Et si on racontait la cybersécurité autrement ?
Pas avec des slides soporifiques, mais comme une nouvelle sarcastique où un analyste SOC lutte chaque jour contre :
- Des alertes Zabbix qui clignotent comme un sapin de Noël 🎄
- Des VPN IPSEC saturés par Netflix en 4K 🍿
- Des failles « pas prioritaires »… jusqu’au jour où elles le deviennent 💥
- Et bien sûr, des stagiaires fantômes et des Mac incontrôlables 🍏
👉 Derrière l’humour noir, il y a du vécu.
👉 Derrière la fiction, il y a la réalité du terrain.
« Ceci n’est pas un roman noir. C’est juste un jour normal dans un SOC d’ETI. Toute ressemblance avec des faits réels est évidemment (non-)intentionnelle. »
📖 Le réveil du héros
7h32.
Julien ouvre les yeux avec l’enthousiasme d’un serveur Windows qu’on redémarre après six mois de production. Sa cafetière, elle, démarre en mode safe boot, en crachant un bruit qui ressemble vaguement au ventilateur d’un ESX à l’agonie.
Julien est analyste SOC. Enfin… SOC est un grand mot. Disons plutôt qu’il est le mec qui répond quand ça bippe, avec des compétences en multitâche héritées de son stage dans un fast-food. Ici, pas de SOC 24/7 avec trois analystes par shift et un mur d’écrans façon NASA. Non. Ici, c’est lui, son PC portable, deux moniteurs 22 pouces (un en panne mais qu’on garde « au cas où »), et des post-it collés partout qui tiennent lieu de runbook.
Son employeur ? Une ETI dans l’industrie de retraitement.
Un secteur où les budgets sécurité sont proportionnels au prix de la dosette de café : toujours trop chers, jamais validés.
Le SI qu’il protège ressemble à une cathédrale gothique construite avec des Legos : deux ESX qui hébergent tout le patrimoine numérique de l’entreprise (si l’un tombe, on prie, si les deux tombent, on recrute un exorciste), un ERP en Java qui date d’une époque où Netscape existait encore, et un zoo de VM Windows et Linux dont personne n’a la liste complète.
Et puis… les Mac.
Ah, les Mac. Ces créatures étranges, imposées par la direction marketing au nom de la « créativité », que Julien surveille comme on surveille un enfant hyperactif dans un magasin de porcelaine. Chaque fois qu’un patch Apple sort, c’est la loterie : est-ce que ça va casser Outlook, Teams, ou les deux en même temps ?
Julien inspire un grand coup, attrape son téléphone, et fait défiler les alertes de la nuit. Le VPN IPSEC a encore fait des siennes, Exchange a clignoté dans Zabbix comme une guirlande de Noël, et quelqu’un a tenté (sans succès) d’ouvrir une session sur le bastion à 3h12.
Il sourit, amer :
« Une belle journée s’annonce. »
🖥️ Les outils du quotidien
Julien allume son poste, lance ses cafés et ses consoles. Comme chaque matin, il commence par son rituel : ouvrir Zabbix. Enfin… ouvrir est un grand mot. Zabbix ne s’ouvre jamais vraiment : il gémit, il clignote, et il affiche un tableau de bord avec 2 347 alertes critiques qui existent depuis au moins deux ans.
Julien les connaît par cœur :
- « Latence sur interface réseau VM-ERP » (traduit : le Java asthmatique rame encore).
- « Espace disque critique C:\ » (le fameux serveur Windows où les utilisateurs sauvegardent leurs MP3 « perso »).
- « Ping perdu sur imprimante marketing » (mais ça, c’est normal, c’est une HP).
Il soupire, ferme la fenêtre. Zabbix est son oracle de Delphes : il annonce des catastrophes qu’il n’a pas les moyens d’empêcher.
Vient ensuite le tour des serveurs Exchange, planqués derrière un Kemp qui fait office de garde du corps approximatif. Quand ça fonctionne, tout va bien. Quand ça plante… tout le monde débarque en hurlant que « la messagerie est en panne », comme si Julien contrôlait les astres et le flux SMTP à la force de sa pensée.
À ce stade, il lance un regard noir à l’icône Outlook sur son bureau : « Pas aujourd’hui, toi. Pas aujourd’hui. »
Il passe ensuite par le bastion. Une belle machine, bien configurée, avec MFA et journalisation avancée. Enfin… en théorie. Parce qu’en pratique, tout le monde l’utilise comme un RDP géant. Le service ADV y passe pour consulter des fichiers, le marketing s’y connecte « pour tester un accès », et même le stagiaire qualité a un compte.
Julien a renoncé à expliquer le concept d’« accès privilégiés ».
Puis vient son Fortinet. La boîte pense que c’est une sorte de Muraille de Chine numérique. En réalité, c’est une barrière de chantier avec un cadenas de vélo. Configuré en mode minimal par un prestataire pressé, il fait son boulot tant que personne ne touche à rien.
Julien l’adore autant qu’il le déteste : quand une attaque est bloquée, il brandit fièrement le log en réunion. Quand ça passe, il sait déjà qu’on lui dira : « Mais pourquoi tu n’avais rien vu ? »
Et bien sûr, il y a les deux fibres, FTTH et FTTO. Sur le papier, une redondance en béton. Dans les faits, l’IT a découvert que les deux passent par le même fourreau, enterré sous le parking. Un seul coup de pelleteuse, et c’est retour au Minitel.
Enfin, le clou du spectacle : le VPN IPSEC.
Ah, le VPN.
Chaque matin, c’est un concert de plaintes d’utilisateurs en télétravail :
- « Ça rame, je peux pas envoyer mon PowerPoint de 250 Mo ! »
- « Teams me déconnecte toutes les 5 minutes ! »
- « Est-ce que je peux pas me connecter directement sans VPN, ça irait plus vite ? »
Julien répond par réflexe, sans lever les yeux de son écran :
« Oui, bien sûr. Et tant qu’on y est, donne aussi les clés de l’usine à ton facteur. »
À 8h45, tout est en place : Zabbix clignote, Exchange tousse, Fortinet ronfle, et le VPN sature.
Julien prend une grande inspiration, ferme son mug de café, et murmure pour lui-même :
« Mes armes sont prêtes. Que la journée commence. »
⚠️ Les erreurs de SOC
9h12.
Première alerte critique de la journée.
Julien la voit, soupire, puis la classe mentalement dans la catégorie « déjà vu ».
Zabbix hurle :
« Serveur Windows 2016 – Patch de sécurité critique manquant depuis 1 044 jours »
Julien note dans son carnet : « Ticket déjà ouvert en 2022, priorisé ‘non urgent’ par la DSI. »
Il rit tout seul :
« Non urgent, oui… jusqu’au jour où un ransomware exploitera cette faille et où on me demandera pourquoi je ne l’ai pas anticipé. »
🎭 La réunion du matin
DSI : « Julien, je vois encore 2 000 alertes en rouge sur Zabbix, tu ne fais rien ? »
Julien : « J’en traite dix par jour, mais il en arrive vingt de plus. »
DSI : « Tu devrais automatiser. »
Julien : « Oui, mais pour ça, il faudrait du budget. »
DSI : « … » (silence gêné, fin de la conversation).
🎭 Le phishing du siècle
À 10h23, un mail « Banq Populère » arrive dans la boîte d’un cadre du marketing. Sujet : « Votre compte a été désactivé, cliquez ici pour réactiver ».
Le cadre, sûr de lui, clique. Deux fois.
Il appelle aussitôt Julien :
Cadre marketing : « J’ai reçu un mail bizarre, j’ai cliqué mais ça m’a mis une page blanche. C’est grave ? »
Julien (mâchoire serrée) : « Est-ce que tu as renseigné ton identifiant et ton mot de passe ? »
Cadre marketing : « Oui… mais ce n’est pas grave, c’est mon mot de passe Exchange, pas mon mot de passe principal. »
Julien (prêt à hurler) : « Ton mot de passe Exchange, c’est TON mot de passe principal. »
Cadre marketing : « Ah… »
Julien raccroche et note dans son carnet : « Sensibilisation prévue trimestre prochain. Inutile. »
🎭 Le stagiaire fantôme
À 11h17, nouvelle alerte. Un compte VPN se connecte depuis la Roumanie.
Julien fronce les sourcils, enquête… et découvre que c’est un ancien stagiaire parti en 2023.
Le compte n’a jamais été désactivé.
Il envoie un mail sec à la RH :
« Merci de bien vouloir me transmettre la liste ACTUALISÉE des départs. »
Réponse automatique : « La personne en charge est en congés, retour prévu le 15 septembre. »
🎭 La gestion des faux positifs
À 13h45, le Fortinet bloque une tentative d’exfiltration suspecte. Julien alerte la DSI.
DSI : « C’est peut-être un faux positif. »
Julien : « Ou peut-être pas. On fait quoi ? »
DSI : « Attends demain, on verra si ça se reproduit. »
Le lendemain, ça ne se reproduit pas.
Parce que l’attaquant, lui, est déjà parti avec les données.
🎭 Le meeting stratégique
14h30. Réunion avec la DAF.
DAF : « Julien, pourquoi tu passes ton temps sur ces tickets d’alerte ? Tu devrais te concentrer sur des projets à valeur ajoutée. »
Julien : « Comme ? »
DAF : « Comme la migration SharePoint. »
Julien (ironiquement) : « Ah oui, bien sûr, parce que si on se prend un ransomware, au moins SharePoint sera à jour. »
La DAF ne rit pas. Julien si.
🎭 Les post-it SOC
Julien garde une collection de post-it jaunes collés sur son écran.
- « Compte admin SAP toujours actif (vu en 2021) »
- « MFA demandé mais jamais déployé »
- « Alertes SMB laissées en ‘ignore’ »
- « Backup non testé depuis 18 mois »
Chaque post-it est une bombe à retardement.
Julien les regarde avec tendresse, comme on regarde des grenades dégoupillées dans une vitrine.
À 17h12, Julien ferme son PC.
Zabbix hurle toujours. Le VPN crache ses poumons. Exchange menace de tomber.
Et le DSI envoie son traditionnel mail du soir :
« Julien, rassure-moi, on n’a pas de faille critique en ce moment ? »
Julien tape sa réponse.
Une seule ligne.
Un seul mot.
« Non. »
Et il sourit, parce que dans un SOC, parfois, la meilleure défense… c’est le mensonge par omission.
🔥 Quand l’actualité frappe
Julien croyait avoir tout vu. Les faux positifs, les stagiaires fantômes, les Mac indomptables. Mais non.
Un matin de juin, l’actualité cyber décide de lui rappeler que la fiction ne rivalise jamais avec la réalité.
📌 La CVE qu’on n’a pas patchée
Zabbix hurle : « Tentative de connexion anormale via SMB ».
Julien se fige.
Il se souvient très bien de cette faille, la CVE-2025-33073 : vulnérabilité SMB client exploitée en masse, révélée au Patch Tuesday du mois dernier.
Julien l’avait documentée.
Julien avait fait une présentation PowerPoint de 18 slides.
Julien avait envoyé trois mails.
Réponse du comité IT :
« Pas prioritaire, on verra ça au prochain cycle de patch. »
Résultat ? Ce matin, ça scanne dans tous les sens.
Julien n’a même plus la force de râler. Il ajoute juste un post-it jaune : « CVE SMB → exploit confirmé ».
📌 Le Fortinet de Schrödinger
11h22.
Le Fortinet lève une alerte : tentative d’exploitation d’une faille critique.
Julien ouvre les logs, reconnaît la signature d’un ransomware exploitant un bug de configuration.
Oui, le même bug qu’il avait signalé… et qu’on n’a jamais corrigé, parce que le prestataire n’avait pas vendu « l’option sécurité avancée ».
Julien appelle la DSI.
Julien : « On est sous attaque via le Fortinet. »
DSI : « Tu es sûr que ce n’est pas un faux positif ? »
Julien : « Quand ça touche au firewall, les faux positifs, ça n’existe pas. »
DSI : « Dans ce cas, tu bloques. »
Julien : « Déjà fait. Mais le vrai problème, c’est que ça a marché AVANT d’être bloqué. »
Silence. Puis un : « Bon… ne le dis pas trop fort. »
📌 Le drame d’Exchange
13h57.
Un employé appelle : « Je n’arrive plus à accéder à ma boîte mail, c’est urgent, j’ai une conf call client ! »
Julien regarde les serveurs Exchange derrière le Kemp. Ils clignotent comme une discothèque sous acide.
C’est la nouvelle vulnérabilité Microsoft Exchange exploitée dans la nature.
Julien se rappelle : la mise à jour était sortie il y a trois semaines.
Mais on ne l’a pas installée. Pourquoi ?
Parce qu’on ne redémarre pas Exchange, jamais. « Risque de coupure pour la direction », qu’ils avaient dit.
Maintenant, la coupure est là, mais pas planifiée.
Julien tape frénétiquement sur son clavier, patch en urgence, reboot forcé.
Il sait déjà que dans une heure, la DSI viendra lui reprocher « l’indisponibilité de la messagerie en pleine journée ».
📌 La double fibre… coupée
16h02.
Un bruit sourd secoue le parking. Travaux de voirie.
Julien reçoit une alerte : FTTH DOWN. Puis… FTTO DOWN.
Il comprend aussitôt.
Les deux fibres, soigneusement vendues comme « redondantes », passent dans le même fourreau.
Un coup de pelleteuse, et c’est blackout.
Le VPN IPSEC tombe.
Teams tombe.
Les mails tombent.
Même Zabbix ne clignote plus.
Julien contemple son écran noir.
Il ferme les yeux, respire, et lâche, pour lui-même :
« Voilà. On vient d’inventer le SOC offline. »
À 18h12, la DSI l’appelle pour « un point rapide » :
« Julien, tu penses qu’on devrait renforcer la sécurité ? »
Julien éclate de rire. Un rire franc, nerveux, un peu désespéré.
« Non. Continuons comme ça. C’est plus drôle. »
Et il raccroche, en se disant que le vrai ransomware…
c’est peut-être leur façon de gérer la cybersécurité.
🛠️ La survie au sarcasme
Julien sait que son job n’est pas de sauver le SI.
Son job, c’est de l’empêcher de mourir trop vite.
Alors il a développé des réflexes de survie. Des armes artisanales, bricolées dans l’ombre.
🔧 L’art du PowerShell sale
Il garde, précieusement, un vieux script PowerShell qu’il a écrit un soir d’insomnie.
Nom du fichier : cleanup_accounts.ps1.
Sa fonction ? Désactiver en masse les comptes utilisateurs inactifs depuis plus de 90 jours.
Officiellement, ce n’est pas validé. Officiellement, c’est « trop risqué ».
Mais officieusement, une fois par mois, à 23h47, Julien le lance.
Et chaque fois, une dizaine de comptes zombies disparaissent dans le néant, avant qu’ils ne deviennent des portes d’entrée.
📊 Zabbix, mais en vert
Un jour, il a eu une révélation : plutôt que d’affronter les 2 000 alertes rouges permanentes, il a créé un tableau de bord custom, avec seulement trois métriques essentielles.
Résultat : pour la première fois en trois ans, il a vu… du vert.
Quand la DSI est passée dans son bureau et a vu l’écran, elle a souri :
« Ah, super, tout va bien alors ! »
Julien a répondu :
« Oui. Tout va bien. »
Et il a gardé pour lui le fait que 1 997 alertes hurlent toujours dans l’ombre.
🐀 Le honeypot de fortune
Dans un vieux coin d’ESX, il a installé une VM Linux miteuse, volontairement exposée.
Nom : srv-admin01.
Un appât grossier, truffé de ports ouverts et de failles intentionnelles.
Chaque fois qu’un attaquant s’y amuse, Julien jubile.
« Au moins, pendant qu’il joue avec mon faux serveur, il ne touche pas aux vrais. »
Il n’a jamais osé l’avouer à la DSI.
Parce qu’il sait qu’on lui répondrait :
« Ce n’est pas conforme. »
🧩 Les backups invisibles
Julien n’a pas confiance dans les procédures officielles.
Alors, en douce, il a automatisé une synchro rsync entre ses serveurs critiques et une vieille machine qu’il garde planquée dans la salle IT, étiquetée « Obsolète – à recycler ».
Personne ne sait que c’est en réalité le seul vrai plan B de la boîte.
🕶️ Le sarcasme comme pare-feu
Mais l’arme la plus redoutable de Julien, ce n’est pas son script, ni son honeypot.
C’est son humour noir.
Chaque fois que la DSI lui demande :
« Julien, rassure-moi, on est protégés contre les ransomwares ? »
Il répond :
« Bien sûr. Tant qu’ils n’attaquent pas un mardi. »
Chaque fois que la RH lui dit :
« Tu pourrais faire une sensibilisation plus ludique ? »
Il réplique :
« Vous voulez que je fasse quoi ? Un escape game où le stagiaire gagne quand il vend nos données sur Telegram ? »
Chaque fois que la direction lui demande un rapport mensuel sur la sécurité, il envoie une slide PowerPoint avec un seul mot :
« SURVIVANT. »
À 19h47, Julien ferme son PC.
Zabbix clignote toujours, Fortinet tousse, Exchange agonise.
Mais quelque part, dans une VM poubelle, un attaquant s’amuse à pirater un serveur factice, et les vraies données dorment au chaud dans une synchro secrète.
Julien sourit.
Dans ce chaos absurde qu’on appelle cybersécurité d’ETI, il a gagné une bataille silencieuse.
Demain, ça brûlera à nouveau.
Mais demain, il sera encore là.
Et dans sa tête, une seule certitude :
tant qu’il garde son sarcasme, il est invincible.
« Si vous avez reconnu un peu de votre quotidien dans cette histoire, c’est que vous travaillez aussi dans la cyber. Courage, camarade. »
