brain www.christophe-casalegno.com
J’ai quitté le monde de la cybersécurité… ce que vous n’avez pas compris – Christophe Casalegno
UTC

brain@www.christophe-casalegno.com:~$ cat post.md

J’ai quitté le monde de la cybersécurité… ce que vous n’avez pas compris

By Christophe Casalegno on mai 17, 2026 in Infosec
Christophe Casalegno

J'ai quitté le monde de la cybersécurité
-> ce post, je l’ai écrit le 30 mai 2025.

Et depuis, je constate dans les messages privés que je reçois que beaucoup n’ont pas compris ce que je voulais dire.

Certains s’étonnent de me voir encore parler de vulnérabilités, de Linux, de hardening, d’architecture, de surveillance, de mitigation, d’exploitation, de compromission, de modèles de menace ou de sécurité serveur.

Mais je n’ai jamais écrit que j’arrêtais la sécurité. J’ai écrit que je quittais le monde de la cybersécurité et la nuance est importante.

Je n’ai pas quitté la discipline, la pratique, sa réalité technique ni l’instinct qui consiste à observer des signaux faibles et à se demander : « où est-ce que ça casse ? »

Ce que j’ai quitté, c’est l’écosystème qui s’est construit autour qui n’était plus pour moi : le théâtre, le bruit, les badges, les postures, les labels, les PowerPoint, les audits devenus des cérémonies, les certifications et les normes devenues l’objectif au lieu des outils qu’elles étaient censées être, les référentiels transformés en dogmes ou plus génralement les gens qui confondent conformité, sécurité et compétence opérationnelle.

J’ai quitté un monde devenu absurde dans lequel un système serait sécurisé parce qu’il coche les bonnes cases.

Donc non je n’ai pas changé d’avis : un système est sécurisé parce qu’il résiste, parce qu’il limite l’impact d’un incident, parce qu’il détecte vite, parce qu’il compartimente correctement, parce qu’il laisse des traces exploitables, parce qu’il ne fait confiance à personne, parce qu’il permet de comprendre ce qui s’est passé, parce qu’il peut être corrigé et parce que les gens qui l’opèrent savent ce qu’ils font.

La sécurité, ce n’est pas un PDF, une grille Excel pas plus qu’une mention dans un dossier d’appel d’offres ou une certification affichée comme une médaille.

La sécurité, c’est du réel et le réel ne respecte pas les procédures pour faire plaisir aux auditeurs. Il s’en fout.

– Une faille dans un module kernel n’attend pas qu’un comité valide une matrice de risque.
– Un attaquant ne s’arrête pas parce qu’un prestataire est certifié.
– Une fuite de données ne devient pas moins grave parce qu’une organisation peut produire un rapport de conformité.
– Une compromission ne disparaît pas parce qu’elle est correctement documentée après coup.

Les normes, les référentiels, les audits et les processus sont utiles : tant qu’ils sont utilisé comme des outils au service de l’objectif. Mais ils deviennent dangereux lorsqu’ils deviennent l’objectif et remplacent le jugement, l’ingénierie, la compétence, et qu’ils ne sont plus que des alibis qui produisent une sécurité administrative plutôt qu’effective.

C’est exactement ce qui m’a poussé à quitté cet univers. Une partie du secteur s’est mise à confondre la carte et le territoire. A remplacer la recherche d’efficacité par la recherche de conformité, la compréhension profonde par la validation externe, l’expérimentation par le respect des procédures et l’intelligence technique par la peur de sortir du cadre.

Alors oui, je continue à faire de la sécurité. Tous les jours.

Je fais de la veille, je durcis des serveurs, j’analyse des vulnérabilités, j’écris des exploits pour mettre mes systèmes à l’épreuve et je conçois des mitigations avant que les correctifs officiels soient disponibles. Je réfléchis à l’isolation, au zero-trust, et je continue de privilégier à chaque fois que c’est possible la simplicité, la traçabilité, la séparation des privilèges, la réduction de surface d’attaque et la capacité de réaction.

Dans mon univers, c’est ça la cybersécurité, mais ce n’est pas forcément « le monde de la cybersécurité« . Et c’est précisément ça que beaucoup n’ont pas compris dans le message que j’ai écrit l’année dernière.

On peut pratiquer une discipline sans appartenir à son industrie. On peut défendre une approche de sécurité sans adhérer à sa bureaucratie. On peut rester techniquement actif sans participer au cirque. On peut rester proche de la réalité opérationnelle en dehors du système et sans avoir à respecter ses codes sociaux.

Aujourd’hui, trop souvent, on documente avant de comprendre. On certifie avant de maîtriser. On normalise avant d’éprouver. On achète une solution avant de savoir quel problème elle résout.

Ce n’est pas ma voie.

Je ne dis pas que c’est mauvais ou que tous les acteurs sont des incompétents. Il y a plein de gens brillants, des équipes solides, des chercheurs exceptionnels et des ingénieurs qui font un travail remarquable. C’est simplement que l’écosystème dominant, lui, a changé de nature.

Et c’est ce monde-là que j’ai quitté.

Donc non je n’ai pas arrêté de faire de la sécurité. C’est une discipline présente dans tous ce que je fais, une grille de lecture du réel que j’applique à tout. Quand on a passé une assez longue partie de sa vie à chercher où les systèmes cassent, on ne cesse jamais vraiment de le faire. Mais la différence, c’est que je le fais à ma manière.

Bon week-end à tous, et prenez-soin de vos systèmes d’informations ;)


Christophe Casalegno
https://all.bo

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,