Ce qui m’inquiète vraiment

📢 Tweet Teaser posted

275 chars

Avec lien Substack · Soir 18h30–20h · 30% du mix

Sortie d'une formation NIS2. Pendant ce temps, des comptes DGFiP circulent sur le darknet. Le vrai décalage, c'est pas entre attaquants et défenseurs. C'est entre la doctrine centrale et l'exécution terrain. https://unmotdepassepourri.substack.com/p/ce-qui-minquiete-vraiment

📅 26/05 à 19h39 dans 2j

✓ Publié 26/05 à 19h39

🧵 Thread posted

2054 chars

Lien en dernier tweet seulement · Midi 12h–13h30

1/8

1/ Je sors d'une formation NIS2. Gouvernance, résilience, cartographie. Tout est parfait sur le slide. Puis on évoque des campagnes ayant ciblé la DGFiP. Des identifiants d'agents publics qui circulent sur des marchés clandestins. Ce ne sont pas des scénarios théoriques.

2/8

2/ Ce que je vois concrètement : des accès VPN revendus après un simple phishing. Des comptes admin compromis par réutilisation de mot de passe. Des environnements sans MFA sur des accès sensibles. Pas partout, mais suffisamment pour que ce ne soit plus anecdotique.

3/8

3/ Le problème n'est pas l'existence des attaques. C'est leur banalité. On ne parle pas de vulnérabilités sophistiquées. On parle d'erreurs basiques qui persistent, dans des infrastructures censées être maîtrisées.

4/8

4/ Le modèle français repose sur une tension structurelle : expertise fortement centralisée, exécution largement décentralisée. L'ANSSI produit de bonnes recommandations. Puis on demande à des centaines d'entités hétérogènes de les appliquer avec des moyens variables.

5/8

5/ Entre la recommandation et son implémentation dans une collectivité de 15 agents, il y a un gouffre. Le cyber évolue à la semaine. Les budgets publics évoluent à l'année. Les arbitrages prennent parfois davantage. L'attaque, elle, s'industrialise.

6/8

6/ Ce décalage de rythme produit quelque chose de silencieux : une adaptation. On hésite à transmettre certaines données. On intègre mentalement qu'une base finira par fuiter. On cesse d'être surpris. Ce n'est pas spectaculaire. C'est progressif. C'est une érosion.

7/8

7/ Un État moderne repose sur une promesse implicite : certaines infrastructures sont maîtrisées. Quand l'écart entre discours stratégique et réalité observable devient visible, ce n'est pas la peur qui domine. C'est la perte de confiance.

8/8

8/ Si le problème est organisationnel plus que technologique, les marqueurs doivent être organisationnels. Un exemple concret : MFA obligatoire partout. Pas "recommandé". Obligatoire. Lire la suite : https://unmotdepassepourri.substack.com/p/ce-qui-minquiete-vraiment

📅 03/06 à 12h52 dans 10j

✓ Publié 03/06 à 12h52

1/ Je sors d'une formation NIS2. Gouvernance, résilience, cartographie. Tout est parfait sur le slide. Puis on évoque des campagnes ayant ciblé la DGFiP. Des identifiants d'agents publics qui circulent sur des marchés clandestins. Ce ne sont pas des scénarios théoriques.

2/ Ce que je vois concrètement : des accès VPN revendus après un simple phishing. Des comptes admin compromis par réutilisation de mot de passe. Des environnements sans MFA sur des accès sensibles. Pas partout, mais suffisamment pour que ce ne soit plus anecdotique.

3/ Le problème n'est pas l'existence des attaques. C'est leur banalité. On ne parle pas de vulnérabilités sophistiquées. On parle d'erreurs basiques qui persistent, dans des infrastructures censées être maîtrisées.

4/ Le modèle français repose sur une tension structurelle : expertise fortement centralisée, exécution largement décentralisée. L'ANSSI produit de bonnes recommandations. Puis on demande à des centaines d'entités hétérogènes de les appliquer avec des moyens variables.

5/ Entre la recommandation et son implémentation dans une collectivité de 15 agents, il y a un gouffre. Le cyber évolue à la semaine. Les budgets publics évoluent à l'année. Les arbitrages prennent parfois davantage. L'attaque, elle, s'industrialise.

6/ Ce décalage de rythme produit quelque chose de silencieux : une adaptation. On hésite à transmettre certaines données. On intègre mentalement qu'une base finira par fuiter. On cesse d'être surpris. Ce n'est pas spectaculaire. C'est progressif. C'est une érosion.

7/ Un État moderne repose sur une promesse implicite : certaines infrastructures sont maîtrisées. Quand l'écart entre discours stratégique et réalité observable devient visible, ce n'est pas la peur qui domine. C'est la perte de confiance.

8/ Si le problème est organisationnel plus que technologique, les marqueurs doivent être organisationnels. Un exemple concret : MFA obligatoire partout. Pas "recommandé". Obligatoire. Lire la suite :
https://unmotdepassepourri.substack.com/p/ce-qui-minquiete-vraiment

💡 Standalone #1 posted

281 chars

Sans lien · Matin 7h30–9h · 70% du mix

Le modèle français du cyber : expertise centralisée brillante, exécution décentralisée chaotique. L'ANSSI produit de bonnes recommandations. Puis on demande à 600 entités publiques hétérogènes de les appliquer avec des budgets qui évoluent à l'année. L'attaque évolue à la semaine.

📅 01/06 à 08h37 dans 8j

✓ Publié 01/06 à 08h37

💬 Standalone #2 posted

264 chars

Sans lien · Matin 7h30–9h · 70% du mix

Ce qui m'inquiète vraiment ? Pas les APT. Le fait qu'on intègre mentalement que des bases publiques finiront par fuiter. Qu'on hésite avant de transmettre des données à l'administration. Cette adaptation silencieuse, c'est pas de la résilience. C'est de l'érosion.

📅 05/06 à 08h32 dans 12j

✓ Publié 05/06 à 08h32

🔥 Provoc posted

279 chars

Sans lien · Valide avant de publier · Soir 18h30–20h

On forme sur NIS2 pendant que des comptes DGFiP circulent sur le darknet. Le cyber français souffre pas d'un problème d'expertise. Il souffre d'un problème de pouvoir : ceux qui savent n'ont pas les moyens d'imposer. Ceux qui ont les budgets ne subissent jamais les conséquences.

📅 08/06 à 18h51 dans 15j

✓ Publié 08/06 à 18h51

Ce qui m’inquiète vraiment

Envoyer sur Buffer