Passer au playerPasser au contenu principal
BFM Business
  • il y a 17 minutes
Ce mardi 14 avril, Benoit Grunemwald, expert en cybersécurité chez ESET, Gérôme Billois, associé en cybersécurité et confiance numérique au sein du cabinet Wavestone, et Pascal Le Digol, directeur général France de WatchGuard Technologies, sont revenus sur le modèle d'IA le plus puissant de l'entreprise d’Anthropic, et notamment sa vulnérabilité, dans l'émission Tech&Co Business présentée par Frédéric Simottel. Tech&Co Business est à voir ou écouter le mardi sur BFM Business.

Catégorie

📺
TV
Transcription
00:05BFM Business présente Tech & Co Business, le magazine de l'accélération digitale, Frédéric Simotel.
00:13On va parler de cybersécurité avec nos invités. Vous avez certainement entendu parler de Claude Bitos,
00:19la nouvelle IA d'Anthropic, qui a pas mal parlé de cybersécurité. On va vraiment regarder cela dans le détail
00:26avec nos invités.
00:27Benoît Grunemballe, bonjour. Merci d'être avec nous, expert en cybersécurité chez ISET France.
00:33Pascal Ledigolle, bonjour Pascal. Directeur général de France de WatchGuard.
00:38Et Jérôme Billois, associé cybersécurité chez WaveStone.
00:41Bonjour. Jérôme, merci d'être là tous les trois. Benoît, je vais commencer par toi.
00:48On l'a vu arriver. Nous, ce qui a été un peu particulier, parce que d'habitude, quand on a
00:53les annonces,
00:53que ce soit OpenAI, que ce soit Anthropique, que ce soit Google Gemini, on le découvre un peu dans la
00:58presse américaine.
00:59Là, ils nous ont dit, attention, on a quelque chose à vous annoncer. Ce sera sous embargo jusqu'à 20h.
01:04La conférence de presse, il y a vraiment, on se dit, qu'est-ce qui se passe ?
01:07Et effectivement, 20h, je crois que c'était un mardi soir, on annonce ce clôt.
01:14Le projet s'appelle GlassWire, et GlassWing, et donc sorti de ce clôt de mythos.
01:25Et c'est toujours paradoxal, c'est une IA tellement puissante que justement, on ne va pas la mettre entre
01:31toutes les mains,
01:32parce que justement, si elle est tellement puissante, c'est qu'elle peut descendre en profondeur et détecter des failles.
01:37Et là, ça voudrait dire que si on la lâche dans la nature tout de suite, les entreprises, pour patcher,
01:41ça ne va pas le faire.
01:42Donc, soyons plus prudents que ça.
01:43Oui, parce que c'est déjà un gros problème, d'ailleurs, de patcher pour toutes les entreprises.
01:47Ça fait partie de la défense en profondeur, c'est-à-dire qu'il faut mettre un certain nombre de
01:50couches et patcher ses applications.
01:53Ça fait partie de ce qu'il faut faire.
01:54Et cette intelligence artificielle, lancée à grand fort de marketing, tel que vous le décrivez, ça a été un beau
02:01lancement,
02:02ce qui fait aussi partie du succès, c'est une intelligence artificielle qui a la capacité d'aller chercher beaucoup
02:07de vulnérabilités,
02:08d'éduquer le code et de pouvoir, comme ça, retrouver des vulnérabilités dans un code qui, malheureusement,
02:12est déjà en production.
02:14Donc, ça veut dire que toutes les applications que l'on peut avoir peuvent potentiellement être auditées,
02:18et donc sur lesquelles cet IA va trouver des vulnérabilités qui permettraient,
02:23le bon côté, c'est de corriger ces vulnérabilités pour les éditeurs.
02:26Le mauvais côté, c'est de les mettre au grand jour.
02:28Exactement.
02:29Parce que justement, les patchs auparavant, enfin moi je me souviens du patch Tuesday chez Microsoft,
02:33tous les mardis, on mettait à jour, et puis donc les entreprises, mettaient ou pas d'ailleurs,
02:37mais là, ça veut dire qu'il faut presque...
02:43Enfin, la grande crainte c'est ça, c'est que les entreprises n'aient pas le temps.
02:46Oui, on parle de patchs en temps réel maintenant, c'est-à-dire que c'est fini le patch Tuesday,
02:51c'est aujourd'hui la nécessité, c'est de savoir quels sont les éléments qui constituent à la fois nos
02:57équipements,
02:57mais également ceux auxquels on dépend.
02:59Donc, on parle beaucoup de supply chain, notamment des logiciels libres, des logiciels tiers,
03:03et à partir de là, il va falloir monitorer tout cela pour savoir ce que l'on doit patcher, effectivement,
03:08quasiment en temps réel.
03:10On s'était envoyé quelques messages entre nous lorsque Chloé est arrivé.
03:15Jérôme, tu m'as dit très rapidement, oui, le gros souci, c'est la vitesse de ces patchs,
03:20de ces correctifs.
03:21Oui, on quitte le patch Tuesday, qui était le patch mensuel, à ce qu'on appelle maintenant le patch streaming,
03:26c'est-à-dire qu'on va regarder en temps réel les patchs arriver, il va falloir les appliquer en
03:29temps réel.
03:30Ça, c'est un vrai souci parce que les entreprises, malheureusement, n'ont pas toujours un inventaire complètement à jour
03:34des systèmes,
03:35parce que ça bouge très vite, et puis aussi parce que ces patchs, il faut quand même les tester.
03:38Parce que si jamais il y a un bug dedans, et derrière l'application, elle ne marche plus,
03:43on ne peut plus consulter ses comptes sur son appli bancaire ou réserver un billet d'avion
03:47parce qu'on a appliqué un correctif, on a un problème.
03:49Et c'est vrai qu'il y a une différence de temps, de rythme, qui est en train de s
03:55'installer très fortement,
03:56avec des IA qui trouvent des failles et des correctifs à la volée, comme ça, par centaines,
04:01et puis derrière, des équipes de défense qui, elles, aujourd'hui, sont sur des rythmes mensuels au mieux,
04:07parce qu'il y a aussi des périmètres où c'est très peu sécurisé.
04:10Donc, je pense que ça va amener aussi une transformation, qu'il faut anticiper dès maintenant,
04:14c'est justement l'apport de l'intelligence artificielle pour la défense.
04:17C'est-à-dire que oui, on va pouvoir écrire des correctifs beaucoup plus vite, beaucoup mieux,
04:21mais il va falloir aussi, vu qu'on ne pourra pas appliquer tous ces correctifs aussi rapidement,
04:26que les systèmes de défense, en amont, finalement, à la périphérie des systèmes,
04:30soient capables d'analyser ces menaces en temps réel et de les interrompre aussi en temps réel.
04:35Donc, il va y avoir une vraie transformation du secteur de la cybersécurité.
04:37C'est une vraie course, parce que d'un côté, on a cette IA qui va continuer à s'améliorer,
04:42donc elle est encore plus vite pour détecter tout ça.
04:45Et quand tu dis dans l'entreprise, ça veut dire qu'en amont,
04:48elle doit toujours être en train de faire des tests ?
04:51Oui, en fait, ce qu'amène l'IA de manière large, c'est la vitesse.
04:56Si on regarde les détections de failles de vulnérabilité,
04:58reprochons-nous un an et demi en arrière, c'est quand même pas si loin que ça.
05:01On est sur Google, qui fait une annonce fracassante, avec un modèle d'IA qui s'appelle BigSleep,
05:05qui a trouvé deux failles dans des logiciels que tout le monde utilisait,
05:09entre autres, peu nécessaire, qui est la bible du chiffrement pour protéger les données.
05:13Et là, branle-bas de combat, l'IA trouve des failles, etc.
05:16Ensuite, on passe aux annonces de l'année dernière.
05:18Là, on est sur les annonces aussi liées à Cloud,
05:20et à l'arrivée d'Entropy, qui est l'arrivée d'Opus 4.6,
05:24qui a trouvé des centaines de vulnérabilités.
05:26Et là, on passe à Mythos, qui en trouve des milliers,
05:29et dans des systèmes qui avaient déjà été audités manuellement par des experts depuis des années.
05:35Et donc, cette accélération, elle est exponentielle,
05:37et elle amène finalement à avoir un besoin d'une réaction exponentielle aussi dans les entreprises.
05:42C'est ça, cette difficulté, Pascal ?
05:45En termes de production, ça va être un problème.
05:47On ne patche pas un serveur comme ça à la volée, en tout cas pas aujourd'hui.
05:52Oui, évidemment, on pense toujours au pansement.
05:54Ce n'est pas juste qu'on applique un pansement et qu'on attend que ça...
05:57Déjà, il faut un reboot, alors que c'est un serveur de production.
06:00Donc déjà, ça pose un problème, c'est ces fenêtres d'upgrade.
06:05Après, il faut aussi voir le global.
06:08C'est-à-dire que certes, ça nécessite un patching beaucoup plus rapide et quasiment à la volée.
06:15Parce que sinon, on laisse une fenêtre de tir aux pirates en face.
06:19Donc on va devoir le faire à la volée.
06:21Maintenant, on peut aussi se dire que l'IA ne va pas apporter que sur les zéro-day,
06:26mais aussi sur la stabilité du code.
06:28Et peut-être que justement, ces tests vont être de moins en moins nécessaires
06:31parce qu'il n'y aura pas de crash, parce que le code aura lui aussi été testé vis-à
06:35-vis de ça.
06:36C'est parce que s'il faut prendre un peu de recul là-dessus,
06:39c'est aux éditeurs aussi, du coup, faites partie tous les deux,
06:42à être un peu plus, ce dont on parle depuis pas mal d'années, le Secure by Design.
06:47Chose que, chez vous, je pense que oui, c'est dans l'ADN de vos entreprises,
06:53mais bon, ce n'est pas le cas chez tout le...
06:56Dans le domaine des éditeurs de la cyber, je ne sais pas,
06:58mais en tout cas, dans le domaine des entreprises qui développent leurs propres applis,
07:01ce n'est pas toujours le cas.
07:03Non, et puis il suffit de nous prendre comme un exemple.
07:07Même si on est sensibilisés, tous les éditeurs de la cyber ont leur vulnérabilité.
07:14On publie tous les CE quand on en a, certains en ont plus que d'autres, etc.
07:19Mais on en a tous.
07:21Donc si nous, qui sommes sensibilisés, en avons beaucoup,
07:23effectivement, de l'autre côté, il y en a beaucoup plus.
07:26Donc de ce point de vue-là, Mythos, c'est une bonne nouvelle.
07:29Ça va dépendre comment il est mis à disposition, de qui, comment, à quel coût.
07:35Alors là, justement, ils ont signé avec, ils ont annoncé tout de suite pas mal de signatures
07:40avec Microsoft, Palo Alto, CrowdStrike, enfin tous les acteurs.
07:43Oui, il y a des happy few, effectivement, qui ont accès à des versions, du coup, sans restriction,
07:49parce qu'aujourd'hui, mis à part ces quelques happy few, le code n'est pas disponible.
07:54En ce qui concerne l'utilisation pour la défense,
07:57moi, ça me fait immédiatement penser au CRA,
08:00le nouveau règlement qui arrive, Cyber Resilience Act,
08:03qui, un peu comme nous, effectivement, éditeurs de sécurité,
08:06avons une notion du code secure by design, by default,
08:11une notion aussi de divulgation.
08:13C'est-à-dire que quand on trouve des vulnérabilités,
08:15on fait en sorte que l'éditeur, celui qui est concerné,
08:19ait le temps, on l'avertit, il ait le temps de corriger
08:21et ensuite de déployer, ou en tout cas de donner la possibilité à ses clients
08:25de déployer les correctifs.
08:27Et en fait, avec cette IA,
08:30si c'est pris en compte lors du C, par le CRA, par les développeurs,
08:36eh bien, ils vont pouvoir ajouter des éléments
08:38qui vont, comment dire, renforcer le security by design
08:42et par défaut, de manière beaucoup plus forte
08:44que ce qui peut être fait aujourd'hui avec juste l'œil humain.
08:47C'est-à-dire que ce que nous dit Benoît,
08:48c'est que les éditeurs, enfin les acteurs de la cyber,
08:51ils ne sont pas en retard par rapport à des pirates
08:56qui pourraient exploiter ces pirates.
08:57Ou pas en retard.
08:59Alors, par rapport à des pirates aujourd'hui,
09:01on voit qu'il y a toujours une course.
09:02Si on regarde, comme on le disait à l'instant,
09:05il y a beaucoup de failles dans des produits de sécurité aussi,
09:07comme il y en a beaucoup dans des produits grand public,
09:09des produits d'entreprise, etc.
09:10Donc je pense que c'est une course en continu.
09:12En fait, la question, c'est qui a accès
09:13aux derniers modèles d'intelligence artificielle
09:15et comment ils vont être utilisés.
09:16Parce qu'à partir du moment où ces modèles
09:18vont être ouverts largement
09:19et pourront être accessibles
09:21et un peu détournés par des cybercriminels,
09:24là oui, il y a un vrai risque.
09:26La question intermédiaire aujourd'hui,
09:28c'est les autres États,
09:29les services de renseignement, etc.
09:31Ils seraient aussi extrêmement intéressés
09:33parce que ça leur permet de créer des clés numériques
09:35pour entrer dans tous les systèmes sans être vus.
09:37Donc on voit bien l'intérêt pour beaucoup de pays.
09:40D'ailleurs, Anthropique, à la fin de son communiqué,
09:42a une petite phrase très sibylline qui dit
09:44« Nous restons ouverts avec tout échange
09:45avec le gouvernement américain ».
09:47On sait qu'ils ont eu beaucoup de difficultés
09:48avec le Pentagone.
09:49Là, ils ont quand même...
09:51Et quitte à ce qu'il soit...
09:53Même Donald Trump avait mentionné à un moment
09:55de les mettre sur une potentielle liste noire.
09:58Ils ont été mis sur la liste noire.
09:59Ils ont fait appel.
10:00J'ai cru voir que justement l'appel avait été rejeté.
10:03Aujourd'hui, l'administration Trump a dit
10:05« On ne veut voir aucun logiciel anthropique
10:07au ministère de la Défense,
10:09mais aussi dans toutes les administrations américaines ».
10:10Et là, ils se coupent finalement quelque part
10:13d'une capacité d'innovation
10:15qui est extrêmement utile pour eux.
10:17Donc voilà, il y a...
10:18Un business récurrent.
10:19Enfin voilà, des revenus récurrents.
10:20Et puis on sait bien que c'est tout ça
10:21qui a donné lieu aussi
10:22à ce qu'on voit avec la NASA,
10:24à ce qu'on voit avec la Silicon Valley aujourd'hui.
10:26Il y a un point intéressant
10:27sur les Happy Few que citait Benoît.
10:30Si on prend la liste de tous ceux
10:31qui ont eu accès en avant-première,
10:32parce que ça leur donne aussi
10:33un avantage concurrentiel quelque part,
10:35il y a évidemment les grands opérateurs du numérique.
10:37Et là, c'est sûr qu'il fallait...
10:38Il faut sécuriser Microsoft, Google, Amazon,
10:41parce que sinon, on a un risque
10:42pour la continuité du fonctionnement
10:44de beaucoup de services qu'on utilise.
10:45Mais il y a une banque aussi.
10:47Il y a JP Morgan Chase dans la liste.
10:48Et on voit bien qu'il y a beaucoup d'inquiétudes
10:51sur les sphères des grandes entreprises
10:52et en particulier de la finance.
10:54Il y a eu, aux États-Unis,
10:56une réunion d'urgence
10:57entre le ministère de l'Économie là-bas.
11:00C'est vrai, c'est vendredi, je crois.
11:02Voilà, le patron de la Fed, Jérôme Powell,
11:05avec les grandes institutions financières.
11:07Le Royaume-Uni a fait la même chose.
11:09Il y a la FCA et la Banque d'Angleterre
11:11qui se sont réunis parce qu'on est là
11:14face quand même à un vrai risque
11:15qui pourrait amener,
11:16si des failles sont trouvées
11:17dans les logiciels bancaires aussi,
11:20à potentielles fuites de monnaies,
11:22indisponibilité des systèmes, etc.,
11:23qui peuvent être graves.
11:24Donc, voilà, on voit qu'on sort
11:25de la sphère juste technologique
11:26et qu'on va vraiment sur une sphère
11:28beaucoup plus large.
11:29Donc, ça veut dire à la fois
11:30des codeurs qui doivent mieux développer,
11:32je dirais,
11:33mais qu'est-ce que ça signifie aussi ?
11:35Parce que c'est vrai que quand on parle
11:37maintenant de cloud,
11:38de toutes ces versions-là,
11:39on se demande s'ils ne sont pas en train
11:41de quelque part ubériser
11:42un peu les solutions traditionnelles
11:44de sécurité ?
11:45Est-ce que sur les solutions
11:48de détection d'intrusion,
11:50ce genre de choses ?
11:51Je ne crois pas que ce soit
11:51l'objectif principal.
11:53Je profite de vous avoir vu
11:55là, en plateau,
11:56parce que justement,
11:57on se dit,
11:57mais si ce cloud,
12:00je suis vraiment très basique,
12:02si ce cloud mythos
12:03permet de détecter
12:04les vulnérabilités,
12:06à quoi ça sert que je m'engage
12:07avec des éditeurs qui font
12:10la même chose,
12:10qui font la détection
12:11d'intrusion ?
12:11Pour comprendre un peu
12:12la nuance entre les deux.
12:13Parce que quand on détecte
12:14des failles et des vulnérabilités
12:15sur un système
12:18ou sur une application,
12:19ce n'est qu'une partie
12:20de ce que l'on va appeler
12:21la kill chain
12:22que l'on pourrait,
12:23Mitriata,
12:23nous diviser ça en 13 étapes.
12:25Et donc,
12:25dans les 13 étapes
12:26qui permettent d'arriver
12:27à la fin de l'opération,
12:29par exemple,
12:29la rançon J-Ciel,
12:30eh bien,
12:31cette opération
12:33qui est l'exploitation
12:34de vulnérabilités
12:35est un élément
12:36parmi d'autres.
12:37Et ça n'enlève pas le fait...
12:38Ça ne vient pas remplacer...
12:39Voilà,
12:40ça n'enlève pas le fait
12:41qu'il y a un moment,
12:42il faut savoir
12:42quelles sont les sociétés
12:44et ou systèmes d'information
12:45qui contiennent des logiciels
12:46qui contiennent des failles.
12:47Donc,
12:48il faut faire de l'analyse.
12:49Il faut également savoir
12:51si je vais rentrer
12:51avec l'aide d'un login
12:53et d'un mot de passe
12:54qui va me permettre
12:55peut-être d'atteindre
12:55une application
12:57qui n'est pas disponible
12:58sur Internet,
12:59mais que je sais
12:59qui est utilisée
13:00par l'entreprise.
13:01Donc,
13:01dans ces 13 étapes,
13:03à mon avis,
13:03il y a encore du boulot
13:04pour un grand nombre
13:05de protections,
13:06de couches de protections
13:07que l'on appelle
13:08la défense en profondeur.
13:09C'est-à-dire que l'objectif,
13:10c'est bien de minimiser
13:12la progression des attaquants,
13:14de les détecter
13:14le plus vite possible
13:15lorsqu'ils tentent
13:16de rentrer
13:16dans le système d'information.
13:18Et c'est pour ça
13:19qu'avant,
13:19on disait
13:19« Ok,
13:20j'avais un antivirus,
13:21ça suffisait. »
13:22Ce n'est pas vrai,
13:23ça ne suffisait pas.
13:23Mais on se dit
13:24« Ok,
13:24j'ai un antivirus,
13:25ça suffit.
13:25Aujourd'hui,
13:25on va mettre un EDR,
13:26on va mettre XDR,
13:33l'exploitation de failles
13:34est un élément
13:35parmi d'autres
13:36qui permet. »
13:38Oui,
13:38ça veut dire
13:39qu'on va devoir mettre
13:39encore beaucoup plus d'IA
13:40dans nos défenses
13:41pour contrer les IA d'attaque.
13:44Je ne sais pas si vous avez vu,
13:44mais dans le dossier de Mythos,
13:45justement,
13:46il était capable lui-même
13:47d'écrire des exploits
13:48qui lui ont permis
13:49de sortir de sa sandbox.
13:51Donc,
13:51ça va quand même assez loin.
13:53Après,
13:53je rejoins maintenant
13:54ces un pan de la cyber,
13:57les vulnérabilités.
13:59Alors,
13:59pour l'instant,
13:59il s'est attaqué
14:00à ce pan-là.
14:01Et encore,
14:01Mythos n'a pas été fait
14:02pour de la cyber,
14:03c'est-à-dire qu'aujourd'hui,
14:04ces résultats-là
14:04sont faits sans optimisation
14:06pour la cyber.
14:07C'est vrai que c'est important
14:08de le rappeler.
14:08C'est violent,
14:09en fait.
14:10Quand ils vont optimiser
14:11pour la cyber,
14:12ça va piquer un peu.
14:13Mais effectivement,
14:14c'est qu'un pan.
14:15Si on parle d'ingénierie sociale
14:17ou on en parle régulièrement
14:18entre nous,
14:20alors pareil,
14:20quand ils vont s'attaquer
14:21à l'ingénierie sociale,
14:22ça va être autre chose.
14:23Mais pour l'instant,
14:24ce n'est pas le cas.
14:25Pour l'instant,
14:25c'est la vulnérabilité.
14:27Donc,
14:27c'est important.
14:29C'est important de voir
14:30ce que les attaquants
14:31vont en faire aussi.
14:33Parce que certes,
14:33il y a Mythos,
14:34mais je crois qu'ils indiquaient
14:36une avance d'à peu près
14:38six mois.
14:40C'est presque optimiste,
14:41je trouve.
14:41Très probablement,
14:42on va avoir des modèles
14:44utilisés par des pirates
14:44très bientôt.
14:45Et puis,
14:46c'est toujours le côté paradoxal
14:48de ce type d'annonce.
14:49C'est de dire,
14:50nous,
14:50on est pour la diffuser
14:51au plus grand nombre.
14:52Par contre,
14:52c'est un peu...
14:54Moi,
14:54je trouvais que c'était
14:55assez opportun
14:56de le sortir en ce moment
14:57parce qu'on sait
14:57qu'il y a eu
14:57toutes les histoires
14:58entre Anthropique
15:01et le Pentagone.
15:02Après,
15:03OpenAI qui dit,
15:03nous,
15:03on veut bien reprendre
15:04le contrat.
15:06Il y a un peu d'image
15:07aussi là-dessous.
15:08Oui,
15:09ça toujours.
15:10Et évidemment,
15:10il y a une espèce
15:11de course marketing
15:12par les monstres de l'IA,
15:13en particulier Anthropique
15:14et OpenAI,
15:14qui ont déjà utilisé
15:16cette histoire
15:18de dire,
15:19attention,
15:19ce qu'au produit
15:19est trop dangereux,
15:20il faut déjà
15:21qu'on le vérifie bien
15:22avant de le révéler.
15:23C'était sur les attaques
15:24terroristes,
15:25bactériologiques,
15:25etc.
15:25Parce qu'effectivement,
15:26les modèles,
15:27on peut leur demander
15:27n'importe quoi.
15:28Et des fois,
15:29ils ont les bonnes réponses
15:30sur des choses
15:30où on n'aimerait pas
15:31qu'ils aient les bonnes réponses.
15:32Donc,
15:32il y a ce qu'on appelle
15:33des guardrails,
15:34des garde-fous
15:34qui sont ajoutés
15:35dans les modèles.
15:36Et d'ailleurs,
15:37sur la mise à disposition
15:38de Mythos,
15:39au plus grand nombre,
15:41Anthropique a bien dit
15:42qu'ils allaient le faire
15:43et que justement,
15:44ils étaient en train
15:44de développer
15:45des nouveaux garde-fous
15:46autour du modèle
15:47pour éviter
15:48que ces systèmes
15:49puissent être détournés.
15:51Alors,
15:51il faudra voir
15:51la solidité des garde-fous.
15:53Aujourd'hui,
15:53nous,
15:53quand on teste
15:54avec nos équipes
15:55sur le terrain
15:55les garde-fous,
15:57on arrive toujours
15:57à un moment ou un autre
15:58à les contourner
16:00autour.
16:01Donc,
16:01il y a un vrai enjeu
16:03à la fois de marketing
16:04mais il y a quand même
16:06un track record,
16:06il y a quand même
16:07des preuves
16:07de ce qu'a déjà fourni
16:08Anthropique
16:09et de la qualité
16:10de leur modèle.
16:11Et quand on voit
16:12la réaction,
16:13même des institutions
16:14financières,
16:15il y a quand même
16:15du réel derrière
16:16et il faut quand même
16:17s'en occuper.
16:18Oui,
16:18Pascal,
16:19moi j'appelle ça
16:20ouvrir une boîte de Pandore
16:21parce que dès lors
16:22qu'on sait que c'est possible,
16:23et c'est possible
16:24parce que ça vient
16:25d'être prouvé,
16:26ça va être une course
16:27pour tous les autres
16:28pour essayer
16:28de rattraper ce modèle.
16:29Donc,
16:30à partir de quand
16:32la piraterie
16:33va y arriver
16:34et si elle n'y arrive pas
16:35déjà,
16:35parce qu'en fait
16:36on part tous du principe
16:37qu'ils sont en avance
16:38mais...
16:39On ne sait rien.
16:39On ne sait rien.
16:41Vu les puissances
16:43nécessaires,
16:43peut-être que,
16:44mais ça ne va pas
16:45rester longtemps
16:46et là,
16:47il y a une vraie question
16:48qui se pose.
16:49Si ça ne reste pas longtemps,
16:50aujourd'hui,
16:50notre marché
16:51n'est pas prêt.
16:52Il n'est clairement pas prêt
16:53à se défendre
16:54contre tout ça.
16:54Il y a plein d'anciens codes
16:56entre guillemets
16:57qui sont du code actif
16:58mais écrits
16:58avec les anciennes façons
17:00sans...
17:01J'allais dire
17:02bêtement,
17:03sans Claude
17:03pour aider
17:04à enlever les bugs
17:05et les vulnérabilités.
17:07Ce code-là,
17:08il est en production
17:10partout.
17:12Et en combien de temps
17:13on va réussir
17:14à le patcher ?
17:15À quel coût ?
17:17Il va y avoir
17:18sans doute
17:18un mandat de vitesse
17:19des gens qui vont avoir
17:20les moyens de le faire
17:21et d'autres qui n'ont pas
17:21les moyens de le faire.
17:22Il faut tester en plus.
17:23Ce n'est pas juste
17:24le fait d'installer...
17:25Il faut tester tout ça.
17:25Donc là,
17:26on ouvre une boîte
17:27où effectivement,
17:28pendant un certain temps,
17:29on risque d'avoir
17:30un nombre d'attaques
17:31qui risque d'augmenter.
17:32Là, ils ont dit
17:33OK, stop,
17:33on ne le sort pas tout de suite.
17:35Le temps que ça se déverrouille
17:37le côté attaquant
17:37et là,
17:38il va falloir être
17:39hyper vigilant
17:40et avoir bien développé
17:42les process de défense.
17:43Est-ce que ça ne nous projette pas
17:44déjà un peu,
17:45Benin Grameval,
17:46dans cette partie ?
17:47On parle beaucoup
17:47du quantique
17:48qui va arriver
17:49et justement,
17:50le chiffrement post-quantique.
17:51Le but,
17:52c'est de dire
17:52aujourd'hui,
17:53on a des clés.
17:54Seul le quantique
17:55pourrait les casser
17:56et puis,
17:57ce qu'il y a,
17:58c'est qu'on se rend compte
17:58que le quantique,
17:59il n'est pas si loin que ça.
18:00On ne part pas
18:01à l'horizon de 2040
18:02ou 2050.
18:03Oui, le quantique...
18:04On ne part pas
18:04pour cette partie-là,
18:05en tout cas.
18:05Alors, le quantique
18:05n'est finalement
18:06pas si loin que ça
18:07mais qui aurait pu prédire
18:08que l'IA
18:10viendrait voler la vedette
18:11au quantique
18:12en termes de cybersécurité
18:13et qu'on est aujourd'hui
18:14là face à une problématique
18:15qui n'est pas plus grande
18:17mais en tout cas
18:17plus imminente
18:18et plus globale
18:20que celle du quantique
18:21et on risque
18:23de se retrouver
18:24dans les organisations
18:25quelles qu'elles soient.
18:25Jérôme en parlait,
18:26bancaire, étatique,
18:28la base industrielle
18:29technologique et de défense
18:30qui produit de l'armement
18:31en France notamment
18:32va potentiellement
18:34se retrouver
18:34face à un certain nombre
18:36de risques
18:36et de problématiques
18:37qui n'étaient pour l'instant
18:38pas encore vraiment envisagées.
18:39Sans compter les données
18:40qui auraient pu être récupérées
18:41après on verra
18:41ce qu'on se rend en fait
18:42mais qui pourraient être lues
18:44plusieurs années plus tard Jérôme.
18:46Oui les échéances
18:47historiquement
18:48on parlait de 2035
18:49puis là
18:50ça est rapidement revenu
18:51à 2030
18:53pour changer
18:54l'ensemble
18:54des moteurs
18:55de chiffrement
18:56qui sont cachés
18:56dans nos téléphones
18:57dans nos ordinateurs
18:58dans les applications
18:58d'entreprise
18:59la Google a fait
19:00des annonces récentes
19:01avec une avancée
19:02sur des algorithmes
19:03pour casser le chiffrement
19:05on est plutôt à 2029
19:06on est en 2026
19:072029 c'est dans 3 ans
19:09ça arrive très vite
19:10surtout que
19:11ce qu'il faut avoir en tête
19:12là c'est que
19:12c'est pareil
19:13ça va consister à aller
19:14sur chaque équipement numérique
19:16enlever le moteur de chiffrement
19:17le logiciel de chiffrement
19:18le changer
19:19changer les clés
19:20et c'est très très loin
19:21d'être anodin
19:23pour faire ça
19:24à l'échelle
19:24d'une grande entreprise
19:25d'autant plus
19:26que les algorithmes
19:27nouveaux de chiffrement
19:28ils sont nouveaux
19:29et donc il dit
19:30ils sont nouveaux
19:30il y a certainement aussi
19:31les failles dedans
19:32et donc on ne va pas
19:33c'est pas
19:34il faut bien avoir en tête
19:35ça ne va pas être
19:35un changement
19:36une seule fois
19:36il faut être ce qu'on appelle
19:38dans la crypto-agilité
19:39parce qu'en fait
19:40il faut se préparer
19:41à changer
19:42ces algorithmes de chiffrement
19:43de plus en plus fréquemment
19:44et d'avoir des patchs
19:46de chiffrement
19:46comme on a des patchs
19:47de systèmes d'information
19:49crypto-agilité
19:50patch streaming
19:51voilà tout est fait
19:53par rapport à cette innovation
19:54sachant que là-dessus
19:56nous on en sait
19:57quelque chose
19:58qu'on fait un peu
19:58de hardware
19:59en fait tous les hardwares
20:00ne vont pas supporter
20:01les algorithmes de chiffrement
20:02il va falloir changer
20:03les hardwares
20:03changer les failles rouges
20:04changer tout ce qu'il y a
20:06de la crypto
20:06tous les processeurs
20:08ne vont pas réussir
20:08à supporter ça
20:09donc là on parle
20:10d'un changement
20:12d'infrastructure colossale
20:13au risque de se retrouver
20:15non couvert
20:15entre guillemets
20:16par rapport à ces failles
20:17pendant quelques temps
20:17le temps comme tout ça
20:18oui probablement
20:20sachant que
20:21l'ordinateur quantique
20:22va arriver
20:22au début il va arriver
20:24quand même dans
20:25quelques endroits
20:25bien déterminés
20:26il va rapidement
20:27être utilisable
20:28en mode cloud
20:28parce que c'est le modèle
20:29économique qui sera adopté
20:31et donc voilà
20:32toute la question aujourd'hui
20:34ça va être
20:34quelle est la courbe
20:35finalement de mise à disposition
20:36par rapport à la capacité
20:38à absorber des données
20:39et ensuite casser le chiffrement
20:41donc voilà
20:41c'est là où réside encore
20:42un peu la question
20:43mais clairement 2030
20:44c'est l'horizon
20:45à laquelle il faut viser
20:47bien merci messieurs
20:48d'être venus par tout ça
20:49voilà je trouvais
20:49que c'était intéressant
20:50d'ouvrir un peu
20:51ce chapitre mythos
20:52c'est resté dessus
20:53pour bien comprendre
20:53ce qui est en train
20:54de se passer
20:54Benoît Grunemval
20:55l'expérience cybersécurité
20:56chez IZ France
20:57Pascal Lodiguel
20:58directeur général
20:59de France de WatchGuard
20:59et Jérôme Milois
21:00associé cybersécurité
21:02chez Webstone
21:02merci à tous les trois
21:03par rapport à la suite
21:03qui est en train de se passer
Commentaires

Recommandations

Blocus du détroit d'Ormuz: l'armée américaine assure avoir empêché six navires de passer
BFM
il y a 3 heures
Détroit d'Ormuz: des navires iraniens et chinois traversent sans briser le blocus naval américain
BFM
il y a 4 heures
Quand les ambassades iraniennes se moquent de Donald Trump sur les réseaux sociaux
BFM
il y a 5 heures
L'Heure des Pros 2 (Émission du 14/04/2026)
CNEWS
il y a 3 heures
Gilles-William Goldnadel : «Il n'a pas pris la mesure du caractère existentiel de l'immigration»
CNEWS
il y a 3 heures
Chine Éco : la “confiance émotionnelle” Chine-France, par Gilane Barret - 14/04
BFM Business
il y a 10 minutes
Projets IT et IA: forte hausse et impacts - 14/04
BFM Business
il y a 22 minutes
Déploiement de l’IA, des sociétés satisfaites - 14/04
BFM Business
il y a 28 minutes
Éric Plat (Atol) : Atol, CAP 2030 entre croissance et innovation - 14/04
BFM Business
il y a 2 heures
Tech & Co, la quotidienne - Mardi 14 avril
BFM Business
il y a 2 heures
Face à l'Info (Émission du 14/04/2026)
CNEWS
il y a 3 heures
SMART TECH - Emission du lundi 13 avril
B SMART
il y a 2 jours
SMART BOURSE - Emission du vendredi 10 avril
B SMART
il y a 4 jours
SMART BOURSE - Les CGP face à la "grande transmission"
B SMART
il y a 4 jours
Carlos Ciller (RetinAI) : RetinAI, l'IA pour mieux diagnostiquer - 14/04
BFM Business
il y a 2 heures
José-Alain Sahel et Serge Picaud (Institut de la Vision) : Vision, la recherche française en pointe - 14/04
BFM Business
il y a 3 heures
Tommaso Ongarello (EssilorLuxottica) : EssilorLuxottica, le Smart Eyewear Lab - 14/04
BFM Business
il y a 3 heures
Chrystel Barranger (EssilorLuxottica) : Switch, vitrine de l'innovation optique - 14/04
BFM Business
il y a 4 heures
Le 19h Eco - mardi 14 avril
BFM Business
il y a 4 heures
IA et robots pour les dix ans de VivaTech - 14/04
BFM Business
il y a 5 heures
La Data Room : 1401 quintillions = le nombre de calculs par seconde aux Etats-Unis - 14/04
BFM Business
il y a 5 heures
Grande Interview - Geoffroy Roux de Bézieux (MEDEF) : FMI, la guerre en Iran pèse sur l'économie - 14/04
BFM Business
il y a 5 heures
Grande Interview - Maurice Lévy (VivaTech) : IA et robots pour les 10 ans de VivaTech - 14/04
BFM Business
il y a 5 heures
BFM Bourse - Mardi 14 avril
BFM Business
il y a 5 heures
On refait la séance : "Novo Nordisk s'envole après un accord avec OpenAI" - 14/04
BFM Business
il y a 6 heures