Et si on racontait la cybersécurité autrement ?
Pas avec des slides soporifiques, mais comme une nouvelle sarcastique oĂč un analyste SOC lutte chaque jour contre :
- Des alertes Zabbix qui clignotent comme un sapin de NoĂ«l đ
- Des VPN IPSEC saturĂ©s par Netflix en 4K đż
- Des failles « pas prioritaires »⊠jusquâau jour oĂč elles le deviennent đ„
- Et bien sĂ»r, des stagiaires fantĂŽmes et des Mac incontrĂŽlables đ
đ DerriĂšre lâhumour noir, il y a du vĂ©cu.
đ DerriĂšre la fiction, il y a la rĂ©alitĂ© du terrain.
« Ceci nâest pas un roman noir. Câest juste un jour normal dans un SOC dâETI. Toute ressemblance avec des faits rĂ©els est Ă©videmment (non-)intentionnelle. »
đ Le rĂ©veil du hĂ©ros
7h32.
Julien ouvre les yeux avec lâenthousiasme dâun serveur Windows quâon redĂ©marre aprĂšs six mois de production. Sa cafetiĂšre, elle, dĂ©marre en mode safe boot, en crachant un bruit qui ressemble vaguement au ventilateur dâun ESX Ă lâagonie.
Julien est analyste SOC. Enfin⊠SOC est un grand mot. Disons plutĂŽt quâil est le mec qui rĂ©pond quand ça bippe, avec des compĂ©tences en multitĂąche hĂ©ritĂ©es de son stage dans un fast-food. Ici, pas de SOC 24/7 avec trois analystes par shift et un mur dâĂ©crans façon NASA. Non. Ici, câest lui, son PC portable, deux moniteurs 22 pouces (un en panne mais quâon garde « au cas oĂč »), et des post-it collĂ©s partout qui tiennent lieu de runbook.
Son employeur ? Une ETI dans lâindustrie de retraitement.
Un secteur oĂč les budgets sĂ©curitĂ© sont proportionnels au prix de la dosette de cafĂ© : toujours trop chers, jamais validĂ©s.
Le SI quâil protĂšge ressemble Ă une cathĂ©drale gothique construite avec des Legos : deux ESX qui hĂ©bergent tout le patrimoine numĂ©rique de lâentreprise (si lâun tombe, on prie, si les deux tombent, on recrute un exorciste), un ERP en Java qui date dâune Ă©poque oĂč Netscape existait encore, et un zoo de VM Windows et Linux dont personne nâa la liste complĂšte.
Et puis⊠les Mac.
Ah, les Mac. Ces crĂ©atures Ă©tranges, imposĂ©es par la direction marketing au nom de la « crĂ©ativitĂ© », que Julien surveille comme on surveille un enfant hyperactif dans un magasin de porcelaine. Chaque fois quâun patch Apple sort, câest la loterie : est-ce que ça va casser Outlook, Teams, ou les deux en mĂȘme temps ?
Julien inspire un grand coup, attrape son tĂ©lĂ©phone, et fait dĂ©filer les alertes de la nuit. Le VPN IPSEC a encore fait des siennes, Exchange a clignotĂ© dans Zabbix comme une guirlande de NoĂ«l, et quelquâun a tentĂ© (sans succĂšs) dâouvrir une session sur le bastion Ă 3h12.
Il sourit, amer :
« Une belle journĂ©e sâannonce. »
đ„ïž Les outils du quotidien
Julien allume son poste, lance ses cafĂ©s et ses consoles. Comme chaque matin, il commence par son rituel : ouvrir Zabbix. Enfin⊠ouvrir est un grand mot. Zabbix ne sâouvre jamais vraiment : il gĂ©mit, il clignote, et il affiche un tableau de bord avec 2 347 alertes critiques qui existent depuis au moins deux ans.
Julien les connaĂźt par cĆur :
- « Latence sur interface réseau VM-ERP » (traduit : le Java asthmatique rame encore).
- « Espace disque critique C:\ » (le fameux serveur Windows oĂč les utilisateurs sauvegardent leurs MP3 « perso »).
- « Ping perdu sur imprimante marketing » (mais ça, câest normal, câest une HP).
Il soupire, ferme la fenĂȘtre. Zabbix est son oracle de Delphes : il annonce des catastrophes quâil nâa pas les moyens dâempĂȘcher.
Vient ensuite le tour des serveurs Exchange, planqués derriÚre un Kemp qui fait office de garde du corps approximatif. Quand ça fonctionne, tout va bien. Quand ça plante⊠tout le monde débarque en hurlant que « la messagerie est en panne », comme si Julien contrÎlait les astres et le flux SMTP à la force de sa pensée.
Ă ce stade, il lance un regard noir Ă lâicĂŽne Outlook sur son bureau : « Pas aujourdâhui, toi. Pas aujourdâhui. »
Il passe ensuite par le bastion. Une belle machine, bien configurĂ©e, avec MFA et journalisation avancĂ©e. Enfin⊠en thĂ©orie. Parce quâen pratique, tout le monde lâutilise comme un RDP gĂ©ant. Le service ADV y passe pour consulter des fichiers, le marketing sây connecte « pour tester un accĂšs », et mĂȘme le stagiaire qualitĂ© a un compte.
Julien a renoncĂ© Ă expliquer le concept dâ« accĂšs privilĂ©giĂ©s ».
Puis vient son Fortinet. La boĂźte pense que câest une sorte de Muraille de Chine numĂ©rique. En rĂ©alitĂ©, câest une barriĂšre de chantier avec un cadenas de vĂ©lo. ConfigurĂ© en mode minimal par un prestataire pressĂ©, il fait son boulot tant que personne ne touche Ă rien.
Julien lâadore autant quâil le dĂ©teste : quand une attaque est bloquĂ©e, il brandit fiĂšrement le log en rĂ©union. Quand ça passe, il sait dĂ©jĂ quâon lui dira : « Mais pourquoi tu nâavais rien vu ? »
Et bien sĂ»r, il y a les deux fibres, FTTH et FTTO. Sur le papier, une redondance en bĂ©ton. Dans les faits, lâIT a dĂ©couvert que les deux passent par le mĂȘme fourreau, enterrĂ© sous le parking. Un seul coup de pelleteuse, et câest retour au Minitel.
Enfin, le clou du spectacle : le VPN IPSEC.
Ah, le VPN.
Chaque matin, câest un concert de plaintes dâutilisateurs en tĂ©lĂ©travail :
- « Ăa rame, je peux pas envoyer mon PowerPoint de 250 Mo ! »
- « Teams me déconnecte toutes les 5 minutes ! »
- « Est-ce que je peux pas me connecter directement sans VPN, ça irait plus vite ? »
Julien répond par réflexe, sans lever les yeux de son écran :
« Oui, bien sĂ»r. Et tant quâon y est, donne aussi les clĂ©s de lâusine Ă ton facteur. »
Ă 8h45, tout est en place : Zabbix clignote, Exchange tousse, Fortinet ronfle, et le VPN sature.
Julien prend une grande inspiration, ferme son mug de cafĂ©, et murmure pour lui-mĂȘme :
« Mes armes sont prĂȘtes. Que la journĂ©e commence. »
â ïž Les erreurs de SOC
9h12.
PremiÚre alerte critique de la journée.
Julien la voit, soupire, puis la classe mentalement dans la catégorie « déjà vu ».
Zabbix hurle :
« Serveur Windows 2016 â Patch de sĂ©curitĂ© critique manquant depuis 1 044 jours »
Julien note dans son carnet : « Ticket dĂ©jĂ ouvert en 2022, priorisĂ© ânon urgentâ par la DSI. »
Il rit tout seul :
« Non urgent, oui⊠jusquâau jour oĂč un ransomware exploitera cette faille et oĂč on me demandera pourquoi je ne lâai pas anticipĂ©. »
đ La rĂ©union du matin
DSI : « Julien, je vois encore 2 000 alertes en rouge sur Zabbix, tu ne fais rien ? »
Julien : « Jâen traite dix par jour, mais il en arrive vingt de plus. »
DSI : « Tu devrais automatiser. »
Julien : « Oui, mais pour ça, il faudrait du budget. »
DSI : « ⊠» (silence gĂȘnĂ©, fin de la conversation).
đ Le phishing du siĂšcle
Ă 10h23, un mail « Banq PopulĂšre » arrive dans la boĂźte dâun cadre du marketing. Sujet : « Votre compte a Ă©tĂ© dĂ©sactivĂ©, cliquez ici pour rĂ©activer ».
Le cadre, sûr de lui, clique. Deux fois.
Il appelle aussitĂŽt Julien :
Cadre marketing : « Jâai reçu un mail bizarre, jâai cliquĂ© mais ça mâa mis une page blanche. Câest grave ? »
Julien (mùchoire serrée) : « Est-ce que tu as renseigné ton identifiant et ton mot de passe ? »
Cadre marketing : « Oui⊠mais ce nâest pas grave, câest mon mot de passe Exchange, pas mon mot de passe principal. »
Julien (prĂȘt Ă hurler) : « Ton mot de passe Exchange, câest TON mot de passe principal. »
Cadre marketing : « Ah⊠»
Julien raccroche et note dans son carnet : « Sensibilisation prévue trimestre prochain. Inutile. »
đ Le stagiaire fantĂŽme
Ă 11h17, nouvelle alerte. Un compte VPN se connecte depuis la Roumanie.
Julien fronce les sourcils, enquĂȘte⊠et dĂ©couvre que câest un ancien stagiaire parti en 2023.
Le compte nâa jamais Ă©tĂ© dĂ©sactivĂ©.
Il envoie un mail sec Ă la RH :
« Merci de bien vouloir me transmettre la liste ACTUALISĂE des dĂ©parts. »
Réponse automatique : « La personne en charge est en congés, retour prévu le 15 septembre. »
đ La gestion des faux positifs
Ă 13h45, le Fortinet bloque une tentative dâexfiltration suspecte. Julien alerte la DSI.
DSI : « Câest peut-ĂȘtre un faux positif. »
Julien : « Ou peut-ĂȘtre pas. On fait quoi ? »
DSI : « Attends demain, on verra si ça se reproduit. »
Le lendemain, ça ne se reproduit pas.
Parce que lâattaquant, lui, est dĂ©jĂ parti avec les donnĂ©es.
đ Le meeting stratĂ©gique
14h30. RĂ©union avec la DAF.
DAF : « Julien, pourquoi tu passes ton temps sur ces tickets dâalerte ? Tu devrais te concentrer sur des projets Ă valeur ajoutĂ©e. »
Julien : « Comme ? »
DAF : « Comme la migration SharePoint. »
Julien (ironiquement) : « Ah oui, bien sûr, parce que si on se prend un ransomware, au moins SharePoint sera à jour. »
La DAF ne rit pas. Julien si.
đ Les post-it SOC
Julien garde une collection de post-it jaunes collés sur son écran.
- « Compte admin SAP toujours actif (vu en 2021) »
- « MFA demandé mais jamais déployé »
- « Alertes SMB laissĂ©es en âignoreâ »
- « Backup non testé depuis 18 mois »
Chaque post-it est une bombe Ă retardement.
Julien les regarde avec tendresse, comme on regarde des grenades dégoupillées dans une vitrine.
Ă 17h12, Julien ferme son PC.
Zabbix hurle toujours. Le VPN crache ses poumons. Exchange menace de tomber.
Et le DSI envoie son traditionnel mail du soir :
« Julien, rassure-moi, on nâa pas de faille critique en ce moment ? »
Julien tape sa réponse.
Une seule ligne.
Un seul mot.
« Non. »
Et il sourit, parce que dans un SOC, parfois, la meilleure dĂ©fense⊠câest le mensonge par omission.
đ„ Quand lâactualitĂ© frappe
Julien croyait avoir tout vu. Les faux positifs, les stagiaires fantĂŽmes, les Mac indomptables. Mais non.
Un matin de juin, lâactualitĂ© cyber dĂ©cide de lui rappeler que la fiction ne rivalise jamais avec la rĂ©alitĂ©.
đ La CVE quâon nâa pas patchĂ©e
Zabbix hurle : « Tentative de connexion anormale via SMB ».
Julien se fige.
Il se souvient trÚs bien de cette faille, la CVE-2025-33073 : vulnérabilité SMB client exploitée en masse, révélée au Patch Tuesday du mois dernier.
Julien lâavait documentĂ©e.
Julien avait fait une présentation PowerPoint de 18 slides.
Julien avait envoyé trois mails.
Réponse du comité IT :
« Pas prioritaire, on verra ça au prochain cycle de patch. »
Résultat ? Ce matin, ça scanne dans tous les sens.
Julien nâa mĂȘme plus la force de rĂąler. Il ajoute juste un post-it jaune : « CVE SMB â exploit confirmĂ© ».
đ Le Fortinet de Schrödinger
11h22.
Le Fortinet lĂšve une alerte : tentative dâexploitation dâune faille critique.
Julien ouvre les logs, reconnaĂźt la signature dâun ransomware exploitant un bug de configuration.
Oui, le mĂȘme bug quâil avait signalé⊠et quâon nâa jamais corrigĂ©, parce que le prestataire nâavait pas vendu « lâoption sĂ©curitĂ© avancĂ©e ».
Julien appelle la DSI.
Julien : « On est sous attaque via le Fortinet. »
DSI : « Tu es sĂ»r que ce nâest pas un faux positif ? »
Julien : « Quand ça touche au firewall, les faux positifs, ça nâexiste pas. »
DSI : « Dans ce cas, tu bloques. »
Julien : « DĂ©jĂ fait. Mais le vrai problĂšme, câest que ça a marchĂ© AVANT dâĂȘtre bloquĂ©. »
Silence. Puis un : « Bon⊠ne le dis pas trop fort. »
đ Le drame dâExchange
13h57.
Un employĂ© appelle : « Je nâarrive plus Ă accĂ©der Ă ma boĂźte mail, câest urgent, jâai une conf call client ! »
Julien regarde les serveurs Exchange derriĂšre le Kemp. Ils clignotent comme une discothĂšque sous acide.
Câest la nouvelle vulnĂ©rabilitĂ© Microsoft Exchange exploitĂ©e dans la nature.
Julien se rappelle : la mise Ă jour Ă©tait sortie il y a trois semaines.
Mais on ne lâa pas installĂ©e. Pourquoi ?
Parce quâon ne redĂ©marre pas Exchange, jamais. « Risque de coupure pour la direction », quâils avaient dit.
Maintenant, la coupure est là , mais pas planifiée.
Julien tape frénétiquement sur son clavier, patch en urgence, reboot forcé.
Il sait dĂ©jĂ que dans une heure, la DSI viendra lui reprocher « lâindisponibilitĂ© de la messagerie en pleine journĂ©e ».
đ La double fibre⊠coupĂ©e
16h02.
Un bruit sourd secoue le parking. Travaux de voirie.
Julien reçoit une alerte : FTTH DOWN. Puis⊠FTTO DOWN.
Il comprend aussitĂŽt.
Les deux fibres, soigneusement vendues comme « redondantes », passent dans le mĂȘme fourreau.
Un coup de pelleteuse, et câest blackout.
Le VPN IPSEC tombe.
Teams tombe.
Les mails tombent.
MĂȘme Zabbix ne clignote plus.
Julien contemple son Ă©cran noir.
Il ferme les yeux, respire, et lĂąche, pour lui-mĂȘme :
« VoilĂ . On vient dâinventer le SOC offline. »
Ă 18h12, la DSI lâappelle pour « un point rapide » :
« Julien, tu penses quâon devrait renforcer la sĂ©curitĂ© ? »
Julien éclate de rire. Un rire franc, nerveux, un peu désespéré.
« Non. Continuons comme ça. Câest plus drĂŽle. »
Et il raccroche, en se disant que le vrai ransomwareâŠ
câest peut-ĂȘtre leur façon de gĂ©rer la cybersĂ©curitĂ©.
đ ïž La survie au sarcasme
Julien sait que son job nâest pas de sauver le SI.
Son job, câest de lâempĂȘcher de mourir trop vite.
Alors il a dĂ©veloppĂ© des rĂ©flexes de survie. Des armes artisanales, bricolĂ©es dans lâombre.
đ§ Lâart du PowerShell sale
Il garde, prĂ©cieusement, un vieux script PowerShell quâil a Ă©crit un soir dâinsomnie.
Nom du fichier : cleanup_accounts.ps1.
Sa fonction ? DĂ©sactiver en masse les comptes utilisateurs inactifs depuis plus de 90 jours.
Officiellement, ce nâest pas validĂ©. Officiellement, câest « trop risquĂ© ».
Mais officieusement, une fois par mois, Ă 23h47, Julien le lance.
Et chaque fois, une dizaine de comptes zombies disparaissent dans le nĂ©ant, avant quâils ne deviennent des portes dâentrĂ©e.
đ Zabbix, mais en vert
Un jour, il a eu une rĂ©vĂ©lation : plutĂŽt que dâaffronter les 2 000 alertes rouges permanentes, il a crĂ©Ă© un tableau de bord custom, avec seulement trois mĂ©triques essentielles.
Résultat : pour la premiÚre fois en trois ans, il a vu⊠du vert.
Quand la DSI est passĂ©e dans son bureau et a vu lâĂ©cran, elle a souri :
« Ah, super, tout va bien alors ! »
Julien a répondu :
« Oui. Tout va bien. »
Et il a gardĂ© pour lui le fait que 1 997 alertes hurlent toujours dans lâombre.
đ Le honeypot de fortune
Dans un vieux coin dâESX, il a installĂ© une VM Linux miteuse, volontairement exposĂ©e.
Nom : srv-admin01.
Un appùt grossier, truffé de ports ouverts et de failles intentionnelles.
Chaque fois quâun attaquant sây amuse, Julien jubile.
« Au moins, pendant quâil joue avec mon faux serveur, il ne touche pas aux vrais. »
Il nâa jamais osĂ© lâavouer Ă la DSI.
Parce quâil sait quâon lui rĂ©pondrait :
« Ce nâest pas conforme. »
𧩠Les backups invisibles
Julien nâa pas confiance dans les procĂ©dures officielles.
Alors, en douce, il a automatisĂ© une synchro rsync entre ses serveurs critiques et une vieille machine quâil garde planquĂ©e dans la salle IT, Ă©tiquetĂ©e « ObsolĂšte â Ă recycler ».
Personne ne sait que câest en rĂ©alitĂ© le seul vrai plan B de la boĂźte.
đ¶ïž Le sarcasme comme pare-feu
Mais lâarme la plus redoutable de Julien, ce nâest pas son script, ni son honeypot.
Câest son humour noir.
Chaque fois que la DSI lui demande :
« Julien, rassure-moi, on est protégés contre les ransomwares ? »
Il répond :
« Bien sĂ»r. Tant quâils nâattaquent pas un mardi. »
Chaque fois que la RH lui dit :
« Tu pourrais faire une sensibilisation plus ludique ? »
Il réplique :
« Vous voulez que je fasse quoi ? Un escape game oĂč le stagiaire gagne quand il vend nos donnĂ©es sur Telegram ? »
Chaque fois que la direction lui demande un rapport mensuel sur la sécurité, il envoie une slide PowerPoint avec un seul mot :
« SURVIVANT. »
Ă 19h47, Julien ferme son PC.
Zabbix clignote toujours, Fortinet tousse, Exchange agonise.
Mais quelque part, dans une VM poubelle, un attaquant sâamuse Ă pirater un serveur factice, et les vraies donnĂ©es dorment au chaud dans une synchro secrĂšte.
Julien sourit.
Dans ce chaos absurde quâon appelle cybersĂ©curitĂ© dâETI, il a gagnĂ© une bataille silencieuse.
Demain, ça brûlera à nouveau.
Mais demain, il sera encore lĂ .
Et dans sa tĂȘte, une seule certitude :
tant quâil garde son sarcasme, il est invincible.
« Si vous avez reconnu un peu de votre quotidien dans cette histoire, câest que vous travaillez aussi dans la cyber. Courage, camarade. »
