Articles / L'asymétrie attaque vs défense : pourquoi la technique ne su

L'asymétrie attaque vs défense : pourquoi la technique ne suffit pas

ump — Un mot de passe pourri recent 2026-02-10 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
235 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Former quelqu'un à compromettre un AD : 3 jours. Former à le défendre ? 3 ans. Pourquoi l'asymétrie attaque/défense n'est pas qu'une question d'outils : https://unmotdepassepourri.substack.com/p/lasymetrie-attaque-vs-defense-pourquoi

📅 26/05 à 19h05 dans 2j
✓ Publié 26/05 à 19h05
🧵 Thread posted
1807 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ En quelques jours de formation offensive, un stagiaire passe de zéro à Domain Admin sur un lab. BloodHound, Responder, Certipy, Impacket : tout est documenté, scriptable, reproductible. L'attaque est gratifiante. La défense, elle, est un chantier infini.

2/8

2/ Côté défense, il n'y a pas "un outil". Il y a une montagne de tâches : — Tiering — LAPS — Désactivation LLMNR/NBT-NS — Durcissement ADCS — Nettoyage des ACL vieilles de 15 ans Chaque ligne = des semaines. Des tests. De la négo interne.

3/8

3/ Mon erreur de départ : croire que former le support IT en interne suffirait. "En un an, on corrige tous les vecteurs. Le SI sera propre." Résultat ? La technique n'était pas le vrai blocage.

4/8

4/ Le vrai blocage, c'est l'humain : — "Je veux rester admin local, sinon je ne peux pas bosser." — "LAPS ? Trop lourd. Ça casse nos scripts." — "Le tiering ? On verra plus tard." — "NTLM ? On a encore du legacy." Chaque mesure devient un arbitrage politique.

5/8

5/ La sécurité perd souvent face au "confort opérationnel à court terme". Pas parce que les gens sont idiots. Parce qu'ils ont 50 priorités, et que la sécu n'est jamais en top 3 tant qu'il n'y a pas eu d'incident.

6/8

6/ Mais ce qui change vraiment, c'est la fin du déni. Avant de voir l'attaque en action : "On n'est pas une cible." Après avoir compromis un AD en 1h de lab : "Ah merde. Donc LAPS, c'est peut-être pas si chiant."

7/8

7/ La formation offensive ne crée pas des défenseurs compétents en 3 jours. Mais elle tue l'illusion de sécurité. Et ça, c'est déjà un progrès énorme.

8/8

8/ L'asymétrie attaque/défense n'est pas une fatalité technique. C'est un problème organisationnel, humain, politique. La technique, on sait faire. Le reste prend des années. https://unmotdepassepourri.substack.com/p/lasymetrie-attaque-vs-defense-pourquoi

📅 09/07 à 12h12 dans 46j
✓ Publié 09/07 à 12h12
💡 Standalone #1 posted
221 chars
Sans lien · Matin 7h30–9h · 70% du mix

L'admin qui trouvait LAPS "trop chiant" change d'avis après avoir lui-même volé 10 hashes admin locaux identiques en 20 minutes. La pédagogie par l'offensive, c'est pas pour créer des pentesters. C'est pour tuer le déni.

📅 07/07 à 08h12 dans 44j
✓ Publié 07/07 à 08h12
💬 Standalone #2 posted
221 chars
Sans lien · Matin 7h30–9h · 70% du mix

La défense ne perd pas face à l'attaque parce qu'elle manque d'outils. Elle perd parce qu'elle doit négocier chaque durcissement avec 15 personnes qui ont "autre chose à faire". L'asymétrie est politique, pas technique.

📅 13/07 à 08h30 dans 50j
✓ Publié 13/07 à 08h30
🔥 Provoc posted
223 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Former un pentester AD : 3 jours. Durcir un AD : 3 ans. Et après, on s'étonne que les attaquants gagnent. Le problème n'est pas l'outillage. C'est que la sécu n'a aucun levier politique tant qu'il n'y a pas eu d'incident.

📅 15/07 à 19h54 dans 52j
✓ Publié 15/07 à 19h54