Cybersécurité, entre illusions et risques réels

Il y a peu, la société calédonienne AdDo, spécialisée en cybersécurité, a publié un rapport faisant l’état des lieux des fuites de données avérées sur le territoire calédonien : le rapport d’étude OSINT 2025.

OSINT signifie “Open Source INTelligence” : ce rapport se base donc “seulement” sur des informations publiquement accessibles. Cela signifie que les chiffres qu’on y trouve, et qui sont déjà préoccupants, illustrent une réalité certainement beaucoup plus inquiétante.

En Nouvelle-Calédonie, on a souvent l’impression d’être “loin de tout”, et d’une certaine façon protégé·es de ce “tout”. On pourrait même se demander, “Qui pourrait bien s’intéresser à nous, qu’on peine souvent même à trouver sur une carte ?”

Mais le rapport d’étude d’AdDo montre bien que la perception du risque en cybersécurité est bien différente du risque physique, et que ce risque est difficile à évaluer avec les outils cognitifs que nous possédons naturellement.

Parole à Laurent Rivaton, fondateur d’AdDo et auteur de ce rapport.

Ce qu’il faut retenir du rapport

Hightest : Bonjour Laurent ! Nous avons lu attentivement le rapport et recommandons vivement de le découvrir dans son intégralité. Toutefois, pour les personnes qui n’auront pas le temps de tout lire, quelle sont les informations les plus importantes que tu souhaites voir circuler au maximum ?

Laurent Rivaton : La première, qui fait directement écho à l’étude et à ses conclusions est que la cybersécurité pose un problème qui est global et collectif, et que la solution est également globale et collective. Pour illustrer le fait qu’on soit tous concernés, j’aime prendre l’exemple de la sécurité routière. Quand je prends ma voiture, pour que je sois en sécurité, il faut que je conduise avec prudence, mais il faut aussi que tous ceux qui sont sur la route en même temps que moi conduisent avec prudence. 1 seul chauffard et tout le monde est en danger !

Et l’autre message qui me tient également hackeur à cœur, c’est que la cybersécurité, ça n’est jamais que de la gestion de risque, et que la gestion de risque on sait tous faire. Nos cerveaux, après des dizaines et des dizaines de milliers d’années d’évolution, sont parfaitement au point pour gérer les risques, question de survie ! Il n’y a donc aucune raison que la cybersécurité soit un domaine accessible uniquement à des petits génies de l’informatique, une sorte de groupe d’élus qui seraient les seuls humains dotés de pouvoirs leur permettant d’appréhender ce sujet.

Former à la cybersécurité en Nouvelle-Calédonie

Hightest : Le rapport souligne l’importance de la formation pour mieux se protéger contre les risques numériques. Mais la cybersécurité est encore à ce jour un domaine mystérieux pour la plupart des gens, et s’y initier peut sembler difficile. As-tu des ressources à conseiller pour débuter ? Des formations en Nouvelle-Calédonie, ou encore des ressources en ligne ?

Laurent Rivaton : Je confirme ! De mon point de vue, la formation permet de comprendre ce qui se cache derrière les technologies numériques, et donc de réaliser qu’en fait, savoir si on doit cliquer ou pas sur un lien qu’on vient de recevoir dans sa messagerie, c’est exactement le même problème à résoudre que de savoir si on doit traverser une rue ou pas alors qu’il y a de la circulation.

On peut aujourd’hui trouver beaucoup de sources d’information et de formation sur le sujet de la cybersécurité. Beaucoup de sources en ligne sont en anglais, ce qui ne facilite pas toujours les choses, mais il y a heureusement beaucoup de matériel intéressant sur le site du Centre Cyber du Pacifique, sur le site de l’ANSSI ou celui de Cybermalveillance. Pour tous ceux qui ont du mal avec l’auto formation, il est également possible de suivre des formations en présentiel destinées aux utilisateurs. J’en dispense une qui dure 6 demi-journées et qui donne de bon résultats !

Pour les professionnels, c’est un peu la même chose, beaucoup de possibilités en ligne, de qualité variable, à des prix allant de gratuit à plusieurs centaines de milliers de francs, avec des parcours qui permettent d’aller jusqu’à des certifications professionnelles y compris les plus connues, les plus reconnues dans notre secteur, les plus difficiles à obtenir. Et pour ceux qui préfèrent des formations en présentiel, c’est également possible sur le territoire avec une offre qui s’étoffe peu à peu (ma prochaine formation aura lieu à la mi juillet !).

Un permis de conduire numérique

Hightest : Dans le rapport est évoqué le “permis de conduire numérique”. Peux-tu nous en dire plus ?

Laurent Rivaton : C’est plus une image ou une analogie qu’autre chose. Le fait est qu’aujourd’hui, pour prendre le volant, il faut apprendre à conduire et il faut même démontrer qu’on en est capable en passant un examen pour obtenir un permis. Pour ce qui est des outils numérique, il suffit de les acheter, et comme c’est facile et intuitif, il n’est même pas nécessaire de lire la documentation. Et pourtant, tous ces nouveaux outils peuvent être mal utilisés, causer des dommages et des préjudice et leur utilisation comporte des risques. Comme ces outils numériques sont de plus en plus sophistiqués, de plus en plus indispensables et qu’en cas de mauvaise utilisation les préjudices sont de plus en plus importants, il me semblerait logique qu’on soit, sinon obligés, mais au moins incités à apprendre quelques notions élémentaires avant de les utiliser.

Que faire quand ses données personnelles fuitent ?

Hightest : Dans le rapport, le site https://haveibeenpwned.com/ est conseillé pour vérifier son adresse e-mail. Par curiosité, j’ai vérifié mon adresse pro (0 occurrence) et perso (4 occurrences !) Ce qui m’a surprise (ndlr : c’est Zoé Thivet qui pose la question :)), c’est de voir apparaître des noms de sites très connus (Gravatar et Canva). Recommandes-tu de vérifier régulièrement ses adresses mail via ce site ? Si une nouvelle fuite apparaît, que conseilles-tu ?

Laurent Rivaton : Ça peut-être une habitude à prendre. Et quand une nouvelle fuite apparait, il faut impérativement changer les mots de passe qui ont été compromis. Mais vérifier régulièrement ses adresses ne remplace pas une bonne pratique élémentaire : le cloisonnement. Le cloisonnement, ça consiste à utiliser des comptes et des mots de passe différents pour tout, ou au minimum sur ses accès importants, par exemple celui à sa banque ! Ainsi, si un mot de passe est volé quelque part sur un site, alors le préjudice est limité à ce site. Je rappelle que les sites comme Have I Been Pwned s’appuient sur des données publiques, par conséquent, si mon adresse est trouvée, ça veut dire que mon compte a été compromis. Par contre, si mon adresse n’est pas trouvée, ça veut seulement dire qu’elle n’a pas été trouvée et j’ai peut être quand même été piraté mais ça n’est pas encore rendu publique.

L’expertise met-elle à l’abri ?

Hightest : Un autre site, IntelligenceX.com, est recommandé pour consulter les fuites de données. J’y ai d’ailleurs retrouvé, pour mon adresse mail, un fichier dont le titre contient le nom “Gravatar”. En tant qu’expert en cybersécurité, es-tu parfaitement protégé, ou as-tu retrouvé des données qui te concernent ?

Laurent Rivaton : Un expert en cybersécurité qui prétendrait être parfaitement protégé, serait, de fait, un mauvais expert en cybersécurité ! En effet, le risque 0 n’existe pas et un expert est forcément parfaitement lucide sur ce point. Je dirai même que plus la compétence et l’expertise augmentent, mieux on mesure l’étendue des risques. Mais parallèlement, plus la compétence et l’expertise augmentent, mieux on sait gérer efficacement le risque.

Et oui, j’ai déjà trouvé des données fuitées concernant le domaine addo.nc. Le dernier cas concernait un site chez lequel j’avais acheté des outils orientés cybersécurité. Mais comme je pratique depuis très longtemps un cloisonnement systématique, cette fuite ne m’a causé aucun préjudice. Elle ne m’a coûté que quelques échanges de courrier électronique avec ce fournisseur pour l’informer !

Hightest : Est-ce via ce site (IntelligenceX.com) que tu as pu découvrir les machines physiques compromises ?

Laurent Rivaton : Oui. Les données qui sont proposées par IntelligenceX permettent d’aller très loin dans les recherches, et de trouver suffisamment d’éléments pour identifier un équipement compromis avec certitude. Ces accès « pro » sont d’ailleurs payants et pas vraiment bon marché !

Hightest : Beaucoup de personnes te consultent-elles pour savoir si leurs propres données ont été exposées ? Si oui, que leur réponds-tu ?

Laurent Rivaton : À la suite de cette étude, très peu. Et comme l’étude a été menée globalement, je n’ai pas de détail sur les postes compromis, seulement leur nombre. Cependant, au début de l’étude, je m’étais fixé comme règle de prévenir les tiers que j’allais reconnaître dans les phases d’échantillonnage qui seraient faites tout au long de l’étude pour vérifier la qualité des résultats des recherches. J’ai donc été amené à contacter un nombre très réduit de personnes…

Une palette de solutions

Hightest : Quels sont les services proposés par AdDo pour aider à se préparer aux risques en cybersécurité ?

Laurent Rivaton : Le travail d’AdDo, c’est d’aider les entreprises et les organisations publiques ou privées à améliorer leur cybersécurité en les accompagnant. Ce sont donc des missions de conseil, avec aussi de l’audit et de la formation. Il m’arrive aussi d’aider en cas d’attaque, dans ce cas, il s’agit aussi d’accompagner les victimes dans la gestion de crise, dans la priorisation des tâches de diagnostic, de remédiation, etc.

Hightest : Comment procèdes-tu pour rendre les risques liés à la cybersécurité plus tangibles auprès de personnes qui découvrent le sujet et ne se sentent pas concernées ?

Laurent Rivaton : Il n’y a pas de recette magique, mais généralement, faire l’exercice théorique de regarder ce qui se passerait, si, un matin, en arrivant au bureau, il n’y avait plus aucun outil numérique de disponible suite à un piratage, peut-être un moyen de prendre conscience de l’importance du sujet.

Hightest : Quelles sont les résistances que tu rencontres le plus souvent de la part des personnes lors des sensibilisations ?

Laurent Rivaton : La plupart des gens d’une part ne se rendent pas compte à quel point ils sont devenus dépendants, et d’autre part estiment qu’ils sont incapable de comprendre quoi que ce soit à la cybersécurité. Dans ce cas, il est très naturel de faire une forme de déni. Mais il suffit donc de contredire ces 2 certitudes avec des exemples simples en fonction du contexte et en général, les résistances s’estompent.

Le point sur les antivirus

Hightest : “Les antivirus en 2025 ça ne sert plus à rien, les OS en disposent déjà de solides.” Cette phrase qu’on entend souvent est-elle justifiée, ou est-ce une idée reçue sans fondement ? Le cas échéant, quel antivirus recommandes-tu ?

Laurent Rivaton : Il y a bien longtemps, les antivirus étaient nécessaires et suffisants. Dans les échantillonnages réalisés pendant l’étude, 100% des postes piratés avaient un antivirus, qui, le plus souvent, était celui fourni avec l’OS. Les antivirus ne sont plus suffisant depuis un moment déjà, mais ils sont toujours nécessaires : sans antivirus, c’est pire ! On peut refaire une analogie avec la sécurité routière. Considérer que les antivirus sont inutiles car ils ne garantissent pas une protection totale, c’est comme se dispenser de mettre sa ceinture de sécurité au motif quelle ne garanti pas la survie en cas d’accident. Conclusion : l’antivirus fourni avec l’OS, c’est tant mieux qu’il soit fourni, en ajouter un plus complet, c’est mieux, et en entreprise, ajouter encore une couche supplémentaire avec des outils de détection avancés, c’est encore mieux. Mais attention, le risque persistera de toutes les façons.

Pour la question sur le choix d’un antivirus, et de toute solution de sécurité, mon conseil est simple : il y a des critères de qualité technique et fonctionnelle à prendre en compte et il faut en tester plusieurs pour voir quel produit nous convient le mieux.

La cybersécurité sur le territoire

Hightest : À ce jour, penses-tu que la population calédonienne soit plus vulnérable aux attaques “techniques” ou à l’ingénierie sociale ?

Laurent Rivaton : Les 2 mon capitaine. Mais de fait, les cybercriminels exploitent davantage les vulnérabilité humaines. Le risque est donc supérieur de ce côté là.

Hightest : Une recrudescence d’attaques a eu lieu lors des émeutes de 2024. As-tu envie d’en dire un mot ?

Laurent Rivaton : Il n’y a pas forcément grand chose à dire à mon sens. Il me semble qu’il y a eu à la fois une pression en terme de désinformation, ce qui est logique dans un tel contexte, et également une augmentation des tentatives d’arnaques de tous genres, ce qui est également « normal » : quand une population est fragilisée économiquement et psychologiquement, elle est plus vulnérable et donc devient une cible de choix pour les cybercriminels.

Hightest : L’édition 2025 de HacKagou se tiendra le 1er octobre prochain. Quel est le rôle d’AdDo dans la mise en œuvre de cet événement ? Par rapport aux éditions précédentes, que souhaiterais-tu pour cette année en particulier ?

Laurent Rivaton : AdDo fait partie des partenaires, des soutiens inconditionnels depuis le début de l’aventure HacKagou. À titre personnel, mon rôle est d’emmener l’évènement et la super équipe d’organisation toujours plus haut et toujours plus loin. Pour 2025, nous sortons de Nouméa. C’est la commune de Païta qui nous accueille avec beaucoup d’enthousiasme dans l’Arène du Sud. Nous attendons beaucoup plus de joueurs, beaucoup plus de public, du contenu encore plus riche autour du CTF (ndlr : Capture The Flag, un type de challenge de cybersécurité), avec des ateliers, des conférences, des animations, l’escape game que nous n’avons pas pu faire en 2024, une décoration et une mise en situation pour que les participants et le public soient complètement immergés dans le thème de l’année qui est : Apocalypse. Une IA devenue folle menace l’humanité.

Nous devrions annoncer bientôt l’ouverture des inscriptions, mais notre vrai challenge cette année, est de trouver les financements nécessaires pour que le HacKagou soit la grande fête que nous imaginons.

___________________________________________

Merci à Laurent Rivaton d’avoir répondu à nos questions ! Nous nous retenons d’en poser d’autres encore, tellement un sujet en amène un autre. Nous espérons en tous cas que cet article vous aura donné envie d’en apprendre plus sur la cybersécurité. Et si vous avez la chance de vivre en Nouvelle-Calédonie, rendez-vous au HacKagou !

Ce QA mène une double vie (et ce n’est pas ce que vous croyez)

Le test logiciel est un véritable carrefour. Julien Escots le prouve avec un parcours qui traverse le développement, l’automatisation, le management… et même l’immobilier ! Découvrez son témoignage qui sort des cases.

Développeur ou testeur ? Un peu des deux !

Hightest : Bonjour Julien ! Parlons d’abord de ton parcours purement informatique, qui présente une particularité intéressante. Tes études supérieures ont été centrées sur le développement, mais dès le début pour tes stages et tes alternances tu as fait du test. Tu as ensuite enchaîné 2 alternances en tant que dev… pour finalement te spécialiser de nouveau dans la qualité ! Un profil comme le tien illustre bien la porosité entre ces deux expertises, et va à l’encontre des stéréotypes. Comment est-ce que tu vois les choses aujourd’hui ?

Julien Escots : Effectivement, mon parcours reflète bien cette porosité entre le développement et la qualité. J’ai commencé par le test, ce qui m’a permis de développer une forte sensibilité aux problématiques de fiabilité, de robustesse et d’expérience utilisateur. Ensuite, mes deux alternances en tant que développeur m’ont apporté une vraie compréhension technique des produits, du code, et des contraintes que peuvent rencontrer les équipes de dev.

Aujourd’hui, je vois la qualité comme une extension naturelle du développement. Ce ne sont pas deux mondes opposés, mais complémentaires. Un bon testeur comprend le code, et un bon développeur gagne à intégrer une logique qualité dès la conception. Mon profil me permet justement de faire le lien entre ces deux univers, de parler le même langage que les devs tout en apportant un regard critique sur la qualité produit. Je pense que c’est cette double casquette qui me permet aujourd’hui d’avoir un rôle à plus forte valeur ajoutée dans une équipe agile.

La troisième casquette

Hightest : C’est très probable ! Ce genre de profil joue souvent un rôle « émulsifiant » dans une équipe (un émulsifiant étant un élément qui aide deux substances à se mélanger…) Et depuis peu, tu as même une troisième corde à ton arc ! Tu peux nous en parler un peu ?

Julien Escots : Depuis quelque temps, je me suis lancé dans l’immobilier en parallèle de mon poste de Lead Test. C’est une activité que j’avais en tête depuis un moment, par envie d’entreprendre, de découvrir un univers totalement différent et aussi d’avoir un impact plus direct dans la vie des gens. Je suis aujourd’hui mandataire immobilier, et j’accompagne des clients dans leurs projets d’achat ou de vente, de l’estimation jusqu’à la signature chez le notaire. C’est très enrichissant, à la fois humainement et professionnellement.

Je consacre toujours la majorité de mon temps à mon rôle de Lead Test (environ 90 %) mais je profite de mes temps libres, soirs et week-ends pour développer mon activité immobilière.

Les deux domaines peuvent paraître éloignés, mais je trouve qu’ils sont étonnamment complémentaires. Mon expérience dans la tech m’a donné une vraie rigueur, une capacité à structurer, à analyser des données, à anticiper les problèmes, et tout cela me sert énormément dans la gestion de mon activité immobilière. À l’inverse, l’immobilier me pousse à sortir de ma zone de confort, à renforcer mes compétences relationnelles, à apprendre à gérer le stress d’une négociation ou d’un accompagnement client dans un moment de vie important. Finalement, c’est un équilibre que je trouve stimulant, et qui me permet de progresser dans les deux domaines.

Le quotidien d’un lead test

Hightest : C’est drôle, il y a quelques temps on avait interviewé des profils issus de reconversions et on en avait conclu que tous les chemins mènent au test. On pourrait se dire que l’inverse est peut-être vrai aussi ! Cette diversité de parcours notamment fait que chaque QA a son propre style de test. Et toi, c’est quoi ta marque de fabrique ?

Julien Escots : Ma marque de fabrique, c’est ma curiosité et mon instinct de testeur. J’adore explorer les cas limites, traquer les comportements inattendus, parfois même farfelus. Ce qui me motive, c’est de comprendre comment un utilisateur (ou un bug) peut sortir du cadre.

J’aime aussi être au cœur des mises en production : valider, accepter, assurer la qualité jusqu’au dernier moment, c’est là que je me sens le plus utile.

En tant que Lead Test, je veille à ce que mes équipes aient une vision claire de la stratégie de test, avec un bon équilibre entre manuel et automatisation. Je pousse pour une automatisation intelligente : ciblée, fiable, et qui donne un feedback rapide. Mon rôle, c’est aussi d’aligner tout le monde autour de la qualité, sans jamais perdre de vue la valeur.

Hightest : Lead Test, c’est un rôle exigeant. Raconte-nous ton plus gros challenge !

Julien Escots : Mon plus gros challenge, ça a été de mettre en place une vraie stratégie de test pour une équipe de 10 testeurs, mêlant profils fonctionnels et automaticiens. Il a fallu trouvé le bon équilibre entre cadrage, autonomie et cohérence d’ensemble.

Ce qui m’a demandé le plus d’effort, c’est de jouer le rôle de chef d’orchestre : comprendre les forces de chacun, aligner les pratiques, définir des priorités claires et des objectifs communs. La cohésion et la création d’une communauté entre nous a été l’un de mes principaux grand challenge.

Une histoire de bug

Hightest : On voit bien tout l’enjeu managérial et organisationnel qui vient se superposer aux problématiques classiques des tests… Dans ton parcours, tu as dû découvrir pas mal d’anomalies, est-ce qu’il y en a une qui t’a marquée plus que les autres ?

Julien Escots : Un bug qui m’a marqué, c’est lors du déploiement d’un nouveau parcours réservé à une poignée de conseillers bancaires. En principe, seuls quelques profils pilotes devaient y accéder. Sauf qu’à quelques minutes de la mise en production, on a découvert qu’il suffisait qu’un seul conseiller accède au parcours pour qu’il soit activé pour tous les conseillers de France.

Heureusement, on l’a détecté juste à temps, ce qui nous a permis de décaler la MEP et de corriger avant que l’impact ne soit réel. Sur le moment, c’était chaud, mais avec le recul, c’est un super rappel de l’importance des tests d’habilitation et des validations de dernière minute !

Rester à la pointe

Hightest : Outch ! Ces gros bugs de dernière minute servent souvent de leçon et aident à alimenter les checklists de tests incontournables… Mais le temps est long et on n’a pas toujours l’occasion d’apprendre de manière intensive. As-tu déjà eu l’impression de stagner ? Qu’est-ce que tu mets en place pour continuer de progresser ?

Julien Escots : Oui, ça m’est déjà arrivé, surtout d’un point de vue technique. Parfois, tu as l’impression d’avoir bien avancé, d’avoir acquis pas mal de compétences… et puis tu te rends compte que la montagne est encore très haute. C’est un peu déstabilisant, mais aussi motivant.

Pour continuer à progresser, je m’impose une veille régulière, je fais des POC sur mon temps perso, je challenge mes pratiques, et surtout, j’échange beaucoup avec mes pairs. Je pense qu’on apprend énormément en partageant : une bonne discussion avec un collègue ou un développeur peut t’ouvrir des perspectives que t’avais pas envisagées.

Et puis, en tant que Lead, je me dois aussi de rester à jour pour pouvoir guider les autres, ça me pousse à ne pas me reposer sur mes acquis.

Un conseil pour QA qui débutent

Hightest : En parlant de guider les autres, quel conseil donnerais-tu à une personne qui voudrait se lancer dans le test ?

Julien Escots : Le conseil que je donnerais à quelqu’un qui veut se lancer dans le test, c’est : sois curieux, et pose-toi toujours la question “Et si… ?”. Le test, ce n’est pas juste suivre des scénarios, c’est chercher à comprendre comment un produit peut se comporter autrement que prévu.

Je lui dirais aussi que le test, aujourd’hui, c’est loin d’être un métier isolé ou secondaire. Il faut savoir collaborer avec les devs, les PO, les ops, comprendre le produit, et même parfois challenger la conception. Et si en plus tu touches un peu au code, l’automatisation devient un vrai levier pour faire gagner du temps à toute l’équipe.

Merci beaucoup à Julien pour cet échange très intéressant !