« Mais est-ce que vous pouvez me garantir que les données de mes usagers n'ont pas été piratées ? »

Damien Ravé 10 min de lecture
Illustration folk-art : David face à une armée de Goliaths stylisés, métaphore de la cybersécurité face à l'IA des attaquants Vos questions

La question nous a été posée après le piratage de la boîte mail d'une salariée, qui avait par ailleurs accès à une application contenant des données personnelles sensibles (que nous avons développée). Derrière cette question, il y a toute l'inquiétude légitime d'un directeur d'organisation qui a besoin d'être rassuré.

Il faut dire que l'actualité est anxiogène : deux à trois fois par semaine désormais, une perte de données clients est annoncée par une institution, une entreprise ou une association, avec des millions d'informations personnelles qui se promènent dans la nature. Et que la première brèche ouverte (l'e-mail compromis) est parfois le prélude à une escalade des accès, un risque sérieux.

Un expert devrait donc pouvoir soulever le moteur et vérifier que rien n'a été volé, que tout est à sa place, et annoncer « rassurez-vous, rien n'a disparu" ».

Hélas, la réalité n'est pas toujours rassurante : non, on ne peut jamais être sûr à 100 % qu'un système n'a pas été compromis. C'est frustrant, inquiétant, mais c'est la réalité.

Mais si le "100% sûr" n'est pas permis, cela ne signifie pas pour autant qu'on ne peut rien savoir, ni qu'il est inutile d'agir. Si le risque zéro n'existe pas, il faut plutôt réfléchir en termes de "réduction des risques". La vraie question devient : comment réduire les risques et augmenter notre capacité à détecter rapidement un problème ?

1. Pourquoi le risque zéro n'existe pas

Le grand public commence à comprendre ce principe : il faut arrêter de croire au risque zéro.

Quand l'Agence Nationale de Titres Sécurisés (ANTS), fleuron de la sécurité informatique de l'État, se fait voler plusieurs millions de dossiers personnels ; quand des sociétés du CAC 40 voient leur base client partir dans la nature ; le constat est déprimant : même ces organisations (pour qui la sécurité est une question vitale) n'arrivent pas à y échapper. C'est qu'en face, des millions de robots dédiés au piratage s'acharnent sur les serveurs vont lancer des attaques en permanence. La plus petite faille, la moindre négligence, peut ouvrir une porte dérobée pour s'introduire dans les systèmes.

L'enjeu est économique, surtout : plus ces entités gèrent de données personnelles, plus ce butin est précieux pour des attaquants, qui peuvent revendre ces infos à des réseaux pour faciliter des escroqueries à grande échelle. Elle est parfois géostratégique, comme quand des secrets d'Etat sont utilisés à des fins politiques par des entités ennemies.

Et les petits ? Ils ne sont pas complètement à l'abri, hélas. Il y avait déjà les robots qui tentaient de forcer l'entrée du moindre site Wordpress : je me souviens avoir sauvé (en 2014 déjà !) le site d'un groupe associatif défiguré par un groupuscule terroriste, mais aussi du cauchemar d'un forum culturel infesté par 25 000 fichiers corrompus. Depuis l'IA a encore abaissé largement le coût d'exécution de ces forfaits.

Aucune entité n'est à l'abri, et il n'y a qu'à surveiller les journaux (logs) d'accès du moindre site Web pour voir des centaines, voire des milliers de tentatives d'intrusion (heureusement, généralement sans effet).

Et pour rajouter une couche de paranoïa (parce qu'on commençait à s'habituer) il y a les vols invisibles. Les données volées qui partent sans bruit.

Mais une intrusion ou un vol de données doit bien laisser des traces, me direz-vous ? Eh bien, pas forcément. De même qu'un cambrioleur émérite saura effacer ses traces, un pirate bien équipé pourra subtiliser des accès sans déclencher d'alarme. Et si l'usage de ces données est assez discret, on ne s'en apercevra que plusieurs mois ou années plus tard. Difficile alors de remonter le fil : les journaux auront été effacés, les circonstances oubliées, bref les traces du forfait auront disparu...

Une fois ce sombre tableau dressé, on voit venir la réponse à la question "Peut-on être sûr d'être en sécurité ?". Non, on ne peut jamais être sûr.

La raison est simple : là où l'on voudrait y voir un état stable, la sécurité est en fait un processus, qui évolue dans le temps. On voudrait une porte que l'on verrouille une fois pour toutes, c'est un équilibre que l'on entretient en permanence, face à un environnement qui bouge sans cesse.

L'objectif de la sécurité des systèmes informatiques, ce serait de "rester en bonne santé" plutôt que d'effectuer un contrôle technique ponctuel : ce n'est pas parce qu'aucun problème n'est visible aujourd'hui qu'aucun problème n'existe. Et comme pour la santé, il faut une hygiène de vie et des contrôles réguliers, pour s'assurer qu'on ne loupe rien.

2. Par où entre une attaque ?

On pense inévitablement à la responsabilité de l'équipe de développement : les oublis techniques de développeurs trop pressés, ou pas assez sensibilisés (on en a entendu parler, mais cela ne nous est évidemment jamais arrivé 😇).

Mais ce ne sont pas forcément les portes d'entrée les plus fréquentes. Elles sont souvent plus banales qu'on ne l'imagine :

  • Les logiciels non mis à jour, dont les failles connues n'attendent qu'à être exploitées.
  • Les mots de passe faibles ou réutilisés d'un service à l'autre (en 2003, le seul mot de passe toléré par le dirigeant d'un grand groupe était ses initiales, "jpb", car il ne voulait pas perdre de temps 😱)
  • Le phishing (ces e-mails ou SMS frauduleux qui vous envoient vers un site imitant celui de votre banque ou des impôts), qui vise non pas la machine mais la personne derrière l'écran.
  • Les accès illimités à votre application, accordés « au cas où » et jamais retirés, même après le départ des collaborateur·ice·s.
  • Les oublis techniques de développeurs trop pressés, ou pas assez sensibilisés (on en a entendu parler, mais cela ne nous est évidemment jamais arrivé 😇)

Ce panorama montre une chose importante : le problème n'est pas uniquement « le développeur » ou « l'informatique ». La sécurité se joue autant dans le code que dans les habitudes, les accès et l'organisation.

3. Comment évaluer son niveau de risque

Avant de chercher des solutions, il faut comprendre où se situent les risques réels. Un médecin ne vous prescrira pas de traitement sans un diagnostic au préalable, et en matière de sécurité c'est exactement pareil : tant qu'on ignore où sont les points faibles, on dépense son énergie un peu au hasard.

Plusieurs démarches complémentaires permettent de dresser ce bilan :

  • L'audit technique, pour cartographier l'existant et repérer les points faibles : des référentiels comme OWASP ou des outils internes donnent un aperçu des principales vulnérabilités, par ordre de gravité.
  • La revue des accès, pour vérifier qui peut faire quoi, et surtout pourquoi.
  • L'analyse des journaux (logs), ces carnets de bord qui gardent la trace de ce qui se passe réellement.
  • Les tests de vulnérabilité, qui consistent à chercher soi-même les failles avant que d'autres ne le fassent.
  • La vérification des sauvegardes, car savoir restaurer ses données est parfois la dernière ligne de défense.

Et surtout une régularité : il ne suffit pas d'un checkup tous les 5 ans, mais d'instaurer de bonnes habitudes et d'intégrer la sécurité aux opérations courantes. Il importe alors de simplifier, d'automatiser, pour que cela devienne évident : on audite, on rapporte, on priorise, on corrige

Aucune de ces démarches n'est spectaculaire. Mais réunies, elles transforment une inquiétude diffuse (« et si on s'était fait pirater ? ») en un état des lieux concret, sur lequel on peut enfin agir.

4. Le rôle de l'IA : utile, mais pas magique

Impossible d'aborder le sujet en 2026 sans parler d'intelligence artificielle.

En matière de sécurité, l'IA est à la fois une menace et une opportunité. Une menace, car les attaquants sont de plus en plus équipés d'outils surpuissants qui leur donnent des capacités dignes des meilleurs pirates humains. Les alertes récentes d'Anthropic au sujet de son LLM Mythos (qui a été interdit à l'étranger par le gouvernement américain) montrent que la course de vitesse ne fait que commencer.

Mais à l'inverse, l'IA est une aide inégalable, et pour les mêmes raisons : elle digère sans broncher des montagnes de journaux, repère des anomalies dans le trafic, aide à identifier des vulnérabilités et fait gagner un temps précieux aux équipes techniques en triant pour elles les signaux qui méritent attention.

Mais il faut résister à la tentation de la baguette magique.

Car un bon outil entre des mains qui ne savent pas quoi en faire reste un mauvais outil. L'IA permet d'aller plus vite et de repérer davantage de signaux faibles, mais elle ne remplace ni l'expertise humaine, ni une démarche de sécurité structurée. Elle amplifie une démarche existante ; elle ne la crée pas à votre place.

5. La question dont on parle moins : les arbitrages budgétaires

C'est sans doute le cœur du sujet, et pourtant celui dont on parle le moins. Dans la plupart des projets numériques, les ressources sont limitées : chaque euro investi dans une nouvelle fonctionnalité n'est pas investi dans la sécurité, et inversement.

Or les travaux de sécurité ont une caractéristique ingrate : ils sont rarement visibles. Personne ne félicite jamais une équipe pour une attaque qui n'a pas eu lieu. Et pourtant, ce sont souvent ces investissements discrets qui font toute la différence :

  • la mise à jour des composants, fastidieuse mais essentielle ;
  • l'audit régulier, qui ne produit aucune fonctionnalité nouvelle ;
  • la supervision, qui veille pendant que tout va bien ;
  • la sensibilisation et la formation des équipes, dont l'effet ne se voit jamais directement.

Arbitrer entre le visible et l'invisible, entre la fonctionnalité qui séduit et la maintenance qui protège, c'est une décision profondément stratégique. Et elle ne peut pas reposer sur les seules épaules de la technique.

6. Une responsabilité partagée

Enfin, c'est probablement le point le plus important. La sécurité ne se délègue pas entièrement à un prestataire, pas plus qu'elle ne repose entièrement sur le client. Chacun tient sa part.

Le prestataire, lui, doit :

  • suivre les standards du marché ;
  • maintenir les logiciels à jour ;
  • signaler les risques sans jamais les minimiser ;
  • proposer des améliorations, même quand elles ne sont pas demandées.

Le client, de son côté, doit :

  • arbitrer les priorités en connaissance de cause ;
  • accepter certains investissements moins visibles ;
  • sensibiliser ses utilisateurs ;
  • mettre en place des règles internes claires.

On voudrait que la sécurité soit une sorte de produit miracle que l'on achète une fois pour toutes. C'est une responsabilité partagée, dans le temps long, entre les équipes métier, les utilisateurs et les prestataires.

Vers une obligation d'effort ?

A l'heure où s'accroissent les fuite massives de données, l'Etat français commence à prendre conscience de l'importance de consacrer à la sécurité la place qu'elle mérite. Pour ses propres services, mais aussi pour toutes les organisations qui ont entre les mains des données de citoyens à protéger. Et comme pour le RGPD, on s'oriente vers une obligation d'effort (à défaut d'une obligation de résultat qui serait le risque zéro) : chaque organisation devra prouver qu'elle a consciencieusement intégré la sécurité dans ses arbitrages budgétaires et dans ses processus de travail.

Il faut donc s'attendre à ce que l'importance consacrée par les organisations à la sécurité augmente dans les prochains mois... Un sujet sensible au moment où tout le monde cherche les économies budgétaires, mais une priorité vitale pour restaurer la confiance dans le numérique.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée.

Newsletter

Inscrivez-vous à notre newsletter pour suivre nos actualités.

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience et analyser le trafic de notre site. Vous pouvez choisir d'accepter tous les cookies ou de personnaliser vos préférences. En savoir plus