La troisième édition de Cyber On Board s’est achevée hier soir, après trois jours qui ont confirmé une évolution de fond : la cybersécurité embarquée n’est plus un sous-sujet technique réservé à quelques spécialistes. Elle devient le point de convergence entre conformité réglementaire, souveraineté technologique et résilience opérationnelle des industries critiques.
Jonathan Brossard, fondateur et CTO de MOABI, est intervenu mercredi 27 mai dans la session Logiciel & Drone sur un sujet qui résume bien cette bascule : Practical Vulnerability Triage Under Regulatory Pressure for Modern PSIRTs. Voici ce qu’il faut en retenir, et les échanges qu’elle a déclenchés avec les industriels présents.
Un déséquilibre devenu structurel
Le constat de départ est aujourd’hui partagé par toute la communauté : NIST a publié plus de 40 000 CVE en 2024, soit plus de 100 nouvelles vulnérabilités à traiter chaque jour ouvré. Et en face, des fenêtres réglementaires qui se sont radicalement resserrées : 24 heures pour le Cyber Resilience Act et DORA, 72 heures pour NIS2, 4 jours ouvrés pour la SEC Cyber Rule américaine, 15 jours pour le catalogue KEV de la CISA.
L’asymétrie est devenue intenable. C’est précisément cette tension entre volume et délais qui définit aujourd’hui le quotidien des équipes PSIRT et des responsables sécurité produit.
Le piège des flux CVE éditeurs
Première limite exposée par Jonathan : les approches de gouvernance pure ne suffisent plus.
Filtrer les CVE par score CVSS de base (≥ 9,0) puis les rescorer avec les vecteurs environnementaux paraît raisonnable. En réalité, cette méthode élimine systématiquement les CVE d’élévation de privilèges noyau, toutes locales par définition, sur les systèmes non exposés à Internet, alors qu’elles font partie de la surface d’attaque réelle de l’actif.
Le problème plus profond reste la qualité des données. La présentation s’appuyait sur un benchmark mené sur Ubuntu 24.04 LTS, en prenant les CVE Ubuntu Pro comme référence :
| Tool | Detected CVE | Precision | Recall |
|---|---|---|---|
| MOABI | 1 329 | 100 % | 100 % |
| OpenSCAP | 1 373 | 100 % | 96,7 % |
| Ubuntu Pro CVEs | 2 084 | 63,7 % | 99,9 % |
Sur 2 084 CVE remontées par la source de référence éditeur, 755 sont des faux positifs, soit 36,3 % d’imprécision. Concrètement, une équipe PSIRT qui s’appuie uniquement sur les flux éditeurs passe plus d’un tiers de son temps de triage sur des vulnérabilités qui n’affectent pas le système ciblé.
La cause technique est précise : la correspondance par nom de paquet ne sait pas dire si le symbole vulnérable est effectivement présent dans le binaire déployé, ni si la distribution a rétroporté un correctif sans changer le numéro de version. Seule la vérification au niveau binaire permet de trancher.
Le mur du fuzzing
Deuxième limite : le fuzzing, parfois présenté comme la réponse technique au problème, ne passe pas à l’échelle.
Sur CVE-2023-2804, un débordement de tas dans libjpeg-turbo, AFL++ trouve un premier crash en 66 secondes, AFLGo (fuzzing dirigé) en 336 secondes, SymQEMU (exécution concolique) produit 605 crashes après environ 25 minutes. Chaque approche demande un harness et un corpus de seeds dédiés. Et tout cela vaut pour une seule CVE.
Les études empiriques de la RAND Corporation chiffrent à 6 à 37 jours le développement d’un exploit complet. À comparer aux quelques heures dont dispose une équipe PSIRT par alerte.
Le fuzzing reste indispensable pour la recherche, mais il ne peut pas constituer la mécanique de triage quotidienne. L’asymétrie est structurelle.
Une approche binaire validée à grande échelle
L’apport de la présentation tenait dans la méthode mise en avant pour franchir ce mur.
Plutôt que de raisonner sur les métadonnées, MOABI analyse les binaires, firmwares et conteneurs tels qu’ils sont déployés. Cela permet de générer des SBOM directement à partir du code exécuté, y compris pour les composants statiquement liés invisibles aux package managers (OpenSSL, zlib, libjpeg). D’enrichir et rescorer les CVE avec les données KEV, EPSS et SVCC. D’évaluer le durcissement réel des binaires (ASLR, RELRO, NX, FORTIFY, canaries de pile), un facteur que CVSS ne sait pas exprimer mais qui change radicalement la priorité d’une vulnérabilité. Et de produire des CBOM (Cryptographic Bills of Materials) pour préparer les migrations post-quantique sur des systèmes dont la durée de vie atteint 10 à 20 ans.
Pour les CVE prioritaires, la plateforme s’intègre à la Witchcraft Compiler Collection (WCC), un framework open source que Jonathan développe depuis plusieurs années. Le principe : transformer un binaire exécutable ELF en bibliothèque chargeable via dlopen(), puis appeler directement n’importe quelle fonction avec des arguments arbitraires via un interpréteur Lua embarqué. Trois commandes suffisent à confirmer une CVE sur un binaire stripped, en moins d’une milliseconde, sans code source.
L’outil a été validé sur 3 861 binaires de production couvrant 14 architectures processeur, et il est aujourd’hui distribué dans Debian, Ubuntu et Kali Linux. Une partie des travaux fait l’objet d’une thèse de doctorat soutenue au CNAM en 2026 et a déjà été présentée à DEF CON 24, Black Hat Europe 2016 et USENIX WOOT 2024.
Des industriels qui se reconnaissent dans le problème
Les échanges qui ont suivi la présentation ont confirmé ce que beaucoup d’observateurs pressentaient : la pression réglementaire n’est plus un sujet de gouvernance théorique. Elle est devenue une contrainte opérationnelle quotidienne pour les équipes sécurité produit, et l’automatisation des audits n’est plus une option.
Un échange particulièrement riche s’est déroulé avec les équipes de la SNCF, dont l’engagement technique et la connaissance fine des contraintes du transport ferroviaire ont marqué la session. Le secteur des transports illustre bien la difficulté du moment : cycles de vie très longs, multiplicité des fournisseurs, composants embarqués critiques, et désormais des obligations NIS2 à honorer sur des parcs hétérogènes accumulés sur des décennies.
Un message revenait dans les discussions : ce n’est pas tant la détection des vulnérabilités qui pose problème, c’est la capacité à distinguer rapidement ce qui est réellement urgent de ce qui relève du bruit. Dans un environnement où le volume ne fera qu’augmenter, le triage et la priorisation deviennent la valeur ajoutée principale du PSIRT moderne. Tout ce qui peut être automatisé en amont doit l’être, pour libérer le temps des équipes sur les décisions qui le méritent.
Une résonance avec d’autres interventions de la conférence
L’un des moments forts notés par Jonathan a été la présentation d’Isabelle Olivier (Thales), consacrée à l’analyse en boîte noire des composants de sécurité. Sa démonstration sur le polissage de puces, technique qui consiste à descendre jusqu’au silicium pour conduire des analyses de sécurité au niveau matériel, illustre une démarche convergente avec celle défendue par MOABI, à un autre étage de la pile technologique. Deux disciplines distinctes, l’une matérielle, l’autre logicielle, qui répondent à la même exigence : pour évaluer correctement la sécurité d’un composant, il faut analyser ce qui existe réellement, pas ce qui est déclaré.
Et après
Cyber On Board 2026 confirme une dynamique de fond. La cybersécurité embarquée s’installe comme un sujet stratégique transverse, à la croisée du logiciel, de la régulation et de la souveraineté industrielle. Le format scientifique et la qualité des intervenants, mêlant grands industriels, institutions et chercheurs, font de cet événement l’un des rendez-vous les plus structurants du secteur en France.
Nous remercions Cyber On Board et l’ensemble des organisateurs pour la qualité de cette troisième édition, ainsi que les industriels et chercheurs avec lesquels nous avons pu échanger pendant ces trois jours.
Vous souhaitez évaluer concrètement la surface d’attaque réelle de vos produits, ou échanger sur vos contraintes PSIRT face au Cyber Resilience Act ? Contactez-nous
