En France à la suite des révélations relayées par RTL, le ministère de la Santé a indiqué que les données administratives de près de 15 millions de Français ont fuité à la suite d’une cyberattaque visant des fichiers liés au système de santé.

Les informations concernées seraient principalement des données d’identification : nom, prénom, date de naissance, numéro de sécurité sociale et coordonnées. À ce stade, les autorités précisent que les données médicales (diagnostics, traitements) ne seraient pas impactées.

Même sans données cliniques, l’ampleur de la fuite est considérable. Le volume — 15 millions de personnes — confère à cet incident une dimension nationale. L’exposition de numéros de sécurité sociale ouvre la voie à des risques d’usurpation d’identité, de fraude à l’assurance maladie ou de campagnes de phishing particulièrement ciblées.

Dans ce contexte, nous avons souhaité poser une question de fond à Christophe Bianco Head of Thales Cyber Services :

"les récents data leaks ne sont ni uniquement le reflet d’une incapacité des organisations à se protéger, ni une simple fatalité liée à la digitalisation croissante de nos sociétés. Ils sont le résultat d’une tension structurelle entre vitesse d’innovation et maturité sécuritaire.

La digitalisation massive des activités, l’adoption accélérée du cloud, des API, de l’open source (ou des dépendances logicielles) ou encore de l’intelligence artificielle complexifient fortement les environnements techniques. Cette complexité génère mécaniquement des risques : erreurs de configuration, défauts de codage, failles dans les processus, gouvernance incomplète. À ce titre, on pourrait considérer qu’une part de vulnérabilité est inhérente à des écosystèmes numériques devenus omniprésents.

Pour autant, la situation n’est pas nouvelle. Ce qui change aujourd’hui, c’est la démocratisation des techniques d’attaque. Les outils de piratage sont plus accessibles, plus industrialisés, parfois « as-a-service ». Les environnements numériques sont plus exposés. Et désormais, l’IA abaisse encore le seuil technique nécessaire pour exploiter des vulnérabilités.

Mais l’IA n’est pas uniquement un facteur de risque. Elle peut également devenir un levier de défense. Des acteurs comme Anthropic ont récemment démontré que des modèles avancés pouvaient identifier à grande échelle des vulnérabilités dans des logiciels réputés robustes*. Notre CTO me disait récemment “nous entrons dans une ère de "guerre des modèles". Celui qui aura l'IA la plus rapide pour patcher gagnera la bataille du JOUR! .À court terme, ces technologies peuvent redonner un avantage aux défenseurs en automatisant la détection, l’audit et la correction.

Cependant, cet avantage est toujours temporaire. Les acteurs malveillants adoptent les mêmes technologies. La cybermenace est adaptative par nature. Il n’y a pas de victoire définitive, seulement des équilibres mouvants.

En réalité, les data leaks restent un problème à la fois humain et technique. Les failles ne proviennent pas uniquement de la technologie, mais aussi de décisions organisationnelles : arbitrages budgétaires, délais projet, culture interne, gouvernance du risque.

Pour adresser le sujet de manière durable, trois leviers sont essentiels :

1. Intégrer une analyse de risque dès la conception des projets et lors de l’adoption de nouvelles technologies. La sécurité ne peut plus être un contrôle a posteriori ; elle doit être structurante dès le design.

2. Former les équipes, qu’il s’agisse des utilisateurs métiers ou des équipes techniques. La cybersécurité est devenue un enjeu transversal, pas uniquement un sujet d’experts.

3. Allouer des ressources dédiées à la sécurisation du “run”. La protection ne se limite pas au lancement d’un projet ; elle nécessite une surveillance continue, des mises à jour, des tests réguliers et une capacité de réponse aux incidents.

https://www.lesechos.fr/tech-medias/hightech/anthropic-a-trouve-500-failles-dans-des-logiciels-qui-etaient-censes-etre-bien-securises-les-champions-de-la-cybersecurite-plombes-en-bourse-victimes-a-leur-tour-de-lia-2217512

En définitive, les data leaks ne sont pas une fatalité. Ils sont en revanche devenus inévitables dans un environnement où la surface d’attaque progresse plus rapidement que la maturité collective des organisations. La véritable question n’est donc pas d’atteindre un hypothétique risque zéro, mais de savoir si l’organisation investit à la hauteur de son exposition et si elle traite la cybersécurité comme un enjeu stratégique de gouvernance — et non comme un simple centre de coûts.

Puisque le risque zéro n’existe pas, la maturité ne se mesure plus uniquement à l’épaisseur des murs pare-feu, mais à la capacité de détecter, de contenir et de se relever rapidement. Autrement dit, nous devons assumer un changement de paradigme : passer d’une logique de protection à une logique de résilience."

L’affaire des 15 millions de Français concernés illustre concrètement cette “tension structurelle” évoquée par Christophe Bianco. La digitalisation du système de santé améliore l’efficacité, l’accessibilité et la fluidité des services, mais elle accroît simultanément la surface d’attaque.

La cybersécurité n’est plus un sujet périphérique. Elle touche à la souveraineté numérique, à la confiance des citoyens et à la résilience des infrastructures critiques.

La question n’est plus d’éviter toute attaque — objectif irréaliste — mais de structurer une gouvernance, des investissements et une culture du risque à la hauteur des enjeux.

Le véritable différenciateur ne sera pas l’absence d’incident, mais la capacité d’anticipation, de détection et de résilience.