Le 18 octobre, j’étais à Bergame pour NoHat 2025, et je me suis retrouvé à réfléchir à la facilité avec laquelle on vit dans une bulle quand on travaille dans la tech. On croit connaître la cybersécurité parce qu’on sait comment fonctionnent les firewalls, comment configurer un système d’authentification, comment gérer les vulnérabilités d’une application web. Et puis on entend celles et ceux qui travaillent sur des infrastructures critiques ou des systèmes d’intelligence artificielle, et on comprend que notre modèle mental couvre peut-être 20 % de la réalité.
Ce n’est pas que ce qu’on sait soit faux. C’est que le monde est plus vaste et plus compliqué qu’on ne tend à l’admettre quand on est immergé dans son périmètre.
Ce qu'il faut retenir
Les systèmes industriels fonctionnent avec un legacy incontournable, des fenêtres de patching trimestrielles ou annuelles, des protocoles des années 90 : les règles de la sécurité applicative ne s’y transposent pas.
Avant de juger « comment devraient faire » les entreprises industrielles, mieux vaut écouter ceux qui gèrent vraiment ces systèmes — l’écart est épistémique, pas de bonne volonté.
La bulle professionnelle confond souvent un sous-ensemble avec le tout : le reconnaître est la première forme de compétence transversale.
Questions & réponses
Qu'est-ce que NoHat 2025 et pourquoi compte-t-il ?
Une conférence de cybersécurité tenue à Bergame le 18 octobre 2025, particulièrement axée sur l’OT (Operational Technology) et les infrastructures critiques. C’est l’une des rares occasions où le monde de la sécurité IT classique (applications web, cloud, SaaS) dialogue vraiment avec celles et ceux qui protègent installations industrielles, systèmes SCADA, réseaux électriques.
Pourquoi qui fait de la sécurité web ne voit-il que 20 % de la cybersécurité réelle ?
Parce que les scénarios industriels et critiques fonctionnent avec des menaces, contraintes et conséquences différentes : un rançongiciel dans un SaaS produit des jours de downtime ; une attaque sur une usine chimique peut produire des victimes physiques. Les systèmes sont souvent legacy incontournables, les fenêtres de patching sont trimestrielles ou annuelles, les protocoles sont ceux des années 90. Le modèle mental de la sécurité web couvre un sous-ensemble étroit du problème.
Que devrait apprendre un technicien généraliste de cette différence ?
L’humilité épistémique. Ce que nous savons en sécurité dans notre périmètre n’est pas faux — c’est partiel. Avant de juger « comment devraient faire les entreprises industrielles », il vaut la peine d’avoir parlé à celles et ceux qui gèrent vraiment ces systèmes. L’écart de contexte est plus large que l’écart technique.