Il y a peu, la société calédonienne AdDo, spécialisée en cybersécurité, a publié un rapport faisant l’état des lieux des fuites de données avérées sur le territoire calédonien : le rapport d’étude OSINT 2025.
OSINT signifie “Open Source INTelligence” : ce rapport se base donc “seulement” sur des informations publiquement accessibles. Cela signifie que les chiffres qu’on y trouve, et qui sont déjà préoccupants, illustrent une réalité certainement beaucoup plus inquiétante.
En Nouvelle-Calédonie, on a souvent l’impression d’être “loin de tout”, et d’une certaine façon protégé·es de ce “tout”. On pourrait même se demander, “Qui pourrait bien s’intéresser à nous, qu’on peine souvent même à trouver sur une carte ?”
Mais le rapport d’étude d’AdDo montre bien que la perception du risque en cybersécurité est bien différente du risque physique, et que ce risque est difficile à évaluer avec les outils cognitifs que nous possédons naturellement.
Parole à Laurent Rivaton, fondateur d’AdDo et auteur de ce rapport.
Ce qu’il faut retenir du rapport
Hightest : Bonjour Laurent ! Nous avons lu attentivement le rapport et recommandons vivement de le découvrir dans son intégralité. Toutefois, pour les personnes qui n’auront pas le temps de tout lire, quelle sont les informations les plus importantes que tu souhaites voir circuler au maximum ?
Laurent Rivaton : La première, qui fait directement écho à l’étude et à ses conclusions est que la cybersécurité pose un problème qui est global et collectif, et que la solution est également globale et collective. Pour illustrer le fait qu’on soit tous concernés, j’aime prendre l’exemple de la sécurité routière. Quand je prends ma voiture, pour que je sois en sécurité, il faut que je conduise avec prudence, mais il faut aussi que tous ceux qui sont sur la route en même temps que moi conduisent avec prudence. 1 seul chauffard et tout le monde est en danger !
Et l’autre message qui me tient également hackeur à cœur, c’est que la cybersécurité, ça n’est jamais que de la gestion de risque, et que la gestion de risque on sait tous faire. Nos cerveaux, après des dizaines et des dizaines de milliers d’années d’évolution, sont parfaitement au point pour gérer les risques, question de survie ! Il n’y a donc aucune raison que la cybersécurité soit un domaine accessible uniquement à des petits génies de l’informatique, une sorte de groupe d’élus qui seraient les seuls humains dotés de pouvoirs leur permettant d’appréhender ce sujet.
Former à la cybersécurité en Nouvelle-Calédonie
Hightest : Le rapport souligne l’importance de la formation pour mieux se protéger contre les risques numériques. Mais la cybersécurité est encore à ce jour un domaine mystérieux pour la plupart des gens, et s’y initier peut sembler difficile. As-tu des ressources à conseiller pour débuter ? Des formations en Nouvelle-Calédonie, ou encore des ressources en ligne ?
Laurent Rivaton : Je confirme ! De mon point de vue, la formation permet de comprendre ce qui se cache derrière les technologies numériques, et donc de réaliser qu’en fait, savoir si on doit cliquer ou pas sur un lien qu’on vient de recevoir dans sa messagerie, c’est exactement le même problème à résoudre que de savoir si on doit traverser une rue ou pas alors qu’il y a de la circulation.
On peut aujourd’hui trouver beaucoup de sources d’information et de formation sur le sujet de la cybersécurité. Beaucoup de sources en ligne sont en anglais, ce qui ne facilite pas toujours les choses, mais il y a heureusement beaucoup de matériel intéressant sur le site du Centre Cyber du Pacifique, sur le site de l’ANSSI ou celui de Cybermalveillance. Pour tous ceux qui ont du mal avec l’auto formation, il est également possible de suivre des formations en présentiel destinées aux utilisateurs. J’en dispense une qui dure 6 demi-journées et qui donne de bon résultats !
Pour les professionnels, c’est un peu la même chose, beaucoup de possibilités en ligne, de qualité variable, à des prix allant de gratuit à plusieurs centaines de milliers de francs, avec des parcours qui permettent d’aller jusqu’à des certifications professionnelles y compris les plus connues, les plus reconnues dans notre secteur, les plus difficiles à obtenir. Et pour ceux qui préfèrent des formations en présentiel, c’est également possible sur le territoire avec une offre qui s’étoffe peu à peu (ma prochaine formation aura lieu à la mi juillet !).
Un permis de conduire numérique
Hightest : Dans le rapport est évoqué le “permis de conduire numérique”. Peux-tu nous en dire plus ?
Laurent Rivaton : C’est plus une image ou une analogie qu’autre chose. Le fait est qu’aujourd’hui, pour prendre le volant, il faut apprendre à conduire et il faut même démontrer qu’on en est capable en passant un examen pour obtenir un permis. Pour ce qui est des outils numérique, il suffit de les acheter, et comme c’est facile et intuitif, il n’est même pas nécessaire de lire la documentation. Et pourtant, tous ces nouveaux outils peuvent être mal utilisés, causer des dommages et des préjudice et leur utilisation comporte des risques. Comme ces outils numériques sont de plus en plus sophistiqués, de plus en plus indispensables et qu’en cas de mauvaise utilisation les préjudices sont de plus en plus importants, il me semblerait logique qu’on soit, sinon obligés, mais au moins incités à apprendre quelques notions élémentaires avant de les utiliser.
Que faire quand ses données personnelles fuitent ?
Hightest : Dans le rapport, le site https://haveibeenpwned.com/ est conseillé pour vérifier son adresse e-mail. Par curiosité, j’ai vérifié mon adresse pro (0 occurrence) et perso (4 occurrences !) Ce qui m’a surprise (ndlr : c’est Zoé Thivet qui pose la question :)), c’est de voir apparaître des noms de sites très connus (Gravatar et Canva). Recommandes-tu de vérifier régulièrement ses adresses mail via ce site ? Si une nouvelle fuite apparaît, que conseilles-tu ?
Laurent Rivaton : Ça peut-être une habitude à prendre. Et quand une nouvelle fuite apparait, il faut impérativement changer les mots de passe qui ont été compromis. Mais vérifier régulièrement ses adresses ne remplace pas une bonne pratique élémentaire : le cloisonnement. Le cloisonnement, ça consiste à utiliser des comptes et des mots de passe différents pour tout, ou au minimum sur ses accès importants, par exemple celui à sa banque ! Ainsi, si un mot de passe est volé quelque part sur un site, alors le préjudice est limité à ce site. Je rappelle que les sites comme Have I Been Pwned s’appuient sur des données publiques, par conséquent, si mon adresse est trouvée, ça veut dire que mon compte a été compromis. Par contre, si mon adresse n’est pas trouvée, ça veut seulement dire qu’elle n’a pas été trouvée et j’ai peut être quand même été piraté mais ça n’est pas encore rendu publique.
L’expertise met-elle à l’abri ?
Hightest : Un autre site, IntelligenceX.com, est recommandé pour consulter les fuites de données. J’y ai d’ailleurs retrouvé, pour mon adresse mail, un fichier dont le titre contient le nom “Gravatar”. En tant qu’expert en cybersécurité, es-tu parfaitement protégé, ou as-tu retrouvé des données qui te concernent ?
Laurent Rivaton : Un expert en cybersécurité qui prétendrait être parfaitement protégé, serait, de fait, un mauvais expert en cybersécurité ! En effet, le risque 0 n’existe pas et un expert est forcément parfaitement lucide sur ce point. Je dirai même que plus la compétence et l’expertise augmentent, mieux on mesure l’étendue des risques. Mais parallèlement, plus la compétence et l’expertise augmentent, mieux on sait gérer efficacement le risque.
Et oui, j’ai déjà trouvé des données fuitées concernant le domaine addo.nc. Le dernier cas concernait un site chez lequel j’avais acheté des outils orientés cybersécurité. Mais comme je pratique depuis très longtemps un cloisonnement systématique, cette fuite ne m’a causé aucun préjudice. Elle ne m’a coûté que quelques échanges de courrier électronique avec ce fournisseur pour l’informer !
Hightest : Est-ce via ce site (IntelligenceX.com) que tu as pu découvrir les machines physiques compromises ?
Laurent Rivaton : Oui. Les données qui sont proposées par IntelligenceX permettent d’aller très loin dans les recherches, et de trouver suffisamment d’éléments pour identifier un équipement compromis avec certitude. Ces accès « pro » sont d’ailleurs payants et pas vraiment bon marché !
Hightest : Beaucoup de personnes te consultent-elles pour savoir si leurs propres données ont été exposées ? Si oui, que leur réponds-tu ?
Laurent Rivaton : À la suite de cette étude, très peu. Et comme l’étude a été menée globalement, je n’ai pas de détail sur les postes compromis, seulement leur nombre. Cependant, au début de l’étude, je m’étais fixé comme règle de prévenir les tiers que j’allais reconnaître dans les phases d’échantillonnage qui seraient faites tout au long de l’étude pour vérifier la qualité des résultats des recherches. J’ai donc été amené à contacter un nombre très réduit de personnes…
Une palette de solutions
Hightest : Quels sont les services proposés par AdDo pour aider à se préparer aux risques en cybersécurité ?
Laurent Rivaton : Le travail d’AdDo, c’est d’aider les entreprises et les organisations publiques ou privées à améliorer leur cybersécurité en les accompagnant. Ce sont donc des missions de conseil, avec aussi de l’audit et de la formation. Il m’arrive aussi d’aider en cas d’attaque, dans ce cas, il s’agit aussi d’accompagner les victimes dans la gestion de crise, dans la priorisation des tâches de diagnostic, de remédiation, etc.
Hightest : Comment procèdes-tu pour rendre les risques liés à la cybersécurité plus tangibles auprès de personnes qui découvrent le sujet et ne se sentent pas concernées ?
Laurent Rivaton : Il n’y a pas de recette magique, mais généralement, faire l’exercice théorique de regarder ce qui se passerait, si, un matin, en arrivant au bureau, il n’y avait plus aucun outil numérique de disponible suite à un piratage, peut-être un moyen de prendre conscience de l’importance du sujet.
Hightest : Quelles sont les résistances que tu rencontres le plus souvent de la part des personnes lors des sensibilisations ?
Laurent Rivaton : La plupart des gens d’une part ne se rendent pas compte à quel point ils sont devenus dépendants, et d’autre part estiment qu’ils sont incapable de comprendre quoi que ce soit à la cybersécurité. Dans ce cas, il est très naturel de faire une forme de déni. Mais il suffit donc de contredire ces 2 certitudes avec des exemples simples en fonction du contexte et en général, les résistances s’estompent.
Le point sur les antivirus
Hightest : “Les antivirus en 2025 ça ne sert plus à rien, les OS en disposent déjà de solides.” Cette phrase qu’on entend souvent est-elle justifiée, ou est-ce une idée reçue sans fondement ? Le cas échéant, quel antivirus recommandes-tu ?
Laurent Rivaton : Il y a bien longtemps, les antivirus étaient nécessaires et suffisants. Dans les échantillonnages réalisés pendant l’étude, 100% des postes piratés avaient un antivirus, qui, le plus souvent, était celui fourni avec l’OS. Les antivirus ne sont plus suffisant depuis un moment déjà, mais ils sont toujours nécessaires : sans antivirus, c’est pire ! On peut refaire une analogie avec la sécurité routière. Considérer que les antivirus sont inutiles car ils ne garantissent pas une protection totale, c’est comme se dispenser de mettre sa ceinture de sécurité au motif quelle ne garanti pas la survie en cas d’accident. Conclusion : l’antivirus fourni avec l’OS, c’est tant mieux qu’il soit fourni, en ajouter un plus complet, c’est mieux, et en entreprise, ajouter encore une couche supplémentaire avec des outils de détection avancés, c’est encore mieux. Mais attention, le risque persistera de toutes les façons.
Pour la question sur le choix d’un antivirus, et de toute solution de sécurité, mon conseil est simple : il y a des critères de qualité technique et fonctionnelle à prendre en compte et il faut en tester plusieurs pour voir quel produit nous convient le mieux.
La cybersécurité sur le territoire
Hightest : À ce jour, penses-tu que la population calédonienne soit plus vulnérable aux attaques “techniques” ou à l’ingénierie sociale ?
Laurent Rivaton : Les 2 mon capitaine. Mais de fait, les cybercriminels exploitent davantage les vulnérabilité humaines. Le risque est donc supérieur de ce côté là.
Hightest : Une recrudescence d’attaques a eu lieu lors des émeutes de 2024. As-tu envie d’en dire un mot ?
Laurent Rivaton : Il n’y a pas forcément grand chose à dire à mon sens. Il me semble qu’il y a eu à la fois une pression en terme de désinformation, ce qui est logique dans un tel contexte, et également une augmentation des tentatives d’arnaques de tous genres, ce qui est également « normal » : quand une population est fragilisée économiquement et psychologiquement, elle est plus vulnérable et donc devient une cible de choix pour les cybercriminels.
Hightest : L’édition 2025 de HacKagou se tiendra le 1er octobre prochain. Quel est le rôle d’AdDo dans la mise en œuvre de cet événement ? Par rapport aux éditions précédentes, que souhaiterais-tu pour cette année en particulier ?
Laurent Rivaton : AdDo fait partie des partenaires, des soutiens inconditionnels depuis le début de l’aventure HacKagou. À titre personnel, mon rôle est d’emmener l’évènement et la super équipe d’organisation toujours plus haut et toujours plus loin. Pour 2025, nous sortons de Nouméa. C’est la commune de Païta qui nous accueille avec beaucoup d’enthousiasme dans l’Arène du Sud. Nous attendons beaucoup plus de joueurs, beaucoup plus de public, du contenu encore plus riche autour du CTF (ndlr : Capture The Flag, un type de challenge de cybersécurité), avec des ateliers, des conférences, des animations, l’escape game que nous n’avons pas pu faire en 2024, une décoration et une mise en situation pour que les participants et le public soient complètement immergés dans le thème de l’année qui est : Apocalypse. Une IA devenue folle menace l’humanité.
Nous devrions annoncer bientôt l’ouverture des inscriptions, mais notre vrai challenge cette année, est de trouver les financements nécessaires pour que le HacKagou soit la grande fête que nous imaginons.
___________________________________________
Merci à Laurent Rivaton d’avoir répondu à nos questions ! Nous nous retenons d’en poser d’autres encore, tellement un sujet en amène un autre. Nous espérons en tous cas que cet article vous aura donné envie d’en apprendre plus sur la cybersécurité. Et si vous avez la chance de vivre en Nouvelle-Calédonie, rendez-vous au HacKagou !
