2024 part dans tous les sens : revue d’actualité un tantinet espiègle

On commence par ces soldats russes qui, dans le contexte du conflit ukrainien, volent (selon 01net[1]) près de 5 millions d’euros de matériel agricole (essentiellement des machines et des tracteurs)… sauf que les tracteurs en question sont de marque américaine et que ladite marque les désactive à distance. Euuuh, c’est quoi déjà la souveraineté ? Certains jours, je pense au personnage de Homelander dans la série The Boys : il vaut mieux être pote avec lui.

On continue avec cette étude de Metomic[2] selon laquelle 40 % des espaces des drives tel Google Drive contiendraient des données sensibles… qui n’ont rien à faire là… et qui pourraient exposer les organisations à des risques de cyberattaque, de violations de données, et j’en passe. Pourquoi je ne suis même plus étonné ?

Histoire de s’aérer les chakras, ce rapport du BEA[3] (dont je conseille très fortement la lecture) sur un incident survenu à l’aéroport de Bordeaux il y a environ un an (temps moyen des enquêtes du BEA) et qui ressemble comme un jumeau à celui de l’aéroport de Tokyo ces derniers jours (sauf que celui de Bordeaux n’a fait aucune victime). C’est l’illustration parfaite de ce que veut dire « conscience de la situation générale », qualité que doivent selon moi travailler très très fort les RSSI et les DPO.

Côté constructeurs automobiles, cette surprenante annonce de Porsche[4] qui sort de son catalogue un modèle essence certes pas tout jeune, mais absolument pas pour une raison de pollution. Non, c’est juste que l’augmentation des normes de cyber dans le monde de la bagnole rend la maintenance évolutive trop coûteuse. Tiens, c’est ce que je vais proposer dans la santé : quand le bidule est obsolète, on le bazarde.

Côté aéro encore, on apprend que le dernier truc à la mode, c’est de pratiquer le GPS spoofing, qui consiste en gros à envoyer de faux signaux GPS aux avions en vol pour qu’ils perdent leur localisation réelle. Je pense non sans une certaine émotion à toutes ces générations de conducteurs (après la mienne) qui ont passé leur permis de conduire et sont fichtre infichus de se servir d’une carte routière. Manque plus qu’une petite panne de l’antenne-relais GSM du coin pour que cela devienne Youplaboum.

Côté flouze, on savait déjà que certains PDG avaient maille à partir avec les autorités de contrôle financier, mais la nouveauté[5], c’est que dans certains cas l’origine des ennuis pour les entreprises qui prennent leurs aises avec la réglementation… est une fuite de données consécutive à une attaque ransomware. Imaginez la scène : le RSSI (qui a réussi à se faire inviter au board) venir expliquer qu’il faut investir dans la cyber, non pas pour sauver les processus métiers, mais pour éviter les contrôles fiscaux après une fuite de données compromettante.

Bon, sinon la Chine[6] commence à dire qu’elle va limiter très fortement l’exportation des terres rares (qui sont utilisées dans à peu près tous les composants électroniques et notamment dans la chaîne de production des batteries, par exemple pour la filière de la voiture électrique). Réflexion n° 1 : à quel moment l’Occident s’est-il imaginé qu’il allait pouvoir rejouer avec les terres rares le même sketch de pillage massif des ressources naturelles qu’il déroule depuis 100 ans avec le pétrole ? Réflexion n° 2 : si j’étais à la place des Chinois, j’aurais fait la même chose. Réflexion n° 3 : au fait, c’est quoi déjà la souveraineté ?

Enfin, côté RH, intéressante cette étude[7] sur l’importance des PDG (au sens de la personne providentielle) sur la cote en Bourse des entreprises : quasi aucune. Et il y a des chances pour que ce soit pareil pour les RSSI.

[1] https://www.01net.com/actualites/ukraine-les-soldats-russes-volent-pour-47-millions-d-euros-de-tracteurs-qui-sont-desactives-a-distance-2056093.html 

[2] https://securite.developpez.com/actu/351656/40-pourcent-des-espaces-Google-Drive-contiennent-des-donnees-sensibles-qui-pourraient-exposer-une-organisation-a-un-risque-de-violation-de-donnees-ou-de-cyberattaque-selon-une-etude-de-Metomic/ 

[3] https://bea.aero/les-enquetes/evenements-notifies/detail/incident-grave-survenu-a-lairbus-a320-oe-ine-exploite-par-easyjet-et-au-robin-dr400-f-gtzy-le-31-12-22-a-bordeaux/ 

[4] https://www.lesnumeriques.com/voiture-electrique/le-macan-essence-va-quitter-le-catalogue-de-porsche-dans-l-ue-pour-une-raison-surprenante-n216639.html 

[5] https://www.vanityfair.fr/article/les-jeux-dangereux-de-patrick-drahi?utm_source=pocket-newtab-fr-fr 

[6] https://www.jeuxvideo.com/news/1839588/la-chine-va-interdire-l-exportation-des-technologies-d-extraction-des-terres-rares-une-catastrophe-pour-l-industrie-mondiale.htm 

[7] https://youtu.be/FAkwmolI-jM?si=hGq9mlaC1Cf-1tDj 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.