Archives quotidiennes :

Cybersécurité, Entreprise

Cybersécurité en entreprise, le vrai risque est cognitif

Laisser un commentaire

Quand la sécurité ressemble à une contrainte, elle perd. Sous stress, même des équipes volontaires contournent les règles, et le fossé entre opérationnels et RSSI devient, lui-même, une faille.

En entreprise, les directives de sécurité informatique échouent souvent pour une raison discrète mais massive : elles sont vécues comme un frein, donc contournées. Une expérience de deux jours montre un basculement progressif, malgré une attitude initialement favorable, lorsque la pression du travail augmente : les mesures deviennent des obstacles et les écarts se multiplient. Le problème n’est pas seulement la connaissance des risques, mais l’arbitrage quotidien entre objectifs, temps, collaboration et règles abstraites. Pour sortir de l’opposition « sécurité contre business », une stratégie à deux volets s’impose : concevoir des politiques centrées sur l’humain et communiquer avec respect, afin de passer de la conformité subie à la co-construction.

Sécurité informatique, le stress fabrique des contournements

Le malentendu commence souvent doucement, presque poliment. Une consigne arrive, « pour protéger l’entreprise« , et personne ne s’y oppose frontalement. Puis la journée accélère, les délais se resserrent, la coordination devient urgente. La règle, elle, ne bouge pas. Dans une expérience menée sur deux jours, des participants pourtant bien disposés au départ finissent par regarder les mesures de sécurité comme des cailloux dans la chaussure. Plus la pression professionnelle monte, plus la sécurité est requalifiée en obstacle, et plus les violations deviennent fréquentes. Le signal est clair : les comportements ne se résument ni à la bonne volonté ni à la formation, ils dépendent fortement du contexte.

C’est ici que naît le risque le plus insidieux. L’utilisateur ne « refuse » pas nécessairement de se protéger, il hiérarchise. Il choisit ce qui lui semble prioritaire sur le moment : atteindre un objectif ambitieux, répondre vite, travailler sans friction avec un collègue, un fournisseur, un client. Quand les exigences de sécurité restent abstraites, elles entrent en collision avec des impératifs concrets. La cybersécurité se transforme alors en force de ralentissement, donc en adversaire. Et cette perception, plus que la technique, dégrade la collaboration entre équipes sécurité, informatique et métiers, jusqu’à fissurer la culture commune.

Pour un RSSI, le défi n’est plus seulement de « définir la règle correcte« , mais de comprendre pourquoi elle est vécue comme impraticable. Plusieurs mécanismes se combinent : méconnaissance des menaces, bénéfice mal compris, conflit d’objectifs, manque de temps, mais aussi déficit de moyens. On peut exiger des échanges de données sécurisés, sans fournir l’outil qui permet de le faire simplement.

On peut imposer une procédure, sans donner d’exemples ni de modèles à suivre. À ce stade, sanctionner et répéter une formation standardisée peut produire l’effet inverse : la sécurité devient un rituel administratif, puis une gêne, puis une routine de contournement.

Les pirates exploitent cette routine. La référence cybersécurité ZATAZ propose d’ailleur un outil dédié au Social Engineering, et plus précisément une application web qui permet de s’entrainer à contrer un S.E. lors d’un appel téléphonique ou d’une « rencontre ».

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Politiques centrées humain, communication respectueuse

La sortie d’impasse passe par une approche à deux faces, conçue pour restaurer l’alliance entre protection et efficacité. Première face : regarder l’entreprise comme un réseau de parties prenantes, avec des priorités parfois incompatibles. Avant d’imposer une mesure, il faut cartographier qui dépend de qui, qui est évalué sur quoi, où sont les goulots d’étranglement, et à quel moment la règle se heurte au réel. Plus la compréhension du travail quotidien est fine, plus la mesure peut être ciblée, donc acceptée. La sécurité cesse d’être une surcouche, elle devient un réglage.

Deuxième face : admettre que le problème vient souvent de la mesure elle-même. Il existe fréquemment plusieurs réponses possibles à une même menace, mais les choix se font trop vite sur des critères techniques, en oubliant la difficulté d’exécution, la compatibilité avec les outils, la complexité ressentie. Une politique efficace doit rester robuste, mais aussi lisible et faisable. Cela suppose d’impliquer les employés dès la conception, pas à la fin du processus. Cette implication n’est pas un “cadeau”, c’est un test de réalité : elle révèle les contradictions, les besoins, les points de friction invisibles depuis la tour de contrôle.

Les projets pilotes jouent ici un rôle de renseignement interne. On démarre avec des utilisateurs pionniers, capables d’expérimenter, de remonter des irritants, de proposer des ajustements. On apprend vite, on corrige tôt, on évite de déployer une règle qui sera massivement contournée dès la première semaine. Cette logique transforme la conformité passive en co-construction proactive, et elle installe la sécurité dans les gestes du quotidien plutôt que dans un document.

Reste la manière de parler de sécurité. Trop souvent, la communication se résume à des injonctions, des notifications descendantes, des modules en ligne interchangeables, parfois des formats jugés infantilisants. À l’inverse, une communication respectueuse mise sur un dialogue d’égal à égal, où l’employé est traité comme un professionnel responsable.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Elle commence par une empathie stratégique, non pour renoncer à l’objectif, mais pour comprendre la contrainte métier. Elle privilégie l’écoute active, en cherchant le « comment on fait » plutôt que le « c’est interdit« . Elle valorise enfin l’expérience, car vivre un scénario de phishing, de ransomware ou d’intrusion via clé USB, dans un environnement simulé, ancre mieux les réflexes qu’une théorie aride.

Au fond, le RSSI devient garant d’une culture opérationnelle de la sécurité : architecte de politiques centrées sur l’humain, et chef d’orchestre d’un dialogue qui réconcilie protection et performance.

Cybersécurité, IA

HackerOne et l’IA : la confiance des hackers ébranlée

Laisser un commentaire

Un lancement produit a suffi à faire monter la pression dans l’écosystème bug bounty. Chez HackerOne, une promesse d’IA « agentique » a réveillé une crainte simple : l’exploitation des rapports des chercheurs.

HackerOne s’est retrouvé au centre d’une controverse après le lancement d’Agentic PTaaS, présenté comme des tests de sécurité continus combinant agents d’IA autonomes et expertise humaine. Une phrase sur une « base de connaissances exclusive sur les exploits », constituée au fil d’années de tests réels, a déclenché une question sensible : d’où viennent les données d’entraînement. Des chercheurs, dont l’ancien contributeur YShahinzadeh et le spécialiste AegisTrail, ont exprimé leurs inquiétudes.

La phrase de trop dans Agentic PTaaS

L’incident démarre avec un produit, Agentic PTaaS, que HackerOne décrit comme un dispositif de « tests de sécurité continus » reposant sur des agents d’IA autonomes, complétés par des humains. La promesse est ambitieuse, presque séduisante pour des clients pressés d’industrialiser la sécurité. Pourtant, dans ce type d’annonces, tout se joue souvent sur une formulation.

Ici, c’est la mention d’agents « entraînés et perfectionnés » grâce à une « base de connaissances exclusive sur les exploits », alimentée par des années de tests sur des systèmes d’entreprise réels. Dans le monde du bug bounty, ces mots ont une portée particulière. Les rapports de vulnérabilités sont plus que des tickets techniques, ce sont des récits d’accès, de logique d’exploitation, de preuves, parfois de contournements. Ils concentrent des idées originales, une méthodologie et, souvent, des détails sensibles.

Très vite, la question s’impose chez les chasseurs de bugs : ces connaissances viennent-elles, directement ou indirectement, des rapports soumis par les chercheurs ? Un ancien chasseur, sous le pseudonyme YShahinzadeh, formule la crainte sans détour, en demandant, en substance, que ses rapports n’aient pas servi à entraîner ces agents. La tension est immédiate, car l’équilibre économique et moral du bug bounty repose sur un contrat implicite : le chercheur fournit un signal rare, la plateforme orchestre, le client corrige, la prime rémunère. Si ce signal devient une matière première pour des systèmes automatisés, la valeur perçue du travail humain peut se déplacer, sans compensation claire.

 



News & Réseaux Sociaux ZATAZ

YouTube
WhatsApp
Google News
Autres
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

S’abonner à la NewsLetter ZATAZ

Un autre spécialiste, AegisTrail, pousse l’alerte sur un terrain plus sombre. Il décrit un moment où des « chapeaux blancs » peuvent se sentir coincés, comme si les règles se retournaient contre eux, au point que « le côté obscur » devienne une tentation nourrie par la colère et l’instinct de survie plutôt que par l’éthique. Derrière la formule, il y a un message de contre-renseignement : quand la confiance s’érode, les comportements changent, et l’écosystème entier devient plus difficile à gouverner.

La réponse de la PDG et l’effet domino chez les concurrents

La pression publique a conduit la PDG, Kara Sprague, à s’exprimer de manière détaillée sur LinkedIn. Son message vise précisément le point le plus explosif : l’entraînement. Elle affirme que HackerOne n’entraîne pas de modèles d’IA génératifs, ni en interne ni via des prestataires, à partir des rapports des chercheurs ou de données confidentielles de clients. Elle ajoute que ces rapports ne servent pas non plus à affiner ou améliorer les modèles. Enfin, elle explique que les fournisseurs de modèles tiers n’ont pas le droit de stocker ou d’exploiter les données des chercheurs ou des clients pour entraîner leurs propres modèles.

Dans le même mouvement, Sprague présente HackerOne Hai, le système d’IA « basé sur des agents », comme un accélérateur opérationnel : produire plus vite des résultats, comme des rapports vérifiés, des correctifs et des primes versées, tout en protégeant l’intégrité et la confidentialité des contributions des chercheurs. Dit autrement, l’IA est placée du côté de la logistique et de la mise en qualité, pas du côté de l’absorption des contenus sensibles.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

DÉCOUVRIR L’OUTIL CTI

Face à la polémique, HackerOne indique, de son côté, vouloir mettre à jour ses conditions générales. Le signal est important : ce qui relevait d’engagements et d’explications publiques doit désormais se transformer en texte opposable. Dans un secteur où l’asymétrie d’information est permanente, formaliser, c’est aussi reconnaître que la confiance ne se décrète pas, elle se contracte.

Au fond, cette séquence rappelle une règle de cyber-intelligence : dès qu’une plateforme parle d’IA, la première attaque porte sur la provenance des données, car c’est là que se joue la légitimité.

Cybersécurité, Justice, loi, Securite informatique

Freedom.gov, le portail américain qui défie les lois européennes

Laisser un commentaire

À Washington, un projet discret monte en puissance : un portail en ligne destiné aux Européens pour accéder à des contenus interdits chez eux, avec en toile de fond censure, influence et cybersécurité.

Le département d’État américain prépare un site, hébergé sur freedom.gov, pour permettre à des résidents d’Europe et d’autres pays de consulter des contenus interdits par leurs gouvernements. D’après trois sources proches du dossier citées par Reuters, il s’agirait notamment de documents relevant du discours de haine et de la propagande terroriste. Les équipes auraient évoqué l’intégration d’un VPN afin de masquer l’origine du trafic en le faisant apparaître comme américain, sans journaliser l’activité. Le domaine a été enregistré le 12 janvier et affiche un message de mobilisation. L’initiative, supervisée par Sarah Rogers, inquiète déjà pour ses effets diplomatiques.

Un outil d’accès, et un signal de puissance

Le décor est presque vide, mais le message est clair. Sur freedom.gov, un site à peine en ligne n’affiche pour l’instant qu’une phrase de mise en scène : « L’information, c’est le pouvoir. Réaffirmez votre droit à la liberté d’expression. Soyez prêts. » L’absence de contenus visibles ne dit pas l’absence d’intention. Selon trois sources proches du dossier citées par Reuters, le département d’État américain développe un portail pensé pour des résidents d’Europe et d’autres pays, afin qu’ils consultent des contenus interdits par leurs autorités. Dans la liste évoquée, on trouve des documents classés comme discours de haine et propagande terroriste.

L’architecture technique envisagée révèle l’angle cyber. Des responsables auraient discuté de l’ajout d’un VPN intégré, conçu pour masquer l’origine du trafic des visiteurs. Concrètement, l’objectif serait de faire passer leur navigation pour une activité américaine. Autre point sensible : aucune activité ne serait enregistrée. Dans un contexte où les États et certaines plateformes multiplient la traçabilité, promettre l’absence de journaux est, en soi, une prise de position. Reuters note toutefois que la supériorité de cette solution par rapport aux outils classiques reste floue. Le texte ne tranche pas : s’agit-il d’un service réellement inédit, ou d’un habillage institutionnel d’une promesse déjà accessible par des moyens ordinaires ?

Le calendrier, lui, confirme qu’il ne s’agit pas d’une simple page de communication. D’après le registre fédéral get.gov, le domaine freedom.gov a été enregistré le 12 janvier. Le projet serait supervisé par la sous-secrétaire d’État à la diplomatie publique et aux affaires publiques, Sarah Rogers. Le portail devait initialement être présenté à la Conférence de Munich sur la sécurité, avant que la présentation ne soit reportée pour une raison inconnue. Ce report nourrit une tension narrative : le chantier avance, mais l’annonce publique se dérobe, comme si le sujet exigeait une préparation politique autant qu’un déploiement technique.

Dans l’ombre, un portail de ce type opère sur deux niveaux. Au premier, il promet un accès : contourner des interdictions nationales. Au second, il envoie un signal d’influence : un État revendique la capacité d’ouvrir, à distance, des espaces informationnels fermés par d’autres. La cybersécurité devient alors un langage diplomatique, où l’anonymat, le routage et l’absence de logs se transforment en arguments de politique étrangère.

Liberté d’expression, régulation et collision juridique

C’est ici que le projet change de nature. Reuters souligne que l’Europe et les États-Unis n’abordent pas la liberté d’expression avec les mêmes fondations. Côté américain, la Constitution protège presque tous les discours. Côté Union européenne, les restrictions sont plus nombreuses, et un corpus de règles existe depuis 2008 pour obliger les grandes plateformes, notamment Meta et X, à retirer rapidement des contenus illégaux. Dans ce récit, X est aussi mentionné comme « extrémiste » et interdit en Russie, signe que les étiquetages politiques varient selon les juridictions, et que l’espace numérique se fragmente.

Les sanctions financières servent d’outil de contrainte. Reuters cite un exemple : en décembre dernier, X a reçu une amende de 140 millions de dollars (montant en euros non calculable ici faute de taux de change fourni) pour non-respect de la réglementation. Dans un tel paysage, un portail américain visant des contenus illégaux en Europe risque d’être lu comme une provocation. Reuters avertit que l’initiative pourrait aggraver des relations déjà tendues entre Washington et l’Europe. Pire, elle placerait de facto les États-Unis dans la posture d’un État encourageant des citoyens étrangers à enfreindre les lois de leurs propres pays.

La dimension politique est explicitée par les éléments attribués à l’administration Trump. Des responsables qualifient la réglementation européenne de « censure d’extrême droite ». Depuis octobre dernier, Sarah Rogers se serait rendue dans plus de dix pays européens et aurait rencontré des représentants d’organisations d’extrême droite présentées comme « opprimées » par Washington. En parallèle, la Stratégie de sécurité nationale de décembre aurait mis en garde contre la « destruction » menaçant l’Europe à cause de sa politique migratoire, et annoncé l’intention de soutenir les opposants à cette politique au sein des pays européens. Dans ce cadre, freedom.gov ressemble moins à un simple portail qu’à un instrument de soutien, de récit et de pression.

Kenneth Propp, ancien fonctionnaire du département d’État spécialisé dans la réglementation numérique européenne, aujourd’hui au Centre européen de l’Atlantic Council, résume l’impact attendu : une « attaque directe » contre la régulation européenne. Selon lui, freedom.gov « sera perçu en Europe comme une tentative des États-Unis de saper le droit national ». En termes de cyber-renseignement, l’enjeu dépasse l’accès à des contenus : il touche à la capacité d’un État à façonner les normes, à contourner les cadres adverses, et à tester, grandeur nature, la résilience juridique et technique des démocraties.

Derrière la promesse de « liberté », freedom.gov pourrait surtout mesurer jusqu’où l’influence américaine peut s’exercer, en ligne, contre des règles européennes, sans déclencher de riposte immédiate.

Cybersécurité, Espionnage Spy, IA

Bug Copilot Chat expose des e-mails confidentiels

Laisser un commentaire

Depuis fin janvier 2026, un bug dans Microsoft 365 Copilot permettrait de lire et résumer des mails pourtant marqués confidentiels, en contournant des politiques censées empêcher l’IA d’analyser ces contenus.

Des développeurs de Microsoft ont signalé un dysfonctionnement de Microsoft 365 Copilot : Copilot Chat peut accéder à des courriels confidentiels et les résumer, malgré des politiques de protection contre les fuites de données prévues pour bloquer l’analyse automatisée. Le bug touche le chat de l’onglet « Travail ». Le problème concerne surtout les dossiers « Éléments envoyés » et « Brouillons », y compris des messages avec balises de confidentialité.

Un contournement silencieux des garde-fous DLP

Le point de départ ressemble à un scénario que redoutent toutes les équipes sécurité : l’outil est autorisé, l’usage est légitime, mais la barrière de protection ne joue plus son rôle. Dans ce cas précis, Microsoft 365 Copilot, via Copilot Chat, se serait mis à lire et à résumer des courriels confidentiels, alors même que des politiques de prévention des fuites de données devraient limiter l’accès des outils automatisés à ces messages.

Copilot Chat est décrit comme un chatbot contextuel, intégré à Word, Excel, PowerPoint, Outlook et OneNote, et conçu pour permettre des échanges avec des agents IA à partir du contenu de travail. L’outil est disponible pour les abonnés Microsoft 365 Entreprise depuis septembre 2025, ce qui le place au cœur des flux bureautiques et, par extension, au contact direct d’informations sensibles.

Le bug signalé ne porte pas sur un détail d’interface mais sur un principe de gouvernance : les balises de confidentialité servent précisément à empêcher des systèmes automatisés, dont Copilot, d’analyser le contenu de certains messages. Or, selon les éléments rapportés, l’assistant aurait ignoré cette contrainte dans une zone très utilisée, la fonction de chat accessible dans l’onglet « Travail ». Le risque, dans un environnement où les utilisateurs sollicitent l’IA pour gagner du temps, est mécanique : une demande anodine de synthèse peut faire remonter des informations qui n’auraient jamais dû être prises en compte par un système automatisé.

D’après Bleeping Computer, le bug est référencé CW1226324 et a été signalé pour la première fois le 21 janvier. La chronologie compte, car elle suggère une fenêtre d’exposition depuis fin janvier, période durant laquelle l’outil a pu traiter des messages censés rester hors périmètre. Dans un cadre cyber, cette temporalité est un indicateur opérationnel : plus la fenêtre est longue, plus la probabilité d’un usage involontaire, puis d’une propagation secondaire, augmente.

Éléments envoyés, brouillons, et la surface d’exposition interne

Le dysfonctionnement serait concentré sur la manière dont Copilot Chat traite les dossiers « Éléments envoyés » et « Brouillons ». C’est un détail qui pèse lourd. Les brouillons, par définition, contiennent souvent des formulations non stabilisées, des négociations en cours, des éléments juridiques avant validation, ou des fragments d’informations qui ne sont pas encore destinés à circuler. Les éléments envoyés, eux, constituent une mémoire fidèle des décisions, des engagements et des échanges sensibles avec l’extérieur. Si ces deux répertoires sont mal gérés par la logique de protection, l’IA peut devenir une interface de recherche et de synthèse sur des contenus que l’organisation a explicitement tenté de verrouiller.

Microsoft aurait attribué le bug à une erreur de code, sans fournir de détails. Ce silence technique est classique dans les incidents qui touchent à des mécanismes de sécurité internes : trop d’informations aideraient aussi les attaquants à comprendre précisément le contournement. Mais l’absence de précisions laisse les responsables sécurité dans une zone inconfortable, car ils doivent estimer l’impact sans connaître le scénario exact, ni les conditions de déclenchement.

Le correctif aurait commencé à être déployé début février. Là encore, la formulation est importante : un déploiement n’est pas une résolution instantanée. En entreprise, la réalité est faite d’environnements hétérogènes, de délais de propagation, de dépendances et de configurations spécifiques. Microsoft n’a pas communiqué de date de résolution complète, ni le nombre d’utilisateurs ou d’organisations concernés. L’entreprise a aussi précisé que l’étendue du problème pourrait évoluer au fil de l’enquête, ce qui suggère un périmètre encore en consolidation.

Sur le plan renseignement et gestion du risque, l’incident rappelle une règle dure : lorsque l’IA est imbriquée dans les outils de travail, la moindre défaillance de segmentation transforme un assistant de productivité en amplificateur de visibilité interne. Le danger n’est pas uniquement l’exfiltration externe, il est aussi l’exposition latérale, celle qui permet à une information de franchir des frontières de confidentialité à l’intérieur même de l’organisation, via des résumés, des reformulations et des requêtes contextuelles.

Ce bug met en tension deux promesses opposées : la fluidité du travail assisté par IA et la granularité des contrôles de confidentialité. Pour les défenseurs, l’enjeu n’est pas de diaboliser l’outil, mais de traiter l’IA comme un composant à privilèges, soumis aux mêmes exigences d’audit, de traçabilité et de cloisonnement que n’importe quel système sensible.

Quand l’IA sait lire, le vrai enjeu de cyber-renseignement devient de contrôler précisément ce qu’elle a le droit de comprendre.