La 3ᵉ édition de Cyber On Board s’ouvre aujourd’hui sur la presqu’île de Giens. Trois jours de conférences scientifiques, de tables rondes et d’échanges autour des enjeux de cybersécurité embarquée, de résilience des systèmes critiques et de souveraineté technologique. La journée d’ouverture donne le ton. Après l’introduction officielle de Patrick Radja, VP Cybersecurity Director chez Naval Group, le programme enchaîne sur une conférence inaugurale consacrée à l’IA et à la cybersécurité dans les environnements embarqués, puis deux tables rondes denses : l’une sur la souveraineté technologique face à l’essor de l’IA embarquée, avec des représentants de NVIDIA, Valeo et la Gendarmerie Nationale, l’autre sur la réglementation et la coopération au cœur des systèmes critiques (ferroviaire, naval, aéronautique), avec SNCF, Alstom et l’État-major de la Marine. Quand les outils de sécurité deviennent eux-mêmes le vecteur d’attaque Le calendrier de cette édition tombe à un moment particulièrement révélateur. En mars dernier, la communauté cyber a connu un choc qui résume à lui seul les enjeux abordés à Cyber On Board. Le 19 mars 2026, Trivy, l’un des scanners de vulnérabilités open source les plus utilisés au monde, édité par Aqua Security, a été compromis dans une attaque sophistiquée de la chaîne d’approvisionnement logicielle. Autrement dit, un outil conçu pour protéger la supply chain logicielle est devenu le vecteur de sa compromission. Le mécanisme est édifiant. Les attaquants ont réécrit de force 75 des 76 tags de version de l’action GitHub officielle de Trivy, transformant le scanner de sécurité en outil de vol d’identifiants. Concrètement, le code malveillant s’exécutait silencieusement avant le véritable scanner, si bien que les workflows semblaient se dérouler normalement. Or cet outil tourne au cœur de milliers de pipelines CI/CD, à chaque pull request, chaque merge, chaque déploiement, avec accès par conception aux secrets du pipeline. Le résultat : identifiants cloud, clés SSH et tokens Kubernetes exfiltrés en quelques heures. Snyk + 3 Cet épisode illustre une tendance de fond que les industriels présents à Giens connaissent bien : les attaquants remontent la chaîne, ciblant désormais les outils, les dépendances et les infrastructures de confiance plutôt que les applications finales. Dans ce contexte, se reposer uniquement sur les métadonnées des éditeurs ou sur des correspondances de versions ne suffit plus. Il devient indispensable d’analyser ce qui s’exécute réellement en production. Demain : la présentation de Jonathan Brossard C’est précisément à cette problématique que Jonathan Brossard, fondateur et CTO de MOABI, consacrera son intervention mercredi 27 mai à 11h30, dans la session de conférences scientifiques Logiciel & Drone. Son sujet : la gestion pratique des vulnérabilités sous contraintes réglementaires pour les PSIRT modernes. Un enjeu devenu structurel pour les équipes sécurité produit. Avec plus de 40 000 CVE publiées en un an, soit plus d’une centaine de nouvelles vulnérabilités chaque jour ouvré, et des réglementations comme le Cyber Resilience Act, NIS2 ou DORA qui imposent des délais de traitement de 24 à 72 heures, les méthodes historiques atteignent leurs limites. D’autant plus dans les environnements embarqués et industriels, où le code source n’est parfois plus disponible, où les firmwares sont modifiés et où les cycles de vie s’étalent sur plusieurs décennies. Le reste de la semaine : les rendez-vous à ne pas manquer La journée de mercredi, dédiée aux conférences scientifiques, réunit plusieurs acteurs majeurs de la défense. ArianeGroup présentera ses travaux sur l’obfuscation logicielle en contexte industriel et son intégration dans le cycle de développement. Thales interviendra sur l’analyse en boîte noire des composants de sécurité, un sujet directement connexe à celui de MOABI. Airbus Defence & Space partagera son retour d’expérience sur le SOC dédié aux produits Airbus Helicopters, tandis que Naval Group abordera l’évaluation de la sécurité des systèmes embarqués temps réel. Jeudi prolonge cette dynamique avec un focus marqué sur la conformité et la défense. Black Duck Software ouvrira la journée sur les impacts concrets du Cyber Resilience Act pour les organisations R&D, en écho direct aux contraintes réglementaires évoquées par Jonathan. À 10h00, le retour d’expérience MBDA x Alcyconie, présenté par Stéphanie Ledoux, portera sur la préparation des équipes d’ingénierie des systèmes embarqués à la gestion de crise cyber, au-delà du seul périmètre CERT. La Marine nationale exposera son approche de l’entraînement cyber face à une menace en croissance exponentielle, et KNDS livrera un retour d’expérience sur l’adoption de la cryptographie post-quantique dans les calculateurs de véhicules et systèmes d’armes. Un programme qui confirme une évolution de fond : la cybersécurité embarquée n’est plus seulement une question technique, elle devient une contrainte réglementaire, industrielle et stratégique pour l’ensemble du secteur. Un article complet reviendra sur la présentation de Jonathan et les échanges de ces trois jours plus tard cette semaine.