- hier
Mardi 15 juillet 2025, retrouvez Nicolas Marette (fondateur, Custplace), Cyrille Chauvel (consultant en cyberconformité, ADVENS), Adrien Merveille (Expert en cybersécurité, Check Point France), Étienne de Sainte Marie (membre, Cercle de la Donnée) et François Deruty (Chief intelligence officer, Sekoia.io) dans SMART TECH, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00Bonjour à tous, première attaque zéro clic, à quelle nouvelle génération de cyberattaques doit-on faire face et se préparer ?
00:16On va parler aussi des caméras, des lunettes, de tous ces objets connectés qui rendent notre vie privée quasiment impossible.
00:22On va voir ce qu'il en reste.
00:24Et puis les hôpitaux, eux, sont-ils prêts à parer à ces attaques qui arrivent ?
00:29Ce sera notre grand rendez-vous cyber aujourd'hui dans Smartech.
00:32Dans cette édition également, on va s'intéresser aux droits de la donnée avec la question de l'économie, de l'attention, enjeu sociétal, civilisationnel.
00:40Mais d'abord, trois questions sur les avis sur Internet.
00:43Ces avis que vous laissez, mais qu'en font les entreprises exactement ?
00:46C'est tout de suite l'interview.
00:52Avis sur Internet, qu'en font les entreprises ?
00:55Est-ce qu'elles les lisent vraiment ?
00:56Est-ce qu'elles passent à l'action quand on laisse un avis négatif ?
01:00Est-ce qu'elles tentent d'améliorer le service ?
01:01On va parler de ce sujet avec Nicolas Marrette.
01:03Bonjour.
01:04Vous êtes le collateur de Custplace, qui est une plateforme de gestion des avis clients,
01:10mais aussi d'irréputation et du référencement local des marques.
01:13Alors déjà, première question, est-ce que les clients laissent beaucoup d'avis ?
01:16Oui, ils ont envie de s'exprimer en tout cas spontanément, mais on a plutôt tendance
01:23à s'exprimer spontanément quand on n'est pas satisfait d'une marque.
01:27Et tout l'enjeu de gérer la réputation, c'est de les solliciter au bon moment,
01:31après un parcours d'achat, après une visite en magasin, pour qu'ils laissent un avis
01:35plutôt positif ou en tout cas représentatif de la majorité silencieuse.
01:39Donc le fait de s'exprimer, de trouver un avis.
01:44Alors on laisse des avis, très bien.
01:46Est-ce qu'on les consulte vraiment avant de se rendre, je ne sais pas, dans un restaurant,
01:51dans une boutique, avant d'acheter sur un site internet ?
01:54Oui, en moyenne, 88% des consommateurs français lisent un avis avant de passer à l'achat
02:01ou d'aller en magasin.
02:02Donc il y a un enjeu très important de visibilité de ces avis-là pour qu'on passe à un acte d'achat.
02:08Donc oui, il y a vraiment une audience importante et puis des enjeux qui, aujourd'hui,
02:13sont de plus en plus importants, puisqu'il y avait évidemment les avis Google, toujours.
02:17Mais il y a de plus en plus les moteurs d'IA, d'intelligence artificielle,
02:21qui sont de plus en plus consultés par les jeunes générations
02:24et donc qui vont chercher des nouvelles sources d'avis,
02:26donc des enjeux encore plus complexes à maîtriser pour les marques.
02:31Mais vous parlez effectivement de ces enjeux, de la forte consultation,
02:35mais il y a quand même eu une crise de confiance vis-à-vis des avis laissés par les internautes
02:39avec des suspicions de faux avis.
02:43Exactement.
02:43Notre plateforme Cosplay, on authentifie les avis,
02:46on a une preuve d'achat et dans ce parcours, après, on les sollicite.
02:51Donc effectivement, il y a beaucoup de plateformes d'avis
02:53où les avis ne sont pas vérifiés.
02:55Et donc tout l'enjeu vis-à-vis des consommateurs,
02:58c'est de montrer que ces avis sont authentiques.
03:00Il y a même une norme, la France a été précurseur dans le monde,
03:04une norme NF des avis qui garantit l'authenticité des avis
03:08et dans le parcours de collecte, de modération et de diffusion des avis.
03:12Donc c'est tout l'enjeu pour ces marques de présenter des avis qui sont authentifiés.
03:16Et si je fais le parallèle avec ce que je viens d'évoquer sur les moteurs d'IA,
03:20ce qui est très intéressant, c'est que l'intelligence artificielle
03:22comprend qu'il y a des avis qui ne sont pas authentiques,
03:25même des grandes plateformes américaines,
03:27et qu'il y a des avis qui sont authentifiés et ils vont privilégier ces avis.
03:31Donc c'est d'autant plus un enjeu pour les consommateurs de confiance
03:34et maintenant avec ces nouveaux usages d'avoir des avis qui sont des preuves et certifiés.
03:40Avec l'IA, c'est aussi très très facile de créer des faux avis.
03:43Bon, mais là le sujet c'était surtout de savoir ce qui se passait derrière, côté coulisses.
03:47Une fois qu'on laisse un avis qui peut être pas forcément négatif,
03:50mais modéré en tout cas, qui peut appeler à des améliorations,
03:54qu'est-ce qui se passe ?
03:55Comment les entreprises vraiment s'en emparent ?
03:57Est-ce qu'elles lisent intégralement l'ensemble des avis ?
04:00Oui, c'est ce qu'on appelle la voie du client.
04:03C'est-à-dire qu'il y a la spontanéité et tout ce qui est réputationnel avec les avis
04:07pour passer à l'acte d'achat comme je l'évoquais,
04:10mais il y a également l'analyse.
04:12L'intérêt c'est de comprendre ce qui se passe bien,
04:15comprendre ce qui ne se passe pas bien et de définir des plans d'action.
04:18Et aujourd'hui on permet d'analyser pour un réseau entier,
04:22pour un produit, de comprendre dans un magasin qu'est-ce qui se passe,
04:25pourquoi il n'est pas au niveau de son autre réseau,
04:29et voire même de comparer ses concurrents dans une rue
04:32pour un opticien de savoir pourquoi il y a une baisse de trafic,
04:35pourquoi il y a une insatisfaction,
04:37et donc d'analyser.
04:38Et on fait des plans d'action, des matrices qui permettent de corriger
04:43et d'améliorer ce qu'on appelle la satisfaction client.
04:46Et vous avez l'impression que ces plans d'action sont suivis ?
04:49Est-ce que derrière les clients s'aperçoivent justement que leur avis a compté ?
04:54Oui, parce qu'on développe maintenant,
04:56et c'est l'évolution aussi, des avis longue durée.
04:59C'est-à-dire que ce n'est plus qu'à post-achat,
05:01je donne mon avis,
05:03généralement on n'a pas utilisé vraiment son produit,
05:05ça dépend évidemment,
05:07et donc on va les solliciter un an après,
05:10pour savoir s'ils sont contents du service,
05:12alors ça dépend lequel service ils demandent,
05:13évidemment, des produits,
05:14et entre-temps,
05:16on a proposé des plans d'action à ces marques,
05:18pour qu'elles s'améliorent.
05:19Et donc on va les interviewer généralement,
05:22entre 12 et 18 mois après,
05:23et on va se rendre compte de voir s'il y a un écart.
05:25Donc c'est un enjeu,
05:26aujourd'hui, qui est suivi par les directions générales,
05:29de savoir s'il y a une amélioration,
05:31et donc avec ces avis longue durée,
05:33on voit concrètement si les plans d'action étaient mis en œuvre,
05:37au niveau de la direction générale,
05:38et même des magasins.
05:40Merci beaucoup Nicolas Marrette.
05:42Donc vous nous encouragez à laisser nos avis,
05:45et être totalement sincères,
05:46si j'ai bien compris,
05:47pour qu'au moins ça serve à créer des pistes d'amélioration.
05:52Exactement,
05:52et si je peux me permettre,
05:53les moteurs d'IA comprennent aussi
05:55les plateformes qui sont certifiées et sérieuses,
05:58et qui permettent évidemment d'avoir des avis de confiance.
06:01Eh bien bonne nouvelle.
06:02Nicolas Marrette,
06:02je rappelle que vous êtes le fondateur de Custplace.
06:05Custplace.
06:07Merci encore.
06:08Tout de suite, c'est notre rendez-vous cyber.
06:10Grand rendez-vous cyber.
06:12Dans l'actu cyber, beaucoup de choses,
06:18mais dans le grand rendez-vous cyber,
06:20trois experts.
06:21Adrien Merveille, bonjour.
06:22Bonjour.
06:23Vous êtes expert cybersécurité chez Checkpoint.
06:25En face de vous, François Doruti, bonjour.
06:28Vous êtes spécialiste de la menace cyber chez Sequoia,
06:31et Cyril Chauvel est avec nous également.
06:33Bonjour Cyril,
06:34consultant en cyberconformité chez Advance,
06:37et vous êtes membre de l'AFCDP,
06:38qui rassemble l'ensemble des métiers autour de la protection des données personnelles.
06:43Exactement.
06:44Alors, je voulais qu'on commence ensemble, Adrien,
06:46avec cette attaque qui présage d'une nouvelle menace qui nous arrive,
06:52la première attaque zéro clic,
06:54écolique.
06:55Expliquez-nous ce qui s'est passé.
06:57Alors, écolique, effectivement, il y a deux...
07:00Alors déjà, c'est une vulnérabilité.
07:01Il n'y a pas eu une attaque.
07:02Ça a été découvert dans un cadre maîtrisé,
07:05mais ils ont réussi à détourner, si on peut dire, l'usage.
07:09Alors, qui île déjà ?
07:10Alors, c'est une société spécialisée dans la cybersécurité,
07:13et en particulier dans l'intelligence artificielle,
07:15qui s'appelle IAM Security.
07:16Et beaucoup d'éditeurs de solutions de cybersécurité
07:21ont des équipes qui vont un petit peu tester certains mécanismes.
07:25Par exemple, Checkpoint, nous, on a découvert des vulnérabilités
07:28sur des aspirateurs, sur des drones,
07:30sur des choses beaucoup moins rigolotes,
07:32qui sont plus dans des environnements IT.
07:35Mais voilà, ça fait partie un petit peu du jeu
07:37d'avoir des équipes qui vont chercher à trouver des points faibles
07:41dans les technologies pour simplement améliorer
07:44la sécurité globale des éditeurs.
07:46Et puis, c'est de prendre les devants, en fait.
07:47Exactement.
07:47Pas juste de courir après les cybercriminels.
07:49D'ailleurs, quand on découvre ce type de vulnérabilité,
07:52on a un délai entendu avant de communiquer dessus.
07:56On prévient d'abord l'éditeur qui fournit la solution
07:58sur laquelle on a trouvé la vulnérabilité,
08:01et ensuite, on la communique, mais après un certain temps,
08:03pour qu'ils aient le temps de préparer des correctifs de sécurité.
08:06Exactement.
08:07OK. Donc, décrivez-nous l'attaque qui a été menée
08:11en utilisant cette vulnérabilité.
08:13Vous avez parlé de zéro clic.
08:14Zéro clic, c'est un type d'attaque qui ne nécessite pas une action utilisateur
08:20à un moment, peu importe lequel.
08:22Donc, ça veut dire que quand vous recevez un mail de phishing,
08:24vous allez cliquer sur un lien, là, il y a un clic.
08:27L'action zéro clic, c'est une attaque qui n'a pas besoin d'utilisateur pour fonctionner.
08:32Alors, c'est nouveau dans ce contexte-là, et on verra pourquoi,
08:35mais ce n'est pas nouveau.
08:36On a déjà vu des attaques zéro clic avant.
08:37On a une des plus connues qui était sur les smartphones, qui était Pegasus,
08:41qui utilisait aussi des vulnérabilités zéro clic.
08:45Il y en a eu d'autres.
08:45Et ça tourne souvent, d'ailleurs, autour d'outils de messagerie.
08:49Sur WhatsApp, il y en a eu plusieurs.
08:52Et qu'est-ce qui rend Écolique particulier ?
08:55C'est aussi le fait qu'elle utilise des vulnérabilités sur du langage
09:00et sur des moteurs d'IA génératifs.
09:03Et en fait, il y a un type d'attaque qui s'appelle le prompt injection,
09:07l'injection de prompt en français,
09:09qui consiste en fait à détourner les mécanismes de protection
09:13qu'ont les intelligences artificielles
09:15pour soit lui faire donner des données qui sont censées être confidentielles
09:20ou alors lui faire faire des tâches qu'elle n'est pas censée faire,
09:23comme une création de malware, par exemple.
09:25D'accord.
09:26Et donc, dans le cadre d'Écolique,
09:28il y avait des agents d'intelligence artificielle
09:31qui analysaient les mails reçus dans la messagerie d'Office 365
09:35et ils ont injecté dans un mail un prompt
09:38qui a été interprété par ces agents d'IA
09:40et qui a du coup permis de récupérer de l'information confidentielle de la société
09:46qu'ils ont fait semblant d'attaquer.
09:48D'accord. Ça, ça fait un petit peu peur.
09:51Et quelle a été la réaction
09:52et comment on trouve une parade alors à ce type d'attaque possible
09:56sur ces grands modèles de langage et ces IA génératifs
09:58qu'on utilise de plus en plus ?
09:59Exactement. C'est le fond du problème.
10:01C'est qu'aujourd'hui, on a une adoption massive de ce type d'outils.
10:07Même si on va beaucoup parler de risque et de menace aujourd'hui,
10:09je pense que c'est fondamentalement quelque chose qui rime avec progrès.
10:13On avance dans le bon sens.
10:14Ce n'est pas quelque chose de fondamentalement nouveau.
10:16On a déjà eu ce type de comportement avec notamment les Alexa, Siri,
10:23qui permettaient...
10:23Oui, des assistants vocaux.
10:24Exactement. Merci, le nom m'échappait.
10:26Des assistants vocaux qui permettaient en fait de provoquer des réponses
10:32et parfois donner de la donnée alors que ce n'était pas forcément idéal.
10:36Donc, on a déjà eu ce type de menace avant, ce type de résultat.
10:41Ce qui est nouveau, en fait, c'est simplement la méthode.
10:43Au lieu d'attaquer un code, ici, on va vraiment attaquer avec du langage.
10:48Et c'est un petit peu nouveau, mais l'attaque en elle-même...
10:51On se sert de l'IA, on se sert du fonctionnement de ces grands modèles de langage.
10:56Ça ne va pas s'arranger avec la multiplication des agents, j'imagine.
10:59Qu'est-ce que vous voyez arriver comme nouvelle génération de cyberattaques, justement ?
11:04On n'a pas encore de cyberattaques qui pourraient représenter une grosse attaque d'un gros pays,
11:10par exemple, en disant à l'IA, fais-moi la même attaque que la Russie ou la Chine.
11:13Ce n'est pas encore aussi simple que ça.
11:15En revanche, dès qu'on veut attaquer des gros volumes de données ou accéder, comme a dit Adrien,
11:19comme on fait tourner beaucoup de moteurs d'IA pour nous aider au quotidien,
11:22en tout cas, beaucoup d'entreprises utilisent Copilot ou d'autres solutions
11:25pour traiter justement ce volume de mails, avoir des réponses synthétiques.
11:28Il y a beaucoup de tâches qu'on peut automatiser comme ça.
11:30Ces moteurs-là ont accès à de nombreuses données.
11:31Donc, ça devient une cible d'intérêt de les solliciter par les attaquants
11:35pour récupérer tout ce qui est données sensibles, information financière, information technique.
11:39Et puis, en plus, on ne met plus notre nez dedans, finalement.
11:42On sort un peu du jeu, donc on laisse faire les agents intelligents.
11:46Tout à fait.
11:46Ça nous rend un peu feignants.
11:48Oui.
11:48C'est le piège à éviter.
11:49On a moins de vigilance, peut-être.
11:51Exactement.
11:51On dit souvent qu'est-ce que les moteurs vont remplacer les analystes ou certains métiers ?
11:55On est plusieurs à penser que ça ne remplacera pas les gens.
11:58Par contre, ceux qui s'en servent remplaceront sûrement ceux qui ne s'en servent pas.
12:01Ça, c'est fort possible, si on s'en sert bien.
12:04Mais oui, les attaquants regardent tous les jours comment utiliser justement ces interfaces
12:08qui permettent, en un point d'entrée, si je résume, d'avoir accès à un volume de données énorme,
12:12j'allais dire sans que personne ne voit comment c'est rentré ou sorti, puisque c'est tout automatisé.
12:17Donc, Adrien, c'est pas complètement nouveau et tout ça.
12:19Donc, on a les parades aujourd'hui ?
12:21La publication qui a été évoquée, c'est justement une forme de parable.
12:26C'est tester des systèmes pour ensuite avertir les éditeurs avant, comme l'a dit Adrien,
12:30pour qu'ils aient le temps de corriger.
12:32Donc, ça, c'est le travail de tout un tas d'entreprises, dont Checkpoint.
12:34Oui, mais on corrige une faille, mais il y en a une autre qui s'ouvre ou qu'on n'a pas encore détecté.
12:38Oui, bien sûr, c'est un petit peu la difficulté de faire de la cyber.
12:42Si on avait déjà le périmètre à sécuriser sans avoir de nouvelles surfaces d'attaque qui viennent s'intégrer,
12:47ça serait beaucoup plus facile.
12:48On peut imaginer demain la création d'anti-malware qui prévoit ce type d'attaque.
12:52Alors, il y a déjà des concepts actuels qui permettent un petit peu de se protéger.
12:57Déjà, on parle du concept beaucoup de zero trust depuis quelques années dans la cybersécurité.
13:03Dans l'intelligence artificielle, il y a du code qui va l'accéder à certains types de données.
13:10Par exemple, dans les moteurs d'IA génératifs, vous avez les données d'entraînement
13:13et vous avez les données qui vont arriver au quotidien par les utilisateurs.
13:18Normalement, ces deux catégories de données sont complètement isolées, hermétiques.
13:23Et les données d'entraînement ne doivent pas servir dans les réponses aux questions des utilisateurs.
13:29Des requêtes, oui.
13:30Et donc, c'est la segmentation, le contrôle d'accès de qui ou quoi accède à quelle donnée à quel moment
13:37fait partie un petit peu du concept du zero trust.
13:39Et si on arrive à limiter ou à cloisonner correctement ça,
13:43déjà, c'est beaucoup de risques qu'on va enlever dans ce type de fuite de données
13:47puisque dans le cas de Ecoli, il y a eu une fuite de données involontaire.
13:51Alors, vous parlez du zero trust.
13:53Moi, je ne sais pas comment on va vivre ce zero trust.
13:56à l'air des lunettes intelligentes avec des caméras embarquées,
14:00à l'air des caméras qui embarquent aussi des algorithmes d'IA et de reconnaissance automatique,
14:06de mouvements de foule, on va dire.
14:08La reconnaissance faciale quand même qui perce de plus en plus dans la société,
14:12tous ces objets connectés qui nous entourent.
14:14En fait, la question que je me posais, c'est que reste-t-il de notre vie privée ?
14:18Avant de répondre à cette question, peut-être un éclairage sur les caméras augmentées,
14:22par exemple, qui sont effectivement en grand développement.
14:25Nombreux acteurs aujourd'hui…
14:27Parce qu'on a découvert leur utilisation, en tout cas,
14:29on a légiféré leur utilisation pour les Jeux olympiques
14:32dans un cadre, on va dire, expérimental, ponctuel.
14:36Mais finalement, ça s'est terminé, l'expérimentation…
14:38Non, elle est renouvelée.
14:39Elle a été adoptée dans le cadre des JO 2030.
14:43Donc, ça y est, maintenant, on est dedans.
14:44On est dedans.
14:45C'est-à-dire qu'il y a eu déjà un rapport qui a été rendu au mois de janvier dernier
14:50sur les huit cas d'usage qui étaient autorisés dans le cadre des JO,
14:55mais pas que, puisqu'il y avait aussi les manifestations d'ampleur
14:57qui étaient couvertes par ce sujet.
15:00Et on s'est aperçu que sur les huit cas d'usage,
15:02il y en a quatre qui étaient plus ou moins efficaces.
15:04Les algorithmes, finalement, permettaient de détecter l'événement,
15:07un objet abandonné, un départ de feu, une personne au sol, etc.
15:11Et puis quatre autres cas d'usage pour lesquels les algorithmes
15:14n'étaient pas suffisamment entraînés
15:15et qui ne permettaient pas, aujourd'hui, de satisfaire, finalement,
15:19à la protection de la vie privée.
15:23Donc, ça, c'est la fin.
15:23Quels sont ces quatre cas d'usage qui ne sont pas satisfaits ?
15:26Je ne les ai pas en tête.
15:28Je n'ai pas en tête.
15:29Mais, typiquement, on a une ligne de crèche.
15:32C'est-à-dire que la réglementation, elle est aujourd'hui à titre expérimental.
15:35Il y a des dispositifs algorithmiques qui sont proposés
15:37par les différents fournisseurs de systèmes de vidéoprotection,
15:40de vidéosurveillance et des acteurs qui sont tentés de les utiliser.
15:45C'est-à-dire que la reconnaissance faciale, aujourd'hui,
15:46elle est efficace.
15:48Sauf que pour reconnaître quelqu'un, pour reconnaître un individu,
15:53il faut pouvoir, comme pour l'IA, finalement,
15:55entraîner l'algorithme de façon à avoir une banque de données suffisamment importante,
15:59une banque d'images.
16:00Et ça, ça suppose qu'on puisse l'utiliser.
16:05Aujourd'hui, le gouvernement...
16:06Ça, ça pose des questions, Jean, pour l'AFCDP, pour un DPO
16:10qui s'occupe de la protection des données personnelles.
16:12Est-ce qu'on a le droit de créer ces bases de données ?
16:15À l'heure actuelle, en l'état actuel, la législation,
16:19c'est un an catégorique, ça, c'est une certitude.
16:22On sait que certains de nos ministres de tutelle
16:24militent pour qu'on puisse utiliser la reconnaissance faciale.
16:28Il faut que ce soit véritablement encadré,
16:30puisqu'on peut imaginer des détournements.
16:34Je prends un exemple d'une personne qui est fiché S.
16:38Typiquement, on pourrait dire que c'est légitime
16:41de pouvoir utiliser la reconnaissance faciale
16:43pour pouvoir la tracer, la suivre, la surveiller.
16:46Sauf que, pour pouvoir la surveiller,
16:48il faut pouvoir disposer de cette banque de données
16:49dont je parlais juste avant.
16:52Et ça suppose que vous, comme moi,
16:54on soit dans la banque de données en question,
16:55qu'on accepte que nos données fassent l'objet d'un traitement,
16:57que notre image, que nos mouvements fassent l'objet d'un traitement.
17:01Et ce qui suppose une intrusion sur la vie privée.
17:04Donc, pour répondre à votre première question,
17:06que reste-t-il de notre vie privée ?
17:07Si je me réfère à juste cette reconnaissance faciale,
17:12il ne reste pas grand-chose.
17:13Alors, l'acte, quand même, précise que la reconnaissance faciale
17:17fait partie des usages à haut risque.
17:21Pour autant, vous avez l'impression que les mentalités évoluent là-dessus.
17:24Vous avez parlé des fichés S.
17:25Moi, j'entends les débats qui disent,
17:26finalement, pour des raisons de sécurité,
17:29peut-être qu'on peut accepter certaines technologies
17:32qu'on aurait refusées avant.
17:33Exactement.
17:34Pour illustrer le propos, c'est simple.
17:37Il y a une vingtaine d'années,
17:38vous n'auriez pas accepté que Google utilise tous,
17:40peut-être 30 ans même maintenant,
17:42que Google utilise, exploite toutes vos données.
17:46Aujourd'hui, c'est un fait qui est accepté.
17:48On a nos smartphones qui en savent plus que nous sur nous.
17:50Donc, typiquement, et Google en sait plus que nous sur nous aussi.
17:53Donc, ça, c'est accepté par la société.
17:55Auparavant, ça n'aurait pas été.
17:56Donc, effectivement, je dirais que dans les communiqués,
18:00dans les médias, on prépare, je dirais, les citoyens
18:06à élever leur niveau d'acceptabilité de cette surveillance généralisée.
18:14On essaie de les préparer, être vigilants quand même sur ce sujet.
18:17Oui, tout à fait.
18:17Il faut les sensibiliser.
18:19Mais on s'aperçoit bien qu'au travers des dispositifs expérimentaux
18:22pour les géos qu'on élève tout doucettement,
18:27mais sûrement, mais assurément,
18:29ce niveau d'intrusion et ce niveau de surveillance,
18:32ce qui suppose que demain, on puisse imaginer
18:34que la reconnaissance faciale soit utilisée, oui.
18:37Et si je reviens à mes histoires aussi d'objets connectés,
18:40de lunettes qui embarquent des caméras,
18:42je pense au Ray-Ban de méta et tout ça,
18:44comment est-ce que vous percevez ça, vous,
18:45d'un point de vue cyber, François ?
18:48Moi, je vois ça comme des infrastructures d'attaque
18:50et plus de possibilités pour les attaquants.
18:52D'accord.
18:52Mais c'est mon métier en même temps.
18:53Non, mais véritablement ?
18:54Qu'est-ce qu'on peut faire avec une paire de lunettes ?
18:56Aujourd'hui, on a une tendance de...
18:58Tout ce qui est équipement non connecté,
19:00justement, ces caméras,
19:01toutes ces choses qui ne sont pas forcément sécurisées intrinsèquement.
19:04On a beaucoup d'attaquants qui les enrôlent,
19:06justement, à base d'IA,
19:07des millions ou des volumes très élevés
19:08pour avoir soit des infrastructures
19:10pour conduire des attaques,
19:11en déni de service, attaquer un site web.
19:13Il y a toujours un processeur, un peu de mémoire.
19:16On peut faire des choses avec ça quand on en a beaucoup.
19:18Et puis, il y en a qui s'en servent pour anonymiser,
19:20c'est-à-dire pour conduire une attaque
19:21et qu'on ne puisse pas remonter à l'origine de l'attaque.
19:23Donc, il y a beaucoup de cas d'usage de ce genre de choses.
19:25Et puis, comme ça a été évoqué,
19:27si après, on a un problème de sécurité
19:28sur la base de données derrière,
19:29je ne parle pas de ce qui sera légiféré, légal ou pas,
19:33mais si on a accès à ce genre de base de données,
19:35si moi, j'ai accès à vos lunettes en tant qu'attaquant...
19:38Qu'est-ce que vous pouvez faire avec mes lunettes ?
19:39Je verrai ce que vous voyez.
19:41Potentiellement, j'aurai accès à pas mal de choses.
19:43On en parlait tout à l'heure dans le couloir,
19:44mais vous savez, normalement,
19:46on se disait qu'il y a normalement la lumière
19:47quand ça filme pour que la personne en face
19:48sache qu'elle est fumée.
19:49Oui, on met parfois des caches
19:50sur l'oeil de la caméra de notre ordinateur.
19:53On peut casser la caméra
19:54et puis ils vont trouver un moyen de le désactiver,
19:56ce genre de choses.
19:57Donc, ça donne une surface d'attaque plus élevée.
19:59Il y a deux cas d'usage flagrants.
20:01Il y a celui du chantage.
20:02Effectivement, on vous a vu faire quelque chose
20:04peut-être que vous n'auriez pas aimé
20:06qu'on vous a faire
20:06et donc, du coup, on va vous demander de l'argent
20:08en échange de la suppression de l'information.
20:11Et puis, il y a l'espionnage industriel aussi.
20:12Oui.
20:16Dans la banque, avec accès à des comptes
20:17ou des data clients, ça peut...
20:21Ça peut être problématique.
20:22Mais je voulais avoir une réaction aussi
20:23quand même sur ces lunettes qui filment aujourd'hui.
20:26Alors, vous filmez des individus,
20:27donc la vie privée typiquement.
20:28Non, mais aujourd'hui, c'est interdit en France.
20:30On n'a pas le droit de faire ça avec le RGPD.
20:31On n'a pas le droit.
20:32Enfin, il n'y a rien qui l'interdit à mon sens.
20:35C'est-à-dire que le RGPD, c'est pour les entreprises.
20:37Donc là, ce sont des particuliers.
20:38Les particuliers peuvent capter...
20:40Exact.
20:40Oui, mais alors c'est le droit à l'image
20:42peut-être qu'on peut opposer.
20:42Tout à fait, complètement.
20:45Ça reste compliqué.
20:46Le droit à l'image, c'est une certaine complexité.
20:49Je ne vais pas m'engager sur ce sujet-là.
20:51Mais au-delà de ça,
20:52quand vous avez des lunettes connectées,
20:55on va pouvoir capter finalement vos centres d'intérêt.
20:57C'est-à-dire que ce que vous regardez,
20:59ce qui capte finalement,
21:00ce qui présente un intérêt pour vous.
21:01Et à partir de ces centres d'intérêt-là,
21:03on va pouvoir proposer différents produits,
21:06différents services,
21:08différents sujets à lire
21:10qui vont pouvoir influencer votre...
21:12Oui, c'est le sujet de la manipulation encore...
21:14Complètement.
21:15Et c'est le cas.
21:18Je voulais quand même qu'on termine très rapidement
21:19sur la question des hôpitaux.
21:21Est-ce que les hôpitaux, aujourd'hui,
21:22vous semblent mieux armés ?
21:23Alors, il y a une interview qui a été réalisée
21:25par Lily Zalkin
21:26lors du Paris Cyber Summit
21:28qui s'est tenu début juin.
21:31Je vous propose qu'on l'écoute.
21:33Je suis ici avec Christophe Matler
21:34qui est directeur de projet à la DNS,
21:36délégation numérique en santé.
21:37Alors, Christophe, est-ce que vous pouvez nous dire
21:39quelles sont vos grandes préoccupations
21:41en 2025, mais plus largement,
21:44pour le numérique en santé ?
21:46Alors, la délégation numérique en santé,
21:47notre enjeu principal, c'est que la sécurité,
21:49évidemment, de tous les patients français,
21:52de tous les citoyens français soient assurés.
21:55Et donc, pour ça, aujourd'hui,
21:56ça passe par un certain nombre d'actions.
21:58Donc, la première, c'est de sécuriser
21:59les structures qui prennent en charge ces patients-là.
22:02Donc, évidemment, les hôpitaux,
22:04le secteur médico-social aussi,
22:05mais plus loin, toute la chaîne d'approvisionnement
22:08et tous les acteurs qui interviennent
22:09dans la prise en charge des patients.
22:10Donc, là, on est plutôt sur des actions
22:11qui sont des actions de mise en sécurité opérationnelle
22:14des acteurs.
22:15On a un autre point qui va être extrêmement important
22:17dans les mois et dans les années à venir,
22:19c'est la mise en conformité avec la directive NIS2.
22:22Dès que la transposition française sera réalisée,
22:24il y aura un certain nombre d'actions à réaliser
22:26par toutes ces entités qui vont être régulées.
22:27Elles seront très nombreuses en France,
22:28plusieurs milliers dans le secteur de la santé.
22:30Et évidemment, il faudra qu'on accompagne
22:32ces structures-là vers cette conformité.
22:35Est-ce que vous sentez justement
22:36que ces acteurs, ils sont assez au fait
22:38avec cette directive
22:39où il y a encore beaucoup de défis ?
22:41Alors, on a encore un certain nombre d'incertitudes
22:43qui pèsent du fait que les textes
22:44ne sont pas publiés,
22:45notamment sur les exigences détaillées
22:47qui seront imposées aux structures,
22:49puis sur des éléments un petit peu plus opérationnels,
22:53ensuite, sur notamment les sanctions
22:56qui pourraient être prises
22:56et le temps qui sera donné aux structures
23:00pour se mettre en conformité.
23:01En dehors de ça, oui,
23:02les structures sont plutôt au courant
23:03de l'arrivée de la directive,
23:06conscientes à peu près des enjeux
23:07qui sont poursuivis par celle-ci
23:09et des actions qu'ils doivent mettre en œuvre
23:11qui sont pour la plupart déjà entamées
23:13dans beaucoup d'entre eux.
23:16Une réaction, François ?
23:17Oui, non, ce qu'on peut constater sur les hôpitaux,
23:19c'est la prise en compte du risque qui a été là.
23:22Il y a eu beaucoup d'initiatives,
23:23France Relance, beaucoup de travail de l'ANSI.
23:24Donc ça, c'est ce qui manque encore,
23:26ça va être les moyens
23:27pour faire ça dans le temps.
23:29Les hôpitaux ou le système de santé français
23:31ont des problèmes de budget réguliers,
23:33que ce soit dans les recrutements
23:34ou dans les salaires.
23:35Donc, est-ce que la cybersécurité
23:37passera au bon niveau,
23:38avec les bons moyens,
23:39pour justement répondre
23:39à ces contraintes réglementaires ?
23:41Ça reste encore un sujet.
23:42Merci beaucoup à tous les trois.
23:44Ça y est, c'est passé très vite.
23:45François Doruti,
23:46je rappelle que vous êtes le patron
23:48de la recherche du renseignement
23:49sur les cyberattaques chez Sequoia.
23:51Adrien Merveille, expert cyber
23:52chez Checkpoint France
23:54et Cyril Chauvel,
23:55membre de l'AFCDP.
23:57Merci à tous les trois.
24:04Nous terminons cette édition
24:06avec Étienne de Sainte-Marie,
24:08membre du Cercle de la Donnée,
24:09qui va nous parler
24:10de l'économie de l'attention.
24:12C'est un enjeu sociétal,
24:13pour ne pas dire civilisationnel.
24:16Peut-être, Étienne,
24:17d'abord revenir sur ce qu'on appelle
24:18l'économie de l'attention
24:20et pourquoi.
24:20C'est un sujet crucial.
24:22Comme son nom l'indique,
24:23l'économie de l'attention
24:24repose sur la captation
24:26de l'attention.
24:27C'est ce qu'on appelle
24:28le gratuit, en fait.
24:30Le fameux dicton
24:31que vous avez peut-être déjà entendu,
24:32si c'est gratuit,
24:33c'est toi le produit.
24:34Eh oui.
24:34Voilà.
24:35Donc, en fait,
24:36l'économie de l'attention,
24:37tout simplement,
24:38c'est un mécanisme
24:39qui consiste à capter
24:40au maximum notre attention
24:41et donc à nous garder connectés
24:44le plus possible à nos écrans
24:46pour drainer le maximum
24:47de données qui servent
24:48en fait de monnaie
24:49à des fins de financement.
24:51Donc, en fait,
24:51plus on est connecté,
24:52plus on veut cher
24:53et donc les algorithmes,
24:55les modèles,
24:56ont intérêt à nous garder connectés
24:57et donc ça génère en fait
24:58mécaniquement,
24:58structurellement
24:59et pas accidentellement
25:00des biais que sont polarisation
25:02parce qu'on est toujours
25:02encouragé dans nos biais
25:03de...
25:04d'opinion.
25:09Oui, c'est ça,
25:09exactement.
25:10Et puis,
25:11et donc du coup,
25:12ensuite la censure
25:12parce que ça génère des excès,
25:14les addictions numériques,
25:15l'explosion des fake news
25:16parce qu'elles existaient avant,
25:17mais on sait qu'une fake news
25:17est relayée six fois plus vite
25:18parce qu'elle a ce côté sensationnel
25:19qui va vous garder connecté,
25:20vous faire réagir,
25:21etc.
25:23Et puis donc,
25:24après,
25:24toutes les conséquences
25:25sur la fois individuelle
25:26et sociétale.
25:27Et qu'est-ce qui se passe
25:28dans notre cerveau ?
25:28On parle d'addiction
25:29au numérique.
25:30Eh bien,
25:31en fait,
25:32justement,
25:32les algorithmes
25:33sont conçus
25:34pour nous faire réagir
25:36et donc,
25:37en fait,
25:37ils nous connaissent
25:38avec le machine learning,
25:39etc.
25:40Ils nous connaissent mieux
25:40que nous-mêmes
25:41sur certains points.
25:42Ils sont conçus
25:42pour activer en permanence
25:43nos instincts.
25:45Et donc,
25:45par exemple,
25:46Sean Parker,
25:46premier président de Facebook,
25:48disait de lui-même
25:48et très tôt,
25:50nous savions que nous exploitions
25:51une faille de la psychologie humaine
25:53et nous l'avons fait quand même.
25:54Donc,
25:54en fait,
25:54ce n'est pas quelque chose
25:55de récent.
25:56Et donc,
25:57ils sont appuyés
25:58sur des mécanismes
25:59de psychologie cognitive
26:00où ils se sont rendus compte
26:02qu'en récompensant,
26:04en générant
26:05certains comportements,
26:07le cerveau réagissait
26:08spontanément
26:09et les gens
26:10restaient connectés
26:11plus longtemps.
26:11Avec des conséquences
26:12très concrètes
26:12sur nos vies.
26:14Exactement.
26:15Oui,
26:15typiquement,
26:16vous êtes de droite,
26:17vous allez avoir
26:17de plus en plus
26:17de contenu de droite,
26:18vous êtes de gauche
26:18de plus en plus
26:19de contenu de gauche
26:19et en fait,
26:20clairement,
26:20on le voit dans nos sociétés
26:21après 20 ans,
26:22une société fragmentée
26:23et les réseaux sociaux
26:24ont clairement,
26:24alors ce n'est pas la seule raison,
26:26mais ont clairement
26:26amplifié ce phénomène
26:27et en fait,
26:30maintenant,
26:30ça s'est infiltré
26:30dans tous les recoins
26:31de nos vies.
26:32Vous diriez qu'aujourd'hui,
26:33les réseaux sociaux
26:35sont irrécupérables ?
26:37Non,
26:38mais en fait,
26:39il y a deux options.
26:42Soit on ne fait rien
26:43et avec l'arrivée
26:44de l'intelligence artificielle
26:45qui va encore
26:45exponentialiser ce phénomène
26:47parce que ça va être
26:47encore bien plus puissant
26:48que les algorithmes
26:51qu'on connaît
26:52de l'économie de l'attention,
26:53ça va être de pire en pire.
26:54Surtout qu'il y a
26:55ce que j'appelle
26:56ceux qui ont connu avant,
26:58vous, moi,
26:59mais maintenant,
26:59ceux qui arrivent
27:00n'ont pas connu avant.
27:01Donc avant,
27:01c'est avant Internet,
27:02c'est avant les réseaux sociaux.
27:03Et donc, du coup,
27:03soit on laisse faire ça,
27:04on va devenir vraiment
27:05des petits robots,
27:06ce qu'on est déjà pas mal,
27:07soit on choisit
27:09de casser ce business model.
27:10Et donc, moi,
27:11je pense vraiment
27:11qu'il faut,
27:13la première chose à faire,
27:14c'est de couper
27:15cette dépendance financière
27:16à l'attention.
27:17Et pour ça,
27:17il faut tout simplement
27:18revenir à réparer
27:19une anomalie
27:20qui, à mon avis,
27:21est unique dans l'histoire,
27:22c'est-à-dire
27:23la pseudo-gratuité
27:24d'une industrie de masse.
27:26Aucune industrie de masse
27:27générant autant d'argent
27:29ne peut être gratuite.
27:30On est tous victimes
27:31d'une hallucination collective
27:32et donc,
27:33il faut casser
27:34et les réseaux sociaux
27:34devraient, à mon sens,
27:35être payants
27:36et rétribuer les utilisateurs
27:37pour leur activité.
27:38Que change l'arrivée
27:39de l'IA pour vous ?
27:41Eh bien, en fait,
27:41ça ne fait qu'exponentialiser
27:42le problème.
27:44Et puis,
27:45comme je l'ai dit tout à l'heure,
27:46l'IA,
27:48on est déjà impressionné
27:49par ce que l'IA
27:50a apporté depuis deux ans
27:51dans nos vies quotidiennes,
27:52une CGPT, etc.
27:53Mais on est vraiment
27:54à la préhistoire.
27:55Et ça va aller
27:56de plus en plus vite.
27:57Donc ça,
27:58plus le fait que
27:58les générations qui arrivent
27:59et qui sont déjà là
28:00n'ont pas connu
28:01ce que c'était avant,
28:04ça peut être très dangereux.
28:06Et voilà,
28:07je pèse mes mots,
28:07je ne suis pas catastrophiste.
28:08Moi, je crois vraiment
28:09qu'on est en train de changer.
28:11Les régulateurs,
28:12les politiques
28:12commencent à se pencher
28:13sur le problème.
28:14En plus,
28:15vient s'ajouter
28:15ce contexte géopolitique
28:16qu'on connaît
28:17avec Trump,
28:19Poutine,
28:19Musk,
28:19qui rachètent X,
28:20l'Europe qui se sent
28:21un peu dénudée
28:23face à ça.
28:25Donc,
28:25il y a une prise de conscience
28:26et moi,
28:28je suis assez optimiste.
28:29Je pense que ça
28:30aboutira
28:31sur des changements.
28:32Merci beaucoup,
28:33Étienne de Sainte-Marie.
28:34Je rappelle que
28:34vous êtes membre
28:35du Cercle de la Donnée.
28:36Merci pour votre participation.
28:38Merci à Lili Zalkin
28:39qui m'a accompagnée
28:40sur cette émission Smartech.
28:42Et merci à vous
28:42de nous suivre
28:43avec une grande fidélité
28:44sur la chaîne
28:45Bsmart for Shell.
28:45Vous pouvez aussi
28:46nous écouter en podcast.
28:47À très bientôt.
28:51Sous-titrage Société Radio-Canada
28:52Sous-titrage Société Radio-Canada
Recommandations
26:21
|
À suivre
29:24
28:31
28:47
29:19
28:38
28:55
41:46
29:06
28:44
28:43
28:04
25:45
42:51
29:56
28:36
42:30
28:30
28:28
27:23
28:39
28:41
29:15
26:52
27:49