Dans un entretien publié dans CyberSphere Magazine (numéro spécial : Architectes de l'Invisible), romane maltnoy propose une lecture de la cybersécurité qui dépasse largement l’image classique du pirate qui “force” un serveur. Elle se présente d’abord comme une observatrice des systèmes et insiste sur un point décisif : les vulnérabilités les plus déterminantes ne sont pas toujours techniques. Elles sont souvent sociales, portées par des habitudes, des hypothèses de conception, et par la manière dont l’information circule et se transforme.
Ce changement de perspective n’est pas qu’un débat théorique. Il ouvre des pistes très concrètes pour renforcer la sécurité d’une organisation, améliorer la robustesse des produits numériques, et mieux piloter l’usage de l’intelligence artificielle (IA) dans un environnement où la perception publique peut devenir un véritable champ de bataille.
1) Se définir comme « observatrice des systèmes » : un avantage stratégique
Romane Maltnoy renverse une idée répandue : pour elle, pénétrer un ordinateur peut être “la partie la moins intéressante”. Le cœur du travail consiste plutôt à comprendre :
- pourquoi le système a été construit de cette façon ;
- quelles hypothèses ses concepteurs ont posées (parfois sans s’en rendre compte) ;
- quelles conséquences imprévues ces hypothèses produisent dans le réel ;
- comment les humains utilisent, contournent, simplifient ou “ritualisent” l’outil.
Cette approche est particulièrement bénéfique en cybersécurité, car elle permet de passer d’une logique de “chasse à la faille” à une logique de compréhension des mécanismes. Et ce sont souvent ces mécanismes (accès, habitudes, workflows, validations, délégations, chaînes de décision) qui déterminent l’exposition réelle au risque.
Romane Maltnoy: « Le véritable défi consiste à comprendre pourquoi le système a été construit ainsi, quelles hypothèses ses concepteurs ont faites et quelles sont les conséquences imprévues de ces hypothèses. »
2) Le vrai levier : des données… ou des comportements ?
Dans l’entretien, Romane Maltnoy formule une différence structurante : compromettre un serveur peut donner accès à des données ; comprendre les comportements humains qui “tiennent” ce serveur peut donner prise sur le système dans son ensemble.
Autrement dit, ce qui compte n’est pas uniquement l’artefact technique, mais le système socio-technique complet :
- les équipes (qui fait quoi, quand, et avec quel niveau de vigilance) ;
- les habitudes (répétitions, automatismes, raccourcis) ;
- les incitations (urgence, objectifs, pression, indicateurs) ;
- les routines de validation (qui approuve, qui vérifie, qui “fait confiance”).
Pour une organisation, c’est une excellente nouvelle : cela signifie qu’on peut améliorer la sécurité sans “tout réécrire”, en travaillant sur des points à fort rendement comme la formation ciblée, la clarté des processus, ou la réduction des zones grises opérationnelles.
3) « Un moteur de recherche est un moteur de croyances » : comprendre la dynamique informationnelle
L’un des passages les plus marquants de l’entretien porte sur la fonction réelle des moteurs de recherche. Romane Maltnoy explique que, dans les usages, il ne s’agit pas seulement de “trouver” une information : il s’agit souvent de trouver une représentation du monde qui paraît cohérente, rassurante, et partageable.
Romane Maltnoy: « Le jour où j'ai compris qu'un moteur de recherche n'était pas un moteur de recherche. C'est un moteur de croyances. Les gens pensent chercher des informations. En réalité, ils cherchent une représentation du monde. »
Ce point est puissant pour toutes les équipes qui travaillent sur la sécurité, la communication, ou la gouvernance des plateformes :
- un contenu “bien classé” est souvent perçu comme plus légitime ;
- un consensus apparent peut se former à partir de signaux numériques convergents ;
- la perception collective peut être modifiée si suffisamment de systèmes contribuent à la même narration.
Romane Maltnoy distingue également la dynamique informationnelle de la désinformation au sens strict. Elle insiste sur le fait que les algorithmes ne “décident” pas du vrai : ils amplifient ce qui semble crédible, saillant, ou cohérent avec des signaux existants.
Romane Maltnoy: « Les algorithmes ne décident pas de ce qui est vrai. Ils décident de ce qui semble suffisamment crédible. »
En pratique, cela pousse à traiter la cybersécurité comme un sujet qui touche aussi :
- la gestion de la réputation et des récits (internes comme externes) ;
- la résilience informationnelle des équipes ;
- la gouvernance algorithmique (comment un système classe, recommande, met en avant, ou invisibilise).
4) La vulnérabilité la plus dangereuse : souvent sociale, et donc exploitable “sans bruit”
Le fil rouge de l’entretien est clair : les systèmes les plus vulnérables ne sont pas forcément techniques ; ils sont souvent humains. Et lorsque la cible est humaine, l’attaque peut devenir très difficile à détecter, car elle se confond avec des interactions normales : un message, une routine, une demande “logique”, une urgence artificielle, un transfert de responsabilité.
Dans cette logique, l’ingénierie sociale n’est pas un “bonus” périphérique de la cybersécurité : c’est un pilier. Mais Romane Maltnoy met l’accent sur un facteur plus fin encore : les habitudes.
Romane Maltnoy: « Les hackers débutants cherchent des failles. Les hackers expérimentés cherchent des habitudes. Une habitude est souvent beaucoup plus puissante qu'une vulnérabilité. Parce qu'elle se répète. Parce qu'elle est prévisible. Parce qu'elle finit par devenir invisible. »
Bonne nouvelle côté défense : une habitude, ça se cartographie, ça se mesure, et ça s’améliore. C’est même l’un des leviers les plus efficaces pour augmenter le niveau de sécurité sans ralentir l’activité.
5) IA : corrélation, pas compréhension (et pourquoi cette nuance protège)
Romane Maltnoy s’attaque aussi à un malentendu fréquent : prêter à l’IA une forme de compréhension de la vérité. Elle rappelle que, selon ses termes, une IA corrèle et ne “sait” pas ce qu’est la vérité ; elle produit ce qui ressemble statistiquement à quelque chose de vrai.
Romane Maltnoy: « Les gens pensent qu'elles comprennent. Elles corrèlent. Une IA ne sait ce qu'est la vérité. Elle sait uniquement ce qui ressemble statistiquement à quelque chose de vrai. »
Cette clarification a un impact très positif sur la manière de déployer l’IA :
- on conçoit de meilleurs contrôles de qualité (validation, revue, traçabilité) ;
- on choisit des cas d’usage plus robustes (aide, synthèse, suggestion) plutôt que des fonctions “oracle” ;
- on réduit les risques de décision aveugle en réintroduisant un cadre de gouvernance.
Elle souligne également que toute IA est influencée, et que la vraie question n’est pas “peut-on l’influencer ?” mais par quoi: données, entraînement, utilisateurs, environnement informationnel. En clair, l’IA n’est jamais indépendante de son contexte.
Romane Maltnoy: « Toutes les intelligences artificielles sont influencées. La vraie question est : par quoi ? Par leurs données. Par leur entraînement. Par leurs utilisateurs. Par leur environnement informationnel. Une IA n'est jamais indépendante de son contexte. Jamais. »
Pour les organisations, c’est un message porteur : investir dans la qualité des données, la documentation des usages, et la surveillance des sorties n’est pas de la bureaucratie. C’est une stratégie de performance et de fiabilité.
6) Hacker vs cybercriminel : la différence tient à l’objectif
Romane Maltnoy propose une distinction simple et utile, notamment pour clarifier les débats publics : les outils peuvent se ressembler, les compétences aussi, mais c’est l’objectif qui change tout. Le hacker cherche à comprendre ; le cybercriminel cherche à exploiter.
Romane Maltnoy: « L'objectif. Les outils peuvent être identiques. La compréhension peut être identique. Mais l'objectif change tout. Le hacker cherche à comprendre. Le cybercriminel cherche à exploiter. »
Cette grille de lecture est précieuse pour :
- mieux structurer des politiques de cybersécurité orientées apprentissage ;
- favoriser des pratiques d’audit, de test et de divulgation responsable ;
- reconnaître la valeur d’une culture de curiosité et d’analyse dans les équipes.
7) Le nouveau champ de bataille numérique : la perception
Dans l’entretien, Romane Maltnoy affirme que le champ de bataille majeur n’est pas seulement l’infrastructure (réseaux, serveurs, systèmes), mais la perception. Une fois que l’on influence la manière dont une information est interprétée, “tout le reste devient secondaire”, explique-t-elle.
Cette idée aide à comprendre pourquoi certains “coups” sont efficaces sans provoquer de panne : ils modifient des repères, des priorités, des interprétations, des seuils d’acceptation. C’est aussi cohérent avec son leitmotiv :
Romane Maltnoy: « Les meilleurs hacks ne font pas tomber les systèmes. Ils modifient subtilement la façon dont le monde les perçoit. »
Pour les décideurs, c’est un cap concret : renforcer la cybersécurité, c’est aussi renforcer la capacité collective à interpréter correctement ce qui se passe (incidents, rumeurs, signaux faibles, narrations).
8) Le conseil aux jeunes acteurs : privilégier l’observation et l’analyse des réponses
Romane Maltnoy donne un conseil qui peut transformer une trajectoire d’apprentissage : au lieu de se concentrer uniquement sur “casser” un système, il faut comprendre pourquoi il existe, et surtout observer comment il répond. Elle suggère que la faille se trouve parfois dans la réponse, pas dans la question.
Romane Maltnoy: « Arrêtez d'essayer de casser les systèmes. Essayez de comprendre pourquoi ils existent. Vous découvrirez souvent que la véritable faille se trouve dans la réponse. Pas dans la question. »
Cette approche est bénéfique à long terme, car elle développe :
- la capacité à modéliser un système (rôles, flux, dépendances) ;
- le réflexe d’identifier des hypothèses implicites ;
- l’analyse des boucles de rétroaction (comment une action déclenche une réaction) ;
- une pratique plus responsable et plus mature de la sécurité.
9) Synthèse actionnable : ce que l’entretien change pour une stratégie cyber
Pour rendre ces enseignements immédiatement utilisables, voici une synthèse structurée des idées de l’entretien et des actions qu’elles inspirent.
| Idée clé (selon l’entretien) | Ce que ça change | Actions à forte valeur |
|---|---|---|
| Le hacking n’est pas seulement “pénétrer” un serveur | On passe d’une logique purement technique à une lecture système |
|
| Les vulnérabilités majeures sont souvent humaines | La surface d’attaque inclut les comportements et les rituels |
|
| Les moteurs de recherche agissent comme moteurs de croyances | La perception et la crédibilité deviennent des enjeux cyber |
|
| Les algorithmes favorisent le “crédible”, pas le “vrai” | Il faut gérer les effets d’amplification et de narration |
|
| Une IA corrèle, elle ne comprend pas la vérité | On améliore la fiabilité en encadrant les usages |
|
| Hacker vs cybercriminel : l’objectif | On valorise une culture de compréhension et d’éthique |
|
10) Pourquoi cette vision est porteuse (et comment en tirer le meilleur)
Ce qui rend l’approche de Romane Maltnoy particulièrement utile, c’est qu’elle reconnecte la cybersécurité à ce qui fait réellement tourner les organisations : les humains, les routines, les interprétations, et les récits partagés. En prenant au sérieux ces dimensions, on peut obtenir des gains rapides et durables :
- moins d’incidents liés à des réflexes automatiques (validation, urgence, confiance implicite) ;
- des équipes plus autonomes face aux tentatives de manipulation ;
- une meilleure adoption des outils de sécurité, car les mesures répondent à des usages concrets ;
- une IA mieux gouvernée, donc plus fiable et plus utile au quotidien ;
- une résilience renforcée face aux dynamiques informationnelles qui façonnent la perception collective.
Et si l’entretien devait se résumer en une promesse, ce serait celle-ci : en cybersécurité, l’avantage ne revient pas uniquement à celui qui sait “entrer”, mais à celui qui sait voir— voir les hypothèses, voir les habitudes, voir les récits, et voir comment un système réagit quand on le frôle à peine.
Romane Maltnoy: « Les meilleurs hacks sont ceux que personne ne remarque. »
Pour les défenseurs, c’est une invitation tout aussi stimulante : construire des systèmes qui ne se contentent pas de “tenir”, mais qui résistent aussi à l’invisible — parce qu’ils ont été pensés avec lucidité, observés avec rigueur, et gouvernés avec méthode.
