Un pare-feu n’est plus seulement un mur. C’est parfois la serrure, le badge et le plan du bâtiment dans la même boîte.
La vulnérabilité critique PAN-OS exploitée avant correction rappelle une évidence que l’industrie préfère souvent habiller de jargon : les équipements de sécurité exposés sur Internet sont devenus des cibles de premier rang. Pas parce qu’ils seraient moins bons que les autres. Justement parce qu’ils sont placés au bon endroit, avec les bons privilèges, au contact direct du trafic, des accès distants et parfois des règles les plus sensibles de l’entreprise.
Le paradoxe est cruel. On achète un pare-feu de nouvelle génération pour réduire le risque, puis on découvre qu’il faut le gouverner comme une application critique, avec inventaire, supervision, fenêtre de correction, procédure d’urgence et scénario de repli. Franchement, appeler cela une simple “mise à jour de sécurité” est un peu court. Quand un équipement frontal est compromis, ce n’est pas un poste utilisateur qui tousse. C’est le poste de garde qui ouvre la barrière.
Les dirigeants connaissent bien le problème, même s’il se cache souvent dans les comités techniques. Une faille sort, l’éditeur publie un correctif, l’équipe sécurité pousse l’alerte, l’exploitation demande une fenêtre, le métier rappelle que le VPN sert aux équipes commerciales, à la paie ou à l’usine. Résultat : on débat pendant que l’attaquant, lui, ne demande pas d’arbitrage budgétaire. Les consultants pressés appelleront cela “résilience cyber”. Sur le terrain, cela s’appelle surtout avoir décidé à l’avance qui peut couper quoi, combien de temps, et avec quelles conséquences acceptées.
Le précédent n’est pas isolé. Les failles sur équipements périmétriques, passerelles VPN et appliances d’accès distant se répètent depuis des années, chez plusieurs grands éditeurs. Fortinet, Ivanti, Citrix, Microsoft Exchange : à chaque fois, la mécanique ressemble à une pièce déjà jouée. Un actif très exposé, très utile, parfois mal inventorié, devient le point d’entrée. La CISA les classe régulièrement dans son catalogue des vulnérabilités exploitées connues, ce qui dit assez clairement où les attaquants mettent leur énergie. Ils ne cherchent pas la poésie. Ils cherchent le rendement.
Il y a là une leçon très ancienne. Vauban savait qu’une forteresse ne vaut pas seulement par l’épaisseur de ses murs, mais par l’entretien des bastions, la discipline des gardes et la capacité à tenir un siège. La cybersécurité moderne a changé les matériaux, pas la nature humaine. On promet des remparts intelligents, puis l’oubli, la routine et la peur d’interrompre le service font leur travail. L’histoire adore ce genre de répétition. Elle a le sens de l’humour, parfois un peu sec.
Le sujet n’est donc pas seulement technique. Il relève de la gouvernance. Un comité de direction devrait savoir quels équipements exposés protègent les accès critiques, quel délai maximal de correction est acceptable, quelle procédure permet d’appliquer un correctif hors cycle, et comment l’activité continue si l’on doit isoler un pare-feu ou basculer un accès distant. Sans ces réponses, la sécurité repose sur l’héroïsme des équipes techniques. C’est flatteur pour elles, mais c’est une stratégie assez médiévale.
Le vrai progrès n’est pas d’acheter un rempart plus brillant. C’est d’accepter qu’un rempart se gouverne, se teste, se corrige et, parfois, se remplace en pleine tempête.