Cybersecurity

Penser comme un hacker : les signaux dont vous passez à côté aujourd’hui

Gael Musquet Gael Musquet · 9 juillet 2026 · 5 min read

Gaël Musquet, Hacker Éthique

Lors du Signal Paris 2026 by SoSafe, Gaël Musquet, Hacker Éthique n’est pas arrivé avec une présentation classique. Il a posé sur scène plusieurs drones, un véhicule terrestre télécommandé, un bateau autonome et une bobine de fibre optique. Gaël Musquet a voulu montrer que les menaces les plus dangereuses ne nécessitent plus seulement des moyens sophistiqués. Elles exploitent désormais des outils accessibles, peu coûteux et souvent disponibles en quelques clics.

Anatomie d’une attaque bien réelle

Pour illustrer cette évolution, Gaël Musquet présente un micro-drone de 30 grammes. Cette machine, classée en catégorie C0, ne nécessite pas d’autorisation particulière pour voler. Équipée d’une caméra 4K, elle peut couvrir plusieurs kilomètres tout en restant pratiquement inaudible à quelques dizaines de mètres.

L’enjeu ne se limite pas au drone lui-même. Ce type d’équipement permet d’atteindre des systèmes industriels souvent exclus des scénarios de cybersécurité traditionnels. Gaël Musquet prend l’exemple des infrastructures de refroidissement utilisées dans certains bâtiments et centres de données. Certaines vannes connectées communiquent en Bluetooth ou en Wi-Fi. Un appareil capable de s’en approcher peut tenter d’interagir avec ces équipements et perturber leur fonctionnement, à l’image de la CPCU. Cela impose d’inclure les interfaces radio des équipements industriels dans l’analyse de risque.
 

Cette démonstration souligne le fait que la frontière entre sécurité physique et cybersécurité devient de plus en plus floue. Les mêmes plateformes de commerce en ligne qui permettent d’acheter des composants électroniques donnent aussi accès à des systèmes de largage, des modules radio ou des pièces détachées pouvant être détournés de leur usage initial.

« C’est le premier pilier de la cybersécurité qui tombe. On parle de la disponibilité. »


Gaël Musquet étend également sa réflexion à l’intelligence artificielle et aux véhicules autonomes. En présentant ses travaux portant sur OpenPilot, une solution open source d’assistance à la conduite, il montre à quel point des technologies autrefois réservées à quelques acteurs spécialisés sont désormais accessibles à une communauté mondiale de développeurs. Cette démocratisation accélère l’innovation, mais réduit aussi certaines barrières techniques auxquelles les organisations étaient habituées.

Le comportement humain, point d’entrée principal

Pour Gaël Musquet, la faille n’est pas seulement technique. Dans les tests d’intrusion, ce sont les biais humains qui ouvrent souvent la première porte. 

« La menace n’est pas toujours si loin que ça de nous. » 

Son exemple est saisissant : lui-même peut être arrêté à l’entrée d’un site parce qu’il correspond à l’image que l’agent de sécurité associe à une menace. Un collègue blanc, en veste et cravate, passe plus facilement les premiers sas. Une collaboratrice habillée en rouge parvient à franchir un contrôle supplémentaire. Aucun système n’a été piraté. Les biais d’apparence, d’autorité ou de genre ont suffi.

Ce constat concerne aussi la menace interne. Dans son atelier « Méfiez-vous de vos ex », qu’il anime notamment dans la banque et l’assurance, Musquet rappelle que le risque ne vient pas toujours d’un attaquant russe, nord-coréen ou iranien. Il peut venir d’un ancien salarié, d’un ancien associé ou d’un proche qui connaît les habitudes, les mots de passe ou les informations personnelles d’une victime.

La même logique s’applique à la détection des drones en prison. Les agents pouvaient voir les engins survoler les établissements, tandis que leurs outils ne les détectaient pas. Les équipements de surveillance recherchaient certaines fréquences radio, tandis que les opérateurs malveillants utilisaient d’autres bandes de fréquence.

Détecter les vulnérabilités que l’on ne regarde pas

Comment se protéger de menaces aussi créatives, bon marché et imprévisibles ? La réponse de Gaël Musquet est davantage une posture, celle du hacker éthique tel que défini par le Chaos Computer Club comme « celui qui doute ». Douter des systèmes, les tester, les renforcer. Karine Al-Azari formule la même idée autrement : le hacker est le système immunitaire de l’internet.

Cette approche guide également sa pédagogie. Plutôt que d’utiliser uniquement des équipements industriels, il achète les mêmes composants que ceux accessibles au grand public, puis demande à ses étudiant.e.s de construire leurs propres systèmes. L’objectif n’est pas de reproduire une menace, mais de comprendre concrètement comment elle fonctionne, de l’intérieur. C’est le seul moyen d’être à la hauteur des groupes qui nous attaquent, dont la créativité et les moyens ne cessent de croître.

Gaël Musquet conclut son intervention sur l’intelligence réelle. Ce qu’il décrit relève d’un modèle d’attaque multi-canal, où les vecteurs physiques, numériques et humains sont utilisés de façon coordonnée. Aujourd’hui, nous avons les outils ; ce qu’il nous manque, ce sont les réflexes, les exercices, la remise en question. Les organisations doivent donc instaurer des exercices réguliers simulant des attaques hybrides pour tester leurs réflexes autant que leurs outils. La même logique s’applique en cybersécurité : former des organisations à anticiper les attaques hybrides n’est pas négociable. C’est la condition sine qua non de la résilience.

Le principal enseignement de Gaël Musquet est limpide. Les entreprises doivent partir du principe qu’elles sont exposées. Elles doivent surtout se demander si elles prêtent attention aux risques là où ils se trouvent réellement. Les signaux dont elles passent à côté ne sont pas dissimulés. Penser comme un hacker, c’est apprendre à les voir avant qu’ils frappent.

Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges. 

About the author

Gael Musquet
Hacker Éthique

En savoir plus

Vous voulez avoir toujours une longueur d’avance en matière de cybersécurité ?

Inscrivez-vous à notre newsletter pour tout savoir sur les actualités, les événements et les ressources disponibles en matière de cybersécurité. Zéro spam, du contenu 100 % utile.

Newsletter visual Hero Background

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

This page is not available in English yet.

Diese Seite ist noch nicht in Ihrer Sprache verfügbar. Sie können auf Englisch fortfahren oder zur deutschen Startseite zurückkehren.

Cette page n’est pas encore disponible dans votre langue. Vous pouvez continuer en anglais ou revenir à la page d’accueil en français.

Deze pagina is nog niet beschikbaar in uw taal. U kunt doorgaan in het Engels of terugkeren naar de Nederlandse startpagina.

Esta página aún no está disponible en español. Puedes continuar en inglés o volver a la página de inicio en español.

Questa pagina non è ancora disponibile nella tua lingua. Puoi continuare in inglese oppure tornare alla home page in italiano.