L’humain, toujours en tête du classement des pires vulnérabilités
Bienvenue dans cette édition spéciale de SecuSlice, celle où l’on met de côté les faux-semblants et les rapports PowerPoint pour parler vrai, cru, et souvent absurde. Car si l’on devait résumer l’état de la cybersécurité en 2025, on pourrait dire ceci : les outils évoluent, les menaces mutent… mais la bêtise, elle, reste stable.
Dans ce grand dossier de l’année, nous avons compilé cinq chroniques savoureusement douloureuses, issues du terrain. Des histoires vraies, presque tragi-comiques, où l’on réalise que le plus gros danger dans un système… c’est souvent celui qui a un badge d’accès et un mug “sécurité avant tout”.
1. Shadow SaaS & ChatGPT : et si on mettait nos secrets dans un chatbot ?
Tout commence avec une bonne intention : “Je vais gagner du temps.” Et voilà comment vos collaborateurs copient-collent des scripts métiers, des plans de licenciement RH ou des données confidentielles dans ChatGPT, Notion ou Grammarly. Le tout sans politique d’usage, sans NDA, sans aucune idée d’où partent les données.
Cerise sur le gâteau ? Les plugins ChatGPT qui demandent accès à Google Drive, Jira ou Outlook “pour vous aider à synthétiser vos informations”. Traduction : vous ouvrez les vannes à des tiers non maîtrisés, pour un gain de productivité illusoire.
Conclusion : le Shadow SaaS, c’est le Bring Your Own Breach.
2. Faux outils de sécurité : se protéger avec un malware, quelle bonne idée
Pourquoi se faire pirater par un groupe APT quand on peut soi-même installer l’outil qui vous infecte ? En 2025, des dizaines de “Cyber Defender Pro”, “CleanMac Elite” ou “ByteSecure Ultimate” pullulent sur les stores. Interface léchée, fausses promesses et ransomware à la clé. Le combo gagnant.
Le pire ? Ces outils sont souvent recommandés… par des collègues bienveillants. “Moi je l’ai mis, ça a supprimé 400 menaces !” Spoiler : c’était le système d’exploitation.
Conclusion : parfois, mieux vaut un virus qu’un faux antivirus.
3. Trafic AD mal surveillé : votre Active Directory, buffet à volonté pour attaquants
Les flux Active Directory, c’est l’équivalent d’un open bar en boîte de nuit pour les attaquants. Tickets Kerberos non surveillés, LDAP en clair, DNS bavard, comptes de service avec des droits délirants… tout est là. Et bien souvent, personne ne regarde.
Sysmon ? Jamais configuré. Zabbix ? Branché sur l’uptime, pas sur les logs de tickets TGT. PowerShell ? Utilisé pour des scripts de déploiement, pas pour tracer des anomalies.
Conclusion : vous avez blindé la porte d’entrée, mais laissé la cave ouverte avec une flèche “données critiques” dessus.
4. MFA Fatigue : la sécurité réduite à un clic de lassitude
L’authentification forte, c’est bien. Sauf quand elle repose sur la volonté d’un humain harcelé de pushs à 3h du matin. Le push bombing, nouvelle mode chez les attaquants, consiste à spammer de notifications l’utilisateur jusqu’à ce qu’il clique sur “oui” par fatigue ou par erreur.
Et ça marche. Même chez les cadres. Même chez les pros de la sécu. Parce que valider une demande push est devenu un réflexe pavlovien. On ne réfléchit plus. On clique.
Conclusion : ce n’est plus de la MFA, c’est de la Roulette Russe connectée.
5. SAP : le joyau mal gardé de votre SI
SAP, c’est un château fort numérique. Sauf qu’il est souvent protégé par un simple paillasson. LDAP en clair, modules exposés, patchs en retard de deux ans, droits SAP_ALL accordés par habitude… tout y est. Et personne ne veut y toucher, “parce que si on casse la paie, on est foutus”.
Les attaquants, eux, ne sont pas effrayés. Ils scannent, exploitent, et pillent. Car derrière la complexité technique de SAP se cache une banque de données stratégiques laissée sans alarme.
Conclusion : SAP, c’est l’équivalent numérique de Fort Knox… sauf que tout le monde a la clé et personne ne sait où elle est rangée.
En conclusion : l’humain, version 2025. Toujours admin. Toujours faillible.
Ces cinq dossiers ne sont pas des fictions. Ce sont des synthèses d’une réalité encore trop peu assumée : la cybersécurité échoue rarement à cause des outils, mais très souvent à cause de leur usage.
Le RSSI peut bien pleurer dans ses rapports, le DSI faire la moue en réunion, et les utilisateurs hausser les épaules… tant qu’on n’intègre pas un minimum de culture, de logique et d’autodérision dans nos approches, les failles resteront.
Sur ce, bon courage. Et si vous voyez passer une alerte MFA à 2h12 du matin, réfléchissez avant de cliquer. Ce n’est peut-être pas votre Outlook.
