Le cabinet de guerre... et l'effet gorille

Dans le petit monde des communications sensibles, certains outils sont censés nous protéger. Signal, par exemple, est une messagerie conçue pour garantir la confidentialité des échanges. Pourtant, même les outils les plus sûrs deviennent des failles quand ils sont mal utilisés. L'affaire du "Houthi PC small group", révélée cette semaine par la presse américaine, illustre cela : un salon de discussion Signal dans lequel des membres haut placés de l'administration Trump ont discuté d'opérations militaires.

Imaginez : des plans de frappes aériennes, des horaires précis de décollage de F-18, des noms, des confirmations de cibles sur le terrain... le tout partagé dans un groupe Signal auquel le rédacteur en chef de The Atlantic a été ajouté par erreur. Le résultat ? Une fuite d'informations opérationnelles sensibles, qui aurait pu s'avérer mortelle pour les pilotes américains impliqués. Malgré la pression, le dit rédacteur en chef ne s’est pas laissé faire. Jeffrey Goldberg n’est pas prix Pulitzer pour rien.

Ce groupe de discussion ne comprenait rien de moins que le secrétaire à la Défense, la directrice de la CIA, le conseiller à la sécurité nationale, et même le vice-président JD Vance. Un salon Signal transformé en cabinet de guerre, avec un invité surprise. Et personne n’a réagi. Cela rappelle le phénomène bien connu du bystander effect : tout le monde voit, mais personne n’agit. Comme dans l'expérience psychologique où l'on demande de compter les passes entre joueurs de basket, et où un gorille traverse la scène sans que la majorité des spectateurs ne le remarque. L’inattendu devient invisible, car on est focalisé ailleurs.

Clinton, Besson, UX et erreurs récurrentes ou UX qui compense les erreurs

Face au grill des députés démocrates, voici l’argument de l’administration Trump : il ne s’agissait pas d’informations classifiées. Mais cette "défense" tient-elle vraiment la route ? Cette affaire rappelle étrangement le scandale en 2016 des emails professionnels d’Hillary Clinton, alors secrétaire d’État, conservés sur un serveur personnel à son domicile. Ou encore les célèbres DM fails sur X (ex-Twitter).

Un exemple célèbre en France : "Quand je rentre je me couche. Trop épuisé. Avec toi ?" Ce tweet d’Éric Besson, écrit en octobre 2011 à la fin du conseil des ministres, est resté dans les annales du réseau social. Il s'agissait d’un message privé envoyé par erreur en public. Un DM fail symptomatique d’une interface utilisateur mal pensée — ou pensée pour autre chose : maximiser la portée des messages, pas leur confidentialité. Un échec, non technique, mais bien d'interface utilisateur (UX) : la fonctionnalité de messagerie privée n'est tout simplement pas mise en avant par cette application. Twitter n'est pas fiable pour ce type d'usage.

Comment, près de 10 ans après l’affaire des emails d’Hillary Clinton, les dirigeants politiques américains peuvent-ils être aussi inconséquents avec la sécurité des informations nationales ?

La vulnérabilité des dirigeants politiques face à ces outils, qui n'apportent pas les garanties attendues

De la même façon que Twitter n’a pas été conçu pour les échanges sécurisés, Signal a été conçu avec comme hypothèse la sécurité des échanges confidentiels entre personnes de confiance. Car une fois encore, ce n'est pas l'outil qui est en cause, mais son usage. Même si désormais l'éditeur de l'app serait bien avisée d'intégrer des cercles, niveaux d’habilitation ou autres cloisonnements pour prévenir ce type de confusion. La facilité d'usage du numérique devient ici un piège : elle masque la gravité des risques pris. Et surtout, la légèreté avec laquelle des décideurs politiques gèrent des sujets techniques sensibles.

Ce n’est pas un cas isolé. Pour mémoire, en France, selon Libération (6 décembre 2024), le mobile personnel du ministre des Affaires étrangères Jean-Noël Barrot a été infecté. On en avait parlé dans la newsletter Shakerz. Le 25 novembre, en réunion du G7 en Italie, il clique sur un lien corrompu reçu via Signal. Quelques jours plus tôt, le 20 novembre, une campagne de phishing via Telegram a piégé une ancienne ministre macroniste, plusieurs élus et des membres de l’Assemblée nationale.

Ce que la technologie ne peut pas (toujours) compenser

Ce que ces incidents partagent ? Un manque flagrant de culture de la sécurité opérationnelle. Trop souvent, les outils deviennent une excuse. On pense être "protégé" parce qu'on utilise Signal, ou une autre application, même si c’est un fleuron national : la technologie n’est pas une armure magique.

La sécurité, c’est un ensemble de pratiques, de processus, une vigilance constante et l'exemplarité. Quand un vice-président américain répond à ses opposants politiques, qui mettent le doigt sur le dysfonctionnement, par un simple "What?", c’est toute la chaîne de commandement qui semble défaillante, au plus haut niveau. Quand un conseiller à la sécurité nationale du président des USA partage par erreur un salon avec un journaliste, c’est la preuve que même les outils les plus "sécurisés" ne protègent pas du facteur humain.

Et c’est bien là le point central : si les outils changent, les erreurs humaines, elles, se répètent. Que ce soit dans la gestion d’une infrastructure email ou d’une opération militaire, l’enjeu reste le même : comprendre les risques, ajuster les outils, former les acteurs, instaurer une discipline et encourager la vigilance collective et donc individuelle.

Ce problème est intemporel : au début des années 2010, j'intervenais comme program manager sur un vaste programme de gestion des identités et des accès dans le secteur bancaire. Dans la fiche de cadrage du programme — signée par plus de 20 managers et dirigeants — figurait un budget. En faisant la somme de chacune des lignes… je n’ai jamais retrouvé le montant total indiqué. Avec un écart de 300 k€. Des ressources en plus pour un projet tendu. Tout le monde avait ce chiffre sous les yeux, mais personne ne l’avait vu, ou avait osé en parler.

Conclusion : ce ne sont pas les outils qui sauvent

La morale ? Un canal chiffré n'est pas un canal sûr si l’on y ajoute des personnes par erreur. Une infrastructure technique ne vaut rien sans un cadre et des mesures de sécurité. Et comme souvent en cybersécurité, l’incident n’est jamais lié à un outil, mais à son usage. Des humains avertis valent bien plus que des outils.

Comme quoi, le stratégique et l'opérationnel doivent toujours être alignés.

🎓 Masterclass Gratuite — Décode la conformité DORA

🗓 Mercredi 9 avril — 12h15 à 13h00 (en ligne)

💡 Après une première édition qui a rassemblé 27 experts, cette masterclass revient pour t’aider à transformer DORA en plan d’action concret.

DORA repose sur 5 piliers… utiles pour les régulateurs, mais trop flous pour les entreprises qui doivent les mettre en œuvre.

👉 En 45 minutes, tu vas :

✅ Découvrir les 12 vraies capacités cyber à structurer pour être conforme
✅ Comprendre les interdépendances entre les chantiers (et éviter les doublons)
✅ Apprendre à aligner conformité & opérations IT/cyber, sans perdre en agilité

🎙️ Je partagerai mes méthodes de CISO & directeur de programmes cyber dans les secteurs bancaire et fintech.

🔎 Ces posts que tu as peut-être manqué cette semaine

🧠 Take-away de la semaine :

👉 Même les outils les plus sécurisés échouent si les usages ne sont pas maîtrisés.

Quand des dirigeants politiques échangent des informations sensibles sans filtre, ou qu’un ministre clique sur un lien piégé, ce n’est pas une faille technologique : c’est une faillite de culture de sécurité opérationnelle (OPSEC).

La cybersécurité n’est ni la seule affaire de spécialistes ou d’outils, elle doit être intégrée à tous les niveaux, du terrain à la stratégie.

Cette newsletter est réalisée par Sylvan Ravinet. Connectons-nous sur LinkedIn ou collaborons ensemble.

Laisse un commentaire ou transfère-la à un·e collègue qui devrait la lire.

With Love from Paris.

Sylvan