Cybersécurité: Du roman à la réalité
L’expansion des surfaces d’attaque cyber devient exponentielle avec la multiplication des objets connectés et des points d’interconnexion. Les vecteurs de menaces ne se limitent plus aux systèmes informatiques traditionnels mais s’étendent désormais à l’ensemble de l’écosystème numérique
De la fiction à la cybersécurité : Sylvain Forge, l’auteur qui éclaire la cybermenace.
Sylvain Forge, écrivain primé et expert en cybersécurité, partage son parcours singulier. À travers ses romans policiers, il explore les défis contemporains de la cybersécurité, mêlant anticipation et pédagogie, ce qui le conduit aujourd’hui à intervenir régulièrement en entreprise sur le sujet. Retour sur une rencontre inspirante où la plume et la technologie s’entrelacent.
« Peut-être que ma mission est d’être un vulgarisateur et de parler cyber à ceux pour qui, a priori, la cybersécurité est un repoussoir. »
Sylvain Forge est lauréat de nombreux prix littéraires, dont le prestigieux Prix du Quai des Orfèvres en 2018 pour Tension extrême. Lors de notre rendez-vous de l’Agora RSSI CISO, il revient sur son parcours atypique et sur le lien étroit entre ses activités littéraires et son expertise professionnelle.
Forge a débuté sa carrière comme officier de police au ministère de l’Intérieur après des études de droit. Rapidement, il s’est intéressé aux problématiques de cybersécurité, Parallèlement, il nourrissait une passion pour l’écriture. C’est en fusionnant son domaine d’expertise et sa plume qu’il a trouvé sa voie.
« J’avais tenté le prix du Quai des Orfèvres à trois reprises et dans les deux premières tentatives, j’avais écrit des romans assez classiques et la sauce n’avait pas pris. J’ai donc décidé d’écrire un roman qui était dans ma zone de confort et de parler de cybersécurité. Et ça a fonctionné ».
Avec Tension extrême, le succès ne s’est pas fait attendre. Lors d’une séance de dédicaces organisée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), une lectrice lui a confié que grâce à son roman, son mari comprenait enfin l’importance de son travail. « Cela a été une révélation », raconte l’écrivain. Cette anecdote illustre sa vocation : démocratiser la cybersécurité, qui, pour certains, était un sujet repoussoir
À travers ses romans policiers, dont le dernier Veritas (2024), Sylvain Forge anticipe les menaces numériques et imagine les impacts de l’IA et du cybermonde sur notre société. Son œuvre, à mi-chemin entre fiction et prospective, invite les lecteurs à réfléchir aux dangers de demain.
INTERVIEW
Julien Merali : Pouvez-vous nous rappeler le synopsis de votre dernier livre Veritas ?
Sylvain Forge : Veritas, c’est un peu à mi-chemin entre le thriller et le roman d’espionnage. On est en 2027, il y a un nouveau président et concomitamment, au sein de la DGSI qui est un service de contre-espionnage, des techniciens parviennent à miniaturiser sous forme de lentilles connectées, une intelligence artificielle qui, en observant les micro-expressions du visage, peut de façon très significative savoir si une personne est en train de mentir.
Donc, cette technologie parvient aux yeux de personnes assez mal intentionnées qui souhaitent très vite se l’approprier pour la proposer au nouveau président, qui est un personnage un peu inquiétant. Du coup, Ambre, qui est à l’origine de cette invention, décide de la dissimuler. Elle va la confier à un collègue assez insoupçonnable qui va prendre sa retraite. Il se donne rendez-vous. Le collègue qui aime en secret cette technicienne, accepte cette mission un peu dangereuse. Et au lieu du rendez-vous, la collègue n’est pas là. Et ça commence. C’est une course poursuite qui va mêler deux hackers, l’un qui va être missionné pour récupérer les lentilles et un autre qui va aider notre protagoniste, qui va très vite chausser les lentilles pour les tester et les utiliser pour s’échapper.
Et en fait, ce roman évoque comme des romans précédents, la thématique de l’intelligence artificielle qui est en train de devenir la grande affaire de notre société. J’avais évoqué les questions de cybermenaces avec les IA. Mais là, je vais vraiment parler des IA qui peuvent faire de la reconnaissance faciale avec les caméras comme dans mon livre Sara.
Ici, le sujet est : que deviendrait une société sans mensonge si ces technologies étaient massivement utilisées ? Et donc, c’est un roman qui va assez loin dans le hacking, dans la cybersécurité. J’ai même essayé d’utiliser des termes, des expressions comme l’effet Tempest qui sont bien connus de vos auditeurs. Des chercheurs ont démontré qu’il est possible de reconstituer ce qui est visible sur votre écran avec une grande précision grâce à l’IA et au rayonnement électromagnétique émis par le câble HDMI. C’est donc aller très loin, expliquer finement des phénomènes qui sont très techniques, avec du suspense et en vulgarisant.
Quels sont pour vous, les grands dangers et les opportunités de l’IA ?
Sylvain Forge : Les opportunités de l’IA sont considérables. Aujourd’hui, quand on voit le monde de l’entreprise, ce n’est plus un débat de savoir si on va utiliser de l’IA ou pas. Il reste des inquiétudes par rapport à des notions de propriété intellectuelle, ou à des notions de confidentialité.
Utiliser certaines applications, c’est stocker du contenu dans des data centers, dans l’ordinateur d’un autre en fait. Si je suis un chercheur et que je traduis des documents un peu sensibles dans Google Traduction, eh bien j’offre au Cloud Act et au Patriot Act un certain nombre de mes données. Donc là, ça c’est un souci.
Mais bien sûr, il y a des puissances de calcul. Il y a des aspects en matière de productivité qui sont énormes. Je pense, dans le domaine de l’industrie ou aux chaînes logistiques. Ces intelligences artificielles peuvent prédire des pannes, des changements de pièces. On n’est plus surpris par un certain nombre d’incidents que l’on peut désormais anticiper.
Et en matière de médecine prédictive, je pense que si un jour, on arrive à vaincre le cancer, ce sera probablement grâce à l’intelligence artificielle. Évidemment, il y a toujours un revers de la médaille qui peut aussi être très dangereux, qui peut être oppressif et nous surveiller beaucoup.
Quand on parle avec l’IA, ces outils apprennent de nos discussions, de nous. Finalement, le risque à la fin, c’est que l’on finisse par parler à nous-mêmes.
Sylvain Forge : Oui, d’autant plus qu’il est quand même troublant de voir l’importance que prennent les algorithmes, par exemple, dans nos relations affectives. La quasi totalité des débuts de rencontres amoureuses passent souvent par des applications de rencontres.
Donc on peut dire que les algorithmes décident quelles sont les personnes que l’on va rencontrer et, d’une certaine façon, de qui on va tomber amoureux. Donc ça montre vraiment le poids de ces technologies dans le domaine affectif.
Comment accompagnez-vous les entreprises et les institutions ?
Sylvain Forge : Alors le but est de tenir un discours à la fois très généraliste et très focalisé sur l’humain, sur les pratiques humaines. Et donc, je développe tout un cycle de conférences qui s’appellent polar et cyber et je montre que le cyber est en train de changer le visage de la criminalité.
Aujourd’hui, il change aussi les techniques des enquêteurs de police avec par exemple l’analyse criminelle que j’évoque dans Parasite. C’est-à-dire que l’on essaie de reprendre les affaires non classées à l’aide d’outils à base de scraping qui vont être capables de lire un très grand nombre de procès verbaux et d’extraire de la data, des numéros de téléphone ou plaques d’immatriculation et de faire des rapprochements dans le temps et dans l’espace, de soulever chaque pierre en quelque sorte dans une enquête et d’offrir une analyse, une suggestion de pistes, là où un cerveau humain serait complètement saturé par l’information.
Et je crois que ce qui plaît bien aussi, c’est que, lorsque j’interviens, je viens donner du crédit aux RSSI, qui parfois, se sentent un peu seuls, en martelant toujours ces discours de prévention. Et la fiction peut jouer un rôle : on invente des histoires pour attirer l’attention, faire passer des messages, et souvent des messages de prévention.
Justement, comment les accompagnez-vous concrètement ? De quoi parlez-vous ?
Sylvain Forge : On parle d’hypothèses et donc on essaye d’inventer. On essaye d’imaginer des situations qui pourraient être complexes par rapport à une situation lambda dans leur entreprise. Je prends un exemple tout simple : imaginons une pièce dans lequel se trouve un ordinateur sensible qui est complètement coupé d’Internet.
Cette pièce se trouve au 13ᵉ étage d’un immeuble. Qu’est-ce qui pourrait mal tourner ? Ça, c’est la question que se pose l’auteur de polars. Est-ce que, par exemple, on pourrait profiter d’une fenêtre ouverte pour, avec un drone, laisser tomber une clé USB dans le bureau qui pourrait être connectée à l’ordinateur pour récupérer de la data ?
Puis après, dans une situation de télétravail, un usager pourrait-il reconnecter cette clé sur son ordinateur à son domicile ? Et là, le logiciel malveillant reconnaissant la présence d’un réseau va exfiltrer les informations capturées de l’ordinateur.
Tout est-il prévisible par le cerveau humain ?
Sylvain Forge : Non, tout n’est pas prévisible et souvent, de toute façon, la réalité rattrape souvent la fiction. Qui aurait pu imaginer l’opération d’Israël d’une telle audace, avec ces centaines de bipers qui ont explosé pratiquement simultanément, blessant un grand nombre de personnes ?
J’avais imaginé que l’on pouvait pirater des pacemakers et tuer deux personnes jumelles, porteur d’un pacemaker de même marque au même moment, bien qu’elles soient éloignées de plusieurs kilomètres. Et je m’étais inspiré d’une note du FBI qui suggérait à Dick Cheney, à l’époque vice-président des États-Unis, de faire déconnecter son pacemaker, qui avait une fonction WiFi parce qu’il était exposé à des cyberattaques par l’Internet des objets.
Pour moi, j’étais parti sur deux objets connectés en même temps et la réalité est allée bien plus loin. Donc en fait, il faut être modeste parce que le réel finit souvent par nous rattraper.
Est-ce qu’il y a d’autres exemples que vous avez imaginé dans un livre, en vous disant : ce n’est pas possible, ça n’arrivera jamais ?
Sylvain Forge : En tout cas, il y a une chose qui s’est passée et qui est en train de me faire réfléchir : Il y a eu des alertes à la bombe qui ont été envoyées par SMS depuis la Suisse, en grand nombre, notamment auprès des aéroports français, et auprès d’autres établissements publics, je crois.
Donc ça a entraîné beaucoup de perturbations. Beaucoup d’argent perdu, notamment aussi pour les voyageurs qui n’ont pas droit à une indemnisation lorsqu’il y a une alerte à la bombe. Et on s’est rendu compte que ça avait créé beaucoup de désordre.
Du coup, est-ce que l’on ne pourrait pas imaginer une entité hostile à la France, par exemple, qui déciderait à travers une intelligence artificielle de faire du phishing, d’envoyer des messages de hameçonnage ciblés à tous les directeurs d’Aéroports de France, à tous les directeurs de lycées de France et aux directeurs de gares routières, au même moment, à 10 h du matin, le même jour. Vous auriez des centaines de personnes qui reçoivent dans leur boîte de messagerie professionnelle une alerte à la bombe. Et c’est vrai que lorsqu’une attaque est ciblée, il est beaucoup plus difficile de flairer l’arnaque. On est toujours beaucoup plus sensible et impacté lorsqu’on s’adresse à nous en citant notre nom de famille.
Et donc, si on fait jouer le principe de précaution, que se passerait-il ? On ferait évacuer tous les lycées, toutes les gares de France, tous les aéroports de France et toutes les forces de l’ordre seraient mobilisées. Ce serait le chaos en quelques dizaines de minutes.
Je trouve que l’on est dans un scénario qui pourrait probablement arriver. L’Agence de l’Innovation de Défense (AID), qui propose à des auteurs de B.D. de phosphorer sur les guerres de demain pourrait faire la même chose avec des auteurs du civil ou du cyber.
Ce sont des scénarios qui pourrait arriver à moyen termes ?
Sylvain Forge : Oui, et il y a un autre scénario lié à l’intelligence artificielle, qui, à mon sens, n’est pas dénué de pertinence. Pourquoi mentionner si souvent l’intelligence artificielle ? Tout simplement parce qu’elle permet des attaques peu coûteuses pouvant cibler un très grand nombre de personnes. Cela crée un rapport coût-avantage extrêmement favorable pour l’attaquant.
Un exemple marquant : un journaliste qui souffrait d’épilepsie, a un jour exprimé une opinion qui a déplu à quelqu’un. Cette personne lui a alors envoyé un message sur Twitter, accompagné d’une pièce jointe contenant une vidéo stroboscopique. En cliquant sur le lien et en visionnant cette vidéo, le journaliste a subi un malaise nécessitant une hospitalisation.
Il a heureusement survécu, mais imaginez ce qui aurait pu se passer s’il avait été au volant d’une voiture au moment de l’incident. Un tel événement aurait pu être fatal. Cela illustre un potentiel scénario, que l’on peut envisager dans une démarche d’auteur, au même titre qu’un RSSI, sur ce qui peut mal tourner.
Imaginons aussi une puissance malveillante décidant de cibler en masse des personnes épileptiques en France, et en particulier celles ayant des fonctions politiquement sensibles (ambassadeurs, secrétaires d’État, préfets). Une telle opération pourrait débuter par une phase de collecte d’informations : par exemple, en lançant une attaque par injection SQL sur une base de données d’une association nationale d’épileptiques (si elle existait), ou encore en piratant une clinique spécialisée pour exfiltrer des données sensibles.
Les attaquants pourraient ensuite croiser ces données avec des informations accessibles publiquement, via des plateformes comme LinkedIn. Une fois la liste précise établie, des attaques ciblées pourraient être menées sur des individus qui comptent dans la souveraineté nationale, en utilisant des fichiers stroboscopiques envoyés par divers canaux, dans l’espoir que certains destinataires soient exposés dans des circonstances dangereuses.
Cela pourrait rappeler certaines attaques comme celle ayant eu lieu au Liban avec des appareils de type biper. Ces scénarios, bien que troublants, ne sont pas irréalistes. En tant qu’auteur, ma démarche consiste à explorer de tels détournements plausibles, en partant de technologies existantes et en imaginant leur utilisation à des fins malveillantes – ce qui, je tiens à le souligner, relève du réel et non de la science-fiction.
Comment envisagez-vous l’évolution du rôle des RSSI dans les années à venir ?
Sylvain Forge : Je pense que le RSSI, et je dis cela sans flatterie, occupe une position cruciale. Nous sommes désormais tous connectés : chacun possède un ordinateur, un smartphone, souvent des montres connectées, et nos foyers sont équipés de box Internet. Cela crée un environnement où des attaques destructrices peuvent mobiliser une multitude d’objets non sécurisés.
Les attaques les plus dangereuses sont des attaques qui ont réuni des botnets. Or les botnets, par exemple, reposent sur le détournement de ces appareils vulnérables. Les particuliers comme les entreprises doivent absolument être sensibilisés à ces risques. En effet, un ordinateur mal protégé peut devenir un point d’entrée dans un réseau, participant ainsi à des attaques massives contre des institutions stratégiques.
De plus, les entreprises, de par leur interconnexion croissante, de chaînes logistiques vulnérables, de sous traitants pas forcément au niveau utilisant parfois des VPN insuffisamment sécurisés, deviennent elles-aussi des cibles privilégiées. À cela s’ajoutent les collectivités territoriales, également exposées à ces menaces.
La surface d’attaque s’élargit, tout comme l’importance des systèmes critiques, tels que les infrastructures de santé ou les sites stratégiques. Avec la guerre hybride en Ukraine, on voit bien à quel point la cybersécurité est devenue une composante essentielle de la souveraineté nationale.
Le rôle des RSSI sera donc de plus en plus déterminant à mesure que la cyber se développera et que les technologies continueront à infuser dans tous les domaines de nos vies.
Interview réalisée par Julien Merali, General Manager du Pôle IT d’Agora Managers Groupe