Tribunes
Status: clean
En un mois, une IA a trouvé plus de dix mille failles critiques. 75 corrigées. Tout le monde en tire la même leçon : patcher plus vite. C'est la mauvaise. Le taux ne bouge pas, le volume double, et l'instrument de mesure devient aveugle au même moment.
Tribunes
I want to play a game
48 PME, 9 millions d'euros, un dispositif d'accompagnement vers SecNumCloud conçu avec le mauvais outil, le mauvais référentiel, et aucun bilan public trois ans plus tard. Anatomie d'un piège à subventions.
Tribunes
The Thing That Should Not Be
ATLAS copie ATT&CK pour l'IA. Quatre attaques en deux mois, mêmes identifiants, aucun mécanisme en commun. Le framework nomme les techniques sans armer les défenseurs. L'industrie l'adopte parce qu'il ressemble à ATT&CK. La ressemblance est le piège.
Tribunes
L'ubérisation labellisée de la cybersécurité des PME
L'État vient de subventionner un label cyber pour les PME, opéré par un acteur dont le métier principal est la commercialisation de données IT au marché financier, sans coordination publique avec Cybermalveillance, sans aucune exigence cyber dans son référentiel. Anatomie.
Tribunes
Pitch Black
Huit vecteurs de dégradation frappent le NIST. L'Europe a bâti sa conformité sur ses standards, du NVD au CISSP. Elle construit des alternatives sur un seul niveau. Elle n'a pas de système.
Tribunes
Mon Oncle
Décret SecNumCloud paru le 16 avril 2026, 23 mois après la loi. La veille, l'ANTS fuitait 19 millions de données. Aucun hébergement qualifié n'aurait empêché cette fuite. Le décret est utile pour ce qu'il est. Le confondre avec ce dont on aurait besoin reste l'illusion centrale.
Tribunes
The Prestige
D3FEND devait être le miroir défensif d'ATT&CK. J'ai examiné ses 267 techniques, leur provenance, leur distribution. Ce que j'ai trouvé ne correspond pas à l'ambition affichée. Quatorzième article de la série.
Tribunes
Wheel of Confusion
Microsoft opère sur près d'un milliard de postes Windows 11 dans le monde un edge cloud que personne ne nomme comme tel. Cette absence de qualification a un coût mesurable pour les États qui se disent maîtres de leurs choix.
Tribunes
Now You See Me
Les SIEM d'entreprise couvrent 21% des techniques MITRE ATT&CK. En cinq ans, aucune progression. 90% de faux positifs, 62% d'alertes ignorées, 74% des brèches avec alertes ignorées. The closer you look, the less you see.
Tribunes
La plus grande surface d'attaque non régulée de l'économie française
L'État oblige 4 millions d'entreprises à dépendre d'un intermédiaire qu'elles ne peuvent ni auditer, ni diversifier, ni refuser. Et c'est elles qui porteront les conséquences en cas d'incident.
Tribunes
Ghost in the Binary
Le CRA évalue la conformité du code source. Le compilateur modifie le binaire. Le régulateur ne voit pas la différence. Quand la réglementation européenne déclare conforme un produit qu'elle n'a pas les moyens de vérifier.
Tribunes
L'Arnaque
La circulaire du 5 février place la souveraineté en critère numéro un des achats numériques de l'État. Elle renvoie à un décret absent depuis dix-huit mois. Cinq couches de sécurité dépendent d'infrastructures que l'Europe ne contrôle pas. Aucun texte en vigueur ne les couvre.
Tribunes
Soylent Green
Les "Leaders" des Magic Quadrants ne sont pas des entreprises ordinaires. 80% des fondateurs cyber israéliens viennent du renseignement militaire. Une stratégie de sécurité devrait partir du métier. Le radar propose l'inverse : un modèle universel.
Tribunes
Fantômas au Conseil d'État
Le décret d'application de l'article 31 de la loi SREN devait définir les données sensibles de l'État. Dix-huit mois après le délai, il n'existe pas. Entre-temps, l'État annonce, légifère, migre — et chaque texte renvoie à un texte absent.
Tribunes
They Live...
Le radar CISO 2026 liste 150 sujets. Dix items représentent 5 à 15 millions de dollars sur trois ans. Le calcul ne marche pas, nulle part. Tout le monde suit le même chemin, les mêmes briques, dans le même ordre. Pour un attaquant, une seule carte à apprendre.
Tribunes
SecNumCloud pour les autres ?
SecNumCloud obligatoire pour tous. Sauf pour l'État lui-même ? Enquête sur La Suite numérique.
Tribunes
Les faucons du numérique
Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend.
Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Tribunes
La GRC ou l'art de transformer le risque en stratégie
La GRC n'est pas un outil de déclinaison de la stratégie. C'est un choix existentiel sur l'appétence au risque qui détermine ce qu'une organisation peut devenir.
