HS 30 : Mythos avec Rayna STAMBOLIYSKA et Maxime VERAC | La cybersécurité expliquée à ma grand-mère

Description

Mythos, le modèle d'Anthropic capable de découvrir des 0-day de façon autonome, a fait grand bruit. Mais derrière le buzz, qu'en est-il vraiment ? Avec Maxime et Rayna, on démythifie : effet marketing, caractère non déterministe des LLM, coûts astronomiques (20 000 $ pour une seule vulnérabilité), faux positifs... Surtout, on rappelle que le vrai problème n'a jamais été de trouver les vulnérabilités, mais de les prioriser et de les corriger. Entre souveraineté numérique, surcharge des équipes et retour aux fondamentaux, un épisode qui remet l'IA à sa juste place. Spoiler : il n'y a pas d'apocalypse LLM côté cyber, juste beaucoup de travail et un peu de bon sens.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Depuis quelques jours, depuis quelques semaines maintenant... Maintenant, il y a un sujet qui anime fortement la communauté cyber. C'est un sujet ô combien important puisque ça implique un mot-clé, enfin un buzzword qui est l'IA. Évidemment, quand on mélange l'IA et les cybers, c'est forcément quelque chose qui défraye la chronique. Je vais parler évidemment de mythos, dont vous avez probablement entendu parler dans les réseaux sociaux ou dans les journaux. Et pour... Pour discuter un petit peu de ce sujet, je vais accueillir deux personnes dans cet épisode. Ma grand-mère connaît déjà l'une des deux, puisque c'est Raina. Mais j'ai un nouveau participant ce soir que j'aimerais vous présenter, qui est Maxime Verrarch. Et donc Maxime, est-ce que tu veux bien te présenter ?
Speaker #1
Bonsoir. Maxime, je suis consultant en cybersécurité depuis quasiment une vingtaine d'années. Ça fait 19 ans que je fais de la cybersécurité. Et si je suis ici ce soir, c'est qu'on a pas mal échangé sur le sujet lié à la gestion des vulnérabilités. C'est un sujet qui me passionne depuis très longtemps. Depuis le jour où j'ai installé une appliance d'un scanner de sécurité, que je l'ai raqué moi-même dans un data center, je ne dirais pas la marque pour ne pas faire de la pub, mais depuis ce moment-là, j'ai toujours trouvé que la gestion des vulnérabilités et les outils étaient sous-exploités par beaucoup d'organisations qui font de la gestion des vulnérabilités. Donc je me suis toujours un peu passionné par le sujet. Je suis ravi d'en parler avec vous ce soir.
Speaker #0
Effectivement, un sujet ô combien passionnant et ô combien important pour les organisations. Et donc, la deuxième personne qui va intervenir dans ce podcast, que vous connaissez déjà, c'est une habituée. Raina, est-ce que tu veux bien te présenter ?
Speaker #2
Oui, oui, je peux. Déjà, merci pour l'invitation de nouveau. C'est que je n'ai pas dit que des bêtises la dernière fois. Je suis Raina, je suis la fondatrice et DG d'un cabinet de conseil de cybersécurité et diplomatie du numérique qui s'appelle RS-Stratégie. Spécifiquement pour le sujet vulnérabilité, je m'y intéresse depuis plus de dix ans. J'ai été un peu de tous les côtés de ce sujet, que ce soit de la recherche de vulnérabilité technique, du reporting aux fabricants. de côté receveur, donc RSSI ou DPO, quand il y a aussi des sujets de données à caractère personnel qui sont liés, mais aussi du côté du législateur qui fait des politiques publiques pour encadrer le traitement de vulnérabilité. Et donc aujourd'hui, parmi les trucs géniaux que je fais, c'est aider aussi des... Le cadre de la conformité au Cyber Resilience Act, c'est aider des fabricants notamment, mais aussi leurs clients, à comprendre ce que c'est que la gestion de vulnérabilité. Parce qu'il va commencer à y avoir des obligations légales là-dessus. On en avait, je pense, déjà parlé avec toi. Exactement, oui. Et après, il y a deux ou trois autres sujets rigolos que je suis de façon très spécifique, qui sont aussi les... Les enjeux de coordination en termes de vulnérabilité, typiquement ce qui se passe aujourd'hui avec les instances qui sont censées qualifier les rapports de vulnérabilité, leur donner des petits noms, des petits nombres, pour les rendre identifiables pour les gens comme nous qui sommes censés les gérer derrière.
Speaker #0
Qui avons la lourde tâche de les gérer, justement, c'est ça.
Speaker #2
Voilà, voilà. T'as ouvert les hostilités, toi.
Speaker #0
Parfait. Alors justement, pour commencer un petit peu sur le sujet, donc Mythos, qui est un modèle qui a été créé par la société Anthropique, qu'on connaît entre autres pour Claude, a annoncé le 7 avril 2026 un modèle qui avait la capacité de découvrir et exploiter de manière autonome des 0D, c'est-à-dire des feuilles de sécurité non encore republiées. Le modèle a été validé par, on va dire, des instances, mais là aussi on a... pas forcément une lisibilité parfaite sur les instances qui ont validé ça. Ils ont donné aussi comme exemple, c'est une sorte de POC, de Proof of Concept, une vulnérabilité trouvée dans OpenVSD qui vient de 27 ans. Alors déjà, la première question que j'ai envie de vous poser, pour vous, Mythos, c'est quoi exactement ? Est-ce qu'il y a quelque chose de radicalement différent ? Je connais déjà un petit peu la réponse, mais qu'est-ce qu'il y a de radicalement différent par rapport à un scan de virabilité traditionnel, tel que l'a expliqué Maxime ? Si Mythos existe, existe-t-il aussi d'autres modèles, peut-être sur d'autres providers, peut-être OpenAI, par exemple ? Voilà, donc déjà, est-ce que vous pouvez... expliquer un petit peu la différence qu'il y a entre Mitos et un scanner de vulnérabilité traditionnelle.
Speaker #1
Alors peut-être pour répondre à la question qu'est-ce que c'est Mitos, je pense que c'est une technique marketing assez géniale qui a été faite par Anthropique. Ça c'est la première chose. Après, le caractère aussi réel, à la base c'est quand même un moteur type LLM qui est... qui est aujourd'hui un modèle Frontier, qui permet de faire beaucoup de choses, et celui-ci a été spécialisé dans la recherche de vulnérabilité, sachant que les modèles qui sont prédécesseurs et les modèles concurrents peuvent aussi faire de la recherche de vulnérabilité. Ce n'est pas nouveau, celui-ci est un peu meilleur que les versions précédentes parce qu'une de ses spécificités, c'est qu'il est capable de chaîner différentes vulnérabilités entre elles et aussi de tester l'exploitabilité. Ça, c'est ce qui a été annoncé par Anthropique. Il y a eu un... poste de Cloudflare qui a fait un retour d'expérience dessus qui a l'air de dire que ça fonctionne plutôt bien. Maintenant, les deux tests qui ont été faits à côté disent que les modèles concurrents aujourd'hui ont des capacités égales à Mitos, ce qui me laisse penser que c'est quand même beaucoup de marketing, le côté génial du marketing c'était de dire c'est un truc super dangereux, on le rend disponible à personne parce que c'est super grave ce qu'on a fait. Bon ça, c'est clairement du marketing. Quand Bruchnayer est venu à Luxembourg la semaine dernière, lui, ce qu'il a clairement dit, c'était que s'ils ne l'ont pas rendu disponible, c'est parce qu'ils n'avaient juste pas le compute nécessaire pour que tout le monde puisse l'utiliser en même temps. Donc ça, c'était sa version à lui. Pour moi, ce n'est pas du tout comparable à un scanner de vulnérabilité parce que là, c'est un outil qui va analyser du code. Alors que quand on parle de scanner de vulnérabilité, c'est plutôt un outil qui va... en faisant des requêtes sur le réseau, essayer d'identifier les systèmes qui sont sur un réseau, et après, avec une base de connaissances, on va savoir si le système qui a été « fingerprinté » , donc qui a été identifié, est-ce qu'il y a des vulnérabilités qui existent ou pas sur ce système. Il y a tout un tas de défauts à cette Ausha, mais ça a quand même le mérite de faire un inventaire de son parc et d'essayer de trouver des vulnérabilités qui sont existantes dans les systèmes qu'on a, alors qu'un outil comme Mito, c'est plus à destination, soit côté Blue Team, Euh... qui est un outil qui devrait, entre guillemets, à terme être amené à remplacer des scanners de vulnérabilité dans du code source. Donc l'idée, c'est de prendre l'outil et de l'utiliser pour essayer de trouver des vulnérabilités dans des développements logiciels, donc dans tout un tas de codes. Mais ça, on peut très bien le faire avec des autres LLM. Après, on peut reprocher beaucoup de choses à cette Ausha, c'est que ça fait beaucoup de bruit. ça génère beaucoup de faux positifs donc il faut être capable d'analyser après tout ce qui va être produit et aujourd'hui quand Anthropique est venu en annonçant ces mythos ils ont dit clairement notre modèle est bien meilleur que les autres mais actuellement ils n'avaient pas grand chose pour le prouver il y a un des éléments qui est intéressant quand on veut comparer des outils qui font de la recherche de vulnérabilité c'est quel est le taux de faux positifs qui ressort de l'analyse, on n'a pas eu d'infos là-dessus. Moi, je suis assez content de Mythos parce que ça a permis de... Et c'est la dernière fois que j'évoque le nom pour la soirée parce que, comme je l'ai dit, c'était du marketing, je n'ai pas envie de faire de marketing. Je suis content parce que ça a amené le sujet dans les boardrooms. Moi, j'ai eu beaucoup de discussions avec des boards sur comment on gère les vulnérabilités dans les entreprises et pour moi, ça, c'est très positif. Maintenant, ce n'est pas un sujet qui est nouveau, la gestion des vulnérabilités, c'est un sujet qui est... de plus en plus compliquée pour beaucoup d'organisations parce que le nombre de vulnérabilités explose et il y en a beaucoup qui font encore ça de manière très old school, c'est-à-dire, j'aime bien souvent dire, il y a une équipe qui fait un scan de vulnérabilité, qui balance un CSV avec des milliers de vulnérabilités très mal priorisées aux équipes de sécurité opérationnelle ou aux équipes IT en leur disant débrouillez-vous et patchez-moi ces vulnérabilités avec des SLA qui ont été définis il y a des années et qui aujourd'hui sont pas du tout... sont très difficiles à... C'est très difficile de travailler avec des SLA qui aujourd'hui ne sont plus liés avec la réalité des vulnérabilités. Pour moi, ce sujet-là est bien parce que ça permet de mettre sur la table un sujet qui est très difficile aujourd'hui quand on fait de la sécurité opérationnelle et ça permet peut-être d'aider les organisations à le repenser. Mais ce n'est pas une surprise. Je pense que ça fait un moment qu'il y a des gens qui utilisent des LLM pour chercher des vulnérabilités. Et ça va a priori évoluer. Mais le fait de dire que c'est un saut technologique incroyable et que c'est hyper dangereux, on ne le rend pas disponible, pour moi, c'est plus des éléments marketing. Parce qu'il y a beaucoup de... de grosses boîtes derrière l'IA qui lèvent des fonds régulièrement et c'est important de sortir des articles comme quoi il y a des avancées incroyables et je pense que ça fait partie du modèle.
Speaker #0
Juste quelques infos assez importantes que tu viens de citer. La première, c'est que on scanne du code source. Si vous n'avez pas le code source, ça va être difficile de trouver des vulnérabilités. C'est quelque chose d'assez important. Tu as cité aussi le côté blue team, c'est-à-dire le côté plutôt défense. des entreprises. Donc effectivement, si vous avez accès au code source, encore une fois, c'est une condition super importante parce que quand on parle de vulnérabilité, des scans de vulnérabilité au sens un peu plus traditionnel, on va scanner de manière assez large sans avoir le code source. Alors que là, on parle du code source, il faut avoir le code source pour pouvoir faire tourner le modèle et trouver des faits de sécurité. Donc ça, c'est assez important. Certes, ce modèle est sorti, mais d'autres modèles existent. Et a priori, avec des niveaux de performance, on va dire, assez identiques. Un gros problème, entre guillemets, de faux positifs, c'est-à-dire que si ça crée autant de vrais positifs que de faux positifs, il faut énormément de temps pour traiter tout ça et d'analyser, ce qui n'est pas forcément ultra utile en matière de cybersécurité. Arina, tu voulais rajouter quelque chose ?
Speaker #2
Je voudrais m'enlarder dans tout ça. c'est parce qu'en fait il y a Maxime a été très riche dans la présentation et du coup, j'aimerais bien choper deux, trois petites choses et les compléter dans ce qu'il a dit. D'une part, on a une architecture, on va dire, technique aujourd'hui qui est quand même pas évidente du tout. Et pour beaucoup de gens, même pour des gens assez techniques, il y a en fonction de si tu es... quelqu'un qui fait de la cyber chez un client final, comme on dit, dans une banque, par hasard, Nicolas, ou si tu es quelqu'un qui fait de la sécurité dans une société qui édite elle-même du logiciel ou qui fait des objets connectés, en fait, tu ne fais pas la même cybersécurité. C'est ton positionnement, ta posture, tes exigences vis-à-vis de la... pile technique, tout le millefeuille technique, elle n'est pas du tout la même et tu ne regardes pas les mêmes choses. Donc déjà, quand on parle de scan de vulne, de vulnérabilité ou de recherche de vulnérabilité dans le code, déjà on ne s'adresse pas aux mêmes personnes, donc on ne s'adresse pas aux mêmes pratiques de sécurité dans les différentes organisations. Donc il y a ça. Après, il y a quelque chose que je pense qui échappe souvent à la discussion, qui moi me stresse à chaque fois. C'est qu'en scan de vulnérabilité, il a une base, il connaît X, Y, Z, il sait ce qu'il cherche. Oui, il voit passer un champignon rouge trois points, noir, il dit toi tu ne passes pas, toi je ne t'aime pas. Un LLM, c'est quelque chose qui est probabiliste, il voit passer un champignon, il ne fait pas trois points, je n'aime pas trop, si j'en mettais un quatrième pour voir. Et en fait, il y a... un déterminisme qui n'existe pas avec l'LLM. Donc en fait, tu peux lui demander cinq fois, il va peut-être à un moment donné te dire que deux plus deux, finalement, fait cinq. Donc tu as aussi un sujet de véracité, de fiabilité, des résultats que tu obtiens. Ce qui vient en fait complexifier de temps toute cette discussion sur les faux positifs. C'est-à-dire que ce n'est pas juste des choses qui peuvent paraître qui peuvent paraître vraies de loin, mais où un scan te dit je pense que là, il y a un truc, mais je n'ai pas accès, par exemple. Que sais-je ? Un LLM peut très bien, en fait, t'inventer des trucs.
Speaker #0
D'accord.
Speaker #2
Donc, tu as aussi cet aspect-là. Et après, encore une fois, je reprends cette histoire de compute dont parlait Maxime. On a aussi un sujet qui est... sur les ressources nécessaires pour faire tourner ces outils, typiquement dans le cadre de Mythos. Ils le disent dans leur propre document, qui en fait est différent du document marketing, parce qu'ils ont sorti différentes publications. Ce qui a beaucoup circulé, c'est la publication très marketing, très gros logo, de grosses boîtes, on est très très beau, on est très très fort.
Speaker #3
Bonjour, il y a quelqu'un ? Bien sûr ma gueule ! Tu veux te remettre en forme ? Et avoir un body minute ?
Speaker #4
Summer ma gueule !
Speaker #3
Ah oui, summer !
Speaker #4
Bienvenue chez Body Bogoss ! Tu veux un abonnement ? Ok ma gueule, chez Body Bogoss, il te faut un abonnement et un cri. Un cri ?
Speaker #3
C'est ce qui est défini dans la salle. Oh, ça c'est Jason aux haltères, il est passé à 30 kilos.
Speaker #4
Oh Rico, un dofessier, bien joué.
Speaker #1
Ça c'est qui ?
Speaker #4
Ça c'est toujours Jason, 30 kilos c'était peut-être un petit peu trop.
Speaker #2
Par contre, ce qui a moins circulé, c'était le document que nous on a lu, moi en tout cas, qui est le document un peu plus technique. Et en fait là, ce qui est intéressant, c'est que pour trouver la vulnérabilité dont tu parlais tout à l'heure, celle qui est vieille de 27 ans, en fait, ils ont fait plus de 1000 opérations de recherche. Parce qu'en fait, vu que c'est non déterministe, ils font tourner le truc jusqu'à ce que ça trouve quelque chose. Et en fait, c'est là où ils te donnent le prix, qui est de te dire, ces 1000 itérations qui ont fini par trouver quelque chose. En fait, elles nous ont coûté 20 000 dollars en tokens. Donc, les tokens, c'est juste la petite monnaie, en gros, que tu donnes au modèle pour le faire tourner à chaque fois quand tu demandes à un modèle de résumer ton mail, tu paies un token. D'accord ? Mais par contre, les tokens, ça ne dit rien de tout le coup derrière. Des humains qui vont, en fait, regarder les sorties à chaque fois, les résultats de chaque tour de... pistes, etc. Donc, ça ne te dit rien de tout ça. Donc, en fait, en gros, ce qu'ils te disent de façon très liminaire, c'était caché comme ça dans un petit paragraphe, c'est qu'en fait, ils ont brûlé 20 000 balles et à un moment donné, ils ont trouvé un truc. D'accord, mais bon, moi, 20 000 balles, je préfère payer un apprenti. Comme ça, au moins, la personne apprend pour de vrais des trucs, elle me documente des choses, elle parle... au déjeuner avec les autres, et boire des cafés avec tout le monde, enfin, ou du chocolat chaud, c'est comme tu veux. Mais en fait, il y a un humain qui apprend. Donc, l'investissement est très différent. Et bon, et après, il y a toutes les histoires de c'est très bien, on va trouver des choses, et donc, après, on fait quoi ? Et tout le truc de mythos, c'est de dire, en fait, de s'arrêter au on trouve, et d'ouvrir légèrement vers un écosystème sélectionné sur le volet, qui est donc tous ces gros logos, les Google, les Mandiant, etc. En fait, de dire, ben voilà, on comprend qu'on va changer la face du monde, parce qu'en fait, on va inonder les défenseurs avec un tas de choses à traiter. Et donc, pour vous y aider, voici les gens qui... peut vous aider. Bon, moyennant quand même un investissement sonnant et trébuchant significatif, parce que tout le monde ne peut pas se payer les produits de sécurité de ces entreprises-là. Je veux dire, une PME de 70 personnes qui fait un logiciel de compta, qui peut se payer 250 000 euros par an de services de sécurité juste pour l'aider à Pacha de Vuln, enfin, je n'en connais pas tant que ça, ou alors c'est une très très belle PME. Je présage de rien, mais ça ne court pas les rues. Donc il y a aussi ces choses-là qui viennent s'additionner et qui interrogent effectivement de manière très forte, viennent percuter des prises de décision qui sont pour le coup partiellement techniques, mais surtout d'attribution, d'allocation de ressources, de priorisation. de qui parle à qui, de comment on absorbe ces choses-là. Et donc, qui continue, en fait, si on monte, continue, c'est que moi, en tant qu'organisation qui consomme des produits logiciels et donc qui doit appliquer ces mises à jour, en fait, moi, il faut que je recrute deux personnes en plus juste pour patcher de la ville, quoi. D'accord, mais alors, s'il y en a plein... des vulnes, est-ce que je ne peux pas faire facturer des ETP à mon fournisseur parce qu'en fait c'est de sa faute et donc il va y avoir aussi ce genre de sujets qui vont se poser et après qui vont être mais ça va être toujours la même chose, est-ce que, enfin toutes les vulnes elles ne sont pas faites pareilles Une bulle de 27 ans ? En fait, rien ne te dit que quelqu'un ne l'a pas trouvée avant. La probabilité, elle, est que des gens l'ont probablement trouvée. Est-ce qu'il fallait la patcher ? Est-ce que c'était vraiment grave ? Étant donné l'environnement dans lequel est déployée cette techno qui contient la bulle, peut-être pas, on ne sait pas. Et donc, le truc, il n'existe pas dans une bulle tout seul, dans l'absolu.
Speaker #0
C'est ça. Pour juste rebondir un petit peu sur ce que tu viens de dire, et après je vais passer la parole à Maxime. Donc déjà, le côté indéterministe, tu as raison de préciser que le modèle est assez indéterministe, mais j'ai envie de dire, c'est un peu ce qui se passe toujours avec la recherche de vulnérabilité. Enfin, on fait un peu de pen-test. C'est quand même assez rare de tomber du premier coup sur les bons paramètres qui font que ça marche. Il y a toujours un petit peu ce côté un petit peu artisanal où on cherche, on patauge un petit peu jusqu'au moment où ça fonctionne. Donc voilà. Ensuite, la vraie différence, c'est que... Je vais citer Nicolas Ruff qui dit à chaque fois qu'il n'y a rien qu'une armée de stagiaires ne peut faire. Effectivement, il y a la puissance de l'IA qui fait que ce qui est capable de démultiplier à une puissance incroyable, quelque chose que l'humain mettrait finalement des heures voire des jours à réaliser, forcément avec l'IA et les automatismes, ça accélère tout ça. Donc il y a cet aspect-là. c'est un petit peu comment dire la simulation par Monte Carlo on fait un milliard de choses et puis à un moment donné en moyenne ça tombe un peu juste ouais mais à condition je t'arrête tout de suite à condition qu'on ait l'argent pour ça et la
Speaker #2
question c'est est-ce que c'est justifié de mettre de l'argent là-dedans, sachant que pour nous professionnels de la défense de la cybersécurité donc du côté défense, en fait ça nous enlève des sous à nous de notre fonctionnement cyber ? Pour moi, la question, elle est plus de ce côté-là. C'est bien sûr qu'il faut...
Speaker #0
Sur l'allocation des ressources, pourquoi tu dois investir et quel est le rendement, finalement, de la région que tu es en train de dépenser ?
Speaker #1
Moi, ça m'embête beaucoup, quand même, le côté non détermiste pour des fonctions de sécurité. C'est quand même un vrai problème. Et c'est bien illustré dans le rétexte de... de Cloudflare sur leur utilisation de Mythos où parfois, sur des mêmes requêtes, ils ont eu des résultats complètement différents. Des fois, la chaîne d'exploit fonctionne, des fois, elle ne fonctionne pas. Le problème, c'est qu'on risque de donner un faux sentiment de sécurité. Quand on fait un pen test, on dit que c'est un effort qui est time-boxé. C'est possible qu'on n'ait pas tout trouvé parce qu'on a investi tant de temps. Le truc, c'est que quand on fait un pen test, on va cibler les choses les plus critiques et on sait ce qu'on va chercher. Alors que là, si les prompts sont mal faits... ou si on vise trop large, on ne sait pas si les tokens auront été dépensés sur les bonnes fonctions du soft. Et peut-être qu'on va donner l'impression qu'il y a eu une recherche qui a été faite avec Mythos ou un autre outil sur le soft, ça n'a pas trouvé de vulnérabilité, ou on a trouvé des vulnérabilités, et on va croire qu'on a trouvé tous les trucs. Et finalement, comme c'est non déterministe, peut-être qu'une vulnérabilité importante n'a pas été identifiée. C'est un peu ça qui me gêne, parce qu'on dépense beaucoup d'argent et à la fin, on n'a pas de garantie. On n'offre pas plus de garantie que sur un pen test.
Speaker #2
Je suis d'accord avec toi. Je veux dire, 2 plus 2, dans tout l'univers, ça fait 4. Donc, si j'appuie sur un bouton et ça me recalcule à chaque fois la somme et ça me donne des résultats différents, en fait, du coup, je vis dans quel monde ? Et ça, tu as aussi... Je pense qu'il ne faut pas négliger ça. Si tu veux, pour te donner un exemple d'un autre domaine avec cette histoire de non-déterminisme, je regarde beaucoup les discussions. Tu sais, moi, j'aime bien les animaux. Et en fait, je regarde souvent les discussions sur des communautés spécialistes d'animaux, typiquement des animaux sauvages. Et typiquement, il y avait une discussion sur les images de... de lynx, en l'occurrence, améliorée, entre guillemets, par l'IA. Et en fait, tu avais là les chercheurs qui t'expliquaient, en fait, cette image, si tu n'es pas spécialiste du lynx, tu ne te rends pas compte que cette image te présente un animal qui n'existe pas. Pourquoi ? Parce que l'IA, quand elle l'a améliorée, elle a augmenté le contraste, elle a un peu changé les couleurs, en fait, elle a complètement changé la... taille, les emplacements des tâches sur les poils, etc. Et les chercheurs te disent, en fait, nous, on regarde des images. d'animaux, donc de notre objet de recherche, qui n'existent pas. Et donc, quand on se retrouve dans des papiers de recherche avec des choses qui sont décrites qui n'existent pas, en fait, pour nous, ça crée vraiment une réalité qui n'existe pas.
Speaker #0
Une réalité alternative.
Speaker #2
Oui, parallèle en tout cas. Tu vois, mais ce côté non déterministe, en fait, vu que tu... ce que tu essayes de trouver, c'est des choses que tu ignores. En fait, quand c'est déterministe, au moins tu as des bornes. Tu as des bords, tu sais ce que tu ne sais pas. Tu as des trucs et tu sais que tu vas remettre ton scan de vulne 30 fois et 30 fois, il va te sortir le même résultat.
Speaker #0
Peut-être que tu as des choses. Je vais faire l'avocat du Gaps deux minutes.
Speaker #2
Vas-y, mais deux minutes.
Speaker #0
Deux minutes, pas plus. En matière de vulnérabilité, on sait que de toute façon, il ne faut pas nâcher les méthodes. On a parlé de pentest, donc ça, c'est un peu une solution traditionnelle. On a parlé des vulscans, mais effectivement, le vulscan ne permettra de détecter que des choses qu'on connaît. Mais on peut aussi imaginer des programmes de bug bounty qui vont donner une autre dimension aussi à certains pentests, une autre façon finalement de procéder.
Speaker #1
Programme de bug bounty, je me permets de t'interrompre, qui aujourd'hui souffre... du nombre de reports qui sont générés par de l'IA pour chercher des vulnérabilités.
Speaker #0
Ce que tu dis est vrai, mais maintenant, les sociétés qui proposent du back bounty quantifient aussi ce genre de choses. D'une certaine manière, ça rentre dans les mœurs. Moi, je n'ai pas trop d'avis sur la question. Moi, ce qui m'importe, entre guillemets, c'est le résultat. Je sais aussi que, par définition, le problème des vulnérabilités, ce n'est pas quelque chose sur lequel il y aura... une solution qui permettra de trouver de toute façon toutes les vulnérabilités et on sait bien de toute façon en cybersécurité c'est un but inatteignable et il faut trouver d'autres moyens pour essayer d'arriver à ses fins et à un moment donné essayer d'avoir une espèce, vous savez sur les courbes de Gauss, quand on arrive un peu sur les bords, avoir un certain niveau de confiance de ce qu'on a, sachant qu'on n'est certainement pas arrivé au bout mais qu'on a un certain degré de certitude je dis bien un degré de certitude pas une certitude absolue, mais un degré de certitude, et qu'on est raisonnablement confiant sur les résultats. Est-ce que vous pensez ou pas, c'est une question assez ouverte, mais que finalement, ce type de modèle est un nouvel outil, que certes, il a des limites financières, de ressources, des problèmes de qualité, mais que ça peut être un nouveau levier, finalement, pour essayer de trouver des vulnérabilités qu'on n'aurait peut-être pas trouvées avec des méthodes plus traditionnelles. comme du scan de code ou comme des PNT spécifiques ? Veste question, vous avez besoin.
Speaker #1
Ce n'est pas une question simple. Je suis d'accord avec toi dans le fait que c'est important de conjuguer différentes méthodes pour améliorer sa sécurité et identifier les vulnérabilités. Le problème, c'est ce que Réna a soulevé tout à l'heure, c'est qu'on a de plus en plus de CVE, on a de plus en plus de vulnérabilités qui n'ont pas de CVE assignées non plus. Le nombre de vulnérabilités explose, mais si on ne sait pas les prioriser, si on ne sait pas ce qu'on en fait... ça me fait une belle jambe de trouver plus de vulnérabilité si on a un problème de goulot d'étranglement dans la priorisation et la gestion après de toutes ces vulnérabilités-là. Peut-être que c'est une bonne solution supplémentaire dans certains milieux, des milieux qui ont des moyens et des milieux critiques où trouver la moindre faille ou la moindre vulnérabilité va être super importante. Probablement, d'un point de vue généraliste, je pense qu'il y a d'abord un vrai travail à faire dans la... dans la priorisation et la gestion de vulnérabilité avant de commencer à ouvrir le robinet, à inonder plein de nouvelles vulnérabilités qui vont juste s'empiler et qui ne seront pas traitées parce que les fondamentaux pour gérer les vulnérabilités ne sont pas là. Je pense que toute innovation peut apporter quelque chose. Il ne faut pas tout jeter. Il y a le problème du côté déterminisme, il y a le problème du coût, qui n'est pas seulement un coût financier, mais il y a un coût environnemental derrière aussi. Et c'est quand même une réflexion globale. Après, ce n'est pas que le sujet des vulnérabilités, c'est le sujet de l'IA. C'est le sujet de l'informatique aussi. Si on extrapole derrière, je vois un peu le verre à moitié vide souvent, mais personnellement, je pense que l'IA ne va pas apporter un... n'aura pas un impact positif sur la société dans son ensemble. Je pense que ça apporte pas mal de choses, mais l'impact global, à mon avis, sera plutôt négatif. Sur le sujet des vulnérabilités...
Speaker #0
Je pense que c'est un outil qui peut être intéressant, mais je pense que ça ne va pas concerner tout le monde. Il y aura probablement des cas d'usage où ça sera plus intéressant que d'autres à l'utiliser, mais on ne voit pas ça comme un outil de masse. Il y a différents types d'organisations. Pour un client final, typiquement une banque, utiliser un ALM pour chercher des vulnérabilités, il y a peut-être d'autres choses à faire d'abord. Je pense que ce n'est pas la priorité du moment. Mais peut-être qu'effectivement, dans des secteurs où ils développent du logiciel critique, ça peut être un outil en plus qui peut être intéressant. Mais encore une fois, associer logiciel critique et le caractère non déterministe de la solution, je me pose quand même quelques questions.
Speaker #1
D'autant plus que, pour être très transparent, quand on parle de logiciel critique, etc., le problème, ce n'est pas tellement les vulnérabilités, mais c'est plutôt ce qu'on met en œuvre pour concevoir des logiciels critiques. Parce qu'en réalité, si déjà on n'utilise pas des langages qui sont éprouvés justement pour des aspects de sécurité, donc le Rust entre autres, mais il y a encore plein d'autres exemples. Et puis il y a aussi des méthodes qui sont mises en œuvre pour pouvoir garantir que le code soit robuste et ainsi de suite. Donc si vraiment la problématique c'est la criticité du code, je pense qu'il n'y a pas... pas mal d'étapes en amont déjà à atteindre avant de commencer à chercher des vulnérabilités. Marina ?
Speaker #2
En fait, j'ai même envie d'aller, si tu veux, d'aller taper un peu le cœur de ta question, c'est si je reformule, c'est aller au-delà de, est-ce qu'on a besoin de, enfin oui, on a besoin de plans de moyens différents pour identifier des vulnérabilités, d'accord, admettons. Comme Mozilla a dit que le nombre de vulnérabilités est limité parce que maintenant, avec les IA, on va trouver toutes les vulnérabilités dans le code Legacy. Donc, petit à petit, on commencera à les corriger. Oui, oui, oui, d'accord. Et c'est bien. Et donc, OK, on peut avoir cette fable-là. Et donc, aller au-delà de la question et dire, d'accord, mais dans ce cas, est-ce qu'à un moment donné, on se retrouvera tellement désœuvré ? tous et toutes qu'en fait, on devrait se préoccuper à trouver d'autres vulnérabilités de type qui aujourd'hui ne sont pas connues. Parce qu'aujourd'hui, quand même, soyons très pragmatiques là-dessus, moi, une vulne, si tu veux, si ce n'est pas une RCE, je ne lève pas un incident. Pour nos auditeurs et auditrices qui ne savent pas ce que c'est une RCE, en gros...
Speaker #1
Tu veux dire que certains auditeurs ne savent pas ce genre de choses ? C'est ma grand-mère.
Speaker #2
Ta mamie, je ne sais pas ce qu'elle fait dans la life, mais le mien, c'est parce que c'est une RCE. Pour faire super simple, simpliste et tout ce que tu veux, c'est la possibilité à ce que quelqu'un d'illégitime puisse exécuter du code sans que moi je l'autorise chez moi. C'est super fonctionné.
Speaker #1
statistiquement j'ai pas les stats en tête mais ça va être au moins 70%
Speaker #2
des vulnérabilités vraiment importantes c'est toujours des RCE la plupart du temps oui c'est ça mais en fait et donc t'as tout le sujet de ok déjà est-ce que c'est une RCE si ce n'est une je commence à regarder est-ce que cette vulnérabilité elle peut être exploitée toute seule et faire des dégâts oui non peut-être est-ce qu'il y a un POC enfin tu vois est-ce qu'il y a un prof... concepts, est-ce qu'il y a quelque chose qui me dit que oui, cette vulnérabilité-là, ce n'est pas juste une faiblesse théorique qui relève du cabinet de curiosité de l'histoire. Est-ce qu'en fait, elle peut vraiment faire des dégâts toute seule ? Oui, non, peut-être. Si c'est non, cabinet de curiosité. Si c'est peut-être, on regarde, si c'est oui, là, on lève un incident. Et donc la question, c'est d'accord. Si c'est peut-être, ce qui est quand même la majorité aujourd'hui, C'est quoi les conditions qui font que le peut-être va se transformer en oui, ferme ? Si le peut-être commence à être « alors oui, il faut que ce soit une nuit de pleine lune, le 29 février, et il faut que je sois enroulée dans une tranche de jambon, et chanter la Marseillaise à la pleine lune » , ça repart dans un cabinet de curiosité, de recherche. C'est très bien, il faut que ça existe, il faut qu'on sache, il faut que ce soit décrit. Il faut que les conditions de mobilisation soient décrites, mais je ne lève pas un incident.
Speaker #1
En fait, non, tout ce à quoi tu fais référence, c'est un petit peu ce que Maxime a expliqué en début de l'épisode, sur le côté un peu old style, c'est-à-dire, on a une liste de vulnérabilités, on l'a classée par CVE, enfin par CVSS, donc grosso modo, on prend les plus importantes et les plus exposées d'abord, et puis ensuite, on verra le reste, et ainsi de suite. Alors, ce que tu dis dans ton propos, c'est de dire, on va donner un peu plus de contexte aux vulnérabilités, et en fonction de ça, On risque de... Enfin, on va commencer à prioriser sur les vrais sujets. Alors,
Speaker #2
tout à fait d'accord avec ça ? Mais parce que ton sujet, c'est pas de les trouver. C'est, en fait, comment est-ce qu'on le gère. Et aujourd'hui, on ne peut pas tout gérer. Ça, c'est pas possible. Donc, tu vois, où est-ce qu'on met l'entonnoir ?
Speaker #0
Le problème, c'est que c'est clair pour nous, mais c'est pas clair pour tout le monde. Moi, je vois encore beaucoup d'organisations où il y a des... personne côté deuxième ligne de défense ou compliance qui sont encore dans une optique où toutes les vulnérabilités doivent être gérées en utilisant des critères de sévérité qui ne sont pas les bons. Et s'ils n'évoluent pas là-dessus, ils vont aller dans le mur parce qu'ils sont déjà dans le mur. On va déjà dans le mur. Mais le mur va être de plus en plus grand et de plus en plus épais et on va y aller de plus en plus vite. L'exemple que tu présentais est très bon. Il faut être capable de voir l'exploitabilité de la vulnérabilité en fonction du contexte. toutes les vulnérabilités théoriques, il faut arrêter de dépenser du temps et des ressources là-dessus. De rester effectivement dans un placard,
Speaker #2
ce n'est pas insolite. On se souvient tous et toutes quand même, au moins nous trois, de Heartbleed. Vous avez déjà vu du Heartbleed exploité ?
Speaker #0
C'est comme les pentesters qui mettent une vulnérabilité critique quand on est en TLS 1.1 au lieu de 1.2.
Speaker #2
C'est bon, on se calme, on respire par le nez, on boit un verre d'eau, tout va bien. Mais oui, donc il y a ça. Et après, ce qu'on voit aujourd'hui, je ne dis pas que ça ne va pas changer. Je n'en sais rien. Je ne sais pas de quoi l'avenir sera fait. Et puis, j'attends toujours ma boule de cristal chez Amazon qui ne livre pas. Pas fiable, les gars. Bref. Mais en fait, non, non. Aujourd'hui, en fait, et c'est ça qui était, quand tu lis le papier d'entropique un peu plus technique, pas le marketing, en fait, tu te rends compte que le LLM lui-même, en fait, il ne fait rien tout seul. Les trucs en vente de machins qui s'auto-reproduisent, qui fait le café tout seul et qui arrête les cyberattaques avec ses petits bras musclés, c'est du flan. C'est du pipeau pur et dur. Et donc, quand tu regardes la participation humaine pour instrumenter ces LLM et récupérer les résultats et en faire quelque chose, c'est que de l'humain. Et donc en fait, aujourd'hui l'état des lieux, en tout cas celui qui se détache de manière extrêmement claire de tous les tests qui ont été faits, y compris par des gens plus ou moins indépendants, y compris sur d'autres LLM comparables, etc., c'est que sans que tu aies des gens qui comprennent toute la chaîne de l'identification de la vulne jusqu'à la création de l'exploit, et en gros... le déploiement un peu d'un POC, en fait, tu ne fais rien. Et donc, si je n'ai pas ça à faire tourner un machin qui me coûte 20 000 balles pour juste espérer trouver quelque chose, moi, je regrette, mais c'est un peu cher payé. Donc, tu as ça. Et après, on va avoir un vrai effet de saturation des éditeurs et des mainteneurs. de logiciels libres et open source qui sont extrêmement utilisés chez les fournisseurs commerciaux. C'est déjà le cas en ce moment. C'est ça. Donc, on va... Oui, on a un vrai moment super pourri, quoi. Où les gens sont en panique parce que le sujet gestion des vulnérabilités est un wicked problem, comme disent les Américains. C'est un sujet systémique. C'est un problème systémique. Et donc, ils tirent en permanence... plein de sujets compliqués et complexes avec. C'est comme le réchauffement climatique. Comment est-ce que tu résous le réchauffement climatique ? Tu vas proposer des solutions, elles vont arriver avec d'autres effets de bord, etc. Et donc, avec la gestion des vulnes, c'est pareil. Si je dois patcher, mais que j'arrête la provision d'électricité à une commune de 20 000 personnes, j'aurai patché, c'est super. Mais par contre, je vais redemander d'autres difficultés. Donc, on a aussi ce genre de... de problématiques et je pense qu'on va être dans ce mauvais moment pendant un bon moment, d'autant plus qu'encore une fois les sujets sont souvent arbitrés. par des gens qui, en fait, essayent de faire des heuristiques les plus pragmatiques possibles en termes de prise de décision. Et donc, on se retrouve avec des allocations problématiques et qui sont, en fait, que moi, je ne sais pas vous, comment c'est chez vous, etc. Notamment, Maxime, en tant que consultant, tu vois aussi, je pense, pas mal d'environnements et de contextes clients. Mais moi, ce que je vois, c'est un déplacement quand même depuis quelques temps. D'un côté, côté investisseur, la cyber, on n'est plus du tout bancable, on n'est plus du tout intéressant. Maintenant, toute la thune va aux boîtes d'IA générative. Et de l'autre côté, nous, côté cyber, quand on est chez des clients, ce que je vois, c'est la cyber qui se bat pour maintenir un budget à peu près stable et à peu près existant, Alors que le... le budget IT, entre guillemets, va à des solutions diagénératives qui sont, en fait, largement perfectibles. Tu vois, j'essaie de rester poli.
Speaker #1
Vas-y, Maxime, je t'en prie.
Speaker #0
Un prisme un peu différent, mais une problématique un peu similaire. Moi, je travaille quand même beaucoup pour le secteur financier à Luxembourg. Étant fortement régulé, la cyber n'a pas été complètement abandonnée. Malheureusement. Maintenant, ce que je vois beaucoup, c'est qu'il y a plus d'efforts budgétaires qu'ils ont fait côté deuxième ligne que côté première ligne. Et parfois, les équipes de première ligne n'ont pas forcément eu d'augmentation de budget significative, alors que les équipes de deuxième ligne sont capables de faire plus de contrôles et plus de vérifications et vont être un peu plus exigeantes parce que la régulation demande d'être plus exigeante vis-à-vis de pas mal de sujets de sécurité. Et il n'y a pas plus de bras pour mettre en place les mesures dans les équipes IT. Et le goût de l'étranglement, aujourd'hui, il est là. Et si on vient en redisant qu'aujourd'hui, le volume de vulnérabilité Apache, il est dix fois celui que vous aviez avant et que vous aviez déjà du mal avant, ça ne va pas bien se passer. Et c'est pour ça que je pense que le patching en lui-même, ce n'est plus une solution unique. Et je ne suis pas un consultant fun parce que je ramène souvent les choses au sujet de base, les mesures de base en cybersécurité. L'isolation, le hardening et la maîtrise de son inventaire, ça reste aujourd'hui les moyens clés pour limiter les impacts d'exploitation de vulnérabilité. Et ceux qui ne sont pas au niveau sur les « basiques » , risquent de prendre assez cher du nombre de vulnérabilités qu'ils ne vont pas être capables de gérer. Et oui, aujourd'hui, il n'y a clairement pas assez d'investissements pour gérer le volume de vulnérabilité. Et à mon avis, dans beaucoup d'organisations, Les mesures qui permettraient de limiter les impacts n'ont pas forcément été bien mises en place non plus. Donc, ça risque de se couer un peu.
Speaker #1
C'est clair. Il ne manquerait plus qu'on ait...
Speaker #2
Pour les bonnes raisons.
Speaker #1
Il ne manquerait plus qu'on ait une feuille de sécurité dans un BitLocker, un truc comme ça. Ça mettrait le feuille de l'ordre définitivement.
Speaker #2
Celle qui se balade en ce moment sur les internets ?
Speaker #1
Par exemple.
Speaker #2
Je ne vois pas du tout de quoi tu parles. Franchement, ce n'est pas comme si tous les jours, on n'en avait pas au moins deux dans les équipes. de bourdures. Bon, bref.
Speaker #1
Juste pour refaire un petit peu l'avocat du diable, parce que j'aime bien jouer ce rôle-là. Je comprends ce que vous expliquez sur l'IA, etc. Maintenant, si on regarde un tout petit peu l'IA et les investissements, donc effectivement, je pense qu'il y a beaucoup d'investissements aujourd'hui qui se font au niveau de l'IA, peut-être pas forcément à bon escient. Déjà, il y a toujours un peu cet effet, l'effet des marins. Typiquement, quand une nouvelle technologie arrive, les gens investissent dans cette technologie, mais finalement, c'est des technologies qui ne sont pas matures. Et ils sont déçus. Et comme ils sont déçus, ils arrêtent l'investissement. Et c'est à ce moment-là que la technologie devient mature. Et c'est à ce moment-là où c'est intéressant d'investir dedans. Donc, il y a toujours un peu ce décalage.
Speaker #0
Ça dépend. Il y a des gens qui ont investi dans le métaverse.
Speaker #1
C'est sûr. Dans le blockchain. Il y a quelques contre-exemples. Ce que je veux dire par là, c'est que moi, ce qui me turlupine toujours un petit peu avec l'IA, c'est qu'il y a quand même des exemples concrets d'utilisation d'IA qui ont permis de faire des recherches, des découvertes assez fondamentales. Le fameux pliage de protéines, j'ai toujours pas compris entre guillemets comment ça fonctionnait, mais finalement, ça a quand même permis de faire des choses que l'humain n'était pas capable de faire. Donc, il y a des résultats très concrets. Et en même temps, l'IA n'est pas capable de répondre à des questions assez basiques. typiquement, est-ce que je dois prendre ma voiture pour aller au carouage qui est à 500 mètres ? Alors, évidemment, on ne parle pas de la même chose, ce n'est pas exactement les mêmes modèles, etc. Mais dans l'absolu, un peu, en termes de technologie, je me dis qu'il y a quand même des capacités qui permettent d'obtenir des résultats qu'on ne pouvait pas atteindre avant. Et ça, c'est quelque chose d'assez novateur. Ensuite, la question de savoir, c'est est-ce que ces résultats sont vraiment si intéressants que ça, en sachant qu'en plus, et c'est ce que vous avez expliqué quasiment depuis le début de cet épisode, une fois qu'on a des vulnérabilités, qu'est-ce qu'on en fait ? Parce que c'est bien beau d'en avoir, mais est-ce qu'on est capable de les corriger ou pas ? Mais il y a quand même ce côté-là, entre guillemets, qui est un peu intriguant, avec toute la problématique qui existe autour de l'IA. Donc, on a parlé des problèmes de ressources, mais aussi l'aspect social, qui est... et puis qu'il n'y ait pas de négligemme non plus. Et voilà, donc un peu ce mélange, ce maelstrom un peu compliqué entre la techno, l'IA, les conséquences en termes de sécu, en termes sociaux, etc. Donc je souscris à ce que vous avez dit en disant que les temps sont quand même un petit peu compliqués en ce moment parce qu'on ne sait pas trop où on va avec ces éléments-là.
Speaker #0
Après, je veux juste revenir sur ce que j'ai dit. J'ai dit l'IA, dans l'absolu, ça ne sera pas un être positif. pour l'humanité. Je parle surtout de l'IA générative, je ne veux pas tout mélanger. Oui, oui, c'est bizarre.
Speaker #1
Gros disclaimer, parce que l'IA qu'on utilise pour lire... L'IA,
Speaker #0
c'est beaucoup de choses. L'IA générative, c'est un focus en particulier. C'est plutôt ça qui me pose problème.
Speaker #1
Justement, pour faire un peu la transition sur un autre sujet qui est intéressant par rapport à cette histoire de mythos, etc. et un peu quelque chose de stratégique. Je sens que Raina est déjà partie sur le sujet. C'est finalement une technologie américaine. Les gens qui ont accès sont que des entreprises américaines avec une seule banque qui est axée. Ça sent quand même un petit peu la suprématie américaine sur ce point. Qu'est-ce que nous, Européens, finalement ? on serait éventuellement capable de faire ou pas. Est-ce que ça vaut l'intérêt ? Est-ce qu'il y a un intérêt à investir dans ce genre de choses ? Mais quand on le voit de ce point de vue, il y a quand même un petit problème de souveraineté. C'est qu'ils ont quand même la capacité. Alors ensuite, évidemment, je ne dis pas que c'est la panacée, que c'est l'outil absolu et ultime pour gérer les aspects de cybersécurité. Mais du point de vue, entre guillemets, souveraineté numérique, qu'est-ce que vous en pensez de cette histoire ?
Speaker #2
Je vais parler d'autonomie stratégique, parce que c'est plus... On déborde, disons, du sujet... Du sujet plus data, etc. Oui, oui, oui. Et puis, si tu veux, une de mes auditions parlementaires, il y a maintenant longtemps, pendant le Covid, tiens. J'avais essayé d'expliquer en quoi justement la gestion de vulnérabilité est un sujet d'autonomie stratégique. En fait, tu vas avoir deux sujets. Tu vas avoir un sujet qui est que, effectivement, si tu pars du principe que l'autonomie stratégique, c'est maîtriser son destin. Ce n'est pas avoir un contrat où c'est marqué, oui, oui, t'inquiète, croix de bois, croix de fer, les données sont en Europe. C'est d'accord. jusqu'à quand ? Avec Trump, disons que l'engagement, la confiance, tout ça, c'est des trucs tout à fait relatifs.
Speaker #1
Tu veux dire qu'il, d'une certaine manière, il applique les mêmes principes que l'IA ? C'est pas très déterministe, ça.
Speaker #2
Pas du tout déterministe. Mais bon, non mais tu vois, maîtriser son destin, c'est quand le sol commence à bouger, comment est-ce que je fais pour pas que la maison ou le ciel me tombent sur la tête ? Même s'il me tombait sur la tête que ça ne me bute pas. Si on regarde la question par cet angle-là, on a un sujet qui est à la fois de qui trouve, en fait, qui a accès à tes installations. Quand tu installes Cloud Cowork sur ton ordi et qu'il a accès à tout, et donc qu'il lit tes mails, qu'il corrige... tes comptes rendus de réunion, qu'après, maintenant OpenAI, Fatcha GPT, maintenant, il peut faire des achats à ta place. Donc, vas-y, connecte-le. Ce qui était mon modèle de menace il y a quelques années avec les frigos connectés, c'est qu'il y aurait des moyens à ce que le frigo fasse des courses tout seul à ta place et qu'en fait, tu ne fais que la réception des courses. Aujourd'hui, ce modèle, Vili Il est relativement accessible. Donc, tu vois, du coup, en fait, tu as un mouchard chez toi. Tu ne sais pas ce qu'il fait. Mais c'est vachement bien. Il répond à des mails à ma place. Ouais, super. Arrête de parler à des gens, alors, si c'est ça qui t'emmerde.
Speaker #1
Putain, non, ça y est, j'en ai marre. Non, moi, je crois qu'il faut que vous arrêtiez d'essayer de dire des trucs. Ça vous fatigue, déjà, puis pour les autres, vous vous rendez pas compte de ce que c'est. Moi, quand vous faites ça, ça me fout une angoisse. Je pourrais vous tuer, je crois. De chagrin, hein. Je vous jure, c'est pas bien. Il faut plus que vous parliez avec des gens.
Speaker #2
Mais, tu vois, et en fait, la question qui se pose, c'est... Ok, donc j'ai quelque chose dont j'ignore le fonctionnement, qui ne m'a jamais vraiment donné des garanties claires. en termes de maîtrise des données que ça collecte, que ça traite, etc., qui, derrière, fait je ne sais quoi avec ces données-là. Parce que ce que j'avais raconté dans la cyber-review, beaucoup de gens ne s'en étaient pas rendus compte. C'est typiquement pour ne pas parler que de cloud, que d'entropique, parlons d'OpenAI. OpenAI a un modèle équivalent qui est moins... connus parce qu'ils ont fait moins d'efforts en marketing, mais le principe est le même, on va le garder secret, tout ça, machin. Et en fait, OpenAI, le fondateur, enfin, le patron d'OpenAI, il a aussi cofondé une boîte qui fait de la vérification d'humanité. Donc, et l'ironie, elle est particulièrement forte parce que tu as une boîte dont l'utilisation, enfin, l'existence, c'est de générer des données inventées, des données synthétiques, et donc de faire, et de de te dire que n'importe quel chatbot qui embarque Ausha GPT peut paraître humain, peut faire tes devoirs, tes rapports d'audit, etc. Et après, à côté, le même, il a une boîte qui te vend des solutions de collecte de données biométriques pour prouver que tu n'es pas en fait un bot, que tu es humain. Je veux dire, on marche complètement sur la tête et tu n'as jamais aucune garantie. que les données issues d'une société, et donc d'un usage, ne soient pas mobilisées pour un autre usage. Et du coup, quand tu mets ces trucs-là bout à bout, et que tu te retrouves avec des entreprises qui collectent des données de tes vulnérabilités non patchées en temps réel, chez toi, je ne sais pas en quelle langue il faut le dire, c'est que tu es à poil sur Internet.
Speaker #1
Ce point-là est hyper important parce qu'en fin de compte, c'était ma question un peu en filigrane. Ce que je veux dire par là, c'est que ma vision des choses, c'est qu'on peut utiliser des LLM qui permettent de découvrir des failles. Encore une fois, avec toutes les précautions dont on a parlé. C'est un outil supplémentaire. L'humain peut être un outil, etc. On sait que d'un point de vue stratégique, c'est... hyper important, en tout cas pour les États, parce que la cyberdéfense est ce qu'elle est. Trouver des 0D avec des forts impacts ont quand même une certaine valeur. Je me mets à la place, par exemple, de la Chine, de la Corée du Nord, etc., avoir des 0D en stock qui ne sont pas connus. Donc on revient un peu à la discussion tout à l'heure qui était que s'il y a une vulnérabilité qui a été découverte, qui existe depuis 27 ans, est-ce qu'elle n'a pas déjà été découverte avant ? c'est les certes du monde entier dans leur log qui ont la réponse parce qu'on va voir avec la IOC s'il a été exploité ou pas. Donc, il faut regarder à cet endroit-là. Mais ce que je veux dire par là, c'est que si j'étais un État au hasard à la Corée du Nord, ça m'intéresserait quand même d'avoir un stock non négligeable de 0D non encore exploité si d'aventure, j'avais envie de les utiliser pour lancer une cyberattaque contre un autre État. Donc, ce que je veux dire par là, c'est que d'une certaine manière, l'IA telle qu'elle s'est utilisée dans le cas de Mythos représente un peu un risque quand même stratégique, enfin de mon côté, enfin de mon point de vue, c'est quand même avoir un levier, encore une fois, je prends des précautions par rapport à la capacité de l'IA à trouver des failles, etc. Mais c'est quand même un bon moyen de trouver des failles sur des systèmes open source avec un impact potentiel important et surtout de les garder de côté tranquillement. le jour où il y a vraiment besoin de les utiliser et de pouvoir les exploiter. Alors, je ne sais pas si c'est un scénario totalement alambiqué ou ce n'est pas possible, mais moi, je me dis que des pays comme la Chine ou la Carrière du Nord, il y a quand même tout intérêt finalement à essayer de maîtriser ce type de modèle et de les utiliser pour commencer à se faire un petit stock sympa de 0D.
Speaker #2
Tu n'en as même pas besoin de ça. Franchement, parfois, on se fait des nœuds au cerveau avec des trucs super... complexes et je te rappelle que tous les modèles de menaces sont erronés, certains sont utiles. Non, non, mais plus sérieusement, t'as même pas besoin d'aller aussi loin. D'une part parce que quand tu vas avoir une moissonneuse de l'intégralité de ta stack technique, en temps réel chez toi, je n'ai même pas besoin, si tu veux, d'avoir des 0D, de me prendre la tête avec des trucs chiadés. Le code de cloud affûté, tu ne peux pas faire plus classique que ça comme problème de supply chain. Ça, c'est d'une part. Et puis, encore une fois, tu as un fournisseur chez toi qui moissonne l'intégralité de ton millefeuille technique et tu ne maîtrises pas ce qu'il en fait. Bon, moi déjà, avant même de passer au zéro, sur le fond, il y a déjà un problème. Oui, c'est déjà en termes de maîtrise stratégique des actifs, tu vois, cœur de la boîte, je ne suis pas très à l'aise. Et après, tu as un autre sujet, c'est qu'en fait, il y a des façons beaucoup plus simples, et la Chine le fait depuis un moment, depuis 2017, depuis 2021, qui est en fait de dire à tous ces équipementiers, notamment réseaux et autres, On a une loi qui s'appelle la loi pour la lutte contre le terrorisme et pour l'augmentation de la cybersécurité. Je ne sais pas, c'est un truc à rallonge comme ça. Qui dit, oui, alors, tous ces gens-là, quand vous trouvez des vulnérabilités chez vous, en fait, il faut d'abord nous les dire à nous, au ministère de la Communication et de l'Information. Et après, en fait, vous direz au client, bon, tu as des façons beaucoup plus simples. limite, j'ai envie de dire élégante, parce que le truc de faire tourner Mythos mille fois pour trouver une faille, ça n'a rien d'élégant, c'est de la force brute. Tu fais une loi, tu es en position de monopole ou quasi-monopole sur des équipements qui sont dans toutes les infrastructures critiques du monde entier, et tu fais une loi qui oblige les gens qui sont chez toi et qui sont ces fournisseurs-là de te fournir les infos. Moi, je dis, franchement, en termes de ROI,
Speaker #1
C'est plus facile.
Speaker #2
Ah bah, clairement. Et après, tu peux avoir le temps de faire tes petits modèles de LLM, aller jouer, tu vois, dans ton bac à sable avec des LLM et faire jouer. Vas-y, si tu veux. Mais tu vois, en fait, il y a des façons, il y a des paliers, il y a des scénarios qui sont, en fait, banals. C'est chiant, quoi.
Speaker #1
Plus direct et plus facile.
Speaker #2
Oui, c'est ça. Et qui sont, en fait, beaucoup plus accessibles. Et quand tu regardes aussi ce que font plein d'autres attaquants, tu vois ce que font même des gamins de 15 ans, tu vois quand ils te font de l'ingénierie sociale au niveau du service client et pour justement s'introduire dans une société, je nommais Jaguar Land Rover, tu vois, c'est pas une TPE ou quoi. Et Jaguar a été sur les rotules pendant je ne sais pas combien de semaines. Il y a eu même carrément un plan de sauvetage à 2 milliards du côté du gouvernement britannique. Enfin, je veux dire, tu n'as même pas besoin d'aller te casser la tête à tourner des machins qui coûtent la peau des fesses, qui font à chaque fois qu'ils résument un mail, ça fait fondre deux icebergs. Tu n'as pas besoin de ça, en fait. Il y a plein de façons de faire. Et on n'a toujours pas résolu. Avec tout ça, je reviens, je suis la relou de la soirée ou de la journée. Mais tu vois, je reviens sur le sujet et Maxime a raison. On n'a toujours pas résolu le nombre de bras qui va en fait aller corriger. S'assurer que ça tourne quand c'est avant la correction, qu'il n'y ait pas de problème, qu'une fois que la correction est faite, il n'y a toujours pas de problème, que c'est toujours opérationnel, que j'ai fait mes tests de non-régression correctement et que je n'ai pas à repriver une ville moyenne de 20 000 habitants d'électricité parce que mon patch s'est mal passé, parce que ce n'était pas la bonne ville, parce que le LLM a encore halluciné des trucs. On n'a toujours pas résolu ce problème-là. Tant qu'on n'a pas résolu le problème du fait que la sécurité, c'est un processus et non pas un produit, On peut inventer tous les machins avec des paillettes qui clignotent et tout. En fait, on aura toujours le même problème. Et on aura par contre encore moins d'argent et moins de bras parce que tout le monde ira chercher les trucs à paillettes. Voilà, j'ai plombé l'atmosphère, tu vois. Il ne faut pas les faire inviter.
Speaker #3
Bon, je récapitule dans le calme. On la débusque, on la passe à l'acide, on la découpe au laser, on la dissout. et on balance ce qui reste dans le lac d'Aumenil.
Speaker #1
Il ne fallait pas l'inviter, effectivement. Pour réagir, sur deux points...
Speaker #0
Je pense qu'il y a le sujet de la souveraineté, je pense qu'il a été traité, est-ce qu'on a l'intérêt à avoir ce genre de choses dans nos entreprises ? Je pense que la réponse est plutôt non sur les aspects sécurité. Maintenant, il y a le deuxième sujet, c'est est-ce que ça fait augmenter le niveau de risque de scénarios de molasses type exploitation de vulnérabilité parce que potentiellement des groupes étatiques vont utiliser ces outils-là pour trouver plus de zéro déco aujourd'hui ? Ça, très honnêtement, je n'en sais rien parce qu'aujourd'hui, je n'ai pas la garantie que c'est plus efficace que le ROI et meilleur pour les groupes cybercriminels d'utiliser ces outils-là plutôt que d'utiliser des chercheurs en sécurité qui sont déjà suffisamment bons pour trouver des vulnérabilités et des exploits. Peut-être que dans quelques mois, les groupes cybercriminels seront encore meilleurs pour exploiter des 0D et en trouver parce qu'ils utiliseront ces outils. C'est une possibilité. Maintenant, la problématique de gérer les vulnérabilités, elle est toujours là. Après, je pense que Réla, tu travailles beaucoup pour des services essentiels et tu donnais l'exemple de la ville. Moi, ce ne sont pas trop des exemples que j'ai en tête, donc je vois les choses d'une manière un peu différente, mais sur des entreprises qui ne sont pas sur des services essentiels. Donc peut-être un intérêt à préparer en avance des matrices sur si on a une vulnérabilité critique. pour laquelle il y a une campagne d'exploitation en cours sur nos différents systèmes. Pour chaque système, ils doivent savoir si le risque opérationnel à patcher sans tester est plus grand que le risque d'exploitation d'une vulnérabilité pour pouvoir décider rapidement. Je pense que c'est important d'y réfléchir avant plutôt que de devoir réfléchir le jour où ils sont en situation de crise. Ils se disent, on n'a pas les bras pour tester, qu'est-ce qu'on fait ? C'est ça.
Speaker #1
Mais juste pour intervenir là-dessus, parce qu'effectivement, entre la banque et typiquement eau potable ou électricité, ce n'est pas du tout les mêmes enjeux, ou même santé, tu vois. Santé, bon, nous, on ne va pas toucher la nuit, tu vois. L'hôpital, tu l'arrêtes la nuit, tu vas devant d'autres difficultés. mais juste pour, et après je te redonne la parole, tu as aussi des situations piégeuses quand on parle de... justement d'infrastructures critiques genre eau potable ou électricité, c'est que sur certains équipements, en fait, tu perds la garantie au niveau de l'assurance si tu les modifies. Ça existe toujours. C'est parce qu'en fait, les équipements, c'est toi, tu changes ton iPhone tous les deux ans grand max. Tu vois, dans les infrastructures critiques, Télécom aussi, tu as des trucs qui sont en fait qui doivent durer 15 ans, 20 ans. Donc en fait, ce qui était fait il y a 15 ans, ça vit aujourd'hui et ça fonctionne toujours aujourd'hui dans des conditions très différentes en termes de numérique, de digitalisation, etc., de tout son environnement. Par contre, les conditions légales, d'assurance ou autre, n'ont potentiellement jamais été revues. Parce que tu ne vas pas s'amuser tous les deux ans à revoir des contrats sur des trucs qui marchent. Et donc, tu te retrouves dans des situations assez contradictoires, ou en fait, même pour patcher. tu ne peux pas, parce qu'on te dit non, non, non, il ne faut pas toucher, tu ne peux pas modifier, sinon tu as un problème de garantie. Et donc, tu vois, tu as aussi d'autres situations où, moi, si on me dit qu'il y a une chance que quelqu'un de très méchant vienne taver la console de je ne sais pas quoi, je ne sais pas, est-ce que cette personne peut étendre à l'électricité à distance ? Oui, non, peut-être. C'est ça la question. Tu peux avoir toutes les matrices de la vie que tu veux et les préparer. La question, c'est d'accord. C'est quoi concrètement l'impact réel ? Si c'est oui, mais alors machin, il faut qu'il passe par le pare-feu. Puis en fait, non, mais il faut quand même qu'il ait un accès VPN. Non, mais c'est bon. Allez. Et en fait, en fonction des secteurs et de ce que tu fais, du métier, comme on dit, chez nous. banque ou autre, ce n'est pas les mêmes. Et tu vas avoir les mêmes situations et les mêmes questionnements. Si tu fais une banque de détails, tu vois que les gens ne peuvent pas retirer de l'argent. Si tu fais quelque chose de… Là, je ne suis pas du tout spécialiste, donc je vous laisse trouver les situations qui sont moins critiques en termes de disponibilité immédiate. Mais tu vas avoir en fait les mêmes tensions. Et effectivement, vu que la gestion de crise de régime cyber, c'est toujours un sujet froid tant que ce n'est pas un sujet chaud, pardon, je te redonne la main.
Speaker #0
C'est sûr que l'impact joue un rôle très important dans cette matrice de décision. Si on n'a pas une vue sur l'impact, on ne pourra pas se décider. De toute façon, il n'y a pas 50 000 choix. Soit on arrive à limiter la probabilité parce qu'on est capable de rajouter d'autres mesures préventives en amont. Soit on est capable d'appliquer le patch, soit on arrête le service, ou soit on prend le risque de patcher et de faire tomber le service. Parce que globalement, on revient au même à arrêter le service. Sauf qu'après, on n'arrivera peut-être pas forcément à le remonter, ou ça prendra peut-être plus de temps. Et ça, il faut... Pour justifier ça, ça veut dire qu'il y a une campagne d'exploitation en cours, que c'est du RCE, que c'est un truc qui est facile à exploiter sans prérequis et qu'il y a urgence. Et là, ça vaut le coup de se poser la question. Mais je pense qu'aujourd'hui, cette question-là, elle va se poser de plus en plus. Parce qu'attendre 48 ou 72 heures, et encore 48 ou 72 heures, je suis gentil, quand on veut faire une batterie de test de non-régression, généralement ça prend plus de temps. Attendre ce temps-là, quand il y a une campagne d'exploitation en cours sur des systèmes exposés, avec des RCE, tout le monde ne pourra pas prendre le... J'allais dire prendre le... Ce n'est pas forcément un luxe quand on est sur des services essentiels, mais tout le monde ne pourra pas se permettre d'attendre ce temps-là s'il n'y a pas de conséquences dramatiques à faire tomber le service derrière. Alors que si on prend, par exemple, les banques privées, une RCE qui permet après d'avoir accès aux fichiers clients et à sortir toutes les données qui sont protégées par différents types de réglementations, je pense que ça vaut le coup. coup de patcher et tant pis si un service de webbanking ou un service comme ça tombe, au moins ça sera à condition que le patch ne fasse pas des régressions sur la partie sécurité mais au moins la vulnérabilité sera traité c'est du cas par cas mais je pense qu'il faut être prêt à être suffisamment agile pour prendre des décisions rapidement, pour avoir des escalations qui vont assez vite pour réagir
Speaker #2
Je pense que ça, c'est un point hyper important. Mais c'est un peu la limite du truc. Ce que je veux dire par là, c'est que quand on avait l'approche un peu basique, qui était de dire qu'on avait tel type de vulnérabilité qui était exposée ou pas sur Internet, la complexité de l'analyse était relativement simple. Parce qu'il y avait quatre paramètres à prendre en compte et basta. Maintenant, dans ce modèle que vous décrivez, qui est beaucoup plus dynamique, beaucoup plus agile, on prend beaucoup plus de paramètres. Et je pense que ça devient de plus en plus compliqué d'expliquer pourquoi, entre guillemets, c'est important de le faire et pourquoi ça ne l'est pas parfois. Et ça, c'est un peu ma crainte. C'est qu'avant, on disait que c'était important. Maintenant, on dit que c'est important, mais en réalité, ce n'est pas la même importance. Et comment expliquer aux gens pourquoi c'est plus important maintenant qu'avant le fait que ce soit dynamique ? parce que peut-être hier, ça ne l'était pas et aujourd'hui, ça l'est. Et ce côté, entre guillemets, beaucoup plus versatile. Déjà, ils avaient du mal à comprendre quand il y avait trois paramètres. Alors, si maintenant, il y a le côté exploitation, patati patata, ça peut commencer à devenir assez compliqué à communiquer auprès des autres. Et surtout, quand on parle d'impact potentiel au niveau de la production, parce que c'est ça dont on parle. Donc, encore une fois, je souscris tout à fait à ce côté un peu, sortir du côté mode de gérer les vulnérabilités de manière discrète, mais déjà de manière plutôt continue, avoir quelque chose qui soit beaucoup plus agile, qui prenne en compte beaucoup plus la réalité du terrain et l'exploitation. Super, mais après, comment on fait pour communiquer ? Et juste expliquer clairement, entre guillemets, pourquoi hier ce truc-là n'était pas grave du tout, et que pendant la nuit, finalement, parce qu'il y a un exploit qui a été détecté par un cert quelque part, qui a communiqué sur le fait que c'était activement exploitable et que du coup, le lendemain matin, ça devient la priorité numéro une. Ça peut commencer à devenir compliqué. C'est ça un peu ma crainte sur le modèle.
Speaker #0
C'est d'autant plus compliqué quand on a fait n'importe quoi pendant des années en mettant une pression aux équipes opérationnelles, à patcher énormément de choses qui souvent, ça ne servait globalement à rien. Ils ne sont pas bêtes, ils se sont rendus compte qu'on les faisait bosser des week-ends. et parfois en urgence pour patcher des trucs où c'était des vulnérabilités théoriques qui n'étaient pas exploitées. Et pour moi, c'est important de mettre carte sur table et de faire en sorte que les équipes réfléchissent à une stratégie ensemble. Il faut que la deuxième ligne, les gens qui vont définir les politiques de sécurité et les politiques de gestion de vulnérabilité, s'assoient avec les équipes opérationnelles pour comprendre leurs capacités aussi et pour leur expliquer les enjeux qui sont derrière. Effectivement, je disais, aujourd'hui, on va utiliser la threat intelligence et on va essayer de... de prendre des décisions sur la base de ce qui se passe ailleurs dans le monde et dans des sociétés qui sont similaires aux nôtres et qui vont partager des infos sur ce qui se passe en termes d'exploitation de vulnérabilité. Alors expliquer un peu qu'on passe d'un modèle effectivement statique où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, Le score CVSS, il est tendre, on dit que c'est très important, il ne faut pas être chez vite. Un modèle qui est entre guillemets plus « risk-based » , parce qu'on va regarder quel est le risque réel d'exploitation. Est-ce qu'il y a un code d'exploit qui est dispo ? Est-ce qu'il y a un POC ? Est-ce qu'il y a des exploitations en cours ? Et quel est l'impact potentiel ? Est-ce que ce sont des machines qui sont fortement isolées ? Et donc, si la vulnérabilité est exploitée, il y a peu de risques que ça sorte. Versus, c'est une machine qui est exposée, qui est sur un segment réseau avec beaucoup d'autres machines à côté. Et potentiellement, l'impact peut être désastreux s'il y a exploitation. Et donc, il faut être plus réactif. Et je pense que c'est important qu'il y ait une décision collective là-dessus. Ce n'est pas qu'un sujet de patching, mais il y a une vraie gouvernance derrière. Parce que derrière, aujourd'hui, il y a beaucoup de... Dans les comex, on va remonter les dashboards sécurité. Dans les dashboards sécurité, il y a des KPI qui regardent le patching ou la gestion des vulnérabilités. Il y a des KPI qui ont été construits il y a quelques années. il faut les changer parce qu'ils ne sont plus adaptés au monde où le nombre de vulnérabilités est en constante augmentation et on va on devrait changer les règles du jeu sur comment on traite et on patch les vulnérabilités pour moi dans beaucoup d'organisations, il y en a qui ont déjà évolué c'est pas le cas partout mais dans beaucoup il faut remettre le sujet sur la table avoir une vraie discussion sur comment collectivement on adresse le sujet quelles sont les capacités qu'on a et réexpliquer un peu le modèle et dire que le modèle doit changer, on ne peut plus rester sur un modèle traditionnel de J'envoie mon CSV avec ma liste de vulnérabilités, avec un low, medium, high, et puis suivez les SLE pour le patching. Ça ne faisait déjà pas beaucoup de sens à l'époque, ça ne fait juste plus de sens du tout maintenant.
Speaker #2
À l'époque, on n'avait pas grand-chose d'autre aussi. Il faut quand même se rappeler de comment on gère les vulnérabilités. Et surtout,
Speaker #0
il y en avait moins.
Speaker #2
Il y en avait moins déjà.
Speaker #0
Il y a 15 ans de ça, le nombre de CVE n'était pas...
Speaker #2
C'est vrai, il y en avait beaucoup moins quand même à traiter. Et à l'époque, il n'y avait pas forcément non plus 15 000 possibilités. Je pense que le modèle que tu décris, donc un peu le modèle style, de mon point de vue, de ma propre expérience, il avait quand même un petit peu de sens à l'époque. Effectivement, il y en avait moins.
Speaker #0
Il en a eu de moins en moins. Je pense qu'on a passé le... Ça a basculé il y a déjà quelques années. C'est ça. Il y a 15 ans de ça, ça avait du sens.
Speaker #2
Et puis surtout, je veux dire, quand on parle des KVE, etc., ça n'existait pas, ces indicateurs, à l'époque. On n'avait simplement pas l'info. Et aussi, l'échange des informations, parce que ça, si on fait un petit peu de prospective dans le futur, tant que les entités ne communiquent pas clairement sur ce qui se passe au niveau des certes et sont beaucoup plus transparentes sur ce qui se passe en termes de thread and thinning, etc., c'est aussi une partie de l'information que tu n'as pas et qu'on ne peut pas adapter. Donc, c'est un peu un cercle vertueux qui doit se mettre en route, qui, tout doucement, est en train de se mettre en route. tant que ce ne sera pas une obligation réglementaire forte de communiquer sur qu'est-ce qu'on capte en termes de vulnérabilité, d'exploitation, etc., on ne restera qu'avec une partie du problème résolu.
Speaker #1
C'est la deronie, je ne sais pas comment c'était avant, mais c'était certainement plus simple. Je ne sais pas si c'était mieux, mais blague à part, en fait, on a... Je suis toujours convaincue qu'on obtient plus en étant poli et armé que juste poli. Et en fait, il y a un sujet en interne qui est clairement de rôle et responsabilité. Et là, je le vois avec tout le travail que je fais avec la gestion de vulnérabilité sous le Cyber Resilience Act. Quand je demande à mes clients de... de se mettre autour de la table avec pas que les techos, pas que l'IT qui gère la plateforme d'IoT. Non, je veux les gens qui font la qualité, les gens qui font l'incertif, les gens qui font la cyber, si il y en a, idéalement sécurité de produit, les gens qui font le commerce, les gens qui font le juridique, les gens qui font le service après-vente, le service client. Et même les gens qui font le marketing, parce qu'ils gèrent les réseaux sociaux. Et donc, quand il y a quelqu'un qui râle que quelque chose se passe mal, les gens, ils font quoi ? Ils vont chercher ta VDP sur ton site que tu n'as pas ? Ouais, bon, ils vont râler sur tel réseau social, ils vont t'envoyer un DM sur Insta ou sur LinkedIn. Enfin, tu vois, en fait, tu as déjà chez toi à nettoyer devant chez toi. Donc, chez toi, les gens, il faut qu'ils se parlent. Donc oui, ce sont des sujets compliqués, on ne va pas les expliquer une fois, faire un cours magistral à tout le monde et s'atteindre après à ce que tous les détails importants qui pour nous nous paraissent évidents soient gravés avec des lettres de feu dans les esprits des gens, ça ne marche pas comme ça. Par contre, si tu ne les embarques jamais, en fait ils ne se rendent compte de rien. Du coup, le premier truc c'est chez toi, rôle et responsabilité, qui s'occupe de qui et de quoi, qui parle à qui. Et en fait, si on a dit qu'on faisait ça et les gens ne le font pas, tu leur fais une clé de bras. Non, mais en fait, c'est ça, les rôles et responsabilités. Je veux dire, moi, tu me dis, viens faire un pain de test chez moi et tu me payes et je ne viens pas. Tu fais quoi ? Tu me laisses partir avec la thune ? Absolument pas. En tout cas, si tu le fais, je viens. Il n'y a pas de souci. Et après, tu as l'autre clé de bras, qui pour le coup est celle qui est justement collective. qui est du réglementaire, qui est de dire « Attendez, ici, on est tous dans une vie en société, et donc ce n'est pas possible que des produits et des services numériques qui sont vendus et qui servent pour produire de la valeur, pour assurer des services vitaux pour les gens, en fait, ne soient pas à un niveau de sécurité suffisant, et que ces sujets-là, dans le contexte géopolitique notamment qu'on a, ne soit pas partagée de manière respectueuse et dans les règles de l'art avec des gens qui ont potentiellement des sujets, enfin des problèmes similaires. Et tous ces sujets-là, ce sont des sujets européens parce qu'on ne peut pas les gérer au niveau d'une seule entreprise, d'une seule commune ou d'un seul pays même. Et donc c'est pour ça que, il faut continuer à être fier d'être européen et européenne. continuer à demander à ce qu'il y ait un vrai suivi de la mise en œuvre de ces règles, que ce soit le cyber résilient sac, que ce soit Dora, que ce soit NIS2 ou autre, parce que c'est comme ça qu'on a des règles qui sont lisibles pour tout le monde. Parce que c'est ça aussi le truc, c'est que si tu es laissé à l'état de nature, à naviguer à vue, à te dire sur un malentendu ça peut marcher, en fait c'est tu t'avances pas, tu fais du sur place et tu fais que du défensif mais tu construis rien au final donc si on veut continuer à fournir des services qui sont toujours de qualité où les gens sont en fait en confiance et qu'on continue à construire des services et des produits de qualité qui proposent de nouvelles fonctionnalités, qui font les choses mieux, plus facilement, peu importe ben en fait t'as pas 30 000 solutions faut sortir les doigts, faut faire des clés de bras quand il faut comme c'est mérité. Et après, parce que les règles, c'est très sympa, et on le sait tous et toutes, on peut avoir des politiques chez nous qui sont très, très bien écrites. On a payé des consultants, j'en fais partie, qui ont écrit des politiques qui sont brodées à la main. Et en fait, personne n'est au courant, personne ne les respecte. Ça te fait une belle jambe d'avoir des politiques. Et donc, quand il t'arrive un problème et que le régulateur vient te voir, tu fais « Ah, mais j'ai une super politique ! » D'accord ? Et donc, dedans, c'est marqué exactement ce que vous ne faites pas. Et du coup, votre politique, comment ça se passe ? Et ça, c'est un problème de gouvernance, ce n'est pas un problème technique.
Speaker #2
C'est souvent le problème, la différence entre la gouvernance, enfin, la compliance et la sécurité. C'est souvent la limite entre les deux. On arrive tout doucement... À la fin de cet épisode, est-ce que vous voulez rajouter le mot de la fin sur ce sujet hautement stratégique et intéressant en matière de cybersécurité ? Arina, est-ce que tu veux nous donner le mot de la fin ?
Speaker #1
Si tu veux, je réfléchis. Comment le dire simplement ? Il n'y a pas d'apocalypse LLM. Enfin, pas celle-là en tout cas. On va avoir une catastrophe écologique sur les bras, mais pour l'instant, côté cyber, ce n'est pas tout à fait notre préoccupation principale. Mais en cyber, on n'a pas d'apocalypse du LIA, c'est très clair. En revanche, on a un peu une perte de repère et il est urgent de respirer un grand coup, de boire un verre d'eau et de se souvenir que notre travail, c'est de tenir la baraque quand ça tingue. Et donc de revenir aux basiques, d'être sûr que les mesures de sécurité élémentaires qu'on a mises en place, elles sont là, elles tiennent. Elles sont adoptées par les utilisateurs et utilisatrices, et après de continuer à penser en termes de résilience et non pas en termes de compréhension.
Speaker #2
Parfait. Maxime ?
Speaker #0
Je ne sais pas si je vais réussir à être aussi synthétique, mais moi ce que je veux dire, c'est que je n'ai pas attendu l'IA pour dire qu'il y avait un problème avec la gestion des vulnérabilités, que c'était un sujet compliqué. Je pense que ça fait quelques années qu'il est devenu de plus en plus compliqué pour les organisations. Et ça fait quelques années aussi où on a beaucoup plus d'éléments pour mieux le faire, notamment sur tout ce qui est outils de threat intelligence pour collecter des infos sur les vulnérabilités. Moi, je mets souvent en avant les produits luxembourgeois qui sont développés par le Circle, qui font des super outils. Par exemple, Vulnerability Lookup est un outil qui est très bien pour identifier des vulnérabilités, voir les sightings sur les vulnérabilités qui peuvent affecter notre organisation. Et c'est dommage qu'il soit sous-exploité par beaucoup d'organisations à Luxembourg. C'est des produits locaux, un peu aussi un petit pain d'œil à la souveraineté. On a des meilleurs outils, on a une meilleure info pour gérer les vulnérabilités aujourd'hui. C'est pour ça que pour moi, aujourd'hui, c'est important que tout le monde se parle entre première et deuxième ligne sur le sujet-là pour moderniser, améliorer les choses, prendre conscience qu'il y a un vrai problème de bottleneck sur la partie patching dans les équipes IT. Et donc, il faut faire les choses différemment et mieux prioriser par rapport aux risques. Je pense que c'est un point important. L'apocalypse de l'IA, moi je ne la vois pas du côté entre guillemets mythos et LM pour changer les vulnérabilités, je la vois plutôt du côté de tous les apprentis développeurs qui développent des nouveaux outils en utilisant de l'IA et capables de générer du code totalement non sécurisé. Et ça, j'ai eu beaucoup d'exemples et j'ai vu beaucoup d'exemples avec des clins d'œil à des amis qui m'ont montré du code avec des booléens isauthenticated où j'ai vu des authentifications en javascript côté client et toutes les choses développées par de l'IA avec des promptes qui demandaient de... de générer des applications sécurisées. Donc, moi, je pense que l'apocalypse, elle est plus de ce côté-là, sur du shadow AI et du développement, de plus en plus de pression sur les développeurs, finalement. On dit qu'ils vont avoir un outil pour trouver des vulnérabilités, mais en même temps, on met de plus en plus de pression sur les développeurs en leur disant, écoutez, maintenant, vous avez des outils pour générer du code, vous devriez aller plus vite pour pouvoir mettre en prod vos applications. Et donc, je pense qu'on va avoir des applications de moins en moins sécurisées, en fait. Et donc, je ne suis pas certain que ça améliore beaucoup la sécurité. Bruce Schneier, la semaine dernière, avait l'air de dire qu'à court terme, ça allait être une catastrophe parce qu'effectivement, on en a parlé, on va avoir de plus en plus de CVE. Il pensait qu'à moyen terme, ça allait s'améliorer. Moi, je ne suis pas convaincu. Je veux dire, le Secure SDLC, Secure by Design, ça fait des années et des années qu'on en parle. Si on avait vraiment voulu le faire, on l'aurait fait. Tant que les incentives ne sont pas là, on aura toujours du code qui n'est pas sécurisé. Et je pense que ça ne va pas... Je ne vois pas comment les choses vont s'améliorer tout de suite. Donc, bon courage aux équipes de sécurité, pour le mot de la fin. Parce qu'il va y avoir de plus en plus de pression sur la gestion des vues.
Speaker #2
J'ai quand même l'impression qu'il y a un club des gens qui pensent que la cybersécurité est un échec qui est en train de se former. Je fais des références à des gens qui peut-être vont nous écouter, je ne sais pas. Mais tout de suite, ça commence à se former. Non, mais je traite de plaisanterie. Effectivement, ce que tu disais sur le code est assez... C'est vrai parce que j'en ai lu du code, j'ai déjà parlé. Je trouve que c'était très mal écrit en fin de compte. J'ai l'impression de voir le code que j'écrivais quand j'avais 10-12 ans et qui me semblait être super bon, alors qu'en réalité c'était vraiment pas bon.
Speaker #0
C'est parce que tu n'as pas fait tourner la machine plusieurs fois. Je suis sûr que tu l'aurais fait tourner 3 ou 4 fois, tu aurais eu un code plus sympa.
Speaker #2
C'est ça. Mais souvent pas bien structuré, ça manque souvent de style en fin de compte et ça n'utilise pas forcément toutes les capacités du langage aussi souvent. l'exemple typique c'est Python ils n'utilisent jamais de classe je ne sais pas pourquoi ils ne veulent pas utiliser la spécificité du langage qui sont là pourtant et donc ça structure relativement mal le code et effectivement ça crée pas mal d'autres soucis vaste sujet peut-être pour un prochain épisode de ce podcast est-ce que le SDLC a de l'avenir ou pas pourquoi on n'arrive pas à le mettre en oeuvre ça c'est des vraies questions Encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Ma grand-mère vous fait des gros bisous, j'espère vous revoir très prochainement. Et j'espère en tout cas que cet épisode vous aura éclairé un petit peu et démythifié Mythos justement, sans faire de jeu de mots. Et comme je le dis très souvent, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.

Description

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui ne comprennent rien. Depuis quelques jours, depuis quelques semaines maintenant... Maintenant, il y a un sujet qui anime fortement la communauté cyber. C'est un sujet ô combien important puisque ça implique un mot-clé, enfin un buzzword qui est l'IA. Évidemment, quand on mélange l'IA et les cybers, c'est forcément quelque chose qui défraye la chronique. Je vais parler évidemment de mythos, dont vous avez probablement entendu parler dans les réseaux sociaux ou dans les journaux. Et pour... Pour discuter un petit peu de ce sujet, je vais accueillir deux personnes dans cet épisode. Ma grand-mère connaît déjà l'une des deux, puisque c'est Raina. Mais j'ai un nouveau participant ce soir que j'aimerais vous présenter, qui est Maxime Verrarch. Et donc Maxime, est-ce que tu veux bien te présenter ?
Speaker #1
Bonsoir. Maxime, je suis consultant en cybersécurité depuis quasiment une vingtaine d'années. Ça fait 19 ans que je fais de la cybersécurité. Et si je suis ici ce soir, c'est qu'on a pas mal échangé sur le sujet lié à la gestion des vulnérabilités. C'est un sujet qui me passionne depuis très longtemps. Depuis le jour où j'ai installé une appliance d'un scanner de sécurité, que je l'ai raqué moi-même dans un data center, je ne dirais pas la marque pour ne pas faire de la pub, mais depuis ce moment-là, j'ai toujours trouvé que la gestion des vulnérabilités et les outils étaient sous-exploités par beaucoup d'organisations qui font de la gestion des vulnérabilités. Donc je me suis toujours un peu passionné par le sujet. Je suis ravi d'en parler avec vous ce soir.
Speaker #0
Effectivement, un sujet ô combien passionnant et ô combien important pour les organisations. Et donc, la deuxième personne qui va intervenir dans ce podcast, que vous connaissez déjà, c'est une habituée. Raina, est-ce que tu veux bien te présenter ?
Speaker #2
Oui, oui, je peux. Déjà, merci pour l'invitation de nouveau. C'est que je n'ai pas dit que des bêtises la dernière fois. Je suis Raina, je suis la fondatrice et DG d'un cabinet de conseil de cybersécurité et diplomatie du numérique qui s'appelle RS-Stratégie. Spécifiquement pour le sujet vulnérabilité, je m'y intéresse depuis plus de dix ans. J'ai été un peu de tous les côtés de ce sujet, que ce soit de la recherche de vulnérabilité technique, du reporting aux fabricants. de côté receveur, donc RSSI ou DPO, quand il y a aussi des sujets de données à caractère personnel qui sont liés, mais aussi du côté du législateur qui fait des politiques publiques pour encadrer le traitement de vulnérabilité. Et donc aujourd'hui, parmi les trucs géniaux que je fais, c'est aider aussi des... Le cadre de la conformité au Cyber Resilience Act, c'est aider des fabricants notamment, mais aussi leurs clients, à comprendre ce que c'est que la gestion de vulnérabilité. Parce qu'il va commencer à y avoir des obligations légales là-dessus. On en avait, je pense, déjà parlé avec toi. Exactement, oui. Et après, il y a deux ou trois autres sujets rigolos que je suis de façon très spécifique, qui sont aussi les... Les enjeux de coordination en termes de vulnérabilité, typiquement ce qui se passe aujourd'hui avec les instances qui sont censées qualifier les rapports de vulnérabilité, leur donner des petits noms, des petits nombres, pour les rendre identifiables pour les gens comme nous qui sommes censés les gérer derrière.
Speaker #0
Qui avons la lourde tâche de les gérer, justement, c'est ça.
Speaker #2
Voilà, voilà. T'as ouvert les hostilités, toi.
Speaker #0
Parfait. Alors justement, pour commencer un petit peu sur le sujet, donc Mythos, qui est un modèle qui a été créé par la société Anthropique, qu'on connaît entre autres pour Claude, a annoncé le 7 avril 2026 un modèle qui avait la capacité de découvrir et exploiter de manière autonome des 0D, c'est-à-dire des feuilles de sécurité non encore republiées. Le modèle a été validé par, on va dire, des instances, mais là aussi on a... pas forcément une lisibilité parfaite sur les instances qui ont validé ça. Ils ont donné aussi comme exemple, c'est une sorte de POC, de Proof of Concept, une vulnérabilité trouvée dans OpenVSD qui vient de 27 ans. Alors déjà, la première question que j'ai envie de vous poser, pour vous, Mythos, c'est quoi exactement ? Est-ce qu'il y a quelque chose de radicalement différent ? Je connais déjà un petit peu la réponse, mais qu'est-ce qu'il y a de radicalement différent par rapport à un scan de virabilité traditionnel, tel que l'a expliqué Maxime ? Si Mythos existe, existe-t-il aussi d'autres modèles, peut-être sur d'autres providers, peut-être OpenAI, par exemple ? Voilà, donc déjà, est-ce que vous pouvez... expliquer un petit peu la différence qu'il y a entre Mitos et un scanner de vulnérabilité traditionnelle.
Speaker #1
Alors peut-être pour répondre à la question qu'est-ce que c'est Mitos, je pense que c'est une technique marketing assez géniale qui a été faite par Anthropique. Ça c'est la première chose. Après, le caractère aussi réel, à la base c'est quand même un moteur type LLM qui est... qui est aujourd'hui un modèle Frontier, qui permet de faire beaucoup de choses, et celui-ci a été spécialisé dans la recherche de vulnérabilité, sachant que les modèles qui sont prédécesseurs et les modèles concurrents peuvent aussi faire de la recherche de vulnérabilité. Ce n'est pas nouveau, celui-ci est un peu meilleur que les versions précédentes parce qu'une de ses spécificités, c'est qu'il est capable de chaîner différentes vulnérabilités entre elles et aussi de tester l'exploitabilité. Ça, c'est ce qui a été annoncé par Anthropique. Il y a eu un... poste de Cloudflare qui a fait un retour d'expérience dessus qui a l'air de dire que ça fonctionne plutôt bien. Maintenant, les deux tests qui ont été faits à côté disent que les modèles concurrents aujourd'hui ont des capacités égales à Mitos, ce qui me laisse penser que c'est quand même beaucoup de marketing, le côté génial du marketing c'était de dire c'est un truc super dangereux, on le rend disponible à personne parce que c'est super grave ce qu'on a fait. Bon ça, c'est clairement du marketing. Quand Bruchnayer est venu à Luxembourg la semaine dernière, lui, ce qu'il a clairement dit, c'était que s'ils ne l'ont pas rendu disponible, c'est parce qu'ils n'avaient juste pas le compute nécessaire pour que tout le monde puisse l'utiliser en même temps. Donc ça, c'était sa version à lui. Pour moi, ce n'est pas du tout comparable à un scanner de vulnérabilité parce que là, c'est un outil qui va analyser du code. Alors que quand on parle de scanner de vulnérabilité, c'est plutôt un outil qui va... en faisant des requêtes sur le réseau, essayer d'identifier les systèmes qui sont sur un réseau, et après, avec une base de connaissances, on va savoir si le système qui a été « fingerprinté » , donc qui a été identifié, est-ce qu'il y a des vulnérabilités qui existent ou pas sur ce système. Il y a tout un tas de défauts à cette Ausha, mais ça a quand même le mérite de faire un inventaire de son parc et d'essayer de trouver des vulnérabilités qui sont existantes dans les systèmes qu'on a, alors qu'un outil comme Mito, c'est plus à destination, soit côté Blue Team, Euh... qui est un outil qui devrait, entre guillemets, à terme être amené à remplacer des scanners de vulnérabilité dans du code source. Donc l'idée, c'est de prendre l'outil et de l'utiliser pour essayer de trouver des vulnérabilités dans des développements logiciels, donc dans tout un tas de codes. Mais ça, on peut très bien le faire avec des autres LLM. Après, on peut reprocher beaucoup de choses à cette Ausha, c'est que ça fait beaucoup de bruit. ça génère beaucoup de faux positifs donc il faut être capable d'analyser après tout ce qui va être produit et aujourd'hui quand Anthropique est venu en annonçant ces mythos ils ont dit clairement notre modèle est bien meilleur que les autres mais actuellement ils n'avaient pas grand chose pour le prouver il y a un des éléments qui est intéressant quand on veut comparer des outils qui font de la recherche de vulnérabilité c'est quel est le taux de faux positifs qui ressort de l'analyse, on n'a pas eu d'infos là-dessus. Moi, je suis assez content de Mythos parce que ça a permis de... Et c'est la dernière fois que j'évoque le nom pour la soirée parce que, comme je l'ai dit, c'était du marketing, je n'ai pas envie de faire de marketing. Je suis content parce que ça a amené le sujet dans les boardrooms. Moi, j'ai eu beaucoup de discussions avec des boards sur comment on gère les vulnérabilités dans les entreprises et pour moi, ça, c'est très positif. Maintenant, ce n'est pas un sujet qui est nouveau, la gestion des vulnérabilités, c'est un sujet qui est... de plus en plus compliquée pour beaucoup d'organisations parce que le nombre de vulnérabilités explose et il y en a beaucoup qui font encore ça de manière très old school, c'est-à-dire, j'aime bien souvent dire, il y a une équipe qui fait un scan de vulnérabilité, qui balance un CSV avec des milliers de vulnérabilités très mal priorisées aux équipes de sécurité opérationnelle ou aux équipes IT en leur disant débrouillez-vous et patchez-moi ces vulnérabilités avec des SLA qui ont été définis il y a des années et qui aujourd'hui sont pas du tout... sont très difficiles à... C'est très difficile de travailler avec des SLA qui aujourd'hui ne sont plus liés avec la réalité des vulnérabilités. Pour moi, ce sujet-là est bien parce que ça permet de mettre sur la table un sujet qui est très difficile aujourd'hui quand on fait de la sécurité opérationnelle et ça permet peut-être d'aider les organisations à le repenser. Mais ce n'est pas une surprise. Je pense que ça fait un moment qu'il y a des gens qui utilisent des LLM pour chercher des vulnérabilités. Et ça va a priori évoluer. Mais le fait de dire que c'est un saut technologique incroyable et que c'est hyper dangereux, on ne le rend pas disponible, pour moi, c'est plus des éléments marketing. Parce qu'il y a beaucoup de... de grosses boîtes derrière l'IA qui lèvent des fonds régulièrement et c'est important de sortir des articles comme quoi il y a des avancées incroyables et je pense que ça fait partie du modèle.
Speaker #0
Juste quelques infos assez importantes que tu viens de citer. La première, c'est que on scanne du code source. Si vous n'avez pas le code source, ça va être difficile de trouver des vulnérabilités. C'est quelque chose d'assez important. Tu as cité aussi le côté blue team, c'est-à-dire le côté plutôt défense. des entreprises. Donc effectivement, si vous avez accès au code source, encore une fois, c'est une condition super importante parce que quand on parle de vulnérabilité, des scans de vulnérabilité au sens un peu plus traditionnel, on va scanner de manière assez large sans avoir le code source. Alors que là, on parle du code source, il faut avoir le code source pour pouvoir faire tourner le modèle et trouver des faits de sécurité. Donc ça, c'est assez important. Certes, ce modèle est sorti, mais d'autres modèles existent. Et a priori, avec des niveaux de performance, on va dire, assez identiques. Un gros problème, entre guillemets, de faux positifs, c'est-à-dire que si ça crée autant de vrais positifs que de faux positifs, il faut énormément de temps pour traiter tout ça et d'analyser, ce qui n'est pas forcément ultra utile en matière de cybersécurité. Arina, tu voulais rajouter quelque chose ?
Speaker #2
Je voudrais m'enlarder dans tout ça. c'est parce qu'en fait il y a Maxime a été très riche dans la présentation et du coup, j'aimerais bien choper deux, trois petites choses et les compléter dans ce qu'il a dit. D'une part, on a une architecture, on va dire, technique aujourd'hui qui est quand même pas évidente du tout. Et pour beaucoup de gens, même pour des gens assez techniques, il y a en fonction de si tu es... quelqu'un qui fait de la cyber chez un client final, comme on dit, dans une banque, par hasard, Nicolas, ou si tu es quelqu'un qui fait de la sécurité dans une société qui édite elle-même du logiciel ou qui fait des objets connectés, en fait, tu ne fais pas la même cybersécurité. C'est ton positionnement, ta posture, tes exigences vis-à-vis de la... pile technique, tout le millefeuille technique, elle n'est pas du tout la même et tu ne regardes pas les mêmes choses. Donc déjà, quand on parle de scan de vulne, de vulnérabilité ou de recherche de vulnérabilité dans le code, déjà on ne s'adresse pas aux mêmes personnes, donc on ne s'adresse pas aux mêmes pratiques de sécurité dans les différentes organisations. Donc il y a ça. Après, il y a quelque chose que je pense qui échappe souvent à la discussion, qui moi me stresse à chaque fois. C'est qu'en scan de vulnérabilité, il a une base, il connaît X, Y, Z, il sait ce qu'il cherche. Oui, il voit passer un champignon rouge trois points, noir, il dit toi tu ne passes pas, toi je ne t'aime pas. Un LLM, c'est quelque chose qui est probabiliste, il voit passer un champignon, il ne fait pas trois points, je n'aime pas trop, si j'en mettais un quatrième pour voir. Et en fait, il y a... un déterminisme qui n'existe pas avec l'LLM. Donc en fait, tu peux lui demander cinq fois, il va peut-être à un moment donné te dire que deux plus deux, finalement, fait cinq. Donc tu as aussi un sujet de véracité, de fiabilité, des résultats que tu obtiens. Ce qui vient en fait complexifier de temps toute cette discussion sur les faux positifs. C'est-à-dire que ce n'est pas juste des choses qui peuvent paraître qui peuvent paraître vraies de loin, mais où un scan te dit je pense que là, il y a un truc, mais je n'ai pas accès, par exemple. Que sais-je ? Un LLM peut très bien, en fait, t'inventer des trucs.
Speaker #0
D'accord.
Speaker #2
Donc, tu as aussi cet aspect-là. Et après, encore une fois, je reprends cette histoire de compute dont parlait Maxime. On a aussi un sujet qui est... sur les ressources nécessaires pour faire tourner ces outils, typiquement dans le cadre de Mythos. Ils le disent dans leur propre document, qui en fait est différent du document marketing, parce qu'ils ont sorti différentes publications. Ce qui a beaucoup circulé, c'est la publication très marketing, très gros logo, de grosses boîtes, on est très très beau, on est très très fort.
Speaker #3
Bonjour, il y a quelqu'un ? Bien sûr ma gueule ! Tu veux te remettre en forme ? Et avoir un body minute ?
Speaker #4
Summer ma gueule !
Speaker #3
Ah oui, summer !
Speaker #4
Bienvenue chez Body Bogoss ! Tu veux un abonnement ? Ok ma gueule, chez Body Bogoss, il te faut un abonnement et un cri. Un cri ?
Speaker #3
C'est ce qui est défini dans la salle. Oh, ça c'est Jason aux haltères, il est passé à 30 kilos.
Speaker #4
Oh Rico, un dofessier, bien joué.
Speaker #1
Ça c'est qui ?
Speaker #4
Ça c'est toujours Jason, 30 kilos c'était peut-être un petit peu trop.
Speaker #2
Par contre, ce qui a moins circulé, c'était le document que nous on a lu, moi en tout cas, qui est le document un peu plus technique. Et en fait là, ce qui est intéressant, c'est que pour trouver la vulnérabilité dont tu parlais tout à l'heure, celle qui est vieille de 27 ans, en fait, ils ont fait plus de 1000 opérations de recherche. Parce qu'en fait, vu que c'est non déterministe, ils font tourner le truc jusqu'à ce que ça trouve quelque chose. Et en fait, c'est là où ils te donnent le prix, qui est de te dire, ces 1000 itérations qui ont fini par trouver quelque chose. En fait, elles nous ont coûté 20 000 dollars en tokens. Donc, les tokens, c'est juste la petite monnaie, en gros, que tu donnes au modèle pour le faire tourner à chaque fois quand tu demandes à un modèle de résumer ton mail, tu paies un token. D'accord ? Mais par contre, les tokens, ça ne dit rien de tout le coup derrière. Des humains qui vont, en fait, regarder les sorties à chaque fois, les résultats de chaque tour de... pistes, etc. Donc, ça ne te dit rien de tout ça. Donc, en fait, en gros, ce qu'ils te disent de façon très liminaire, c'était caché comme ça dans un petit paragraphe, c'est qu'en fait, ils ont brûlé 20 000 balles et à un moment donné, ils ont trouvé un truc. D'accord, mais bon, moi, 20 000 balles, je préfère payer un apprenti. Comme ça, au moins, la personne apprend pour de vrais des trucs, elle me documente des choses, elle parle... au déjeuner avec les autres, et boire des cafés avec tout le monde, enfin, ou du chocolat chaud, c'est comme tu veux. Mais en fait, il y a un humain qui apprend. Donc, l'investissement est très différent. Et bon, et après, il y a toutes les histoires de c'est très bien, on va trouver des choses, et donc, après, on fait quoi ? Et tout le truc de mythos, c'est de dire, en fait, de s'arrêter au on trouve, et d'ouvrir légèrement vers un écosystème sélectionné sur le volet, qui est donc tous ces gros logos, les Google, les Mandiant, etc. En fait, de dire, ben voilà, on comprend qu'on va changer la face du monde, parce qu'en fait, on va inonder les défenseurs avec un tas de choses à traiter. Et donc, pour vous y aider, voici les gens qui... peut vous aider. Bon, moyennant quand même un investissement sonnant et trébuchant significatif, parce que tout le monde ne peut pas se payer les produits de sécurité de ces entreprises-là. Je veux dire, une PME de 70 personnes qui fait un logiciel de compta, qui peut se payer 250 000 euros par an de services de sécurité juste pour l'aider à Pacha de Vuln, enfin, je n'en connais pas tant que ça, ou alors c'est une très très belle PME. Je présage de rien, mais ça ne court pas les rues. Donc il y a aussi ces choses-là qui viennent s'additionner et qui interrogent effectivement de manière très forte, viennent percuter des prises de décision qui sont pour le coup partiellement techniques, mais surtout d'attribution, d'allocation de ressources, de priorisation. de qui parle à qui, de comment on absorbe ces choses-là. Et donc, qui continue, en fait, si on monte, continue, c'est que moi, en tant qu'organisation qui consomme des produits logiciels et donc qui doit appliquer ces mises à jour, en fait, moi, il faut que je recrute deux personnes en plus juste pour patcher de la ville, quoi. D'accord, mais alors, s'il y en a plein... des vulnes, est-ce que je ne peux pas faire facturer des ETP à mon fournisseur parce qu'en fait c'est de sa faute et donc il va y avoir aussi ce genre de sujets qui vont se poser et après qui vont être mais ça va être toujours la même chose, est-ce que, enfin toutes les vulnes elles ne sont pas faites pareilles Une bulle de 27 ans ? En fait, rien ne te dit que quelqu'un ne l'a pas trouvée avant. La probabilité, elle, est que des gens l'ont probablement trouvée. Est-ce qu'il fallait la patcher ? Est-ce que c'était vraiment grave ? Étant donné l'environnement dans lequel est déployée cette techno qui contient la bulle, peut-être pas, on ne sait pas. Et donc, le truc, il n'existe pas dans une bulle tout seul, dans l'absolu.
Speaker #0
C'est ça. Pour juste rebondir un petit peu sur ce que tu viens de dire, et après je vais passer la parole à Maxime. Donc déjà, le côté indéterministe, tu as raison de préciser que le modèle est assez indéterministe, mais j'ai envie de dire, c'est un peu ce qui se passe toujours avec la recherche de vulnérabilité. Enfin, on fait un peu de pen-test. C'est quand même assez rare de tomber du premier coup sur les bons paramètres qui font que ça marche. Il y a toujours un petit peu ce côté un petit peu artisanal où on cherche, on patauge un petit peu jusqu'au moment où ça fonctionne. Donc voilà. Ensuite, la vraie différence, c'est que... Je vais citer Nicolas Ruff qui dit à chaque fois qu'il n'y a rien qu'une armée de stagiaires ne peut faire. Effectivement, il y a la puissance de l'IA qui fait que ce qui est capable de démultiplier à une puissance incroyable, quelque chose que l'humain mettrait finalement des heures voire des jours à réaliser, forcément avec l'IA et les automatismes, ça accélère tout ça. Donc il y a cet aspect-là. c'est un petit peu comment dire la simulation par Monte Carlo on fait un milliard de choses et puis à un moment donné en moyenne ça tombe un peu juste ouais mais à condition je t'arrête tout de suite à condition qu'on ait l'argent pour ça et la
Speaker #2
question c'est est-ce que c'est justifié de mettre de l'argent là-dedans, sachant que pour nous professionnels de la défense de la cybersécurité donc du côté défense, en fait ça nous enlève des sous à nous de notre fonctionnement cyber ? Pour moi, la question, elle est plus de ce côté-là. C'est bien sûr qu'il faut...
Speaker #0
Sur l'allocation des ressources, pourquoi tu dois investir et quel est le rendement, finalement, de la région que tu es en train de dépenser ?
Speaker #1
Moi, ça m'embête beaucoup, quand même, le côté non détermiste pour des fonctions de sécurité. C'est quand même un vrai problème. Et c'est bien illustré dans le rétexte de... de Cloudflare sur leur utilisation de Mythos où parfois, sur des mêmes requêtes, ils ont eu des résultats complètement différents. Des fois, la chaîne d'exploit fonctionne, des fois, elle ne fonctionne pas. Le problème, c'est qu'on risque de donner un faux sentiment de sécurité. Quand on fait un pen test, on dit que c'est un effort qui est time-boxé. C'est possible qu'on n'ait pas tout trouvé parce qu'on a investi tant de temps. Le truc, c'est que quand on fait un pen test, on va cibler les choses les plus critiques et on sait ce qu'on va chercher. Alors que là, si les prompts sont mal faits... ou si on vise trop large, on ne sait pas si les tokens auront été dépensés sur les bonnes fonctions du soft. Et peut-être qu'on va donner l'impression qu'il y a eu une recherche qui a été faite avec Mythos ou un autre outil sur le soft, ça n'a pas trouvé de vulnérabilité, ou on a trouvé des vulnérabilités, et on va croire qu'on a trouvé tous les trucs. Et finalement, comme c'est non déterministe, peut-être qu'une vulnérabilité importante n'a pas été identifiée. C'est un peu ça qui me gêne, parce qu'on dépense beaucoup d'argent et à la fin, on n'a pas de garantie. On n'offre pas plus de garantie que sur un pen test.
Speaker #2
Je suis d'accord avec toi. Je veux dire, 2 plus 2, dans tout l'univers, ça fait 4. Donc, si j'appuie sur un bouton et ça me recalcule à chaque fois la somme et ça me donne des résultats différents, en fait, du coup, je vis dans quel monde ? Et ça, tu as aussi... Je pense qu'il ne faut pas négliger ça. Si tu veux, pour te donner un exemple d'un autre domaine avec cette histoire de non-déterminisme, je regarde beaucoup les discussions. Tu sais, moi, j'aime bien les animaux. Et en fait, je regarde souvent les discussions sur des communautés spécialistes d'animaux, typiquement des animaux sauvages. Et typiquement, il y avait une discussion sur les images de... de lynx, en l'occurrence, améliorée, entre guillemets, par l'IA. Et en fait, tu avais là les chercheurs qui t'expliquaient, en fait, cette image, si tu n'es pas spécialiste du lynx, tu ne te rends pas compte que cette image te présente un animal qui n'existe pas. Pourquoi ? Parce que l'IA, quand elle l'a améliorée, elle a augmenté le contraste, elle a un peu changé les couleurs, en fait, elle a complètement changé la... taille, les emplacements des tâches sur les poils, etc. Et les chercheurs te disent, en fait, nous, on regarde des images. d'animaux, donc de notre objet de recherche, qui n'existent pas. Et donc, quand on se retrouve dans des papiers de recherche avec des choses qui sont décrites qui n'existent pas, en fait, pour nous, ça crée vraiment une réalité qui n'existe pas.
Speaker #0
Une réalité alternative.
Speaker #2
Oui, parallèle en tout cas. Tu vois, mais ce côté non déterministe, en fait, vu que tu... ce que tu essayes de trouver, c'est des choses que tu ignores. En fait, quand c'est déterministe, au moins tu as des bornes. Tu as des bords, tu sais ce que tu ne sais pas. Tu as des trucs et tu sais que tu vas remettre ton scan de vulne 30 fois et 30 fois, il va te sortir le même résultat.
Speaker #0
Peut-être que tu as des choses. Je vais faire l'avocat du Gaps deux minutes.
Speaker #2
Vas-y, mais deux minutes.
Speaker #0
Deux minutes, pas plus. En matière de vulnérabilité, on sait que de toute façon, il ne faut pas nâcher les méthodes. On a parlé de pentest, donc ça, c'est un peu une solution traditionnelle. On a parlé des vulscans, mais effectivement, le vulscan ne permettra de détecter que des choses qu'on connaît. Mais on peut aussi imaginer des programmes de bug bounty qui vont donner une autre dimension aussi à certains pentests, une autre façon finalement de procéder.
Speaker #1
Programme de bug bounty, je me permets de t'interrompre, qui aujourd'hui souffre... du nombre de reports qui sont générés par de l'IA pour chercher des vulnérabilités.
Speaker #0
Ce que tu dis est vrai, mais maintenant, les sociétés qui proposent du back bounty quantifient aussi ce genre de choses. D'une certaine manière, ça rentre dans les mœurs. Moi, je n'ai pas trop d'avis sur la question. Moi, ce qui m'importe, entre guillemets, c'est le résultat. Je sais aussi que, par définition, le problème des vulnérabilités, ce n'est pas quelque chose sur lequel il y aura... une solution qui permettra de trouver de toute façon toutes les vulnérabilités et on sait bien de toute façon en cybersécurité c'est un but inatteignable et il faut trouver d'autres moyens pour essayer d'arriver à ses fins et à un moment donné essayer d'avoir une espèce, vous savez sur les courbes de Gauss, quand on arrive un peu sur les bords, avoir un certain niveau de confiance de ce qu'on a, sachant qu'on n'est certainement pas arrivé au bout mais qu'on a un certain degré de certitude je dis bien un degré de certitude pas une certitude absolue, mais un degré de certitude, et qu'on est raisonnablement confiant sur les résultats. Est-ce que vous pensez ou pas, c'est une question assez ouverte, mais que finalement, ce type de modèle est un nouvel outil, que certes, il a des limites financières, de ressources, des problèmes de qualité, mais que ça peut être un nouveau levier, finalement, pour essayer de trouver des vulnérabilités qu'on n'aurait peut-être pas trouvées avec des méthodes plus traditionnelles. comme du scan de code ou comme des PNT spécifiques ? Veste question, vous avez besoin.
Speaker #1
Ce n'est pas une question simple. Je suis d'accord avec toi dans le fait que c'est important de conjuguer différentes méthodes pour améliorer sa sécurité et identifier les vulnérabilités. Le problème, c'est ce que Réna a soulevé tout à l'heure, c'est qu'on a de plus en plus de CVE, on a de plus en plus de vulnérabilités qui n'ont pas de CVE assignées non plus. Le nombre de vulnérabilités explose, mais si on ne sait pas les prioriser, si on ne sait pas ce qu'on en fait... ça me fait une belle jambe de trouver plus de vulnérabilité si on a un problème de goulot d'étranglement dans la priorisation et la gestion après de toutes ces vulnérabilités-là. Peut-être que c'est une bonne solution supplémentaire dans certains milieux, des milieux qui ont des moyens et des milieux critiques où trouver la moindre faille ou la moindre vulnérabilité va être super importante. Probablement, d'un point de vue généraliste, je pense qu'il y a d'abord un vrai travail à faire dans la... dans la priorisation et la gestion de vulnérabilité avant de commencer à ouvrir le robinet, à inonder plein de nouvelles vulnérabilités qui vont juste s'empiler et qui ne seront pas traitées parce que les fondamentaux pour gérer les vulnérabilités ne sont pas là. Je pense que toute innovation peut apporter quelque chose. Il ne faut pas tout jeter. Il y a le problème du côté déterminisme, il y a le problème du coût, qui n'est pas seulement un coût financier, mais il y a un coût environnemental derrière aussi. Et c'est quand même une réflexion globale. Après, ce n'est pas que le sujet des vulnérabilités, c'est le sujet de l'IA. C'est le sujet de l'informatique aussi. Si on extrapole derrière, je vois un peu le verre à moitié vide souvent, mais personnellement, je pense que l'IA ne va pas apporter un... n'aura pas un impact positif sur la société dans son ensemble. Je pense que ça apporte pas mal de choses, mais l'impact global, à mon avis, sera plutôt négatif. Sur le sujet des vulnérabilités...
Speaker #0
Je pense que c'est un outil qui peut être intéressant, mais je pense que ça ne va pas concerner tout le monde. Il y aura probablement des cas d'usage où ça sera plus intéressant que d'autres à l'utiliser, mais on ne voit pas ça comme un outil de masse. Il y a différents types d'organisations. Pour un client final, typiquement une banque, utiliser un ALM pour chercher des vulnérabilités, il y a peut-être d'autres choses à faire d'abord. Je pense que ce n'est pas la priorité du moment. Mais peut-être qu'effectivement, dans des secteurs où ils développent du logiciel critique, ça peut être un outil en plus qui peut être intéressant. Mais encore une fois, associer logiciel critique et le caractère non déterministe de la solution, je me pose quand même quelques questions.
Speaker #1
D'autant plus que, pour être très transparent, quand on parle de logiciel critique, etc., le problème, ce n'est pas tellement les vulnérabilités, mais c'est plutôt ce qu'on met en œuvre pour concevoir des logiciels critiques. Parce qu'en réalité, si déjà on n'utilise pas des langages qui sont éprouvés justement pour des aspects de sécurité, donc le Rust entre autres, mais il y a encore plein d'autres exemples. Et puis il y a aussi des méthodes qui sont mises en œuvre pour pouvoir garantir que le code soit robuste et ainsi de suite. Donc si vraiment la problématique c'est la criticité du code, je pense qu'il n'y a pas... pas mal d'étapes en amont déjà à atteindre avant de commencer à chercher des vulnérabilités. Marina ?
Speaker #2
En fait, j'ai même envie d'aller, si tu veux, d'aller taper un peu le cœur de ta question, c'est si je reformule, c'est aller au-delà de, est-ce qu'on a besoin de, enfin oui, on a besoin de plans de moyens différents pour identifier des vulnérabilités, d'accord, admettons. Comme Mozilla a dit que le nombre de vulnérabilités est limité parce que maintenant, avec les IA, on va trouver toutes les vulnérabilités dans le code Legacy. Donc, petit à petit, on commencera à les corriger. Oui, oui, oui, d'accord. Et c'est bien. Et donc, OK, on peut avoir cette fable-là. Et donc, aller au-delà de la question et dire, d'accord, mais dans ce cas, est-ce qu'à un moment donné, on se retrouvera tellement désœuvré ? tous et toutes qu'en fait, on devrait se préoccuper à trouver d'autres vulnérabilités de type qui aujourd'hui ne sont pas connues. Parce qu'aujourd'hui, quand même, soyons très pragmatiques là-dessus, moi, une vulne, si tu veux, si ce n'est pas une RCE, je ne lève pas un incident. Pour nos auditeurs et auditrices qui ne savent pas ce que c'est une RCE, en gros...
Speaker #1
Tu veux dire que certains auditeurs ne savent pas ce genre de choses ? C'est ma grand-mère.
Speaker #2
Ta mamie, je ne sais pas ce qu'elle fait dans la life, mais le mien, c'est parce que c'est une RCE. Pour faire super simple, simpliste et tout ce que tu veux, c'est la possibilité à ce que quelqu'un d'illégitime puisse exécuter du code sans que moi je l'autorise chez moi. C'est super fonctionné.
Speaker #1
statistiquement j'ai pas les stats en tête mais ça va être au moins 70%
Speaker #2
des vulnérabilités vraiment importantes c'est toujours des RCE la plupart du temps oui c'est ça mais en fait et donc t'as tout le sujet de ok déjà est-ce que c'est une RCE si ce n'est une je commence à regarder est-ce que cette vulnérabilité elle peut être exploitée toute seule et faire des dégâts oui non peut-être est-ce qu'il y a un POC enfin tu vois est-ce qu'il y a un prof... concepts, est-ce qu'il y a quelque chose qui me dit que oui, cette vulnérabilité-là, ce n'est pas juste une faiblesse théorique qui relève du cabinet de curiosité de l'histoire. Est-ce qu'en fait, elle peut vraiment faire des dégâts toute seule ? Oui, non, peut-être. Si c'est non, cabinet de curiosité. Si c'est peut-être, on regarde, si c'est oui, là, on lève un incident. Et donc la question, c'est d'accord. Si c'est peut-être, ce qui est quand même la majorité aujourd'hui, C'est quoi les conditions qui font que le peut-être va se transformer en oui, ferme ? Si le peut-être commence à être « alors oui, il faut que ce soit une nuit de pleine lune, le 29 février, et il faut que je sois enroulée dans une tranche de jambon, et chanter la Marseillaise à la pleine lune » , ça repart dans un cabinet de curiosité, de recherche. C'est très bien, il faut que ça existe, il faut qu'on sache, il faut que ce soit décrit. Il faut que les conditions de mobilisation soient décrites, mais je ne lève pas un incident.
Speaker #1
En fait, non, tout ce à quoi tu fais référence, c'est un petit peu ce que Maxime a expliqué en début de l'épisode, sur le côté un peu old style, c'est-à-dire, on a une liste de vulnérabilités, on l'a classée par CVE, enfin par CVSS, donc grosso modo, on prend les plus importantes et les plus exposées d'abord, et puis ensuite, on verra le reste, et ainsi de suite. Alors, ce que tu dis dans ton propos, c'est de dire, on va donner un peu plus de contexte aux vulnérabilités, et en fonction de ça, On risque de... Enfin, on va commencer à prioriser sur les vrais sujets. Alors,
Speaker #2
tout à fait d'accord avec ça ? Mais parce que ton sujet, c'est pas de les trouver. C'est, en fait, comment est-ce qu'on le gère. Et aujourd'hui, on ne peut pas tout gérer. Ça, c'est pas possible. Donc, tu vois, où est-ce qu'on met l'entonnoir ?
Speaker #0
Le problème, c'est que c'est clair pour nous, mais c'est pas clair pour tout le monde. Moi, je vois encore beaucoup d'organisations où il y a des... personne côté deuxième ligne de défense ou compliance qui sont encore dans une optique où toutes les vulnérabilités doivent être gérées en utilisant des critères de sévérité qui ne sont pas les bons. Et s'ils n'évoluent pas là-dessus, ils vont aller dans le mur parce qu'ils sont déjà dans le mur. On va déjà dans le mur. Mais le mur va être de plus en plus grand et de plus en plus épais et on va y aller de plus en plus vite. L'exemple que tu présentais est très bon. Il faut être capable de voir l'exploitabilité de la vulnérabilité en fonction du contexte. toutes les vulnérabilités théoriques, il faut arrêter de dépenser du temps et des ressources là-dessus. De rester effectivement dans un placard,
Speaker #2
ce n'est pas insolite. On se souvient tous et toutes quand même, au moins nous trois, de Heartbleed. Vous avez déjà vu du Heartbleed exploité ?
Speaker #0
C'est comme les pentesters qui mettent une vulnérabilité critique quand on est en TLS 1.1 au lieu de 1.2.
Speaker #2
C'est bon, on se calme, on respire par le nez, on boit un verre d'eau, tout va bien. Mais oui, donc il y a ça. Et après, ce qu'on voit aujourd'hui, je ne dis pas que ça ne va pas changer. Je n'en sais rien. Je ne sais pas de quoi l'avenir sera fait. Et puis, j'attends toujours ma boule de cristal chez Amazon qui ne livre pas. Pas fiable, les gars. Bref. Mais en fait, non, non. Aujourd'hui, en fait, et c'est ça qui était, quand tu lis le papier d'entropique un peu plus technique, pas le marketing, en fait, tu te rends compte que le LLM lui-même, en fait, il ne fait rien tout seul. Les trucs en vente de machins qui s'auto-reproduisent, qui fait le café tout seul et qui arrête les cyberattaques avec ses petits bras musclés, c'est du flan. C'est du pipeau pur et dur. Et donc, quand tu regardes la participation humaine pour instrumenter ces LLM et récupérer les résultats et en faire quelque chose, c'est que de l'humain. Et donc en fait, aujourd'hui l'état des lieux, en tout cas celui qui se détache de manière extrêmement claire de tous les tests qui ont été faits, y compris par des gens plus ou moins indépendants, y compris sur d'autres LLM comparables, etc., c'est que sans que tu aies des gens qui comprennent toute la chaîne de l'identification de la vulne jusqu'à la création de l'exploit, et en gros... le déploiement un peu d'un POC, en fait, tu ne fais rien. Et donc, si je n'ai pas ça à faire tourner un machin qui me coûte 20 000 balles pour juste espérer trouver quelque chose, moi, je regrette, mais c'est un peu cher payé. Donc, tu as ça. Et après, on va avoir un vrai effet de saturation des éditeurs et des mainteneurs. de logiciels libres et open source qui sont extrêmement utilisés chez les fournisseurs commerciaux. C'est déjà le cas en ce moment. C'est ça. Donc, on va... Oui, on a un vrai moment super pourri, quoi. Où les gens sont en panique parce que le sujet gestion des vulnérabilités est un wicked problem, comme disent les Américains. C'est un sujet systémique. C'est un problème systémique. Et donc, ils tirent en permanence... plein de sujets compliqués et complexes avec. C'est comme le réchauffement climatique. Comment est-ce que tu résous le réchauffement climatique ? Tu vas proposer des solutions, elles vont arriver avec d'autres effets de bord, etc. Et donc, avec la gestion des vulnes, c'est pareil. Si je dois patcher, mais que j'arrête la provision d'électricité à une commune de 20 000 personnes, j'aurai patché, c'est super. Mais par contre, je vais redemander d'autres difficultés. Donc, on a aussi ce genre de... de problématiques et je pense qu'on va être dans ce mauvais moment pendant un bon moment, d'autant plus qu'encore une fois les sujets sont souvent arbitrés. par des gens qui, en fait, essayent de faire des heuristiques les plus pragmatiques possibles en termes de prise de décision. Et donc, on se retrouve avec des allocations problématiques et qui sont, en fait, que moi, je ne sais pas vous, comment c'est chez vous, etc. Notamment, Maxime, en tant que consultant, tu vois aussi, je pense, pas mal d'environnements et de contextes clients. Mais moi, ce que je vois, c'est un déplacement quand même depuis quelques temps. D'un côté, côté investisseur, la cyber, on n'est plus du tout bancable, on n'est plus du tout intéressant. Maintenant, toute la thune va aux boîtes d'IA générative. Et de l'autre côté, nous, côté cyber, quand on est chez des clients, ce que je vois, c'est la cyber qui se bat pour maintenir un budget à peu près stable et à peu près existant, Alors que le... le budget IT, entre guillemets, va à des solutions diagénératives qui sont, en fait, largement perfectibles. Tu vois, j'essaie de rester poli.
Speaker #1
Vas-y, Maxime, je t'en prie.
Speaker #0
Un prisme un peu différent, mais une problématique un peu similaire. Moi, je travaille quand même beaucoup pour le secteur financier à Luxembourg. Étant fortement régulé, la cyber n'a pas été complètement abandonnée. Malheureusement. Maintenant, ce que je vois beaucoup, c'est qu'il y a plus d'efforts budgétaires qu'ils ont fait côté deuxième ligne que côté première ligne. Et parfois, les équipes de première ligne n'ont pas forcément eu d'augmentation de budget significative, alors que les équipes de deuxième ligne sont capables de faire plus de contrôles et plus de vérifications et vont être un peu plus exigeantes parce que la régulation demande d'être plus exigeante vis-à-vis de pas mal de sujets de sécurité. Et il n'y a pas plus de bras pour mettre en place les mesures dans les équipes IT. Et le goût de l'étranglement, aujourd'hui, il est là. Et si on vient en redisant qu'aujourd'hui, le volume de vulnérabilité Apache, il est dix fois celui que vous aviez avant et que vous aviez déjà du mal avant, ça ne va pas bien se passer. Et c'est pour ça que je pense que le patching en lui-même, ce n'est plus une solution unique. Et je ne suis pas un consultant fun parce que je ramène souvent les choses au sujet de base, les mesures de base en cybersécurité. L'isolation, le hardening et la maîtrise de son inventaire, ça reste aujourd'hui les moyens clés pour limiter les impacts d'exploitation de vulnérabilité. Et ceux qui ne sont pas au niveau sur les « basiques » , risquent de prendre assez cher du nombre de vulnérabilités qu'ils ne vont pas être capables de gérer. Et oui, aujourd'hui, il n'y a clairement pas assez d'investissements pour gérer le volume de vulnérabilité. Et à mon avis, dans beaucoup d'organisations, Les mesures qui permettraient de limiter les impacts n'ont pas forcément été bien mises en place non plus. Donc, ça risque de se couer un peu.
Speaker #1
C'est clair. Il ne manquerait plus qu'on ait...
Speaker #2
Pour les bonnes raisons.
Speaker #1
Il ne manquerait plus qu'on ait une feuille de sécurité dans un BitLocker, un truc comme ça. Ça mettrait le feuille de l'ordre définitivement.
Speaker #2
Celle qui se balade en ce moment sur les internets ?
Speaker #1
Par exemple.
Speaker #2
Je ne vois pas du tout de quoi tu parles. Franchement, ce n'est pas comme si tous les jours, on n'en avait pas au moins deux dans les équipes. de bourdures. Bon, bref.
Speaker #1
Juste pour refaire un petit peu l'avocat du diable, parce que j'aime bien jouer ce rôle-là. Je comprends ce que vous expliquez sur l'IA, etc. Maintenant, si on regarde un tout petit peu l'IA et les investissements, donc effectivement, je pense qu'il y a beaucoup d'investissements aujourd'hui qui se font au niveau de l'IA, peut-être pas forcément à bon escient. Déjà, il y a toujours un peu cet effet, l'effet des marins. Typiquement, quand une nouvelle technologie arrive, les gens investissent dans cette technologie, mais finalement, c'est des technologies qui ne sont pas matures. Et ils sont déçus. Et comme ils sont déçus, ils arrêtent l'investissement. Et c'est à ce moment-là que la technologie devient mature. Et c'est à ce moment-là où c'est intéressant d'investir dedans. Donc, il y a toujours un peu ce décalage.
Speaker #0
Ça dépend. Il y a des gens qui ont investi dans le métaverse.
Speaker #1
C'est sûr. Dans le blockchain. Il y a quelques contre-exemples. Ce que je veux dire par là, c'est que moi, ce qui me turlupine toujours un petit peu avec l'IA, c'est qu'il y a quand même des exemples concrets d'utilisation d'IA qui ont permis de faire des recherches, des découvertes assez fondamentales. Le fameux pliage de protéines, j'ai toujours pas compris entre guillemets comment ça fonctionnait, mais finalement, ça a quand même permis de faire des choses que l'humain n'était pas capable de faire. Donc, il y a des résultats très concrets. Et en même temps, l'IA n'est pas capable de répondre à des questions assez basiques. typiquement, est-ce que je dois prendre ma voiture pour aller au carouage qui est à 500 mètres ? Alors, évidemment, on ne parle pas de la même chose, ce n'est pas exactement les mêmes modèles, etc. Mais dans l'absolu, un peu, en termes de technologie, je me dis qu'il y a quand même des capacités qui permettent d'obtenir des résultats qu'on ne pouvait pas atteindre avant. Et ça, c'est quelque chose d'assez novateur. Ensuite, la question de savoir, c'est est-ce que ces résultats sont vraiment si intéressants que ça, en sachant qu'en plus, et c'est ce que vous avez expliqué quasiment depuis le début de cet épisode, une fois qu'on a des vulnérabilités, qu'est-ce qu'on en fait ? Parce que c'est bien beau d'en avoir, mais est-ce qu'on est capable de les corriger ou pas ? Mais il y a quand même ce côté-là, entre guillemets, qui est un peu intriguant, avec toute la problématique qui existe autour de l'IA. Donc, on a parlé des problèmes de ressources, mais aussi l'aspect social, qui est... et puis qu'il n'y ait pas de négligemme non plus. Et voilà, donc un peu ce mélange, ce maelstrom un peu compliqué entre la techno, l'IA, les conséquences en termes de sécu, en termes sociaux, etc. Donc je souscris à ce que vous avez dit en disant que les temps sont quand même un petit peu compliqués en ce moment parce qu'on ne sait pas trop où on va avec ces éléments-là.
Speaker #0
Après, je veux juste revenir sur ce que j'ai dit. J'ai dit l'IA, dans l'absolu, ça ne sera pas un être positif. pour l'humanité. Je parle surtout de l'IA générative, je ne veux pas tout mélanger. Oui, oui, c'est bizarre.
Speaker #1
Gros disclaimer, parce que l'IA qu'on utilise pour lire... L'IA,
Speaker #0
c'est beaucoup de choses. L'IA générative, c'est un focus en particulier. C'est plutôt ça qui me pose problème.
Speaker #1
Justement, pour faire un peu la transition sur un autre sujet qui est intéressant par rapport à cette histoire de mythos, etc. et un peu quelque chose de stratégique. Je sens que Raina est déjà partie sur le sujet. C'est finalement une technologie américaine. Les gens qui ont accès sont que des entreprises américaines avec une seule banque qui est axée. Ça sent quand même un petit peu la suprématie américaine sur ce point. Qu'est-ce que nous, Européens, finalement ? on serait éventuellement capable de faire ou pas. Est-ce que ça vaut l'intérêt ? Est-ce qu'il y a un intérêt à investir dans ce genre de choses ? Mais quand on le voit de ce point de vue, il y a quand même un petit problème de souveraineté. C'est qu'ils ont quand même la capacité. Alors ensuite, évidemment, je ne dis pas que c'est la panacée, que c'est l'outil absolu et ultime pour gérer les aspects de cybersécurité. Mais du point de vue, entre guillemets, souveraineté numérique, qu'est-ce que vous en pensez de cette histoire ?
Speaker #2
Je vais parler d'autonomie stratégique, parce que c'est plus... On déborde, disons, du sujet... Du sujet plus data, etc. Oui, oui, oui. Et puis, si tu veux, une de mes auditions parlementaires, il y a maintenant longtemps, pendant le Covid, tiens. J'avais essayé d'expliquer en quoi justement la gestion de vulnérabilité est un sujet d'autonomie stratégique. En fait, tu vas avoir deux sujets. Tu vas avoir un sujet qui est que, effectivement, si tu pars du principe que l'autonomie stratégique, c'est maîtriser son destin. Ce n'est pas avoir un contrat où c'est marqué, oui, oui, t'inquiète, croix de bois, croix de fer, les données sont en Europe. C'est d'accord. jusqu'à quand ? Avec Trump, disons que l'engagement, la confiance, tout ça, c'est des trucs tout à fait relatifs.
Speaker #1
Tu veux dire qu'il, d'une certaine manière, il applique les mêmes principes que l'IA ? C'est pas très déterministe, ça.
Speaker #2
Pas du tout déterministe. Mais bon, non mais tu vois, maîtriser son destin, c'est quand le sol commence à bouger, comment est-ce que je fais pour pas que la maison ou le ciel me tombent sur la tête ? Même s'il me tombait sur la tête que ça ne me bute pas. Si on regarde la question par cet angle-là, on a un sujet qui est à la fois de qui trouve, en fait, qui a accès à tes installations. Quand tu installes Cloud Cowork sur ton ordi et qu'il a accès à tout, et donc qu'il lit tes mails, qu'il corrige... tes comptes rendus de réunion, qu'après, maintenant OpenAI, Fatcha GPT, maintenant, il peut faire des achats à ta place. Donc, vas-y, connecte-le. Ce qui était mon modèle de menace il y a quelques années avec les frigos connectés, c'est qu'il y aurait des moyens à ce que le frigo fasse des courses tout seul à ta place et qu'en fait, tu ne fais que la réception des courses. Aujourd'hui, ce modèle, Vili Il est relativement accessible. Donc, tu vois, du coup, en fait, tu as un mouchard chez toi. Tu ne sais pas ce qu'il fait. Mais c'est vachement bien. Il répond à des mails à ma place. Ouais, super. Arrête de parler à des gens, alors, si c'est ça qui t'emmerde.
Speaker #1
Putain, non, ça y est, j'en ai marre. Non, moi, je crois qu'il faut que vous arrêtiez d'essayer de dire des trucs. Ça vous fatigue, déjà, puis pour les autres, vous vous rendez pas compte de ce que c'est. Moi, quand vous faites ça, ça me fout une angoisse. Je pourrais vous tuer, je crois. De chagrin, hein. Je vous jure, c'est pas bien. Il faut plus que vous parliez avec des gens.
Speaker #2
Mais, tu vois, et en fait, la question qui se pose, c'est... Ok, donc j'ai quelque chose dont j'ignore le fonctionnement, qui ne m'a jamais vraiment donné des garanties claires. en termes de maîtrise des données que ça collecte, que ça traite, etc., qui, derrière, fait je ne sais quoi avec ces données-là. Parce que ce que j'avais raconté dans la cyber-review, beaucoup de gens ne s'en étaient pas rendus compte. C'est typiquement pour ne pas parler que de cloud, que d'entropique, parlons d'OpenAI. OpenAI a un modèle équivalent qui est moins... connus parce qu'ils ont fait moins d'efforts en marketing, mais le principe est le même, on va le garder secret, tout ça, machin. Et en fait, OpenAI, le fondateur, enfin, le patron d'OpenAI, il a aussi cofondé une boîte qui fait de la vérification d'humanité. Donc, et l'ironie, elle est particulièrement forte parce que tu as une boîte dont l'utilisation, enfin, l'existence, c'est de générer des données inventées, des données synthétiques, et donc de faire, et de de te dire que n'importe quel chatbot qui embarque Ausha GPT peut paraître humain, peut faire tes devoirs, tes rapports d'audit, etc. Et après, à côté, le même, il a une boîte qui te vend des solutions de collecte de données biométriques pour prouver que tu n'es pas en fait un bot, que tu es humain. Je veux dire, on marche complètement sur la tête et tu n'as jamais aucune garantie. que les données issues d'une société, et donc d'un usage, ne soient pas mobilisées pour un autre usage. Et du coup, quand tu mets ces trucs-là bout à bout, et que tu te retrouves avec des entreprises qui collectent des données de tes vulnérabilités non patchées en temps réel, chez toi, je ne sais pas en quelle langue il faut le dire, c'est que tu es à poil sur Internet.
Speaker #1
Ce point-là est hyper important parce qu'en fin de compte, c'était ma question un peu en filigrane. Ce que je veux dire par là, c'est que ma vision des choses, c'est qu'on peut utiliser des LLM qui permettent de découvrir des failles. Encore une fois, avec toutes les précautions dont on a parlé. C'est un outil supplémentaire. L'humain peut être un outil, etc. On sait que d'un point de vue stratégique, c'est... hyper important, en tout cas pour les États, parce que la cyberdéfense est ce qu'elle est. Trouver des 0D avec des forts impacts ont quand même une certaine valeur. Je me mets à la place, par exemple, de la Chine, de la Corée du Nord, etc., avoir des 0D en stock qui ne sont pas connus. Donc on revient un peu à la discussion tout à l'heure qui était que s'il y a une vulnérabilité qui a été découverte, qui existe depuis 27 ans, est-ce qu'elle n'a pas déjà été découverte avant ? c'est les certes du monde entier dans leur log qui ont la réponse parce qu'on va voir avec la IOC s'il a été exploité ou pas. Donc, il faut regarder à cet endroit-là. Mais ce que je veux dire par là, c'est que si j'étais un État au hasard à la Corée du Nord, ça m'intéresserait quand même d'avoir un stock non négligeable de 0D non encore exploité si d'aventure, j'avais envie de les utiliser pour lancer une cyberattaque contre un autre État. Donc, ce que je veux dire par là, c'est que d'une certaine manière, l'IA telle qu'elle s'est utilisée dans le cas de Mythos représente un peu un risque quand même stratégique, enfin de mon côté, enfin de mon point de vue, c'est quand même avoir un levier, encore une fois, je prends des précautions par rapport à la capacité de l'IA à trouver des failles, etc. Mais c'est quand même un bon moyen de trouver des failles sur des systèmes open source avec un impact potentiel important et surtout de les garder de côté tranquillement. le jour où il y a vraiment besoin de les utiliser et de pouvoir les exploiter. Alors, je ne sais pas si c'est un scénario totalement alambiqué ou ce n'est pas possible, mais moi, je me dis que des pays comme la Chine ou la Carrière du Nord, il y a quand même tout intérêt finalement à essayer de maîtriser ce type de modèle et de les utiliser pour commencer à se faire un petit stock sympa de 0D.
Speaker #2
Tu n'en as même pas besoin de ça. Franchement, parfois, on se fait des nœuds au cerveau avec des trucs super... complexes et je te rappelle que tous les modèles de menaces sont erronés, certains sont utiles. Non, non, mais plus sérieusement, t'as même pas besoin d'aller aussi loin. D'une part parce que quand tu vas avoir une moissonneuse de l'intégralité de ta stack technique, en temps réel chez toi, je n'ai même pas besoin, si tu veux, d'avoir des 0D, de me prendre la tête avec des trucs chiadés. Le code de cloud affûté, tu ne peux pas faire plus classique que ça comme problème de supply chain. Ça, c'est d'une part. Et puis, encore une fois, tu as un fournisseur chez toi qui moissonne l'intégralité de ton millefeuille technique et tu ne maîtrises pas ce qu'il en fait. Bon, moi déjà, avant même de passer au zéro, sur le fond, il y a déjà un problème. Oui, c'est déjà en termes de maîtrise stratégique des actifs, tu vois, cœur de la boîte, je ne suis pas très à l'aise. Et après, tu as un autre sujet, c'est qu'en fait, il y a des façons beaucoup plus simples, et la Chine le fait depuis un moment, depuis 2017, depuis 2021, qui est en fait de dire à tous ces équipementiers, notamment réseaux et autres, On a une loi qui s'appelle la loi pour la lutte contre le terrorisme et pour l'augmentation de la cybersécurité. Je ne sais pas, c'est un truc à rallonge comme ça. Qui dit, oui, alors, tous ces gens-là, quand vous trouvez des vulnérabilités chez vous, en fait, il faut d'abord nous les dire à nous, au ministère de la Communication et de l'Information. Et après, en fait, vous direz au client, bon, tu as des façons beaucoup plus simples. limite, j'ai envie de dire élégante, parce que le truc de faire tourner Mythos mille fois pour trouver une faille, ça n'a rien d'élégant, c'est de la force brute. Tu fais une loi, tu es en position de monopole ou quasi-monopole sur des équipements qui sont dans toutes les infrastructures critiques du monde entier, et tu fais une loi qui oblige les gens qui sont chez toi et qui sont ces fournisseurs-là de te fournir les infos. Moi, je dis, franchement, en termes de ROI,
Speaker #1
C'est plus facile.
Speaker #2
Ah bah, clairement. Et après, tu peux avoir le temps de faire tes petits modèles de LLM, aller jouer, tu vois, dans ton bac à sable avec des LLM et faire jouer. Vas-y, si tu veux. Mais tu vois, en fait, il y a des façons, il y a des paliers, il y a des scénarios qui sont, en fait, banals. C'est chiant, quoi.
Speaker #1
Plus direct et plus facile.
Speaker #2
Oui, c'est ça. Et qui sont, en fait, beaucoup plus accessibles. Et quand tu regardes aussi ce que font plein d'autres attaquants, tu vois ce que font même des gamins de 15 ans, tu vois quand ils te font de l'ingénierie sociale au niveau du service client et pour justement s'introduire dans une société, je nommais Jaguar Land Rover, tu vois, c'est pas une TPE ou quoi. Et Jaguar a été sur les rotules pendant je ne sais pas combien de semaines. Il y a eu même carrément un plan de sauvetage à 2 milliards du côté du gouvernement britannique. Enfin, je veux dire, tu n'as même pas besoin d'aller te casser la tête à tourner des machins qui coûtent la peau des fesses, qui font à chaque fois qu'ils résument un mail, ça fait fondre deux icebergs. Tu n'as pas besoin de ça, en fait. Il y a plein de façons de faire. Et on n'a toujours pas résolu. Avec tout ça, je reviens, je suis la relou de la soirée ou de la journée. Mais tu vois, je reviens sur le sujet et Maxime a raison. On n'a toujours pas résolu le nombre de bras qui va en fait aller corriger. S'assurer que ça tourne quand c'est avant la correction, qu'il n'y ait pas de problème, qu'une fois que la correction est faite, il n'y a toujours pas de problème, que c'est toujours opérationnel, que j'ai fait mes tests de non-régression correctement et que je n'ai pas à repriver une ville moyenne de 20 000 habitants d'électricité parce que mon patch s'est mal passé, parce que ce n'était pas la bonne ville, parce que le LLM a encore halluciné des trucs. On n'a toujours pas résolu ce problème-là. Tant qu'on n'a pas résolu le problème du fait que la sécurité, c'est un processus et non pas un produit, On peut inventer tous les machins avec des paillettes qui clignotent et tout. En fait, on aura toujours le même problème. Et on aura par contre encore moins d'argent et moins de bras parce que tout le monde ira chercher les trucs à paillettes. Voilà, j'ai plombé l'atmosphère, tu vois. Il ne faut pas les faire inviter.
Speaker #3
Bon, je récapitule dans le calme. On la débusque, on la passe à l'acide, on la découpe au laser, on la dissout. et on balance ce qui reste dans le lac d'Aumenil.
Speaker #1
Il ne fallait pas l'inviter, effectivement. Pour réagir, sur deux points...
Speaker #0
Je pense qu'il y a le sujet de la souveraineté, je pense qu'il a été traité, est-ce qu'on a l'intérêt à avoir ce genre de choses dans nos entreprises ? Je pense que la réponse est plutôt non sur les aspects sécurité. Maintenant, il y a le deuxième sujet, c'est est-ce que ça fait augmenter le niveau de risque de scénarios de molasses type exploitation de vulnérabilité parce que potentiellement des groupes étatiques vont utiliser ces outils-là pour trouver plus de zéro déco aujourd'hui ? Ça, très honnêtement, je n'en sais rien parce qu'aujourd'hui, je n'ai pas la garantie que c'est plus efficace que le ROI et meilleur pour les groupes cybercriminels d'utiliser ces outils-là plutôt que d'utiliser des chercheurs en sécurité qui sont déjà suffisamment bons pour trouver des vulnérabilités et des exploits. Peut-être que dans quelques mois, les groupes cybercriminels seront encore meilleurs pour exploiter des 0D et en trouver parce qu'ils utiliseront ces outils. C'est une possibilité. Maintenant, la problématique de gérer les vulnérabilités, elle est toujours là. Après, je pense que Réla, tu travailles beaucoup pour des services essentiels et tu donnais l'exemple de la ville. Moi, ce ne sont pas trop des exemples que j'ai en tête, donc je vois les choses d'une manière un peu différente, mais sur des entreprises qui ne sont pas sur des services essentiels. Donc peut-être un intérêt à préparer en avance des matrices sur si on a une vulnérabilité critique. pour laquelle il y a une campagne d'exploitation en cours sur nos différents systèmes. Pour chaque système, ils doivent savoir si le risque opérationnel à patcher sans tester est plus grand que le risque d'exploitation d'une vulnérabilité pour pouvoir décider rapidement. Je pense que c'est important d'y réfléchir avant plutôt que de devoir réfléchir le jour où ils sont en situation de crise. Ils se disent, on n'a pas les bras pour tester, qu'est-ce qu'on fait ? C'est ça.
Speaker #1
Mais juste pour intervenir là-dessus, parce qu'effectivement, entre la banque et typiquement eau potable ou électricité, ce n'est pas du tout les mêmes enjeux, ou même santé, tu vois. Santé, bon, nous, on ne va pas toucher la nuit, tu vois. L'hôpital, tu l'arrêtes la nuit, tu vas devant d'autres difficultés. mais juste pour, et après je te redonne la parole, tu as aussi des situations piégeuses quand on parle de... justement d'infrastructures critiques genre eau potable ou électricité, c'est que sur certains équipements, en fait, tu perds la garantie au niveau de l'assurance si tu les modifies. Ça existe toujours. C'est parce qu'en fait, les équipements, c'est toi, tu changes ton iPhone tous les deux ans grand max. Tu vois, dans les infrastructures critiques, Télécom aussi, tu as des trucs qui sont en fait qui doivent durer 15 ans, 20 ans. Donc en fait, ce qui était fait il y a 15 ans, ça vit aujourd'hui et ça fonctionne toujours aujourd'hui dans des conditions très différentes en termes de numérique, de digitalisation, etc., de tout son environnement. Par contre, les conditions légales, d'assurance ou autre, n'ont potentiellement jamais été revues. Parce que tu ne vas pas s'amuser tous les deux ans à revoir des contrats sur des trucs qui marchent. Et donc, tu te retrouves dans des situations assez contradictoires, ou en fait, même pour patcher. tu ne peux pas, parce qu'on te dit non, non, non, il ne faut pas toucher, tu ne peux pas modifier, sinon tu as un problème de garantie. Et donc, tu vois, tu as aussi d'autres situations où, moi, si on me dit qu'il y a une chance que quelqu'un de très méchant vienne taver la console de je ne sais pas quoi, je ne sais pas, est-ce que cette personne peut étendre à l'électricité à distance ? Oui, non, peut-être. C'est ça la question. Tu peux avoir toutes les matrices de la vie que tu veux et les préparer. La question, c'est d'accord. C'est quoi concrètement l'impact réel ? Si c'est oui, mais alors machin, il faut qu'il passe par le pare-feu. Puis en fait, non, mais il faut quand même qu'il ait un accès VPN. Non, mais c'est bon. Allez. Et en fait, en fonction des secteurs et de ce que tu fais, du métier, comme on dit, chez nous. banque ou autre, ce n'est pas les mêmes. Et tu vas avoir les mêmes situations et les mêmes questionnements. Si tu fais une banque de détails, tu vois que les gens ne peuvent pas retirer de l'argent. Si tu fais quelque chose de… Là, je ne suis pas du tout spécialiste, donc je vous laisse trouver les situations qui sont moins critiques en termes de disponibilité immédiate. Mais tu vas avoir en fait les mêmes tensions. Et effectivement, vu que la gestion de crise de régime cyber, c'est toujours un sujet froid tant que ce n'est pas un sujet chaud, pardon, je te redonne la main.
Speaker #0
C'est sûr que l'impact joue un rôle très important dans cette matrice de décision. Si on n'a pas une vue sur l'impact, on ne pourra pas se décider. De toute façon, il n'y a pas 50 000 choix. Soit on arrive à limiter la probabilité parce qu'on est capable de rajouter d'autres mesures préventives en amont. Soit on est capable d'appliquer le patch, soit on arrête le service, ou soit on prend le risque de patcher et de faire tomber le service. Parce que globalement, on revient au même à arrêter le service. Sauf qu'après, on n'arrivera peut-être pas forcément à le remonter, ou ça prendra peut-être plus de temps. Et ça, il faut... Pour justifier ça, ça veut dire qu'il y a une campagne d'exploitation en cours, que c'est du RCE, que c'est un truc qui est facile à exploiter sans prérequis et qu'il y a urgence. Et là, ça vaut le coup de se poser la question. Mais je pense qu'aujourd'hui, cette question-là, elle va se poser de plus en plus. Parce qu'attendre 48 ou 72 heures, et encore 48 ou 72 heures, je suis gentil, quand on veut faire une batterie de test de non-régression, généralement ça prend plus de temps. Attendre ce temps-là, quand il y a une campagne d'exploitation en cours sur des systèmes exposés, avec des RCE, tout le monde ne pourra pas prendre le... J'allais dire prendre le... Ce n'est pas forcément un luxe quand on est sur des services essentiels, mais tout le monde ne pourra pas se permettre d'attendre ce temps-là s'il n'y a pas de conséquences dramatiques à faire tomber le service derrière. Alors que si on prend, par exemple, les banques privées, une RCE qui permet après d'avoir accès aux fichiers clients et à sortir toutes les données qui sont protégées par différents types de réglementations, je pense que ça vaut le coup. coup de patcher et tant pis si un service de webbanking ou un service comme ça tombe, au moins ça sera à condition que le patch ne fasse pas des régressions sur la partie sécurité mais au moins la vulnérabilité sera traité c'est du cas par cas mais je pense qu'il faut être prêt à être suffisamment agile pour prendre des décisions rapidement, pour avoir des escalations qui vont assez vite pour réagir
Speaker #2
Je pense que ça, c'est un point hyper important. Mais c'est un peu la limite du truc. Ce que je veux dire par là, c'est que quand on avait l'approche un peu basique, qui était de dire qu'on avait tel type de vulnérabilité qui était exposée ou pas sur Internet, la complexité de l'analyse était relativement simple. Parce qu'il y avait quatre paramètres à prendre en compte et basta. Maintenant, dans ce modèle que vous décrivez, qui est beaucoup plus dynamique, beaucoup plus agile, on prend beaucoup plus de paramètres. Et je pense que ça devient de plus en plus compliqué d'expliquer pourquoi, entre guillemets, c'est important de le faire et pourquoi ça ne l'est pas parfois. Et ça, c'est un peu ma crainte. C'est qu'avant, on disait que c'était important. Maintenant, on dit que c'est important, mais en réalité, ce n'est pas la même importance. Et comment expliquer aux gens pourquoi c'est plus important maintenant qu'avant le fait que ce soit dynamique ? parce que peut-être hier, ça ne l'était pas et aujourd'hui, ça l'est. Et ce côté, entre guillemets, beaucoup plus versatile. Déjà, ils avaient du mal à comprendre quand il y avait trois paramètres. Alors, si maintenant, il y a le côté exploitation, patati patata, ça peut commencer à devenir assez compliqué à communiquer auprès des autres. Et surtout, quand on parle d'impact potentiel au niveau de la production, parce que c'est ça dont on parle. Donc, encore une fois, je souscris tout à fait à ce côté un peu, sortir du côté mode de gérer les vulnérabilités de manière discrète, mais déjà de manière plutôt continue, avoir quelque chose qui soit beaucoup plus agile, qui prenne en compte beaucoup plus la réalité du terrain et l'exploitation. Super, mais après, comment on fait pour communiquer ? Et juste expliquer clairement, entre guillemets, pourquoi hier ce truc-là n'était pas grave du tout, et que pendant la nuit, finalement, parce qu'il y a un exploit qui a été détecté par un cert quelque part, qui a communiqué sur le fait que c'était activement exploitable et que du coup, le lendemain matin, ça devient la priorité numéro une. Ça peut commencer à devenir compliqué. C'est ça un peu ma crainte sur le modèle.
Speaker #0
C'est d'autant plus compliqué quand on a fait n'importe quoi pendant des années en mettant une pression aux équipes opérationnelles, à patcher énormément de choses qui souvent, ça ne servait globalement à rien. Ils ne sont pas bêtes, ils se sont rendus compte qu'on les faisait bosser des week-ends. et parfois en urgence pour patcher des trucs où c'était des vulnérabilités théoriques qui n'étaient pas exploitées. Et pour moi, c'est important de mettre carte sur table et de faire en sorte que les équipes réfléchissent à une stratégie ensemble. Il faut que la deuxième ligne, les gens qui vont définir les politiques de sécurité et les politiques de gestion de vulnérabilité, s'assoient avec les équipes opérationnelles pour comprendre leurs capacités aussi et pour leur expliquer les enjeux qui sont derrière. Effectivement, je disais, aujourd'hui, on va utiliser la threat intelligence et on va essayer de... de prendre des décisions sur la base de ce qui se passe ailleurs dans le monde et dans des sociétés qui sont similaires aux nôtres et qui vont partager des infos sur ce qui se passe en termes d'exploitation de vulnérabilité. Alors expliquer un peu qu'on passe d'un modèle effectivement statique où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, où on avait des CVE avec des scores CVSS, Le score CVSS, il est tendre, on dit que c'est très important, il ne faut pas être chez vite. Un modèle qui est entre guillemets plus « risk-based » , parce qu'on va regarder quel est le risque réel d'exploitation. Est-ce qu'il y a un code d'exploit qui est dispo ? Est-ce qu'il y a un POC ? Est-ce qu'il y a des exploitations en cours ? Et quel est l'impact potentiel ? Est-ce que ce sont des machines qui sont fortement isolées ? Et donc, si la vulnérabilité est exploitée, il y a peu de risques que ça sorte. Versus, c'est une machine qui est exposée, qui est sur un segment réseau avec beaucoup d'autres machines à côté. Et potentiellement, l'impact peut être désastreux s'il y a exploitation. Et donc, il faut être plus réactif. Et je pense que c'est important qu'il y ait une décision collective là-dessus. Ce n'est pas qu'un sujet de patching, mais il y a une vraie gouvernance derrière. Parce que derrière, aujourd'hui, il y a beaucoup de... Dans les comex, on va remonter les dashboards sécurité. Dans les dashboards sécurité, il y a des KPI qui regardent le patching ou la gestion des vulnérabilités. Il y a des KPI qui ont été construits il y a quelques années. il faut les changer parce qu'ils ne sont plus adaptés au monde où le nombre de vulnérabilités est en constante augmentation et on va on devrait changer les règles du jeu sur comment on traite et on patch les vulnérabilités pour moi dans beaucoup d'organisations, il y en a qui ont déjà évolué c'est pas le cas partout mais dans beaucoup il faut remettre le sujet sur la table avoir une vraie discussion sur comment collectivement on adresse le sujet quelles sont les capacités qu'on a et réexpliquer un peu le modèle et dire que le modèle doit changer, on ne peut plus rester sur un modèle traditionnel de J'envoie mon CSV avec ma liste de vulnérabilités, avec un low, medium, high, et puis suivez les SLE pour le patching. Ça ne faisait déjà pas beaucoup de sens à l'époque, ça ne fait juste plus de sens du tout maintenant.
Speaker #2
À l'époque, on n'avait pas grand-chose d'autre aussi. Il faut quand même se rappeler de comment on gère les vulnérabilités. Et surtout,
Speaker #0
il y en avait moins.
Speaker #2
Il y en avait moins déjà.
Speaker #0
Il y a 15 ans de ça, le nombre de CVE n'était pas...
Speaker #2
C'est vrai, il y en avait beaucoup moins quand même à traiter. Et à l'époque, il n'y avait pas forcément non plus 15 000 possibilités. Je pense que le modèle que tu décris, donc un peu le modèle style, de mon point de vue, de ma propre expérience, il avait quand même un petit peu de sens à l'époque. Effectivement, il y en avait moins.
Speaker #0
Il en a eu de moins en moins. Je pense qu'on a passé le... Ça a basculé il y a déjà quelques années. C'est ça. Il y a 15 ans de ça, ça avait du sens.
Speaker #2
Et puis surtout, je veux dire, quand on parle des KVE, etc., ça n'existait pas, ces indicateurs, à l'époque. On n'avait simplement pas l'info. Et aussi, l'échange des informations, parce que ça, si on fait un petit peu de prospective dans le futur, tant que les entités ne communiquent pas clairement sur ce qui se passe au niveau des certes et sont beaucoup plus transparentes sur ce qui se passe en termes de thread and thinning, etc., c'est aussi une partie de l'information que tu n'as pas et qu'on ne peut pas adapter. Donc, c'est un peu un cercle vertueux qui doit se mettre en route, qui, tout doucement, est en train de se mettre en route. tant que ce ne sera pas une obligation réglementaire forte de communiquer sur qu'est-ce qu'on capte en termes de vulnérabilité, d'exploitation, etc., on ne restera qu'avec une partie du problème résolu.
Speaker #1
C'est la deronie, je ne sais pas comment c'était avant, mais c'était certainement plus simple. Je ne sais pas si c'était mieux, mais blague à part, en fait, on a... Je suis toujours convaincue qu'on obtient plus en étant poli et armé que juste poli. Et en fait, il y a un sujet en interne qui est clairement de rôle et responsabilité. Et là, je le vois avec tout le travail que je fais avec la gestion de vulnérabilité sous le Cyber Resilience Act. Quand je demande à mes clients de... de se mettre autour de la table avec pas que les techos, pas que l'IT qui gère la plateforme d'IoT. Non, je veux les gens qui font la qualité, les gens qui font l'incertif, les gens qui font la cyber, si il y en a, idéalement sécurité de produit, les gens qui font le commerce, les gens qui font le juridique, les gens qui font le service après-vente, le service client. Et même les gens qui font le marketing, parce qu'ils gèrent les réseaux sociaux. Et donc, quand il y a quelqu'un qui râle que quelque chose se passe mal, les gens, ils font quoi ? Ils vont chercher ta VDP sur ton site que tu n'as pas ? Ouais, bon, ils vont râler sur tel réseau social, ils vont t'envoyer un DM sur Insta ou sur LinkedIn. Enfin, tu vois, en fait, tu as déjà chez toi à nettoyer devant chez toi. Donc, chez toi, les gens, il faut qu'ils se parlent. Donc oui, ce sont des sujets compliqués, on ne va pas les expliquer une fois, faire un cours magistral à tout le monde et s'atteindre après à ce que tous les détails importants qui pour nous nous paraissent évidents soient gravés avec des lettres de feu dans les esprits des gens, ça ne marche pas comme ça. Par contre, si tu ne les embarques jamais, en fait ils ne se rendent compte de rien. Du coup, le premier truc c'est chez toi, rôle et responsabilité, qui s'occupe de qui et de quoi, qui parle à qui. Et en fait, si on a dit qu'on faisait ça et les gens ne le font pas, tu leur fais une clé de bras. Non, mais en fait, c'est ça, les rôles et responsabilités. Je veux dire, moi, tu me dis, viens faire un pain de test chez moi et tu me payes et je ne viens pas. Tu fais quoi ? Tu me laisses partir avec la thune ? Absolument pas. En tout cas, si tu le fais, je viens. Il n'y a pas de souci. Et après, tu as l'autre clé de bras, qui pour le coup est celle qui est justement collective. qui est du réglementaire, qui est de dire « Attendez, ici, on est tous dans une vie en société, et donc ce n'est pas possible que des produits et des services numériques qui sont vendus et qui servent pour produire de la valeur, pour assurer des services vitaux pour les gens, en fait, ne soient pas à un niveau de sécurité suffisant, et que ces sujets-là, dans le contexte géopolitique notamment qu'on a, ne soit pas partagée de manière respectueuse et dans les règles de l'art avec des gens qui ont potentiellement des sujets, enfin des problèmes similaires. Et tous ces sujets-là, ce sont des sujets européens parce qu'on ne peut pas les gérer au niveau d'une seule entreprise, d'une seule commune ou d'un seul pays même. Et donc c'est pour ça que, il faut continuer à être fier d'être européen et européenne. continuer à demander à ce qu'il y ait un vrai suivi de la mise en œuvre de ces règles, que ce soit le cyber résilient sac, que ce soit Dora, que ce soit NIS2 ou autre, parce que c'est comme ça qu'on a des règles qui sont lisibles pour tout le monde. Parce que c'est ça aussi le truc, c'est que si tu es laissé à l'état de nature, à naviguer à vue, à te dire sur un malentendu ça peut marcher, en fait c'est tu t'avances pas, tu fais du sur place et tu fais que du défensif mais tu construis rien au final donc si on veut continuer à fournir des services qui sont toujours de qualité où les gens sont en fait en confiance et qu'on continue à construire des services et des produits de qualité qui proposent de nouvelles fonctionnalités, qui font les choses mieux, plus facilement, peu importe ben en fait t'as pas 30 000 solutions faut sortir les doigts, faut faire des clés de bras quand il faut comme c'est mérité. Et après, parce que les règles, c'est très sympa, et on le sait tous et toutes, on peut avoir des politiques chez nous qui sont très, très bien écrites. On a payé des consultants, j'en fais partie, qui ont écrit des politiques qui sont brodées à la main. Et en fait, personne n'est au courant, personne ne les respecte. Ça te fait une belle jambe d'avoir des politiques. Et donc, quand il t'arrive un problème et que le régulateur vient te voir, tu fais « Ah, mais j'ai une super politique ! » D'accord ? Et donc, dedans, c'est marqué exactement ce que vous ne faites pas. Et du coup, votre politique, comment ça se passe ? Et ça, c'est un problème de gouvernance, ce n'est pas un problème technique.
Speaker #2
C'est souvent le problème, la différence entre la gouvernance, enfin, la compliance et la sécurité. C'est souvent la limite entre les deux. On arrive tout doucement... À la fin de cet épisode, est-ce que vous voulez rajouter le mot de la fin sur ce sujet hautement stratégique et intéressant en matière de cybersécurité ? Arina, est-ce que tu veux nous donner le mot de la fin ?
Speaker #1
Si tu veux, je réfléchis. Comment le dire simplement ? Il n'y a pas d'apocalypse LLM. Enfin, pas celle-là en tout cas. On va avoir une catastrophe écologique sur les bras, mais pour l'instant, côté cyber, ce n'est pas tout à fait notre préoccupation principale. Mais en cyber, on n'a pas d'apocalypse du LIA, c'est très clair. En revanche, on a un peu une perte de repère et il est urgent de respirer un grand coup, de boire un verre d'eau et de se souvenir que notre travail, c'est de tenir la baraque quand ça tingue. Et donc de revenir aux basiques, d'être sûr que les mesures de sécurité élémentaires qu'on a mises en place, elles sont là, elles tiennent. Elles sont adoptées par les utilisateurs et utilisatrices, et après de continuer à penser en termes de résilience et non pas en termes de compréhension.
Speaker #2
Parfait. Maxime ?
Speaker #0
Je ne sais pas si je vais réussir à être aussi synthétique, mais moi ce que je veux dire, c'est que je n'ai pas attendu l'IA pour dire qu'il y avait un problème avec la gestion des vulnérabilités, que c'était un sujet compliqué. Je pense que ça fait quelques années qu'il est devenu de plus en plus compliqué pour les organisations. Et ça fait quelques années aussi où on a beaucoup plus d'éléments pour mieux le faire, notamment sur tout ce qui est outils de threat intelligence pour collecter des infos sur les vulnérabilités. Moi, je mets souvent en avant les produits luxembourgeois qui sont développés par le Circle, qui font des super outils. Par exemple, Vulnerability Lookup est un outil qui est très bien pour identifier des vulnérabilités, voir les sightings sur les vulnérabilités qui peuvent affecter notre organisation. Et c'est dommage qu'il soit sous-exploité par beaucoup d'organisations à Luxembourg. C'est des produits locaux, un peu aussi un petit pain d'œil à la souveraineté. On a des meilleurs outils, on a une meilleure info pour gérer les vulnérabilités aujourd'hui. C'est pour ça que pour moi, aujourd'hui, c'est important que tout le monde se parle entre première et deuxième ligne sur le sujet-là pour moderniser, améliorer les choses, prendre conscience qu'il y a un vrai problème de bottleneck sur la partie patching dans les équipes IT. Et donc, il faut faire les choses différemment et mieux prioriser par rapport aux risques. Je pense que c'est un point important. L'apocalypse de l'IA, moi je ne la vois pas du côté entre guillemets mythos et LM pour changer les vulnérabilités, je la vois plutôt du côté de tous les apprentis développeurs qui développent des nouveaux outils en utilisant de l'IA et capables de générer du code totalement non sécurisé. Et ça, j'ai eu beaucoup d'exemples et j'ai vu beaucoup d'exemples avec des clins d'œil à des amis qui m'ont montré du code avec des booléens isauthenticated où j'ai vu des authentifications en javascript côté client et toutes les choses développées par de l'IA avec des promptes qui demandaient de... de générer des applications sécurisées. Donc, moi, je pense que l'apocalypse, elle est plus de ce côté-là, sur du shadow AI et du développement, de plus en plus de pression sur les développeurs, finalement. On dit qu'ils vont avoir un outil pour trouver des vulnérabilités, mais en même temps, on met de plus en plus de pression sur les développeurs en leur disant, écoutez, maintenant, vous avez des outils pour générer du code, vous devriez aller plus vite pour pouvoir mettre en prod vos applications. Et donc, je pense qu'on va avoir des applications de moins en moins sécurisées, en fait. Et donc, je ne suis pas certain que ça améliore beaucoup la sécurité. Bruce Schneier, la semaine dernière, avait l'air de dire qu'à court terme, ça allait être une catastrophe parce qu'effectivement, on en a parlé, on va avoir de plus en plus de CVE. Il pensait qu'à moyen terme, ça allait s'améliorer. Moi, je ne suis pas convaincu. Je veux dire, le Secure SDLC, Secure by Design, ça fait des années et des années qu'on en parle. Si on avait vraiment voulu le faire, on l'aurait fait. Tant que les incentives ne sont pas là, on aura toujours du code qui n'est pas sécurisé. Et je pense que ça ne va pas... Je ne vois pas comment les choses vont s'améliorer tout de suite. Donc, bon courage aux équipes de sécurité, pour le mot de la fin. Parce qu'il va y avoir de plus en plus de pression sur la gestion des vues.
Speaker #2
J'ai quand même l'impression qu'il y a un club des gens qui pensent que la cybersécurité est un échec qui est en train de se former. Je fais des références à des gens qui peut-être vont nous écouter, je ne sais pas. Mais tout de suite, ça commence à se former. Non, mais je traite de plaisanterie. Effectivement, ce que tu disais sur le code est assez... C'est vrai parce que j'en ai lu du code, j'ai déjà parlé. Je trouve que c'était très mal écrit en fin de compte. J'ai l'impression de voir le code que j'écrivais quand j'avais 10-12 ans et qui me semblait être super bon, alors qu'en réalité c'était vraiment pas bon.
Speaker #0
C'est parce que tu n'as pas fait tourner la machine plusieurs fois. Je suis sûr que tu l'aurais fait tourner 3 ou 4 fois, tu aurais eu un code plus sympa.
Speaker #2
C'est ça. Mais souvent pas bien structuré, ça manque souvent de style en fin de compte et ça n'utilise pas forcément toutes les capacités du langage aussi souvent. l'exemple typique c'est Python ils n'utilisent jamais de classe je ne sais pas pourquoi ils ne veulent pas utiliser la spécificité du langage qui sont là pourtant et donc ça structure relativement mal le code et effectivement ça crée pas mal d'autres soucis vaste sujet peut-être pour un prochain épisode de ce podcast est-ce que le SDLC a de l'avenir ou pas pourquoi on n'arrive pas à le mettre en oeuvre ça c'est des vraies questions Encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. Ma grand-mère vous fait des gros bisous, j'espère vous revoir très prochainement. Et j'espère en tout cas que cet épisode vous aura éclairé un petit peu et démythifié Mythos justement, sans faire de jeu de mots. Et comme je le dis très souvent, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.

Embed