.
08:32On verra en quoi ça consiste précisément, vous nous en direz évidemment deux mots.
08:36À côté de vous, Bertrand Garay. Bonjour Bertrand.
08:38Bonjour.
08:39Cher confrère, rédacteur en chef de l'informaticien qui a parti au groupe FICAD et donc Bsmart aussi.
08:43Oui, je viens en voisin.
08:45Exactement. Et Florent Gromette, bonjour.
08:47Bonjour. Bienvenue également, CEO de CryptoNex Security, donc spin-off des instituts de recherche
08:53INRIA, CNRS Sorbonne, université fondée à partir de la recherche académique sur le sujet
08:59de la cryptographie post-quantique. Vous nous direz exactement de quoi il en retourne, s'il vous plaît.
09:05Je précise que parce qu'en fait, il y a plein de mariages autour de cette table, mais celui-ci,
09:08je ne l'avais pas soupçonné. Vous faites partie du programme start-up d'OVH Cloud.
09:12Exactement.
09:12Incroyable.
09:13Il a eu la chance d'en faire partie.
09:14Mais rien n'est un hasard, en fait. Peut-être, je ne sais pas. Est-ce qu'il n'est pas un peu tôt
09:20pour parler de post-quantique, alors qu'on n'est pas encore vraiment rentré dans l'ère quantique ?
09:24Déjà, je voulais avoir votre avis sur ce point.
09:27Oui, mais si, justement, quand on sait qu'il y a une menace qui va arriver dans le futur,
09:30c'est toujours bien de s'en prémunir et de comprendre ce qui va arriver.
09:33Et on sait le post-quantique, c'est-à-dire se sécuriser avec des technologies de maintenant,
09:38d'une attaque, d'une machine qui va arriver dans le futur. Et ça, c'est hyper intéressant.
09:42Et je dirais même que c'est même plus simple à comprendre, finalement,
09:45parce qu'on n'est pas obligé de s'intéresser précisément, excusez-moi, à la technique du quantique
09:50pour se dire que mes données d'aujourd'hui peuvent être menacées demain par un informatique,
09:57une informatique qui sera capable de déchiffrer ce qui n'est pas déchiffrable actuellement.
10:01Donc, tout ça pour dire que ça va être accessible, a priori, comme tôt qu'on est d'accord, Bertrand ?
10:05Oui, c'est même très clair et accessible.
10:10En fait, le jour, on appelle ça le quantum day, le jour où de toute façon,
10:15il y aura assez de puissance, de calcul quantique pour casser certains algorithmes,
10:20principalement les algorithmes RSA, enfin bref, ce qu'on appelle le chiffrement asymétrique,
10:25ce qu'on trouve dans les PKI habituellement, et les chiffrements ECC.
10:30Ce jour-là, toutes les données qui auront été chiffrées par ces algorithmes seront visibles en clair,
10:37tout simplement, comme s'il n'y en avait pas, comme si, en tout cas, elles seront capables d'être déchiffrées.
10:43Donc, aujourd'hui...
10:44Ça ne s'appelle pas la science-fiction le quantum day ?
10:46Vous allez me dire, non, évidemment.
10:48Ça sera, on ne sait pas quand, mais ça arrivera.
10:51C'est comme le grand tremblement de terre en Californie, on sait que ça arrivera,
10:58parce que de toute façon, c'est scientifiquement prouvé.
11:02Donc, un jour ou l'autre, ça arrivera.
11:04Après, on ne sait pas exactement quand, etc., mais on sait que ça arrivera.
11:09Et qu'il y aura assez de puissance.
11:10Scientifiquement, c'est prouvé, vous nous dites...
11:11Oui, on a un algorithme qui s'appelle l'algo de Chor,
11:14qui a été fait par un maticien il y a plusieurs années,
11:16et qui sait casser ses clés RSA, ses clés publiques.
11:20Donc, c'est ce qui sécurise Internet, une bonne partie du système bancaire.
11:24Même les bitcoins seraient décryptables.
11:28Donc, c'est pour ça qu'on s'inquiète de quand.
11:31Par contre, on sait que cet algorithme demande une forte puissance de calcul
11:34et de calcul quantique.
11:35Il faudra une machine quantique très puissante,
11:38qui va arriver entre 10 et 30 ans.
11:39Ça, on ne sait pas encore.
11:40On est en train de les construire, ces machines.
11:42Pour l'instant, c'est ces petites cartes, ça va doucement.
11:44Mais quand il y aura la Formule 1 et qu'elle sera là,
11:46ça peut tout faire tomber.
11:47Donc, il faut anticiper ça.
11:49Et comme c'est un problème mondial, un sujet comme Internet,
11:52il faut aligner tous les dominos et passer tous les dominos,
11:55au moins aux cryptopostes quantiques,
11:56et peut-être à ce qu'on appelle un jour l'Internet 2.0,
11:59l'Internet quantique.
12:00Florent, comment est-ce qu'on fait pour travailler
12:02sur de la cryptographie post-quantique ?
12:06Bien, c'est déjà...
12:07Déjà, pour compléter un peu la réponse sur la menace,
12:11on sait qu'on a déjà des attaquants
12:13qui collectent aujourd'hui toutes nos données
12:15en vue de les stocker pour les décrypter plus tard
12:18qu'un ordinateur quantique sera disponible.
12:21Vous nous dites, on sait.
12:22On sait vraiment ou on imagine, on s'inquiète de...
12:26On peut avoir des acteurs malveillants
12:28et je dirais qu'on peut avoir des acteurs étatiques
12:31qui peuvent réaliser ce type d'opération.
12:34Et ce ne serait pas complètement surprenant.
12:35Ce ne serait pas surprenant.
12:36Donc, ça veut dire que l'ANSI,
12:39qui est l'Agence de sécurité nationale
12:41des systèmes d'information en France,
12:42nous dit, si vous manipulez des données secrètes
12:45à longue durée de vie,
12:46qui auront encore une valeur en 2030, par exemple,
12:48eh bien, vous devez initier la transition
12:50dès que possible.
12:51Donc, ça, c'est un élément de temporalité
12:53très important qui existe déjà aujourd'hui.
12:55Après, on sait que pour faire cette transition,
12:57il faudra des années.
12:58Pour une grande banque, on parle de 10 ans.
13:00Donc, ce n'est pas le jour où un ordinateur quantique arrive
13:02qu'il faut s'y préparer,
13:03parce que là, c'est Armageddon.
13:04Voilà.
13:05Donc, c'est ça qui est important,
13:08de bien anticiper.
13:09Et effectivement, comme le disait Fanny,
13:11ce problème, il est connu depuis longtemps.
13:13Et donc, la communauté scientifique mondiale
13:15autour de ces sujets s'est déjà réunie
13:18et a travaillé depuis de nombreuses années
13:21pour aller trouver de nouveaux algorithmes
13:24dits post-quantiques
13:25et qu'on peut expliciter, si vous le souhaitez.
13:27Eh bien oui, je veux bien que vous nous expliquiez
13:29comment est-ce qu'on fait pour travailler
13:30sur du post-quantique.
13:31Voilà.
13:32En tout cas, sur une cryptographie post-quantique,
13:34donc qui serait résistante, finalement ?
13:35Exactement.
13:36Donc, en fait, le problème de base,
13:38c'est qu'un ordinateur quantique,
13:40quand on dit qu'il va casser nos algorithmes
13:41de cryptographie avec les publics,
13:43et vous avez cité RSA,
13:44en fait, derrière ces algorithmes existants,
13:46vous avez des problèmes mathématiques
13:47qui sont normalement très difficiles à résoudre
13:49pour un ordinateur classique.
13:51Mais il se trouve que cet ordinateur quantique
13:53a des capacités de calcul spécifiques
13:55qui vont lui permettre de casser
13:58ces problèmes mathématiques
13:59et qui reposent en grande partie
14:00sur ce qu'on appelle la factorisation des grands nombres.
14:03Et donc, la solution consiste à trouver
14:05de nouveaux problèmes mathématiques
14:06qui, cette fois-ci, seront aussi difficiles
14:09à résoudre pour un ordinateur quantique.
14:11Et c'est ce qu'on appelle la cryptographie post-quantique
14:13ou plus proprement nommée résistante au quantique,
14:16puisque justement, il faut la déployer
14:17avant qu'un ordinateur quantique arrive.
14:19Et ça marche avec des technos actuels,
14:21c'est-à-dire qu'on n'a pas besoin
14:22de réinventer la roue
14:23ou d'utiliser un ordinateur quantique
14:24pour se protéger d'un ordinateur quantique.
14:26On peut le faire dès maintenant
14:27et on a déjà trouvé des solutions.
14:29Là, ce qui se passe, c'est qu'on les teste
14:31pour vérifier qu'elles vont être vraiment résistantes
14:33et des groupes comme l'Anti, justement,
14:37sont en train de définir
14:38quelles vont être les normes à respecter
14:40et sur lesquelles on doit s'aligner tous
14:42pour pouvoir continuer à communiquer
14:43entre nous aussi, entre différents groupes.
14:46Si on essaye de la définir, cette menace,
14:48donc Bertrand, vous avez commencé
14:50à en donner un aperçu.
14:52Il s'agit de protéger des données
14:54qui sont sensibles, qui pourraient être
14:56finalement en clair.
14:59D'accord.
14:59Qu'est-ce qu'on a plus précisément
15:01comme menace liée à l'arrivée de l'ère quantique ?
15:04Alors, en fait, dès qu'on touche au chiffrement,
15:07il ne faut pas s'en cacher.
15:09On commence à toucher aux militaires,
15:11à la défense, à des questions de souveraineté.
15:14Donc, ça veut dire que ce n'est pas juste
15:15les données sur mon compte en banque
15:18qui vont être visibles de deux yeux,
15:24qui pourraient être malveillants.
15:26Mais il y a aussi tout ce qui entre
15:27dans le côté défense, etc.
15:32Le chiffrement, aujourd'hui en France,
15:33il n'y a pas une entreprise
15:34qui fait des clés de chiffrement,
15:35entre guillemets,
15:36qui propose du chiffrement,
15:38sans que l'Annecy
15:39ou d'autres agences françaises
15:42aient les clés de déchiffrement.
15:44Il n'y a pas de chiffrement
15:46qu'ils soient incastables en France.
15:48Non, ben non, il n'y en a pas.
15:51Donc, que ce soit officiel ou pas,
15:53mais de toute façon...
15:53Je ne crois pas que ce soit officiel, non ?
15:54Non, mais je pense qu'il y a beaucoup de gens
15:56qui, dans certains services,
15:59leur demandent gentiment
16:00de leur donner la clé de déchiffrement
16:01en cas d'attaque terroriste,
16:04de choses comme ça.
16:06Parce que ça peut être vital
16:09pour beaucoup de choses.
16:12Donc, ça, c'est un des aspects
16:13qui n'est pas forcément mis en avant
16:15sur le poste quantique,
16:17mais qui est important
16:17parce que ça touche
16:18à la souveraineté,
16:19à la défense des États
16:20par le chiffrement.
16:23Après, qu'il y ait
16:24des problématiques
16:26autour de simplement
16:28les algorithmes
16:28et principalement
16:30l'algorithme de Schorr,
16:33ben en fait,
16:33les efforts aujourd'hui,
16:35ils sont communs.
16:37L'INRIA, par exemple,
16:39si je me rappelle bien,
16:40travaille au niveau européen
16:42avec d'autres instituts
16:43pour arriver à des algorithmes
16:45de clusterisation
16:46de tous les petits îlots
16:48quantiques qu'on a en Europe
16:50pour avoir justement
16:52cette force,
16:53cette puissance de calcul.
16:55Parce qu'il faut le préciser,
16:56un ordinateur quantique,
16:57il ne fera que du calcul.
16:58Il n'y aura pas de données
16:59sur l'ordinateur quantique.
17:00Sur un gros HPC,
17:02on va transférer des données
17:03vers un ordinateur quantique
17:04qui, lui, va faire le calcul
17:05et renvoyer un résultat.
17:07Mais on ne stocke pas de données
17:08sur l'ordinateur quantique.
17:10Ce n'est pas ça, le problème.
17:10Lui, c'est de la puissance,
17:12comment dire,
17:13quand il casse un algorithme,
17:15il va le casser,
17:16comme on l'appelait auparavant,
17:18une attaque en brute force,
17:19en force brute.
17:20C'est par la puissance de calcul
17:21qu'il va le faire.
17:22Il va renvoyer le résultat.
17:24Mais il n'y aura pas de données
17:24sur l'ordinateur quantique,
17:26en elle-même.
17:26On va les transférer
17:27pour qu'il fasse le calcul
17:28et on renvoie le résultat.
17:30Donc, ce n'est pas du tout
17:31le même fonctionnement
17:33que les ordinateurs classiques
17:35qu'on a aujourd'hui.
17:36Ce n'est pas quelque chose
17:37qui conserve de la donnée.
17:39Donc, ce n'est pas non plus
17:40les mêmes solutions de protection ?
17:43Exactement.
17:44Peut-être qu'il faut compléter
17:46le sujet.
17:49Vous avez cité le secteur de la défense
17:50ou le secteur des institutions
17:54ou des données publiques gouvernementales.
17:56Donc, évidemment,
17:57c'est des enjeux très sensibles.
17:59Mais vous prenez simplement
18:00nos transactions bancaires,
18:02par exemple.
18:02Donc, en gros,
18:04la confiance qu'on peut avoir
18:06dans le système financier,
18:08l'intégrité,
18:09la confidentialité
18:10de ces transactions
18:11peuvent être mis en cause
18:12par l'ordinateur quantique.
18:14La simple communication
18:15sur un site web sécurisé,
18:18votre utilisation de WhatsApp
18:19ou de signal
18:20pour votre messagerie du quotidien.
18:21Donc, ça va vraiment...
18:22Le panorama des impacts
18:24va du quotidien
18:26à des enjeux, évidemment,
18:28de souveraineté globale.
18:29Ça, c'est ce que vous abordez
18:31avec la protection SSL
18:33qu'on connaît habituellement,
18:34en la sécurisant ?
18:36Oui.
18:36Alors, nous,
18:37on a utilisé un ordinateur quantique
18:39et on a fait des nombres
18:40aléatoires quantiques certifiés
18:42parce que c'est ce qui se fait
18:43plus haut scientifiquement aussi
18:44en termes d'aléas.
18:46C'est-à-dire,
18:46les nombres sont plus aléatoires,
18:48donc plus difficiles à trouver.
18:50Ils ne sont pas encore incassables,
18:51mais c'était une grosse évolution
18:52pour les certificats SSL
18:53qui sécurisent l'entrée
18:55à chaque site Internet, en fait.
18:56C'est la petite porte d'entrée
18:58pour accéder au site Internet.
18:59Donc, c'était offrir
19:00une première étape,
19:01mais c'était aussi découvrir
19:02comment on fait de la R&D
19:03sur un ordinateur quantique
19:04dans un data center,
19:06donc là où nous,
19:06on héberge toutes nos données
19:08et nos ordinateurs quantiques.
19:10Ce qui est intéressant
19:10avec ces nombres aléatoires quantiques,
19:11c'est qu'on va pouvoir
19:12les injecter dans de la crypto
19:14post-quantique
19:15pour améliorer en plus
19:16l'aléa dans la crypto post-quantique
19:18parce qu'il en faut,
19:18il faut de l'aléa
19:19et ses nombres aléatoires.
19:20Donc, on va avoir choisi
19:21en premier, justement,
19:22de travailler sur ces certificats SSL
19:23sur la sécurisation des sites web.
19:25Ça vous semble
19:25une menace prioritaire ?
19:27C'est une des menaces
19:28et c'était un des produits
19:30où on a beaucoup,
19:31beaucoup de clients.
19:32C'était comment on offre ça
19:33au grand public
19:34et puis ça a été surtout,
19:36il y avait plusieurs enjeux.
19:37Acheter une machine,
19:38un ordinateur quantique
19:38à Candela,
19:39avec qui on a travaillé,
19:40c'était financer
19:42une start-up française
19:43et avoir un premier client.
19:44Donc, ça leur a les aidé
19:45à faire une levée des fonds.
19:47Donc, c'est comment
19:47on accélère aussi
19:48en innovant, nous,
19:50en tant qu'acteurs français,
19:51investir de l'argent
19:52dans une start-up française
19:53qui fait ça, c'est...
19:54Soutenir l'écosystème.
19:55Voilà, exactement.
19:56Faire de la R&D,
19:57travailler sur des sujets
19:58et des cas d'usage concrets
19:59qui sont notre quotidien
20:00chez OVH Cloud
20:01et puis préparer
20:03la porte du futur,
20:04c'est-à-dire,
20:05c'était un premier sujet
20:06pour aller vers la PQC.
20:08Et là, nous,
20:08on va lancer notre plan,
20:09donc ce qui est recommandé
20:10par l'ANSI,
20:11un plan,
20:12un, d'ici fin 2026,
20:14de découvrir tout
20:14ce qu'il faudrait
20:15qu'on passe en crypto
20:16post-quantique.
20:17D'ici 2030,
20:18mettre tout ce qui est à risque,
20:20tous nos clients
20:20qui sont à risque
20:21et puis, d'ici 2035,
20:23il y a vraiment une roadmap
20:24qui est préconisée,
20:25passer tous nos services
20:27en crypto post-quantique.
20:28Est-ce qu'il y a déjà,
20:29aujourd'hui,
20:30des entreprises,
20:31des grands groupes
20:32qui sécurisent leurs données
20:34avec des cryptographies
20:37post-quantiques,
20:38résistantes au quantique ?
20:40Est-ce que vous en connaissez ?
20:41Les militaires,
20:42ils sont quand même
20:43déjà passés à des...
20:45Ils ont déjà la crypto
20:46et des...
20:47Comment dire ?
20:47Ils ont des clés symétriques,
20:50souvent,
20:50ou d'autres façons
20:50de sécuriser,
20:51qui sont déjà quand même
20:52relativement protégés,
20:53mais en effet,
20:54au niveau du gouvernement,
20:56ils doivent y aller aussi.
20:57Et après,
20:58il y a des grands groupes
20:58qui sont en train
20:59de commencer à regarder
21:00leur roadmap.
21:00Tout le monde attendait
21:01un petit peu
21:02que l'ANSI lance...
21:03Ça, c'est au niveau français.
21:04Oui.
21:05Et dans le monde entier,
21:06il y a le NIST,
21:07par exemple,
21:07aux États-Unis.
21:08L'Europe aussi
21:09a ses groupes
21:11de préconisations.
21:13Et donc, voilà.
21:14C'est en train
21:15de démarrer
21:15un peu tardivement
21:16puisque depuis le temps
21:17que Florent parle...
21:18Alors, justement,
21:18en Cryptonex,
21:19vous avez déjà une vue
21:20sur les premiers
21:21grands groupes
21:22qui utilisent...
21:23Alors, on voit
21:24que globalement,
21:25les États-Unis
21:26sont un peu en avance
21:27parce qu'il y a justement
21:28une régulation.
21:29À un moment donné,
21:30cette migration
21:31vers le poste quantique,
21:32elle est quand même
21:32impulsée par les agences
21:34de sécurité,
21:35par les réglementations.
21:37Et donc,
21:37aux États-Unis,
21:38ça a été un peu
21:39débloqué en avance.
21:40On a l'Union européenne
21:41qui a publié sa roadmap
21:42en juin de cette année.
21:44L'Anti, effectivement,
21:46en octobre,
21:46a donné un certain nombre
21:48de dates.
21:49Et on voit des secteurs
21:50qui bougent déjà
21:51depuis un certain temps.
21:52Le premier,
21:53c'est le secteur financier,
21:54justement,
21:55parce que secteur de confiance,
21:56parce qu'infrastructure complexe.
21:58Après, on voit,
21:59effectivement,
21:59dans le domaine
22:00de la défense,
22:02des infrastructures critiques
22:07où on a des durées de vie
22:08d'infrastructures très longues.
22:11Voilà.
22:11Tout ça,
22:12c'est des secteurs
22:12qui se mettent déjà
22:13à avancer très concrètement.
22:15Bertrand,
22:16juste parce qu'on arrive
22:17en fait déjà
22:17à la fin du talk,
22:18qu'est-ce que ça représente
22:19comme marché aujourd'hui ?
22:219,8 milliards en 2030,
22:22estimé.
22:239,8 milliards de dollars
22:25estimés en 2030.
22:26La sécurité post-quantique ?
22:28Le quantique en général.
22:29Le quantique en général.
22:30D'accord.
22:31Ce que je voulais préciser,
22:32c'est qu'en fait,
22:32les algorithmes de Nice
22:33qu'a cité Fanny,
22:35en fait,
22:35ils ont été créés aussi
22:38avec une collaboration internationale.
22:41C'est-à-dire que tout le monde,
22:42toute la communauté scientifique
22:43a participé
22:44pour sortir
22:45ces quatre algorithmes
22:47de Nice
22:48qui ont été sélectionnés
22:49par le Nice
22:50et qui sont devenus
22:51entre guillemets
22:51une sorte de standard
22:52pour tout le monde.
22:55Et après,
22:55les gens choisissent
22:56entre guillemets
22:57sur ces quatre algorithmes
22:58lesquels ils vont travailler
22:59pour pouvoir protéger
23:01de manière post-quantique.
23:04Après,
23:05entre guillemets,
23:05il y a la sécurité
23:06mais il y a aussi
23:07avec le quantique
23:09plein d'autres applications
23:10possibles.
23:11On voit
23:12la Matmut
23:13qui utilise
23:14déjà
23:14des émulateurs
23:16et des simulateurs
23:16quantiques
23:17pour affiner
23:18leur prix
23:19des polices
23:20d'assurance.
23:21Faire de l'optimisation
23:22de risque.
23:23Mais là,
23:24Bertrand,
23:24vous me sortez du sujet
23:25et en plus,
23:25il ne nous reste que 30 secondes.
23:26Et sinon,
23:27Moderna
23:27qui travaille
23:28sur l'ARN messager
23:29avec ça.
23:29Je voulais qu'on termine
23:30parce qu'on reste
23:31sur le sujet
23:31quand même sécurité.
23:33On termine
23:33avec l'écosystème.
23:34On a entendu
23:36qu'on avait
23:37les talents
23:37dans le quantique,
23:39qu'on avait
23:39les startups.
23:40Est-ce qu'on va réussir
23:41à passer à l'échelle ?
23:42Il va falloir financer.
23:44Moi,
23:44je crie
23:45aux industriels,
23:46mettez
23:46de l'investissement
23:48de l'AR&D
23:49dans des boîtes européennes
23:50parce qu'on a
23:50tout un écosystème.
23:52La France
23:52est le troisième pays
23:53mondial dans le quantique.
23:54Ça a été annoncé,
23:55je crois,
23:55ce matin.
23:56C'est hyper important.
23:57On a un écosystème
23:58extraordinaire
23:59en Europe,
24:00en France,
24:01mais il faut le financer
24:01donc il faut démarrer
24:02sa AR&D.
24:03Donc il faut un plan
24:03industriel
24:04sur le quantique ?
24:05Carrément.
24:06Au niveau européen ?
24:07J'imagine.
24:08Ok.
24:09Oui, Bertrand ?
24:10Juste un dernier point.
24:11Par exemple,
24:11sur le quantique,
24:12338 brevets
24:13déposés en France
24:14sur le quantique.
24:16Merci beaucoup.
24:17Mais c'est aux Etats-Unis
24:18qu'ils ont déposé le plus,
24:19non ?
24:20Non,
24:20en ce moment,
24:21c'est en Chine.
24:21Je crois qu'ils sont
24:22en train de rattraper.
24:23Je vous rends le lance,
24:24pas en a terminé.
24:25Merci beaucoup Bertrand Garry,
24:26rédacteur en chef
24:27de l'informaticien.
24:28Merci Fanny Bouton,
24:29directrice du quantique
24:29chez OVH Cloud.
24:31On peut citer aussi
24:31vos podcasts.
24:32On peut vous écouter
24:33sur ces sujets
24:34quantum et des codes quantum.
24:35Et Florent Gommet,
24:36merci aussi,
24:37CEO de Crypto Next Security.
24:39Allez,
24:39on enchaîne
24:40avec l'interview
24:41d'un RSSI.
24:46Dans l'interview RSSI,
24:48j'ai le grand plaisir
24:48de recevoir
24:49Hervé Pellarin.
24:50Bonjour Hervé.
24:50Bonjour Delphine.
24:51Alors,
24:52cinq années passées
24:53au conseil départemental
24:55en tant qu'ingénieur sécurité.
24:56Vous avez rejoint
24:57le groupe hospitalier territorial
24:58Haute-Savoie,
24:59pays de Gex.
25:00Oui.
25:01Voilà pour votre rapide CB.
25:04J'ai lu que vous portiez
25:05un regard de red teamer
25:06sur la sécurité.
25:07Oui.
25:07C'est original
25:08pour un responsable
25:09de la sécurité, non ?
25:10En fait,
25:11je suis convaincu
25:12qu'on ne peut pas défendre
25:13si on n'a pas
25:14de notion d'attaque.
25:15Il faut comprendre
25:16les vecteurs d'attaque
25:17pour voir
25:17ses propres fragilités
25:18avec du recul.
25:21Et si on n'a pas
25:23une idée
25:24comment quelqu'un
25:25peut cambrioler une maison,
25:26on a beau être
25:27le meilleur des architectes,
25:29on ne fera pas forcément
25:30la maison la plus sûre
25:31qui préservera
25:31l'intégrité
25:32de ce qu'il y a dedans.
25:33Quelle est, selon vous,
25:34la première mission
25:35d'un RSSI
25:36au sein d'un centre hospitalier ?
25:38Qu'est-ce que vous,
25:38vous vous êtes fixé ?
25:39Moi, je n'ai pas
25:40de première mission,
25:40j'en ai qu'une,
25:41c'est être au service
25:42des soignants.
25:43Mon boulot,
25:44c'est de faire en sorte
25:44que les soignants
25:45soignent,
25:46coûte que coûte.
25:46D'accord.
25:48Donc, c'est vraiment
25:48au service des métiers.
25:49Un hôpital,
25:50son boulot,
25:51c'est quand vous arrivez
25:52devant lui,
25:53il vous ouvre ses portes,
25:54ça veut dire
25:54venez,
25:55vous êtes le bienvenu,
25:56on va prendre soin de vous.
25:58Et ça,
25:58rien ne doit changer ça,
26:00même le climat cyberactuel,
26:01même le climat géopolitique
26:03actuel,
26:03les portes doivent toujours
26:04être ouvertes,
26:05coûte que coûte.
26:06Et ça,
26:06c'est une énorme pression
26:07parce que les centres hospitaliers
26:09sont des cibles
26:10à part entière
26:12aujourd'hui
26:12des cyberattaquants.
26:13Alors,
26:14quand je vous ai rencontré
26:15pour la première fois,
26:16c'était aux assises
26:17de la cybersécurité
26:18à Monaco
26:19et vous étiez pas mal remonté
26:21sur la question
26:22du matériel médical.
26:25Vous m'expliquez
26:26qu'en fait,
26:26vous n'aviez pas
26:27de garantie de sécurité.
26:28Rien du tout.
26:29Il faut comprendre
26:30qu'un hôpital,
26:32il marche,
26:32il y a deux mondes parallèles.
26:34Il y a l'informatique
26:35du service informatique
26:35qui est maîtrisé
26:36généralement plutôt bien.
26:37Les postes des agents
26:38et tout ça,
26:39c'est plutôt bien maîtrisé
26:40à jour et tout.
26:41Et il y a l'informatique
26:42qu'on appelle
26:43le biomédical,
26:44c'est l'informatique
26:45qui va être au service
26:46de tous les appareils médicaux,
26:47scanner, IRM,
26:48labo, automne,
26:49toutes ces choses-là.
26:50Et ça,
26:50c'est un monde à part
26:51sur lequel on n'a pas la main
26:53où les éditeurs
26:54nous vendent
26:56à prix fort.
26:57Pour la petite histoire,
26:58là j'en suis.
26:59Mise à jour Windows 10,
27:00Windows 11,
27:0014 000 euros par poste.
27:02Voilà.
27:03Après,
27:03on s'étonne
27:03qu'on n'a pas de sous.
27:04où les éditeurs
27:05imposent leurs lois
27:06parce qu'il n'y a pas
27:07de règles
27:07qui leur imposent
27:08de rentrer dans les nôtres.
27:10C'est-à-dire que les gens
27:10peuvent vous vendre
27:11du Windows 7
27:12avec un utilisateur-administrateur
27:13et désactiver l'antivirus
27:14et vous dire
27:15que mon automate
27:16a été qualifié comme ça.
27:17Si vous osez mettre
27:18un antivirus,
27:19je vous retire le marquage
27:20et je n'assure plus
27:21la maintenance.
27:22Donc quand vous payez
27:22300 000 euros
27:23une machine,
27:23vous n'avez pas le choix.
27:25Alors ce qui fait,
27:25en fait,
27:25pour imager les choses,
27:27si un hôpital,
27:27c'était une sorte
27:28de grande maison,
27:30vous avez plein de couloirs,
27:32plein de pièces
27:33qui sont hautement enflammables
27:34en cas de cybernétique
27:35qu'elles tombent
27:35et quand elles tombent,
27:36qu'est-ce qui se passe ?
27:37Ce sont des valeurs métiers
27:38qu'on perd
27:38et ce sont des soins
27:39qu'on perd
27:39et ce sont des dangers
27:40qu'on met en vis-à-vis
27:42de la santé,
27:43des soins des patients.
27:44Alors moi,
27:44ça me semblait
27:45complètement fou.
27:46Vous ne m'aviez pas cru.
27:47J'avoue que ce matériel
27:50ne soit pas soumis
27:51à tous les règlements
27:52qui aujourd'hui
27:53sont discutés
27:54jusqu'au niveau européen.
27:56Cyber Resilience Act,
27:57Nice 2 qu'on attend,
27:59et vous m'avez dit non.
28:01C'est toujours non ?
28:02Oui, bien sûr que c'est non
28:03parce qu'en fait,
28:04c'est des gens
28:04qui sont extrêmement bien organisés
28:05pour ne pas se mettre
28:06de contraintes.
28:08Les matériels médicaux,
28:09en fait,
28:09ils ne rentrent pas
28:10dans le CRA.
28:10Pour ceux qui connaissent
28:11une nouvelle grande loi
28:12cyber européenne,
28:13ils ont été retirés.
28:14Pourquoi ?
28:14Parce qu'on ne peut pas
28:15réglementer quelque chose
28:16qui est déjà réglementé
28:17et les matériels médicaux
28:18sont réglementés
28:19par deux règlements
28:19qui s'appellent le MDR
28:20et le VDR
28:20pour Medical Device Regulation
28:22et In-Vitro Device Regulation
28:24dans lesquels le cyber
28:25est noté de la manière suivante
28:29de l'art.
28:30C'est tout.
28:31Et comme l'état de l'art
28:32n'est pas qualifié...
28:33C'est extrêmement mince
28:34et ce n'est pas un hasard.
28:36Comme l'état de l'art,
28:37personne n'a qualifié
28:38l'état de l'art égale 2 points,
28:40l'état de l'art n'est pas opposable.
28:42Donc, en fait,
28:43j'invite tous mes homologues,
28:45quand on a une machine
28:46qui n'est pas à jour,
28:47un antivirus qui est désactivé
28:48sciemment
28:49et un logiciel qui tourne
28:50avec un utilisateur administrateur,
28:52ça ne peut pas être
28:53l'état de l'art.
28:55Mais pourquoi cette résistance
28:57à la cybersécurité ?
28:59Parce qu'à la base,
29:00je pense,
29:01c'est mon point de vue,
29:02j'ai le droit de me tromper,
29:03on part d'une genèse
29:04où on fabrique des automates
29:05pour du soin,
29:06puis est arrivée la notion
29:07de connecter les automates
29:10à travers la numérisation
29:11des établissements de santé
29:12pour faciliter les traitements
29:14et puis les choses
29:15étaient faites à la base
29:15pour soigner,
29:16ce n'était pas fait
29:16pour de la sécurité
29:17et on a oublié
29:18qu'en fait,
29:19pour soigner,
29:20par les temps qui courent,
29:21il faut qu'il y ait
29:21un minimum de sécurité
29:22et c'est du boulot en plus
29:24qu'ils ne veulent pas faire.
29:25Et des coûts.
29:26Et des coûts.
29:27Moi, ce que je leur reproche,
29:29c'est le manque de volonté
29:30à essayer de faire.
29:31Quand vous dites
29:31à un industriel,
29:32on installe l'EDR
29:33pour le protéger
29:33parce que c'est un système critique
29:35dans mes mécaniques de soins,
29:36c'est non.
29:37Ce n'est même pas chiche,
29:38on essaye.
29:39C'est non.
29:40Ils ne veulent même pas
29:41s'embêter avec ça en fait.
29:42Alors, vous me disiez
29:43que vous alliez quand même
29:44ruer dans les brancards.
29:45Oui.
29:45Ça bouge au niveau politique ?
29:47Est-ce qu'on s'est emparé
29:48en France de ce sujet ?
29:49Alors, déjà,
29:50on a réussi avec la députée
29:51Rilloton
29:52à placer un amendement
29:53à NIS2
29:54qui impose une notion
29:55de responsabilité
29:55des éditeurs.
29:57Quel qu'il soit, donc.
29:58Oui.
30:01Et donc, là,
30:03on n'attend pas tellement
30:03que ça passe
30:04parce que ça va changer
30:06des choses.
30:07Dans le cas,
30:07comme il m'est arrivé
30:08de trouver une faille
30:09sur un logiciel
30:10de brancardage
30:10et on n'avait aucun levier juridique
30:11pour imposer à l'éditeur
30:12de boucher le trou,
30:14là, on va avoir un levier.
30:16Mais la temporalité
30:17pour faire bouger les choses
30:19par rapport à la temporalité
30:21des menaces cyber,
30:22on n'est pas sur les mêmes échelles.
30:23Et puis, alors,
30:23vous, dans votre région,
30:24là, vous avez
30:24quelques pressions supplémentaires
30:26qui arrivent.
30:26On a deux, trois quarts
30:27mais sympa qui arrivent.
30:28On a le G7 l'année prochaine.
30:29L'année d'après,
30:30on a la Coupe du monde de vélo
30:31et deux ans après,
30:31on a les JO.
30:32Il faut s'occuper.
30:35Voilà.
30:36Bon.
30:37Donc, effectivement,
30:37on a un peu sous tension.
30:38Vous avez lancé
30:39une opération papyrus
30:41en 2024.
30:43C'est ça la solution
30:43retourner au papier ?
30:44Alors, non,
30:45la solution,
30:45c'est pas retourner.
30:46De toute façon,
30:47on sera au papier.
30:48On sera au papier.
30:49Mais c'est de retourner au papier
30:50avec une traçabilité des papiers.
30:52Et oui,
30:53l'opération papyrus,
30:54c'était quoi ?
30:54C'était remettre les soignants
30:55au cœur de leur métier
30:56en les faisant travailler
30:57sans leurs outils nominaux
30:58pour reconstruire
30:59les automatismes
31:00qui permettent
31:01de continuer leur valeur métier,
31:02c'est-à-dire soigner.
31:03Et se préparer
31:04aussi,
31:04faire des exercices de crise.
31:06Oui, on en fait
31:06deux, trois par an.
31:07Deux, trois par an.
31:07Oui, oui.
31:08Deux, trois par an.
31:09On a mis en place
31:09une solution
31:10qui nous permet,
31:12même si on a une cyberattaque,
31:13même si on ferme tout,
31:15de pouvoir continuer
31:15à accueillir les gens,
31:17créer des identités,
31:17créer des séjours,
31:18imprimer des étiquettes
31:20et surtout garder
31:21une traçabilité
31:21de l'identito-vigilance.
31:23Vous avez fait partie
31:24de l'opération gouvernementale ?
31:26On en part.
31:27Oui, on l'a fait.
31:29D'accord.
31:29Et c'était très bien
31:30parce que ça nous a permis
31:31dans l'hôpital
31:31d'avoir plein de gens
31:32qui n'avaient pas eu l'occasion
31:33de travailler ensemble,
31:34des services,
31:35qui étaient tous autour de la table.
31:36C'est une problématique commune,
31:37on est en crise.
31:38C'était un très bon exercice
31:39et on attend tous
31:40ce rempart 26.
31:42Merci beaucoup,
31:43Hervé Pellarin,
31:44d'avoir été avec nous,
31:45d'avoir témoigné sincèrement
31:46et de nous avoir parlé
31:47de votre métier
31:48et rejoindre la santé.
31:49crucial.
31:50Voilà, absolument.
31:52Je rappelle que vous êtes
31:53le RSSI
31:53de l'hôpital Annecy-Genevoix.
31:55Nous, on enchaîne,
31:56on va parler
31:56de l'intelligence artificielle
31:57utilisée dans les cyberattaques.
32:02Bismarck.
32:03Nous avons le grand plaisir
32:04d'être connectés
32:05avec Damien Bancal,
32:07spécialiste en cyberintelligence,
32:08fondateur du service
32:10veillesattas.com.
32:11Bonjour Damien,
32:12très heureuse
32:12de te retrouver.
32:15Bon alors,
32:15toi,
32:15tu suis toutes les affaires
32:17de cyberattaques,
32:20de failles de données,
32:22tout ça.
32:22Donc,
32:23on en a tellement
32:23à raconter sur 2025.
32:25Je voulais juste,
32:26si tu pouvais nous donner
32:27ton point,
32:28ton regard
32:28sur la dernière cyberattaque
32:30qui a touché
32:31le ministère de l'Intérieur.
32:33Ce qui est complètement fou,
32:34c'est que c'est
32:34une cyberattaque
32:36comme il en existe
32:37des milliers.
32:38Sauf que là,
32:39effectivement,
32:39on a affaire
32:40à un ministère
32:41d'autant plus
32:41très important
32:42avec,
32:44selon,
32:44en tout cas,
32:45les informations
32:45des enquêteurs,
32:46un internaute,
32:47voilà,
32:48une vingtaine d'années
32:49qui trouve le moyen
32:50d'accéder
32:50à une boîte mail,
32:52à plusieurs boîtes mail
32:53parce que des gens
32:53ont fait des erreurs.
32:54On est des humains.
32:55Et comme je ne cesse
32:56de le dire,
32:56le piratage informatique,
32:57c'est l'humain d'abord.
32:59Bon ben voilà,
32:59ce n'est pas des génies,
33:00ils ont juste besoin
33:01d'avoir une chance
33:01une seule fois.
33:02Oui,
33:02persévérant en fait.
33:05Et je voulais aussi
33:07voir avec toi
33:07comment l'intelligence
33:08artificielle
33:09changeait
33:09le monde
33:10de la cyber,
33:11de la cyber-sécurité,
33:12de la cyber-criminalité aussi.
33:14Est-ce que tu dirais
33:15qu'aujourd'hui,
33:16l'intelligence artificielle,
33:17c'est vraiment
33:17une amie,
33:18une alliée
33:18pour les pirates ?
33:19Ce qui est certain
33:21en tout cas,
33:22c'est que c'est un outil
33:23supplémentaire
33:23dans un râtelier
33:24qui n'avait pas besoin
33:25d'une nouvelle lame.
33:26Je m'explique.
33:27C'est qu'aujourd'hui,
33:28eh bien,
33:28je suis un pirate suisse
33:30ou un pirate chinois
33:31ou indien,
33:33eh bien,
33:33l'IA va me permettre
33:34déjà de traduire
33:34correctement
33:35le contenu du message
33:36que je vais vouloir
33:37faire passer.
33:38Ensuite,
33:39et ça,
33:39on le voit avec
33:40les multiples
33:41intelligences artificielles
33:42proposées à tout le monde,
33:43à toi,
33:44à nous,
33:44bref,
33:46on peut fabriquer aussi
33:47des outils
33:47de malveillance,
33:48d'espionnage,
33:49en tout cas,
33:50me permettre
33:51de remonter
33:51à des informations,
33:52moi,
33:52le malveillant.
33:53Et puis,
33:53clairement,
33:54oui,
33:55ça agrège tellement
33:55d'informations,
33:57l'intelligence artificielle,
33:58que ça permet de coder,
33:59ça permet de créer
34:00des images,
34:01il était hors de question,
34:02malheureusement,
34:02que ce genre de population
34:03ne l'exploite pas.
34:05On le voit très bien
34:05dans les deepfakes,
34:06les fameuses vidéos truquées,
34:08on le voit dans la voix,
34:09on le voit dans les messages.
34:10C'est donc,
34:11effectivement,
34:11une nouvelle arme
34:12dans un ratelier
34:13qui est déjà
34:14très,
34:15très chargé.
34:16Et alors,
34:16en plus,
34:17je vois une étude
34:18du BCG ce matin,
34:19je découvre les chiffres
34:20dans les échos,
34:21qui nous dit
34:22que les acteurs
34:24de la cybersécurité
34:25sont complètement
34:26à la traîne
34:27par rapport aux attaquants
34:28sur l'utilisation
34:28de l'intelligence artificielle.
34:2960% seulement
34:31des acteurs
34:31de la cyber
34:32qui utilisent,
34:33pardon,
34:3360% des attaquants
34:35qui utilisent l'IA,
34:36mais seulement 7%
34:37des acteurs
34:38de la cybersécurité
34:39qui s'en servent
34:40pour nous protéger.
34:42Alors,
34:42c'est des chiffres
34:43qu'il faut quand même
34:43prendre avec des pincettes
34:44parce qu'il est très compliqué
34:44de savoir
34:45quel type de pirate informatique
34:47utilise vraiment l'IA.
34:48mais surtout,
34:49il y a un énorme détail
34:50très important,
34:51c'est que d'un côté,
34:52les 7%,
34:52ce sont des entreprises
34:53qui respectent
34:55la législation,
34:56la loi,
34:56qui respectent l'homme,
34:57qui respectent la donnée
34:58et donc du coup,
34:59ils ne peuvent pas faire
35:00n'importe quoi.
35:01Alors qu'un pirate informatique,
35:02il est dans son fauteuil,
35:03dans un coin,
35:04il se moque complètement
35:05de la loi
35:06et il prendra
35:07toutes les possibilités
35:08pour nuire à autrui
35:09et donc c'est pour ça
35:10qu'ils sont aussi nombreux.
35:11Oui.
35:11Sur les fuites de données,
35:14je disais qu'on en avait eu
35:15à l'appel,
35:16France Travail a quand même
35:17été pas mal ciblée
35:19cette année.
35:21Quel impact ça a
35:22aujourd'hui de se dire
35:23qu'on a autant de données
35:24disponibles sur le Dark Web,
35:26sur tous les citoyens ?
35:28Alors déjà,
35:29première chose,
35:30il faut clairement
35:30ne pas se dire
35:32« Oh, c'est pas grave,
35:33ils ont mes données,
35:34je ne risque rien ».
35:35Il faut clairement
35:36prendre ça très au sérieux.
35:37Donc si vous avez la preuve
35:38que vos éléments
35:38sont dans les mains
35:39d'un pirate informatique,
35:40clairement déposez plainte.
35:41Parce qu'une plainte
35:42permettra de stopper tout ça.
35:44On le voit très clairement,
35:45nos autorités,
35:46elles ne vont pas arrêter
35:47le pirate demain,
35:48mais elles peuvent aller
35:48très très vite aujourd'hui.
35:49Ils ont des professionnels,
35:51un petit peu plus de moyens
35:52et surtout,
35:52la possibilité de travailler
35:54avec d'autres institutions
35:55dans d'autres pays.
35:57Ensuite,
35:57oui effectivement,
35:58dans le Dark Web,
35:59il y a énormément de données.
36:00Je le vois moi
36:01avec ce que j'ai pu mettre en place.
36:03Bon,
36:04il n'y a qu'à se servir,
36:05c'est ça qui est terrible.
36:06Et ils le font
36:07ces pirates informatiques.
36:08Ils mettent même en place
36:08des outils.
36:09Ils appellent ça
36:10différents noms,
36:11peu importe,
36:12ou dans lesquels
36:12il suffirait de taper
36:13votre nom et votre prénom
36:14pour voir déjà
36:15ce qu'ils ont en main.
36:15Et ça,
36:16ils le commercialisent.
36:17Il faut clairement
36:17se mettre dans sa tête
36:19que même moi,
36:20le particulier,
36:21je dois mettre
36:21une stratégie de cybersécurité.
36:23On en parle
36:24depuis des décennies.
36:25Un mail différent
36:26partout où je m'inscris,
36:27un mot de passe différent,
36:29la double authentification
36:30indispensable.
36:31Et n'hésitez pas
36:32à dire non
36:32quand on vous réclame
36:33certaines informations.
36:34Alors bien sûr,
36:35pas aux impôts,
36:36bien sûr pas à l'URSSAF,
36:37bien sûr pas à l'assurance maladie,
36:38mais au moins,
36:40diffusez un minimum
36:41d'informations,
36:42rien que votre téléphone portable.
36:44Réfléchissez à ce que
36:45votre téléphone diffuse
36:46sans même que vous soyez
36:47au courant
36:48de ce qu'il est en train
36:48de diffuser.
36:49Mais ça devient
36:50de plus en plus difficile
36:51de résister.
36:52Moi, je vois même
36:53en pharmacie,
36:53on a une pression
36:54incroyable aujourd'hui
36:55pour donner
36:56nos informations personnelles.
36:57Enfin,
36:57c'est complètement fou.
36:59Est-ce que la France
37:00est plus particulièrement
37:01vulnérable
37:02ou touchée ?
37:03Ou alors,
37:04c'est un prisme
37:05particulier que j'ai
37:07parce que je regarde
37:08en particulier
37:08ce qui se passe en France ?
37:10On a clairement un prisme
37:11sur notre pays,
37:12ça paraît évident,
37:12mais non, non,
37:13malheureusement,
37:14rassurons-nous,
37:15c'est une façon de le dire,
37:16non,
37:17ça impacte tous les pays
37:18et tout le monde.
37:20Bien sûr,
37:20nous,
37:21ça nous impacte
37:21d'autant plus
37:22parce que ça a pu toucher
37:23certaines entreprises
37:24quand même très importantes.
37:25On a vu des opérateurs,
37:26des grandes enseignes
37:27de la distribution,
37:28bien sûr,
37:29certains sites étatiques.
37:31Toute la planète
37:32est impactée
37:33parce qu'il y a
37:34des pirates informatiques
37:34partout
37:35et qu'ils vont utiliser
37:36les petits leviers psychologiques
37:37dont celui de l'humain
37:38pour réussir à voler
37:40ce type d'informations.
37:42Alors,
37:42n'oublions pas non plus
37:42que dans quelques mois,
37:43il y a des élections,
37:44les municipales d'abord,
37:45ensuite les présidentielles,
37:47que tous ces éléments-là aussi
37:48nous mettent face
37:51à une triste réalité.
37:52Ça fait des décennies
37:53que j'alerte en disant,
37:55vous savez,
37:55les pirates informatiques,
37:56ils se servent
37:57dans nos données.
37:58Alors,
37:58au départ,
37:58on disait
37:58c'est de la science-fiction,
37:59ensuite on disait
38:00oui,
38:00c'est assez rare.
38:01Après,
38:02voilà,
38:03c'est simple,
38:04Zataz a plus de 30 ans,
38:06ça fait 30 ans
38:07que je vois exactement
38:08les mêmes choses.
38:09Sauf qu'aujourd'hui,
38:09les pirates informatiques
38:10sont dans un univers
38:11du marketing de la malveillance.
38:13On en parlait ensemble
38:14il y a quelques temps.
38:15Voilà,
38:15le marketing de la malveillance,
38:16c'est qu'aujourd'hui,
38:17ils ont besoin
38:17de communiquer pour vendre.
38:20Donc,
38:20s'ils veulent vendre,
38:21ils veulent trouver du client.
38:22Donc,
38:22ils en parlent plus.
38:23Donc,
38:23on le voit plus.
38:24Mais attention,
38:25fausses annonces aussi.
38:27Merci beaucoup,
38:27Damien Bancal.
38:28Je rappelle donc que vous avez fondé
38:30le service de veille
38:31Zataz.com.
38:33qui est une déclinaison
38:34du Zataz.com
38:35qui a plus de 30 ans,
38:36vous nous l'avez dit.
38:37Et je précise aussi
38:38que vous êtes à l'origine
38:40d'un guide pratique
38:41sur la protection
38:42des données personnelles
38:43avec une édition
38:43qui va sortir
38:44chez Que se choisir,
38:45c'est ça ?
38:46Oui,
38:46complètement.
38:47Lâchez vos marchands de journaux
38:48si vous voulez tout savoir
38:49sur comment protéger vos données.
38:51Allez-y.
38:52Merci.
38:52On ne peut que vous encourager.
38:55Merci beaucoup,
38:55Damien Bancal.
38:56C'est l'heure
38:57de notre culture cyber.
38:58Cette fois,
38:58on va s'intéresser
38:59à la fraude pharmaceutique.
39:03à lire,
39:05à voir,
39:05à écouter,
39:06à visiter.
39:07On termine Smart Cyber
39:08avec un peu de culture cyber.
39:10Aujourd'hui,
39:11on va s'intéresser
39:11à un rapport trimestriel
39:12sur les menaces
39:13qui a été publié
39:13par Avas.
39:15Avec vous,
39:15Leïla Bilguet,
39:16bonjour.
39:17Bonjour.
39:17Vous êtes responsable
39:18de la recherche
39:18sur les escroqueries
39:19chez Avas.
39:20Et donc,
39:21vous nous invitez
39:21à lire ce rapport
39:23qui met en lumière
39:23en particulier
39:24la pharmafraude,
39:25donc la fraude pharmaceutique.
39:27Expliquez-nous
39:28de quoi il en retourne.
39:29Oui.
39:30En fait,
39:30c'est un réseau
39:33qui fait
39:34beaucoup d'arnaques
39:36sur Internet.
39:38Et en réalité,
39:38ils imitent
39:40les e-commerce
39:43qui vendent
39:44les choses
39:44de pharmacie,
39:45les médicaments
39:46en ligne.
39:47Et en général,
39:49tu penses
39:49que tu vas acheter
39:51quelque chose vrai,
39:52mais en réalité,
39:53c'est quelque chose
39:54qui n'est pas
39:55vraiment bien.
39:56C'est-à-dire
39:57que c'est un faux site web.
39:59Exactement.
40:00C'est un faux site web.
40:00D'une fausse pharmacie.
40:02Exactement.
40:03Qui vend des faux produits.
40:04Exactement.
40:05Mais qui vend vraiment
40:06quelque chose ou pas ?
40:07En général,
40:09en général,
40:10ils volent ton argent.
40:13Mais quelquefois,
40:14quelquefois,
40:15ça peut être
40:15qu'ils veulent,
40:16en fait,
40:18prendre ton donné.
40:20Mais quelquefois,
40:21tu aussi recevras
40:22les produits,
40:23mais ils sont contrefaits.
40:25Oui.
40:25Et ils peuvent être
40:26vraiment dangereux aussi.
40:27D'accord.
40:28Parce que l'intention,
40:29vous avez commencé
40:29à répondre,
40:30l'intention derrière,
40:31c'est du vol de données,
40:32du vol d'argent.
40:34Exactement.
40:34En fait,
40:35les arnaques
40:36sont vraiment,
40:36vraiment compliqués maintenant.
40:38Quelques fois,
40:38ils font une attaque,
40:40ils peut-être
40:40volent ton argent.
40:42Et après,
40:42quand ils volent ton argent,
40:44ils aussi volent
40:45tes données
40:46et ils peuvent utiliser
40:48sa donnée
40:48pour faire
40:49l'autre type
40:50d'arnaque digital.
40:51C'est du social engineering,
40:53c'est ça,
40:53vous voulez dire ?
40:53Exactement.
40:54Mieux vous connaître ?
40:55Ils essayent de savoir
40:57plus de détails
40:58de vous
40:59et après,
40:59peut-être,
41:00ils vont faire
41:00un attaque
41:01plus sophistiqué
41:02et vous pouvez perdre
41:03beaucoup plus d'argent
41:04et beaucoup plus...
41:06Et pourquoi
41:07mettre en avant
41:08plus particulièrement
41:09cette fraude
41:09à la pharmacie
41:10plutôt qu'une autre ?
41:12Parce que finalement,
41:12c'est un procédé
41:13assez classique
41:14de diriger
41:14des internautes
41:15vers des faux sites
41:16pour s'utiliser
41:17de l'argent.
41:18En fait,
41:18c'est pas plutôt...
41:19En fait,
41:20ils font
41:21tout type
41:21d'arnaques
41:22en parallèle.
41:24Mais ce période,
41:25je pense que c'était
41:26vraiment utile
41:28pour eux
41:28faire les attaques
41:30des faux pharmacies
41:32parce qu'il y a
41:33beaucoup de types
41:34de produits
41:35qui sont intéressés
41:36pour les gens.
41:38Et particulièrement,
41:39par exemple,
41:40il y a des médicaments
41:41qui sont un peu...
41:43Les gens sont un peu
41:44plus sensibilisés,
41:46ils sont plus sensibles
41:47pour partager
41:48qu'ils ont besoin
41:49de ce type
41:49de médicaments.
41:51Et aussi,
41:52maintenant,
41:52les gens sont plus
41:55habitués
41:55à cliquer une fois
41:57au lieu d'aller
41:58aux pharmacies
41:59ou prendre la voiture.
42:01Ils veulent faire
42:02tout vite, vite, vite.
42:04Et après,
42:04c'est vrai que vous êtes...
42:05Y compris sur des produits
42:06de santé, en fait.
42:07Exactement.
42:08Et les produits
42:08qui sont, par exemple,
42:10en général,
42:11ciblés sont,
42:13par exemple,
42:13les produits
42:15pour perdre de poids,
42:16les hormones
42:17pour fertilité,
42:18quelques fois
42:19antibiotiques.
42:21En France,
42:21en particulier,
42:22c'est vraiment intéressant
42:23parce que la France
42:24est le pays
42:25plus ciblé au monde.
42:26Ah oui?
42:26Exactement.
42:28Et on pense
42:29que c'est parce que,
42:30en fait,
42:30ici,
42:31le règlement de tension
42:32est beaucoup plus strict
42:33que l'autre pays.
42:34C'est plus compliqué
42:35d'obtenir des médicaments.
42:37Exactement.
42:37Sans ordonnance,
42:38ce n'est pas possible
42:39vraiment,
42:39quelques fois,
42:40parfois.
42:41Et si les gens
42:42sont timides,
42:43ils ont un problème,
42:45qu'ils ne peuvent pas
42:46partager avec les médecins
42:47aussi.
42:48Ils veulent acheter
42:49sur Internet,
42:50c'est facile,
42:51mais après,
42:52il y a beaucoup de risques.
42:53Et on ne parle pas
42:54d'un petit réseau.
42:55Vous évoquez un réseau
42:56international
42:57de plus de 5 000 sites
42:58produleux,
43:00avec près d'un million
43:02d'attaques
43:02liées à ce réseau.
43:03Exactement.
43:04Parce que maintenant,
43:05il y a aussi
43:06l'IA.
43:07Utilisant l'IA,
43:08c'est vraiment,
43:09vraiment facile
43:10de faire beaucoup
43:11de sites web
43:14complètement générés.
43:15Ils imitent
43:16les vrais sites.
43:18Ils sont visuellement
43:19parfaits.
43:19Ils utilisent
43:20la langue
43:20parfaitement.
43:21C'est vraiment,
43:22vraiment difficile
43:22pour le consommateur
43:23de distinguer
43:24le vrai
43:25de faux.
43:27C'est le problème
43:27maintenant.
43:28Merci beaucoup,
43:29Leïla Bilguet.
43:31J'invite à se plonger
43:32dans ce rapport
43:33qui nous remet
43:33un petit peu
43:34les idées en place
43:34sur la manière
43:35dont on achète
43:36sur Internet.
43:36Je rappelle que
43:37vous êtes la responsable
43:38de la recherche
43:38sur les escroqueries
43:39chez Avast.
43:41Voilà,
43:41c'était SmartCyber,
43:42une émission inédite
43:44dédiée à la confiance
43:45numérique.
43:46J'ai le plaisir
43:47de vous proposer
43:47et de présenter
43:48avec moi
43:49la préparation
43:49Émilie Roche
43:50et puis les équipes
43:51de Bsmart
43:51à la réalisation.
43:53On vous souhaite
43:54une très belle journée,
43:55de belles fêtes
43:56de fin d'année aussi.
43:57On se retrouve très vite
43:58sur la chaîne Bsmart.
43:59Sous-titrage Société Radio-Canada
Commentaires