Cybersecurity

British Airways : une « petite faille » à 20 millions de livres

« Errare humanum est, perseverare diabolicum ». Quand la confiance vacille, on en peut en payer le prix.

L’affaire British Airways (BA) est devenue un cas d’école en matière de cybersécurité et de conformité au RGPD : une faille technique minime, exploitée par des cybercriminels aguerris, s’est transformée en une amende de 20 millions de livres et une crise réputationnelle majeure.

La faille : un script tiers détourné

L’été 2018, entre le 22 juin et le 5 septembre, des pirates infiltrent le site officiel de BA via un script JavaScript obsolète(Modernizr), compromis depuis des années. Cette technique est typique du groupe Magecart, collectif criminel spécialisé dans le web skimming (injection de code sur des sites e-commerce pour voler les données de paiement).

Leur méthode :

  • injection d’un code malveillant sur la page de paiement ;

  • redirection des données clients vers un faux domaine quasi identique (baways.com) ;

  • collecte silencieuse de données personnelles et bancaires (noms, adresses, numéros de carte, CVV).

En deux mois, plus de 430 000 personnes sont impactées – clients comme employés. Le tout sans détection immédiate : preuve qu’une absence de supervision proactive (via un SIEMSecurity Information and Event Management, un outil de corrélation d’alertes – et un SOCSecurity Operations Center, centre de surveillance dédié – ou encore un EDR, Endpoint Detection and Response, pour analyser les postes de travail) laisse le champ libre à ce type d’attaque.

Ce que l’ICO reproche à British Airways

L’Information Commissioner’s Office (ICO, régulateur britannique des données) a pointé de graves manquements aux articles 5(1)(f) et 32 du RGPD (Règlement Général sur la Protection des Données, cadre européen de protection des données personnelles).

Les lacunes identifiées étaient multiples :

  • Identifiants sensibles stockés en clair : login et mots de passe d’administrateurs accessibles.

  • Absence de MFA (Multi-Factor Authentication, authentification multifacteur), pourtant devenue un standard de sécurité sur les systèmes critiques.

  • Données bancaires conservées illégalement, y compris les CVV, en violation du PCI DSS (Payment Card Industry Data Security Standard, norme mondiale de sécurité pour les paiements).

  • Surveillance et audit insuffisants, aucun mécanisme robuste de détection d’intrusion.

  • Chaîne de confiance défaillante : un script tiers vulnérable exploité, révélant une gouvernance insuffisante des prestataires.

Autrement dit, BA a manqué aux fondamentaux de la cyber-hygiène. Des mesures reconnues comme standards – ISO 27001 (International Organization for Standardization 27001, norme internationale de gestion de la sécurité de l’information), NIS2 (Network and Information Security Directive 2, directive européenne pour les secteurs essentiels), DORA (Digital Operational Resilience Act, règlement européen sur la résilience du secteur financier) – auraient permis d’éviter une telle situation.

L’amende : spectaculaire et symbolique

En juillet 2019, l’ICO annonçait une amende record de 183 millions de livres (1,5 % du chiffre d’affaires mondial). Finalement, la sanction fut réduite à 20 millions de livres en octobre 2020.

Malgré cette réduction, il s’agit à l’époque de la plus lourde amende jamais infligée par le régulateur britannique. Le message est clair : l’inaction coûte cher – en argent, en image et en confiance.

Les leçons à retenir

Cette affaire a marqué un tournant et illustre plusieurs enseignements pour toutes les organisations manipulant des données sensibles :

  • La sécurité ne s’arrête pas au pare-feu : mises à jour régulières, contrôle des scripts tiers, segmentation réseau sont indispensables.

  • Supervision proactive : détection rapide des signaux faibles via SOC, SIEM, EDR, en cohérence avec les recommandations de l’ANSSI.

  • Gestion des tiers et supply chain : un pilier du NIS2 et de DORA, désormais incontournable.

  • Pouvoir dissuasif du RGPD : les amendes (jusqu’à 20 M€ ou 4 % du CA mondial) ne sont pas théoriques, elles tombent.

  • Communication transparente et rapide : notifier dans les 72 heures (article 33 du RGPD) et informer les victimes (article 34).

  • Culture de sécurité : la responsabilité ne repose pas que sur les techniciens, mais aussi sur la gouvernance et les décisions budgétaires.

Conclusion

Le cas British Airways dépasse la simple “faille technique exploitée”. C’est une démonstration des dynamiques de responsabilité dans le monde numérique moderne. Une mise à jour oubliée, un fournisseur non audité, une supervision absente… et le coût se chiffre en millions.

Avec le RGPD comme socle, et désormais NIS2 et DORA pour les secteurs critiques, les régulateurs rappellent que la cybersécurité n’est plus une option : c’est un enjeu stratégique, juridique et moral. La confiance numérique se construit – ou se perd – à coups de vigilance quotidienne.

by Aloys Van de Vivere

blank

Chaîne d’approvisionnement numérique : la bombe à retardement de la cybersécurité

À l’horizon 2025, près d’une entreprise sur deux pourrait être victime d’une cyberattaque via ses fournisseurs. Le cabinet Gartner estime que ces incidents ont déjà augmenté de 300 % depuis 2021. Une tendance lourde qui révèle un changement de stratégie des cybercriminels : plutôt que d’attaquer les grandes entreprises directement, mieux protégées, ils s’infiltrent par leurs prestataires.

Pourquoi les sous-traitants sont devenus la cible idéale

La logique des attaquants est implacable : un seul fournisseur compromis peut ouvrir la voie à des milliers de victimes. Les sous-traitants, souvent moins armés en cybersécurité que leurs clients, représentent une faille systémique.

À cela s’ajoute un élément psychologique : la confiance implicite accordée aux partenaires. Or, cette confiance est précisément ce que les cybercriminels exploitent.

Les chiffres en témoignent. En 2024, la moitié des incidents rapportés dans l’Union européenne concernaient des secteurs hautement stratégiques – santé, énergie, transport – tous dépendants de chaînes de sous-traitance.

Des impacts qui dépassent l’informatique

Les attaques sur la chaîne d’approvisionnement ne se limitent pas à une panne passagère. Elles entraînent des pertes économiques, juridiques et réputationnelles.

  • 4,91 millions de dollars : coût moyen d’un incident prévu en 2025.

  • 267 jours : temps moyen nécessaire pour se remettre d’une attaque.

  • 138 milliards de dollars : pertes globales estimées d’ici 2031.

  • 40 % des cyberattaques ciblent déjà les PME et TPE, avec un coût moyen de 59 000 € par incident.

Pour une petite structure, ces chiffres se traduisent souvent par des semaines d’arrêt d’activité – et parfois, la faillite.

Trois attaques qui ont marqué un tournant

Certaines affaires récentes ont montré la puissance de l’effet domino :

  • SolarWinds : 18 000 organisations espionnées pendant 14 mois.

  • Kaseya : 1 500 entreprises paralysées via leurs prestataires IT.

  • MOVEit : 93,3 millions de personnes exposées à la suite d’une seule faille.

Ces cas démontrent qu’une vulnérabilité unique peut provoquer une onde de choc mondiale.

Comment renforcer la résilience ?

La cybersécurité ne peut plus se limiter aux frontières de l’entreprise. Elle doit inclure tout l’écosystème de partenaires. Parmi les pistes incontournables :

  • Cartographier ses dépendances grâce à un inventaire des composants logiciels (SBOM).

  • Adopter le principe de Zero Trust : ne jamais faire confiance par défaut, même à ses fournisseurs.

  • Surveiller en continu les activités suspectes, comme le recommande l’ANSSI.

  • Évaluer la robustesse des prestataires, exigence centrale du règlement européen DORA.

  • S’appuyer sur des normes reconnues, telles que l’ISO 27001, pour prouver la solidité de ses dispositifs.

L’intelligence artificielle, alliée ou menace ?

L’IA amplifie la course entre attaquants et défenseurs.

  • Côté pirates : intrusions automatisées, phishing ultra-ciblé, exploitation de failles à grande échelle.

  • Côté entreprises : détection prédictive, analyse comportementale, réponse rapide aux incidents.

Le retard d’adoption de ces outils par les sous-traitants pourrait aggraver leur vulnérabilité.

Une pression réglementaire accrue

Les institutions européennes durcissent les règles. Les prestataires ne peuvent plus se défausser :

  • NIS2 engage directement la responsabilité des dirigeants en cas de manquement.

  • DORA impose des clauses contractuelles et une surveillance accrue des fournisseurs TIC critiques.

  • RGPD oblige à notifier toute violation de données dans les 72 heures, sous peine de sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.

  • CaRE, plus adapté aux PME, combine prévention, détection et indemnisation.

De la dépendance à la responsabilité

La cybersécurité n’est plus une affaire réservée aux spécialistes techniques. Elle est devenue un enjeu stratégique et vital pour la survie des entreprises.

Chaque sous-traitant doit comprendre qu’il est un maillon critique de la chaîne de valeur, qu’il peut devenir la porte d’entrée d’une cyberattaque, et qu’il engage désormais sa responsabilité légale et économique dans la résilience de ses clients.

👉 La question à poser à chaque dirigeant est simple : votre entreprise a-t-elle cartographié ses dépendances et évalué la robustesse cyber de ses fournisseurs ?

Parce qu’à l’ère numérique, la faiblesse de vos partenaires peut devenir… votre chute.

blankby Stéphane Pochet

blank

Les murs anti-drones : l’urgence d’un rattrapage stratégique

Ces derniers jours, plusieurs aéroports européens — au Danemark, en Suède et en Allemagne — ont été contraints d’interrompre ou de perturber leurs activités à cause de drones non identifiés. Ces survols, parfois prolongés, ne sont pas de simples provocations : ils ressemblent davantage à des tests de vulnérabilité. Chaque incident envoie un message limpide : nos infrastructures critiques sont exposées, et il est aujourd’hui possible de paralyser une capitale européenne avec quelques appareils bon marché.

Un drone à 500 euros peut coûter plusieurs millions à un aéroport en une seule après-midi.

Un savoir-faire né de la guerre en Ukraine

La guerre en Ukraine a été un révélateur brutal. Les drones n’y sont pas seulement des instruments d’observation : ils sont devenus des armes de précision, des plateformes de reconnaissance et des munitions rôdeuses. Des quadricoptères civils modifiés guident les tirs d’artillerie ou larguent des grenades, tandis que des drones kamikazes à longue portée saturent les défenses adverses.

Trois leçons ressortent de ce conflit :

La démocratisation de la guerre aérienne, où quelques centaines d’euros suffisent à rivaliser avec des systèmes valant des millions ;

La saturation des défenses par des vagues de drones low-cost ;

Et la montée en autonomie, qui réduit l’efficacité du brouillage classique.

L’Ukraine est ainsi devenue un laboratoire grandeur nature, dont les enseignements se diffusent déjà au-delà du champ de bataille.

L’exemple iranien : produire simple, frapper fort

L’Iran a pris une avance stratégique en investissant massivement dans des drones peu coûteux, simples, mais produits à grande échelle. Les Shahed-136, utilisés en Ukraine par la Russie, incarnent cette logique : des engins robustes, capables de parcourir des centaines de kilomètres, dotés d’une charge explosive, et surtout fabriqués en série à des prix dérisoires.

La quantité a remplacé la sophistication comme critère de puissance.

Cette stratégie a permis à Téhéran de devenir fournisseur pour Moscou et pour d’autres alliés, diffusant un savoir-faire qui change les équilibres militaires. Pendant ce temps, l’Europe, fragmentée et lente, a laissé passer une décennie critique.

Les aéroports : premières victimes de cette asymétrie

Les survols observés à Copenhague, Stockholm ou Hambourg ces derniers jours ne sont probablement pas des erreurs isolées. Ils ressemblent davantage à des opérations de reconnaissance : observer, filmer, cartographier les réactions des forces de sécurité, tester les temps de réponse.

Un seul drone peut immobiliser un aéroport entier, interrompre des dizaines de vols et causer des pertes colossales. Plus grave encore, ces survols sapent la confiance du public et révèlent à quel point l’Europe a négligé sa défense civile face à cette nouvelle génération de menaces.

Les murs anti-drones : promesses et limites

Pour répondre à cette menace, des solutions dites de « murs anti-drones » se déploient peu à peu. Elles combinent radars, caméras thermiques, capteurs radio et IA de détection, avec des contre-mesures allant du brouillage à la neutralisation physique (filets, intercepteurs, lasers).

Leur efficacité est indéniable, mais leur coût et leur complexité freinent leur déploiement. Équiper un aéroport complet peut nécessiter plusieurs dizaines de millions d’euros et une coordination réglementaire délicate. Les systèmes doivent évoluer sans cesse, car chaque avancée technologique côté défense entraîne une contre-innovation côté attaque.

La défense doit devenir économique et modulaire, sinon elle perdra la guerre des coûts.

L’urgence du rattrapage

L’Europe n’a plus le luxe du temps. Les États qui ont anticipé — Iran, Turquie, Israël, Chine — exportent désormais leur savoir-faire et redessinent les équilibres militaires mondiaux. Pendant ce temps, nos capitales sont vulnérables à des drones qui, dans certains cas, coûtent moins qu’un smartphone.

Rattraper ce retard signifie agir immédiatement :

Investir massivement dans des systèmes anti-drones modulaires et interconnectés,

Mutualiser les achats au niveau européen pour réduire les coûts,

Adapter le cadre légal pour autoriser l’emploi de brouilleurs et de moyens militaires en contexte civil,

Former et entraîner régulièrement les opérateurs de sécurité à ces scénarios.

Ne pas agir maintenant, c’est accepter qu’un essaim de drones puisse, demain, immobiliser une capitale entière.

Conclusion : un choix de souveraineté

Nous vivons un moment charnière. Les drones ont déjà redessiné le champ de bataille en Ukraine et démontré leur efficacité stratégique. Les survols récents dans les aéroports du Danemark, de Suède et d’Allemagne montrent que cette réalité est désormais à nos portes.

Soit l’Europe rattrape son retard maintenant, soit elle restera spectatrice impuissante face à une menace qui se renforce chaque jour.

blankby Axel Legay

blank

Cyberattaques en Belgique : quand la guerre hybride s’invite aux portes de l’Europe

Une menace qui dépasse la technique

La Belgique a connu plusieurs cyberattaques majeures ces dernières années, visant des infrastructures critiques et stratégiques. En 2021, l’attaque contre Belnet a paralysé le réseau reliant les administrations, universités et centres de recherche. Plus récemment, des attaques ont visé des hôpitaux, des ports, mais aussi des sous-traitants de l’aéroport de Bruxelles, qui jouent un rôle clé dans la logistique et la sécurité aérienne.

Ces opérations, souvent attribuées à des acteurs liés à la Russie ou à la Chine, ne visent pas uniquement à bloquer un service : elles cherchent à tester la résilience du pays, à désorganiser temporairement des secteurs vitaux, et à instiller la peur dans la population.

La guerre hybride en action

Ces attaques s’inscrivent dans une stratégie de guerre hybride :

Psychologique : cibler un hôpital ou un sous-traitant de l’aéroport de Bruxelles provoque immédiatement un sentiment d’insécurité. Les citoyens comprennent que leurs déplacements ou leurs soins peuvent être perturbés à tout moment.

Stratégique : perturber les transports, ralentir le fret aérien ou maritime, bloquer temporairement des trains ou retarder des vols sont autant de moyens de démontrer la vulnérabilité d’un pays situé au cœur de l’Europe.

Opérationnelle : les attaquants testent la capacité de réaction. Chaque incident est une sorte d’“exercice grandeur nature” pour mesurer combien de temps il faut avant que les systèmes soient rétablis et que la coordination reprenne.

Le précédent des attentats de Bruxelles

L’histoire récente rappelle que la désorganisation des communications peut coûter des vies. Lors des attentats du 22 mars 2016 à Bruxelles, le réseau téléphonique avait été saturé. Cette perturbation a entravé la coordination des secours : des ambulances et des équipes médicales n’ont pas pu être déployées efficacement, retardant la prise en charge de victimes graves.

Une attaque cyber ciblant les réseaux de communication ou les systèmes de gestion des urgences pourrait reproduire, voire amplifier, ce type de chaos – sans qu’aucune bombe n’explose.

Pourquoi la Belgique est un terrain d’essai

La Belgique concentre plusieurs atouts et vulnérabilités :

Institutions internationales : l’OTAN et l’Union européenne à Bruxelles font du pays une cible symbolique.

Infrastructures interconnectées : le port d’Anvers, l’aéroport de Bruxelles et les réseaux ferroviaires sont vitaux pour l’économie européenne. Une panne, même brève, peut perturber l’ensemble de la chaîne logistique.

Écosystème de sous-traitance : de nombreux services critiques (sécurité, bagages, systèmes IT aéroportuaires) sont gérés par des prestataires privés, souvent moins protégés que les institutions centrales, ce qui en fait une porte d’entrée privilégiée pour les attaquants.

Conséquences pour les citoyens et l’État

Les impacts potentiels dépassent la simple technique :

Perte de confiance : un citoyen qui ne peut pas voyager, recevoir des soins ou communiquer en urgence doute de la capacité de l’État à le protéger.

Risque d’escalade : une attaque de test aujourd’hui peut se transformer demain en attaque coordonnée, paralysant transports, hôpitaux et communication.

Impact économique : une cyberattaque sur le port d’Anvers ou sur l’aéroport de Bruxelles pourrait coûter des dizaines de millions d’euros par jour en pertes logistiques et commerciales.

La nécessité d’une cybersécurité renforcée

Pour répondre à cette menace, trois axes sont essentiels :

Coordination nationale : renforcer le rôle du Centre pour la Cybersécurité Belgique (CCB) et lier davantage les opérateurs de transport, d’énergie et de santé dans les plans de crise.

Investissements massifs : consacrer des budgets équivalents à ceux de la défense classique, car une cyberattaque peut paralyser un pays aussi sûrement qu’un missile.

Culture cyber : former les entreprises et les citoyens aux réflexes de sécurité. Une campagne de sensibilisation nationale, associée à des exercices de crise, peut limiter les dégâts d’une attaque réelle.

Conclusion

Les cyberattaques récentes ne sont pas des incidents isolés. Elles s’inscrivent dans une stratégie de guerre hybride, visant à intimider, perturber et tester les défenses d’un pays au cœur de l’Europe.

La Belgique, carrefour logistique et diplomatique, doit investir massivement dans sa résilience numérique. Car la prochaine attaque pourrait ne pas viser uniquement à faire peur, mais à désorganiser en profondeur les transports, la santé et la communication — avec des conséquences comparables à une attaque physique.

blankby Axel Legay

blank

Cyberattaque majeure : comment un logiciel de bagages paralyse trois aéroports européens

1. Un maillon faible qui devient point d’entrée

Ce week-end, entre le 19 et le 21 septembre, trois grands aéroports européens – Brussels Airport, Heathrow et Berlin Brandenburg – ont vu leur fonctionnement basculer dans le chaos.

Le problème ne venait ni des avions, ni des systèmes de sécurité aérienne. La panne concernait un logiciel bien plus discret : MUSE, développé par Collins Aerospace, qui gère la gestion des bagages dans plus de 170 aéroports à travers le monde.

Ce qui semble être une tâche logistique secondaire s’est transformée en point de défaillance critique. Car sans bagages correctement enregistrés et suivis, impossible de faire tourner normalement un aéroport. Résultat :

  • 50 % des vols annulés à Brussels Airport

  • Files d’attente de plus de 3 heures à Heathrow

  • Plus de 35 000 passagers affectés

  • Retour aux étiquettes manuscrites

Pendant ce temps, Frankfurt, Zurich et Paris CDG sont restés opérationnels. Pourquoi ? Parce qu’ils n’utilisaient pas MUSE.

2. Comment l’attaque a fonctionné

L’enquête a attribué l’attaque au groupe BianLian, déjà connu dans le secteur. Leur stratégie a été redoutablement simple et efficace :

  1. Reconnaissance ciblée : le groupe connaissait déjà Collins Aerospace après une compromission en 2023.

  2. Exploitation d’une vulnérabilité connue : ils ont utilisé ProxyShell, une faille dans les serveurs Microsoft Exchange, toujours présente dans certains environnements mal corrigés.

  3. Choix du timing : l’attaque a été déclenchée un vendredi soir à 23h, moment où les équipes IT sont réduites.

  4. Effet domino : en compromettant le fournisseur centralisé, ils ont paralysé en cascade tous les aéroports dépendants de MUSE.

Là où un ransomware classique visait à extorquer de l’argent, ici l’objectif était clair : créer la paralysie opérationnelle.

3. Les enseignements à tirer

Cette attaque illustre trois leçons essentielles :

🔑 Le mythe du fournisseur “sans risque”

Un logiciel de bagages ne semble pas stratégique. Pourtant, en l’absence de redondance, sa défaillance a stoppé l’activité entière de plusieurs hubs européens.

🔑 La vulnérabilité de la supply chain

Vous pouvez protéger vos propres serveurs, mais si vos fournisseurs critiques sont compromis, c’est toute votre organisation qui tombe. La sécurité d’un écosystème est celle de son maillon le plus faible.

🔑 L’importance de l’architecture et de la diversification

Les aéroports qui avaient diversifié leurs systèmes ont continué à fonctionner. Ceux qui dépendaient d’un seul fournisseur ont été bloqués.

4. Pourquoi cette attaque nous concerne tous

On pourrait penser que cette histoire ne concerne que l’aéronautique. Mais elle met en lumière un point central : la cybersécurité est transversale et multisectorielle.

  • Une brèche dans la gestion des bagages = paralysie des aéroports.

  • Une attaque sur un fournisseur cloud = paralysie de milliers d’entreprises.

  • Une vulnérabilité dans un sous-traitant logistique = blocage d’une chaîne d’approvisionnement entière.

La cybersécurité n’est donc pas seulement une affaire d’IT. C’est une question de résilience opérationnelle pour tous les secteurs : santé, transport, énergie, administrations.

blankConclusion

Cette attaque de BianLian nous rappelle que la menace ne vient pas toujours d’où on l’attend. Un logiciel considéré comme périphérique peut, s’il est compromis, avoir un impact systémique majeur.

👉 Comprendre que la cybersécurité est transversale et multisectorielle, c’est accepter que la protection de nos systèmes ne se limite pas à nos propres infrastructures, mais s’étend à l’ensemble de nos partenaires et fournisseurs.

Dans un monde interconnecté, la sécurité des autres est aussi la nôtre.

blankby Stéphane Pochet

blank

La cybersécurité, un tremplin pour les talents atypiques

La cybersécurité, un tremplin pour les talents atypiques

La cybersécurité est devenue l’un des enjeux majeurs de notre époque. Chaque jour, les entreprises font face à des attaques toujours plus sophistiquées, et les besoins en protection numérique explosent. Pourtant, un paradoxe persiste : malgré la multiplication des formations et des annonces d’emploi, les postes peinent à trouver preneurs. On parle de milliers de places vacantes en Belgique et en Europe. Pourquoi ? Parce que trop souvent, les filtres de recrutement restent figés sur un modèle unique : diplômes académiques, parcours linéaires, expériences validées. Et si cette vision était trop étroite ? Et si la cybersécurité avait justement besoin de talents venus d’ailleurs, de profils autodidactes, atypiques, parfois inattendus ?

 

Quand la compétence dépasse le diplôme

Dans le monde numérique, ce ne sont pas toujours les diplômes qui font la différence, mais la curiosité, la passion et la capacité à apprendre vite. Combien de jeunes passionnés ont appris à sécuriser des systèmes en explorant par eux-mêmes, en contribuant à des forums spécialisés ou en participant à des compétitions de hacking éthique ? Combien d’autodidactes passent leurs soirées à décortiquer des lignes de code, à tester des scénarios d’attaque et à comprendre, par l’expérience, ce que d’autres mettent des années à théoriser ? Ces profils existent. Ils sont compétents. Mais trop souvent, on les écarte, faute de diplôme estampillé d’une grande école.

Réduire la cybersécurité à une liste de certifications, c’est passer à côté d’une ressource précieuse : la créativité. Un bon professionnel de la cybersécurité, ce n’est pas seulement quelqu’un qui connaît les normes, mais quelqu’un qui anticipe, qui improvise, qui sait se mettre dans la tête d’un attaquant pour mieux protéger. Et ces qualités se développent aussi bien dans un parcours académique que dans l’autodidaxie passionnée.

 

L’exemple britannique : transformer des trajectoires de vie

Le Royaume-Uni a montré qu’il est possible d’aller encore plus loin. Ces dernières années, plusieurs programmes pilotes ont été lancés dans les prisons pour former des détenus à la cybersécurité. L’idée peut surprendre, mais les résultats parlent d’eux-mêmes. Certains prisonniers, parfois condamnés pour des délits liés à l’informatique, avaient déjà des compétences impressionnantes. D’autres ont découvert dans la cybersécurité une véritable vocation. Encadrés, accompagnés, ces profils se révèlent motivés, rigoureux et extrêmement loyaux envers les entreprises qui leur donnent une chance.

Ce modèle est inspirant : il prouve que même dans les contextes les plus éloignés du marché du travail traditionnel, il est possible de révéler et de valoriser des compétences utiles à la société. Si l’on peut faire confiance à des personnes en réinsertion, pourquoi continuer à fermer la porte à des candidats “hors norme” qui, sans diplôme, ont pourtant les qualités nécessaires pour réussir ?

 

Une richesse pour les entreprises

Donner leur chance à ces profils atypiques n’est pas une option par défaut face à la pénurie : c’est une véritable opportunité. Ces talents apportent un regard neuf, une capacité d’adaptation et une créativité que l’on retrouve moins chez des profils formatés. Ils savent communiquer, vulgariser, ou gérer des situations inédites, parce qu’ils viennent d’autres horizons : enseignement, artisanat, armée, commerce, ou même parcours autodidacte pur.

Pour les entreprises, c’est un pari qui rapporte. Non seulement elles comblent un besoin critique, mais elles renforcent aussi leur culture interne. Ces collaborateurs, conscients de la chance qui leur est donnée, font souvent preuve d’une loyauté rare. Dans un secteur où la confiance et la résilience sont des valeurs cardinales, c’est un atout immense.

 

Ouvrir les portes, changer les regards

La pénurie de talents en cybersécurité ne sera pas résolue uniquement par les universités ou les certifications prestigieuses. Elle passera par un changement de mentalité : accepter que la compétence se prouve autrement que par un diplôme, créer des parcours de reconversion accessibles, valoriser l’expérience pratique et la passion. Dans une société plurielle, il est urgent de sortir du réflexe “diplôme à tout prix” et d’ouvrir d’autres chemins vers la réussite professionnelle.

Cela suppose aussi une évolution de l’éducation. Les compétences numériques et la sensibilisation à la cybersécurité devraient être présentes dès l’école primaire, pour donner le goût et les bases à tous les enfants. Mais cela ne doit pas se traduire par l’obligation d’un long parcours universitaire. Cinq ans sur les bancs d’une faculté ne sont pas le seul moyen d’accéder à ces métiers. Des formations plus courtes, plus pratiques et mieux intégrées dans le tissu économique doivent permettre à chacun de trouver sa place, qu’il soit étudiant, en reconversion ou autodidacte.

En ouvrant la cybersécurité à des talents atypiques, nous faisons plus que combler des postes. Nous renforçons la diversité, nous enrichissons la réflexion stratégique et nous offrons à des individus une vraie place dans la société numérique. La cybersécurité est un enjeu collectif : elle mérite que l’on mobilise toutes les énergies, y compris celles qui ne rentrent pas dans les cases traditionnelles.

blankby Axel Legay

blank

Data centers souverains : un milliard pour l’avenir de la Belgique

La Belgique a récemment annoncé un projet ambitieux : investir un milliard d’euros dans la construction de data centers militaires afin de renforcer sa souveraineté numérique. Selon un article de la RTBF, ce plan, inscrit dans la loi de programmation militaire 2026-2029, représente une avancée stratégique majeure pour notre pays.

Certains y verront une dépense. En réalité, c’est un investissement vital pour l’avenir, non seulement de notre défense, mais aussi de notre autonomie stratégique et de notre sécurité collective.

1. Un outil de souveraineté, pas seulement de défense

Comme le rappelle la RTBF, ces infrastructures de pointe seront conçues pour gérer en temps réel les volumes massifs de données générées par drones, satellites ou systèmes d’armes modernes. Leur valeur ne réside pas uniquement dans la technologie, mais dans ce qu’elle garantit : l’indépendance et le contrôle de nos informations stratégiques.

Aujourd’hui, une grande partie des données publiques et privées transite par des géants étrangers. Cette dépendance comporte un double risque : d’une part, le cyberespionnage ou le sabotage ; d’autre part, le chantage géopolitique. Demain, un litige diplomatique pourrait suffire à couper l’accès à nos données critiques. Avec ses propres data centers militaires, la Belgique dit clairement : nos données, notre souveraineté.

2. L’autonomie stratégique au cœur du projet

Dans mes interventions, je défends régulièrement l’idée que l’Europe et la Belgique doivent assumer une ambition d’autonomie stratégique. L’exemple des data centers illustre parfaitement ce principe : accepter de dépendre d’acteurs étrangers pour nos infrastructures numériques essentielles reviendrait à déléguer une partie de notre sécurité nationale.

À l’heure où la guerre se joue aussi – et parfois surtout – dans le cyberespace, ne pas disposer de nos propres bastions numériques serait une faute historique. Ces data centers permettront à la Défense de réagir rapidement, de coordonner ses forces et de sécuriser ses communications en toute indépendance. Ils incarnent ce que devrait être la politique de sécurité d’un État moderne : protéger ses citoyens en maîtrisant ses infrastructures critiques.

3. Un investissement qui profite à toute la société

Si la Défense est la première bénéficiaire, la RTBF souligne que la mutualisation des ressources pourrait profiter à l’ensemble des services publics. Dans un pays où les hôpitaux, les administrations et les collectivités locales sont régulièrement ciblés par des cyberattaques, la mise en place d’infrastructures souveraines est une assurance-vie pour la continuité des services essentiels.

Cet investissement n’est donc pas réservé aux militaires : il constitue un patrimoine numérique national, garantissant la sécurité des citoyens et la stabilité de nos institutions.

4. Une réponse aux défis de demain

Les data centers militaires ne sont pas une réponse au monde d’hier, mais au monde de demain. Ils soutiendront l’utilisation de l’intelligence artificielle dans le champ de bataille, la coordination logistique en temps réel, la gestion de flottes de drones et satellites, ou encore l’analyse instantanée de données stratégiques.

En d’autres termes, ils donneront à la Belgique la capacité de rester maître de son destin dans un environnement international instable. Comme le souligne Alain De Neve, chercheur à l’Institut Royal de la Défense, ces infrastructures ne sont pas une option, mais un levier indispensable pour moderniser nos armées et renforcer leur efficacité opérationnelle.

Conclusion : assumer notre destin numérique

En investissant dans des data centers militaires souverains, la Belgique prend une décision visionnaire. Ce milliard n’est pas une dépense de confort, c’est une assurance d’indépendance, de sécurité et de résilience.

La souveraineté numérique n’est pas un slogan. C’est la condition pour que nos démocraties restent libres de leurs choix et que nos nations puissent protéger leurs citoyens dans un monde où la guerre de demain – et déjà celle d’aujourd’hui – est avant tout une guerre de l’information et des infrastructures.

La Belgique a raison de faire ce choix courageux. Reste maintenant à assumer pleinement cette ambition, à la défendre et à la porter comme un symbole fort : la souveraineté ne se délègue pas, elle se construit.

blankby Ragnar

blank

La CNIL vient de publier 13 fiches pratiques pour aider les entreprises, administrations et développeurs à concevoir des systèmes d’IA respectueux des droits fondamentaux.

L’intelligence artificielle avance vite, mais la régulation aussi.
La CNIL vient de publier 13 fiches pratiques pour aider les entreprises, administrations et développeurs à concevoir des systèmes d’IA respectueux des droits fondamentaux.

👉 Ce n’est pas un simple avis d’expert, mais une boîte à outils très opérationnelle, couvrant :

L’intérêt légitime et la base juridique des traitements IA

L’analyse d’impact (AIPD)

Les biais et discriminations

La transparence, l’explicabilité

Les données d'entraînement

La minimisation et conservation des données

Les droits des personnes (accès, opposition, etc.)

Les cas d'usage concrets (RH, cybersécurité, détection de fraude…)

🔍 Objectif : traduire le RGPD dans la pratique IA, sans freiner l’innovation.

Un excellent guide pour préparer son IA Act-compliant et anticiper les audits à venir.

📘 Lien vers les 13 fiches : https://www.itforbusiness.fr/la-cnil-finalise-ses-recommandations-sur-lia-93029

 

blankby Axel Legay

blank

Construire un mini pare-feu IA pour le navigateur avec JavaScript et l'API de GPT

Introduction : Pourquoi un pare-feu côté navigateur ?

Dans un monde où les interactions numériques se font majoritairement via des navigateurs web, la sécurité à ce niveau est cruciale. Or, la plupart des dispositifs de protection (pare-feu, antivirus, anti-spam) sont centrés sur le réseau ou le système. Ce que nous proposons ici est un concept simple mais prometteur : un pare-feu comportemental côté navigateur, à l’aide d’une API d’IA.

Notre projet est développé en JavaScript, le langage natif du navigateur. Plutôt que de réinventer la roue avec un moteur d’analyse complexe, nous tirons parti de la puissance d’un modèle d’intelligence artificielle existant (GPT-3.5). Cela permet de simplifier considérablement le développement tout en profitant des capacités avancées d’analyse contextuelle qu’offrent les IA modernes. Là où autrefois il aurait fallu écrire, maintenir et mettre à jour manuellement une série de règles (régulièrement périmées face à l'évolution des attaques), nous confions cette tâche à un moteur déjà entraîné sur des milliards d’exemples.

Objectif du projet

Construire un prototype de "mini pare-feu" IA embarqué dans le navigateur, capable de :

  • Intercepter les champs de formulaire
  • Détecter un contenu potentiellement suspect (tentatives de phishing, injections malveillantes, mots-clés dangereux)
  • Réagir immédiatement (alerte visuelle, blocage, etc.)

Nous utiliserons JavaScript pur et une API GPT (par exemple, OpenAI GPT-3.5) pour l’analyse contextuelle du contenu.

Rappel : qu’est-ce qu’un pare-feu ?

Un pare-feu ("firewall") est un outil qui filtre les communications entrantes et sortantes d’un système informatique. Il agit comme un "vigile" qui bloque ou autorise certaines données selon des règles. Ici, notre pare-feu est adapté au contexte : il ne filtre pas le réseau, mais l’interaction utilisateur-application.

Traditionnellement, un pare-feu repose sur une liste de règles fixes qu’il faut mettre à jour en fonction des nouvelles menaces. L’un des avantages de notre solution basée sur une IA existante est qu’elle remplace ces règles rigides par une interprétation intelligente, adaptable et évolutive.

Prototype simple en JavaScript + API GPT : découpage et explication pédagogique

1. Sélection et écoute des champs de saisie


document.querySelectorAll('input, textarea').forEach(el => {
  el.addEventListener('blur', async () => {
    const flag = await analyseAvecIA(el.value);
    if (flag) {
      el.style.border = '2px solid red';
      alert("⚠️ Contenu potentiellement dangereux détecté.");
    }
  });
});

Explication :
- On sélectionne tous les éléments de type input et textarea.
- Lorsqu’un utilisateur quitte un champ (blur), on déclenche une analyse.
- Si le contenu est jugé dangereux par l’IA, on colore le champ en rouge et on affiche une alerte.

2. Fonction d’analyse avec GPT


async function analyseAvecIA(texte) {
  const response = await fetch("https://api.openai.com/v1/chat/completions", {
    method: "POST",
    headers: {
      "Content-Type": "application/json",
      "Authorization": "Bearer VOTRE_CLE_API"
    },
    body: JSON.stringify({
      model: "gpt-3.5-turbo",
      messages: [
        { role: "system", content: "Ta tâche est de déterminer si un contenu est une tentative de phishing ou contient une injection malveillante." },
        { role: "user", content: texte }
      ]
    })
  });
  const data = await response.json();
  return data.choices[0].message.content.toLowerCase().includes("oui");
}

Explication :
- On appelle l’API GPT d’OpenAI en lui envoyant deux messages :
• Un prompt système qui définit le rôle de l’IA : détecter le phishing ou l’injection.
• Le contenu réel saisi par l’utilisateur.
- On interprète la réponse : si elle contient oui, on considère que le contenu est suspect.

Remarques de sécurité :
- Il faut remplacer VOTRE_CLE_API par votre vraie clé OpenAI.
- Ne jamais exposer une clé sensible en production côté client (voir plus loin les limitations).

Limitations du prototype

  • Temps de réponse dû à l'appel API (latence perceptible)
  • Risque de faux positifs ou négatifs selon la formulation du prompt
  • Le code étant exécuté côté client, il peut être désactivé ou contourné
  • Exposer une clé API en clair dans le navigateur est dangereux (solution : proxy sécurisé ou back-end intermédiaire)

Pistes d'amélioration

  • Utiliser un modèle IA local exécuté dans le navigateur (WebLLM, Mistral via WebGPU, etc.)
  • Créer une extension navigateur pour une meilleure intégration
  • Ajouter un historique local ou un apprentissage progressif des comportements fréquents

Conclusion

Ce projet montre qu’avec un peu de JavaScript et une API d’IA, il est possible d’implanter une couche supplémentaire de réflexion et d’analyse dans le navigateur lui-même. Ce n’est pas une solution de sécurité totale, mais une preuve de concept qui ouvre la voie à une sécurité plus fine, contextuelle et proactive. Idéal pour l’expérimentation, la pédagogie, ou comme base pour un projet plus ambitieux. Et surtout, il illustre à quel point les IA modernes permettent aujourd’hui de créer en quelques lignes ce qui aurait autrefois nécessité des centaines de règles manuelles, mises à jour et surveillées en permanence.

blankby Axel Legay

blank

Analyse de faille avec Nikto : exploitation et protection contre Shellshock via CGI

Introduction : pourquoi analyser les failles ?

Dans le monde de la cybersécurité, l’analyse de faille est un processus indispensable. Elle permet d’identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées. Un attaquant n’a besoin que d’un seul point faible : à nous de le détecter avant lui.

Dans cet article, nous allons nous intéresser à une faille emblématique : Shellshock (CVE-2014-6271), qui a touché Bash en 2014. Nous verrons comment utiliser Nikto, un scanner de vulnérabilités web, pour la détecter, comment l’exploiter manuellement, et surtout comment s’en prémunir. Pour cela, il est essentiel de comprendre le rôle joué par CGI (Common Gateway Interface) dans l’exploitation.

🧠 CGI : le chaînon faible de Shellshock

Qu’est-ce que CGI ?

CGI (Common Gateway Interface) est une spécification permettant à un serveur web d’exécuter des programmes externes – appelés scripts CGI – pour générer dynamiquement des réponses HTTP. Ces scripts peuvent être écrits en Bash, Perl, Python, etc., et sont souvent utilisés dans des environnements anciens ou embarqués.

Fonctionnement général

Lorsqu’un utilisateur accède à un script CGI via le web :

  1. Le serveur (ex. Apache) exécute le script comme processus système.

  2. Il lui transmet les en-têtes HTTP sous forme de variables d’environnement (ex : User-Agent, Host, etc.).

  3. Le corps de la requête est envoyé via stdin.

  4. Le résultat du script est retourné au client comme une réponse HTTP.

C’est précisément le passage des variables d’environnement qui rend Shellshock si dangereuse dans ce contexte.

📜 Exemple de script CGI Bash vulnérable

bash
#!/bin/bash
echo "Content-type: text/plain"
echo
echo "Hello, world!"

Décryptage du script :

  • #!/bin/bash : indique que le script sera interprété par Bash.

  • echo "Content-type: text/plain" : définit le type MIME de la réponse HTTP.

  • echo : une ligne vide obligatoire après les en-têtes HTTP.

  • echo "Hello, world!" : le corps de la réponse, affiché dans le navigateur.

Ce script peut être appelé par un navigateur à l’adresse :
http://vulnerable-site.com/cgi-bin/test.sh

🐚 Shellshock (CVE-2014-6271) : la faille

La vulnérabilité Shellshock réside dans le fait que Bash exécute du codecontenu dans les définitions de fonctions transmises via des variables d’environnement. C’est un comportement inattendu et dangereux.

Une requête HTTP malicieuse :

http
GET /cgi-bin/test.sh HTTP/1.1
Host: vulnerable-site.com
User-Agent: () { :; }; echo; /bin/bash -c 'echo shellshock exploited'

entraînera l’exécution de la commande "echo shellshock exploited" sur le serveur, sans vérification ni contrôle.

🔎 Détection avec Nikto

Nikto est un scanner open source de vulnérabilités web. Il teste des milliers de failles connues sur des serveurs HTTP. L’une de ses forces est sa capacité à détecter automatiquement des scripts CGI vulnérables à Shellshock.

bash
nikto -h http://vulnerable-site.com/cgi-bin/ -Tuning x

Explication des options principales :

  • -h : hôte ou URL cible

  • -Tuning x : active tous les types de tests (CGI, injection, XSS…)

  • -output fichier.txt : exporte les résultats

  • -evasion : tente de contourner des filtres ou WAF simples

  • -Display V : n’affiche que les vulnérabilités confirmées

🧪 Exploitation manuelle de Shellshock

Un simple test curl peut suffire à démontrer une faille :

bash
curl -H 'User-Agent: () { :; }; echo Content-Type: text/plain; echo; echo HACKED' http://vulnerable-site.com/cgi-bin/test.sh

⚙️ Fonctionnement des variables CGI

Les scripts CGI récupèrent les données HTTP via des variables d’environnement, par exemple :

  • REQUEST_METHOD (GET, POST…)

  • HTTP_USER_AGENT, HTTP_COOKIE, etc.

  • REMOTE_ADDR, SERVER_NAME

Shellshock tire parti de ce mécanisme pour injecter des fonctions Bash contenant du code dans des en-têtes comme User-Agent.

🔐 Contre-mesures : comment se protéger

✅ 1. Mettre à jour Bash

La mise à jour de Bash corrige le comportement fondamental à l’origine de Shellshock : les versions vulnérables traitaient automatiquement certaines définitions de fonction comme du code à exécuter.

Une version corrigée ignore ou désactive totalement ce comportement.

bash
# Debian/Ubuntu
sudo apt update && sudo apt install --only-upgrade bash# CentOS/RHEL
sudo yum update bash

⚠️ Sans cette mise à jour, aucune autre mesure ne suffit : même avec un WAF ou une surveillance, la faille peut toujours être exploitée.

✅ 2. Désactiver les CGI inutiles

Définition : un script CGI est "inutile" dès lors qu’il ne sert plus à une fonctionnalité en production. Cela inclut :

  • Des scripts de test (test.sh, env.cgi)

  • Des scripts hérités de vieilles applications

  • Des démonstrations installées par défaut (souvent oubliées)

Ces scripts peuvent rester accessibles sans être visibles, et sont très fréquemment ciblés automatiquement par les attaquants.

bash
sudo a2dismod cgi
sudo systemctl restart apache2

✅ 3. Filtrage HTTP avec un WAF (Web Application Firewall)

Un WAF agit comme une barrière entre l’utilisateur et le serveur. Il inspecte chaque requête HTTP à la recherche de motifs suspects. Dans le cas de Shellshock, cela signifie bloquer les en-têtes qui contiennent des définitions de fonction suspectes dans des champs comme User-Agent.

Exemple de règle ModSecurity :

apache
SecRule REQUEST_HEADERS:User-Agent "^\(\)\s*{.*;.*}" \
"id:1000001,phase:1,t:lowercase,deny,status:403,msg:'Shellshock attack detected'"

  • Cette règle détecte les chaînes qui ressemblent à une déclaration de fonction Bash suivie d’une commande.

  • Elle agit avant que le script CGI ne soit exécuté, ce qui est crucial en environnement vulnérable.

💡 Bien que les WAF ne soient pas infaillibles, ils sont efficaces contre des attaques automatiques ou basiques.

✅ 4. Surveillance active avec IDS

Un IDS (Intrusion Detection System) complète la défense en détectant les tentatives suspectes et en générant des alertes.

Exemples d’IDS compatibles :

  • OSSEC : centralisé, léger, facile à intégrer à des logs Apache.

  • Snort : puissant, très utilisé, signatures personnalisables.

  • Suricata : similaire à Snort mais multithreadé.

Exemple de règle Snort (simplifiée) :

css
alert tcp any any -> any 80 (msg:"Shellshock attempt"; content:"() { :; };"; sid:1000002; rev:1;)

Grâce à ces outils, même si une faille est présente, vous saurez en temps réelqu’une attaque a été tentée, et pourrez réagir (blocage d’IP, audit, etc.).

🔧 Déploiement local d’un script CGI pour test

bash
sudo apt install apache2
sudo a2enmod cgi
sudo mkdir -p /usr/lib/cgi-bin

Fichier /usr/lib/cgi-bin/test.sh :

bash
#!/bin/bash
echo "Content-type: text/plain"
echo
echo "Hello from CGI!"
bash
chmod +x /usr/lib/cgi-bin/test.sh
sudo systemctl restart apache2

Accès :
http://localhost/cgi-bin/test.sh

Conclusion

Shellshock n’est pas une faille anecdotique. Elle a montré comment un simple en-tête HTTP peut suffire à prendre le contrôle d’un serveur mal configuré. Les scripts CGI, souvent oubliés ou laissés en place par habitude, sont des portes ouvertes.

Ce qu’il faut retenir :

  • Nikto permet de détecter ces failles rapidement.

  • La mise à jour de Bash est obligatoire : elle corrige le comportement vulnérable.

  • Les CGI non utilisés doivent être désactivés.

blankby Axel Legay

Privacy Preference Center

Privacy Preferences