Et si Mitosan n’était pas l’expert qu’il prétend être ?

Épisode S01E12 - Une enquête d’Arsène sur l’imposture dans la cybersécurité

L’amorce - Vendredi 15h30, Tour Montparnasse

Le téléphone d’Arsène vibre une énième fois. SMS de Mitosan : “Désolé, meeting client urgent. Peux-tu finaliser l’audit de sécurité pour TechFlow ? Mes notes sont dans le drive. Tu gères mieux que moi les détails techniques 😉”

Arsène soupire. Encore. En trois mois, Dimitri “Mitosan” Alexandrov, consultant senior en cybersécurité fraîchement recruté, a délégué chaque mission technique à l’équipe. “Manque de temps”, dit-il. “Stratégie de haut niveau”, justifie-t-il avec son accent légèrement slave qu’il prétend venir de ses “années d’expérience en Europe de l’Est”.

Arsène ouvre le drive partagé. Dossier vide. Pas de notes, pas d’analyse préliminaire. Juste un PowerPoint template générique téléchargé d’internet, avec encore les traces “Microsoft Confidential” mal effacées.

“Bizarre pour un expert qui facture 1200€/jour…” marmonne Arsène en regardant le CV LinkedIn de Mitosan. Photo professionnelle un peu trop parfaite, sourire éclatant, liste impressionnante : CISSP, CISA, CEH, OSCP, CISM, CISSP-ISSAP. CV de rêve : 12 ans d’expérience, passage chez Orange Cyberdéfense, BNP Paribas, Sopra Steria…

Trop impressive ?

Acte 1 : Les premiers doutes - L’audit qui tourne mal

La mission impossible

TechFlow, startup fintech en pleine croissance, a subi une tentative de phishing sophistiquée. Le RSSI, paniqué, a fait appel au cabinet d’Arsène. Mitosan était censé mener l’audit de sécurité.

“No problem, j’ai géré des incidents similaires chez trois entreprises du CAC 40 l’an dernier”, avait assuré Mitosan en réunion client. “Laissez-moi analyser votre infrastructure. Dans 48h, vous aurez un plan d’action béton.”

48h plus tard : rien. Mitosan évoque un “contretemps familial” et demande à Arsène de “prendre le relais sur la partie technique pendant qu’il se concentre sur la gouvernance”.

Les signaux d’alarme - Les erreurs qui trahissent

En récupérant le dossier, Arsène découvre un véritable festival d’erreurs techniques. L’analyse réseau de Mitosan est un patchwork de confusions grossières :

• Confond pare-feu applicatif et WAF (“C’est la même chose, non ?”)
• Mélange les ports TCP/UDP (propose d’analyser “le trafic UDP sur le port 443”)
• Suggère d’installer Windows Defender sur les serveurs Linux
• Recommande un scan Nessus “sur le port 65536” (qui n’existe pas)

“Même un stagiaire en première année ne ferait pas ces erreurs”, se dit Arsène, perplexe.

Pire encore : le script PowerShell fourni par Mitosan pour “automatiser l’audit” :

# Script "développé" par Mitosan - Version originale  
Get-WmiObject Win32_Service | Where {$_.State -eq "Running"}
Write-Host "Audit terminé" # Erreur de syntaxe - parenthèses manquantes
# Plus tard dans le script :
Get-Process | Where-Object Name -eq "malware.exe" | Stop-Process
# Commentaire en anglais : "This will stop all malware processes"

Une simple recherche Google révèle la source : Stack Overflow, question posée par “newbie_admin123” il y a 2 ans. Mitosan a littéralement copié-collé le code, erreurs comprises.

Le détail qui tue : Arsène remarque que la dernière modification du fichier date de 3h47 du matin. “Qui code à cette heure, sauf quand on panique et qu’on bâcle du copier-coller ?”

# Script "développé" par Mitosan - Version originale
Get-WmiObject Win32_Service | Where {$_.State -eq "Running"}
Write-Host "Audit terminé" # Erreur de syntaxe

📊 Les chiffres qui inquiètent

Arsène se plonge dans les statistiques sectorielles :

• 4.8 millions de postes en cybersécurité restent non pourvus mondialement en 2024
• 75% d’augmentation des recherches sur le syndrome de l’imposteur dans le secteur
• 58% des organisations déclarent que la pénurie de compétences les met en danger
• Coût moyen d’une violation de données : 4.88 millions de dollars

“Avec cette pénurie, les entreprises recrutent-elles n’importe qui ?” s’interroge Arsène.

Acte 2 : L’enquête approfondie - Quand les certifications mentent

La vérification qui tue - L’enquête d’Arsène

Arsène décide de creuser. Premier réflexe : vérifier les certifications affichées sur LinkedIn. Il contacte discrètement l’organisme certificateur (ISC)².

Email reçu à 14h23 : “Bonjour, suite à votre demande de vérification, aucun Dimitri Alexandrov, Dimitri Mitosan Alexandrov ou variante similaire n’apparaît dans notre base de données de certifiés CISSP actifs ou ayant été certifiés par le passé.”

CISA (ISACA) : “Aucune trace dans nos registres.” CEH (EC-Council) : “Certificat inexistant.” OSCP (Offensive Security) : “Jamais entendu parler.” CISM : “Négatif.”

Cinq certifications majeures. Toutes fausses.

Arsène se connecte sur la plateforme de vérification officielle d’(ISC)² et tape le nom complet : “No records found”. Il essaie les variantes : “Dmitri”, “Dimitri Mitosan”, “D. Alexandrov”… Rien.

Le frisson : Arsène réalise qu’il a travaillé trois mois aux côtés d’un complet imposteur.

🔍 Cas réel : Le marché noir des fausses certifications

Les recherches d’Arsène révèlent une réalité troublante. Sur le dark web, un marché florissant propose :

Prix constatés en 2024 :

• Faux certificat CISSP : 500-800€
• Services de triche aux examens : 1000-2000€
• Cours volés + réponses : 200-500€

Témoignage d’un expert Cybersixgill : “Les acteurs malveillants vendent ces services sur des forums underground et des groupes Telegram dédiés. Certains prétendent contourner les mesures de sécurité des examens en temps réel.”

Source : Cybersixgill Security Research, 2024

L’historique LinkedIn suspect - L’anatomie d’un faux CV

En analysant finement le profil LinkedIn de Mitosan, Arsène découvre un CV trop beau pour être vrai :

Incohérences temporelles flagrantes :

• 2019-2021 : “Senior Security Analyst chez Bouygues Telecom”
• 2020-2022 : “Lead Cybersecurity Consultant chez Orange Cyberdéfense”
• 2021-2023 : “CISO chez BNP Paribas”
• 2022-2024 : “Principal Security Architect chez Sopra Steria”

Problème mathématique : Comment être CISO à temps plein chez BNP Paribas tout en étant consultant chez Orange ET architecte chez Sopra ?

Vérification terrain : Arsène appelle discrètement ses contacts :

• Orange Cyberdéfense (contact RH) : “Dimitri Alexandrov ? Jamais entendu parler. On tient un registre strict de tous nos consultants.”
• BNP Paribas (via LinkedIn) : Un vrai CISO confirme : “Aucun Dimitri dans l’équipe ces 5 dernières années.”
• Sopra Steria : “Pas dans nos effectifs.”

Le détail technique qui ne trompe pas : Dans ses “réalisations”, Mitosan mentionne “avoir migré l’infrastructure BNP vers une architecture Zero Trust basée sur Zscaler”. Or BNP Paribas utilise Palo Alto Networks, information publique dans leurs rapports RSE.

Photo suspecte : En regardant de plus près, Arsène remarque que la photo de profil de Mitosan semble “trop parfaite”. Légèrement floue autour des contours du visage, éclairage parfait… Une photo générée par IA ?

Le PowerPoint de la honte

Arsène découvre la méthode Mitosan : recycler des présentations trouvées en ligne. Sa dernière présentation “Stratégie Zero Trust pour l’entreprise moderne” ? Identique à 95% avec une présentation Microsoft datée de 2022, watermark effacé.

Acte 3 : La confrontation - Quand l’imposture s’effondre

Le piège tendu - L’incident qui n’existe pas

Arsène organise une réunion technique “urgente” avec Mitosan. Sujet : analyser ensemble un incident de sécurité critique qu’il a créé de toutes pièces.

16h15 - Salle de réunion B12

“Mitosan, on a un problème sur l’infrastructure de TechFlow. Un serveur Windows 2019 présente des connexions suspectes entrantes sur le port 22. Le client panique. Comment tu procèdes ?”

Mitosan se penche vers l’écran, ajuste ses lunettes (détail qu’Arsène note : nouvelles, achetées récemment pour “faire plus expert”) :

“Ah, classique ! C’est du SSH. Je vais immédiatement vérifier les logs SSH dans /var/log/auth.log et analyser les clés d’authentification RSA. Probable intrusion par force brute sur les comptes privilégiés.”

Silence de mort.

Arsène laisse passer 10 secondes : “Tu es sûr ?”

“Absolument ! J’ai déjà vu ça chez BNP. On va faire un grep sur ‘Failed password’ et identifier les IP sources. Puis bloquer via iptables.”

Triple erreur fatale :

1. Windows n’utilise pas SSH par défaut sur le port 22
2. /var/log/auth.log est un chemin Linux, pas Windows
3. iptables n’existe pas sur Windows

“Mitosan..” dit calmement Arsène. “Tu réalises qu’on parle d’un serveur Windows ?”

Mitosan rougit, balbutie : “Euh… bien sûr ! Je… je pensais à l’approche globale… évidemment qu’il faut adapter à l’environnement Windows…”

Le coup de grâce : Arsène poursuit : “D’ailleurs, quel service Windows utilise le port 22 par défaut ?”

Silence. Mitosan transpire : “C’est… c’est forcément un service malveillant alors ! Un backdoor !”

“Windows n’utilise pas le port 22, Mitosan. Aucun service légitime. N’importe quel expert cyber le saurait.”

L’aveu par l’absurde - Quand le château de cartes s’effondre

16h47 - Le moment de vérité

Coincé, Mitosan tente une dernière pirouette : “Écoute Arsène, tu me connais. On court tous après le temps dans ce métier. L’important, c’est la vision stratégique, la gouvernance, pas les détails techniques de bas niveau.”

Arsène, incrédule : “Les détails de bas niveau ? Mitosan, tu ne sais pas faire la différence entre SSH et RDP ! Tu viens de me parler d’iptables sur Windows !”

“C’est juste… j’étais fatigué…”

“Fatigué ?” Arsène sort son laptop : “OK, test simple. Montre-moi comment tu configures une règle de pare-feu Windows pour bloquer le port 22.”

Mitosan, paniqué, pianote nerveusement : “Je… on utilise plutôt des solutions enterprise… Palo Alto, Fortinet…”

“Mitosan, tu es en train de me dire que tu ne sais pas utiliser Windows Firewall ?”

Le moment de bascule : Mitosan s’effondre littéralement dans son fauteuil.

“OK, OK ! Tu veux la vérité ? J’étais commercial chez Thalès IT, division software. Bon commercial d’ailleurs ! Mais après le COVID, le marché s’est effondré. La cybersécurité, ça recrutait partout, salaires de fou…”

“Alors tu as fait quoi ?”

“J’ai… j’ai acheté les certifications. 800€ pour le package complet sur un forum. Photo retouchée IA comprise. Le CV, je l’ai monté en regardant les profils LinkedIn des vrais experts. Les missions, j’improvise et je délègue intelligent.”

Arsène, abasourdi : “Tu n’as JAMAIS travaillé en cybersécurité ?”

“Pas… pas techniquement. Mais j’apprends vite ! Et j’ai vendu pour 2 millions de solutions cyber chez Thalès ! Je connais le business !”

La chute libre : “Mitosan… tu réalises que TechFlow va se faire pirater parce que tu n’as rien sécurisé ?”

Silence. Mitosan regarde ses mains : “Je… je pensais que vous, l’équipe technique, vous… vous compenseriez…”

Les conséquences en cascade

Impact client immédiat - L’effet domino catastrophique :

Lundi 8h30 - Deux semaines plus tard Appel paniqué du CEO de TechFlow : “Arsène ! Ils ont tout chiffré ! Nos serveurs, nos backups, tout ! Ils demandent 850,000€ en Bitcoin !”

Le groupe DarkSide (même famille que Colonial Pipeline) avait exploité exactement les failles que Mitosan n’avait pas identifiées :

• Port RDP 3389 ouvert sur internet (recommandation Mitosan : “Pratique pour la maintenance”)
• Pas de segmentation réseau (“Trop complexe pour une startup”)
• Sauvegardes sur le même réseau (“Plus efficace”)
• Comptes admin sans MFA (“On verra plus tard”)

Bilan TechFlow :

• 23 jours d’arrêt complet de production
• 2.8 millions d’euros de pertes (clients perdus, amendes RGPD, reconstruction)
• 67 employés licenciés (startup qui ne s’en remet pas)
• Données de 45,000 clients exposées sur le dark web

Impact sur le cabinet d’Arsène :

• Assurance professionnelle qui refuse de couvrir (“négligence caractérisée”)
• 3 clients CAC 40 qui résilie leurs contrats immédiatement
• Procès en cours : TechFlow réclame 4.2 millions de dommages
• Réputation détruite : article dans Les Échos “Quand les faux experts coûtent des millions”

L’audit interne post-catastrophe révèle l’ampleur du désastre :

• 18 missions où Mitosan était référent technique
• 147,000€ facturés pour des prestations inexistantes
• 12 entreprises potentiellement vulnérables
• 0 livrable technique réellement produit par Mitosan

Le détail qui fait mal : L’assureur découvre que 3 autres clients du cabinet ont subi des incidents dans les 6 mois suivant l’intervention de Mitosan. Coïncidence ? L’enquête est en cours…

Épilogue : Les leçons d’une imposture

Le réveil brutal

Mitosan a été licencié immédiatement. L’enquête interne révèle l’ampleur des dégâts : sur 15 missions, aucune n’a apporté de valeur technique réelle. Les clients ont été facturés pour du conseil stratégique creux et des livrables copiés-collés.

🔍 Cas réels similaires documentés - La face cachée du secteur

Incident KnowBe4 - Le faux expert nord-coréen (2024) - FBI/Mandiant KnowBe4, leader mondial de la sensibilisation cybersécurité, a embauché un “expert IT” après 4 entretiens vidéo et vérifications. L’individu utilisait une identité volée et une photo retouchée par IA. Dès réception de son laptop, il a tenté d’installer des malwares. Découvert par… les systèmes de sécurité de KnowBe4.

Citation du CEO : “Nous avons été victimes de notre propre succès en sécurité - nos systèmes ont détecté l’intrusion immédiatement.”

Vidoc Security Lab - “Bratislav” l’imposteur serbe (2024) - The Register Faux ingénieur logiciel prétendant 9 ans d’expérience et un diplôme universitaire. Accent asiatique fort mais prétendait être serbe. Refusait d’allumer sa caméra. CV “trop parfait” avec expertise dans toutes les technologies.

Réseau international de fausses certifications (2024) - DOJ/Cybersixgill Démantèlement d’un réseau vendant de fausses certifications CompTIA, Cisco, Microsoft, AWS. 88 millions de dollars de revenus sur 6 ans. Plus de 50 certifications différentes concernées.

Guidehouse & Nan McKay - L’affaire à 11,3 millions (2024) - Department of Justice Deux cabinets de conseil ont payé 11,3M$ d’amendes pour avoir utilisé du “personnel non qualifié” dans des contrats gouvernementaux de cybersécurité. Ils affirmaient avoir des experts alors qu’ils sous-traitaient à des juniors non formés.

Citation DOJ : “Les entreprises ont facturé des services d’experts senior tout en utilisant du personnel junior sans les compétences requises.”

MORSECORP - Le mensonge qui coûte cher (2024) - Civil Cyber-Fraud Initiative 4,6M$ d’amende pour avoir menti sur leur score de cybersécurité au Pentagone : ils déclaraient +104 alors que leur score réel était -142. Découvert par un audit surprise.

Statistique alarmante : Un cadre de Mandiant révèle que “presque tous les CISO de Fortune 500” admettent avoir eu “un problème avec des faux experts IT”. Le phénomène est massif et largement sous-reporté.

La prise de conscience d’Arsène

“Dans un secteur en pénurie, nous sommes tous tentés de faire confiance aveuglément aux CV”, réalise Arsène. “Mais un faux expert coûte plus cher qu’un poste vacant.”

Leçons apprises :

• Vérifier systématiquement les certifications auprès des organismes
• Tester les compétences techniques en pratique, pas seulement en théorie
• Se méfier des experts qui délèguent systématiquement
• Privilégier la montée en compétences interne à l’externalisation à tout prix

🔍 Cas concrets et retours d’expérience

TechCorp International - 2023

• Contexte : RSSI recruté avec de fausses certifications CISSP et CISM
• Impact : Violation de données 6 mois après son arrivée, 45,000 clients affectés
• Leçons : Audit technique approfondi pendant la période d’essai
• Source : ENISA Threat Landscape Report 2024

ConsultFirm Partners - 2024

• Contexte : Consultant facturation 1500€/jour, aucune compétence technique réelle
• Impact : Architecture de sécurité défaillante, coût de remédiation : 890K€
• Leçons : Validation croisée des références client et test pratique obligatoire
• Source : Forrester Security Services Market Analysis

🛠️ Solutions techniques et outils de vérification

Validation des certifications

Tests techniques de validation

PowerShell - Détection d’anomalies réseau

# Script de test pour candidats - Niveau intermédiaire
function Test-SecurityExpertise {
    param(
        [string]$NetworkRange = "192.168.1.0/24"
    )
    
    # Question : Identifier les services exposés dangereux
    $DangerousPorts = @(21, 23, 135, 139, 445, 1433, 3389)
    
    foreach ($Port in $DangerousPorts) {
        $Result = Test-NetConnection -ComputerName "192.168.1.100" -Port $Port -WarningAction SilentlyContinue
        if ($Result.TcpTestSucceeded) {
            Write-Warning "ALERT: Port $Port ouvert sur 192.168.1.100"
            
            # Actions de mitigation selon le port
            switch ($Port) {
                21 { Write-Host "Recommandation: Migrer vers SFTP/FTPS" -ForegroundColor Yellow }
                23 { Write-Host "Recommandation: Utiliser SSH au lieu de Telnet" -ForegroundColor Yellow }
                3389 { Write-Host "Recommandation: VPN + authentification multi-facteur" -ForegroundColor Yellow }
            }
        }
    }
}

# Test de compétences : Un vrai expert devrait identifier les risques
# et proposer des corrections appropriées
Test-SecurityExpertise

Python - Analyse de logs de sécurité

# Script de validation technique - Analyse comportementale
import pandas as pd
from datetime import datetime, timedelta

def detect_insider_threat_patterns(log_data):
    """
    Test technique : identifier les signaux d'alerte dans les logs d'accès
    Un expert doit reconnaître les patterns suspects
    """
    
    # Patterns suspects à identifier
    suspicious_indicators = {
        'off_hours_access': [],
        'bulk_downloads': [],
        'privilege_escalation': [],
        'unusual_locations': []
    }
    
    for entry in log_data:
        timestamp = datetime.strptime(entry['timestamp'], '%Y-%m-%d %H:%M:%S')
        
        # Accès en dehors des heures de bureau
        if timestamp.hour < 7 or timestamp.hour > 19:
            suspicious_indicators['off_hours_access'].append(entry)
        
        # Téléchargements massifs
        if entry['action'] == 'download' and entry['file_size'] > 100000000:  # 100MB
            suspicious_indicators['bulk_downloads'].append(entry)
        
        # Tentatives d'élévation de privilèges
        if 'sudo' in entry['command'] or 'runas' in entry['command']:
            suspicious_indicators['privilege_escalation'].append(entry)
    
    return suspicious_indicators

# Un candidat compétent devrait identifier tous les patterns
# et proposer des contre-mesures adaptées

Checklist de validation d’expertise

✅ Vérifications administratives

• Certifications validées auprès des organismes officiels
• Références client contactées et vérifiées
• Cohérence temporelle du parcours professionnel
• Présence sur les réseaux professionnels spécialisés
• Publications ou contributions techniques vérifiables

✅ Tests techniques pratiques

• Analyse d’incident de sécurité (simulation)
• Configuration de mesures de sécurité sur cas réel
• Review de code avec identification des vulnérabilités
• Présentation technique improvisée (15 min de préparation)
• Questions techniques pointues adaptées au poste

✅ Signaux d’alarme comportementaux

• Évite systématiquement les sujets techniques détaillés
• Délègue toujours les tâches d’implémentation
• Utilise un jargon impressionnant mais imprécis
• Ne peut expliquer ses réalisations concrètes
• Réponses évasives sur les détails méthodologiques

📊 Impact économique de l’imposture en cybersécurité

Coûts directs pour les entreprises

ROI de la vérification des compétences

Investissement initial : 5,000-15,000€

• Tests techniques externes : 2,000€
• Vérification des références : 1,000€
• Audit des certifications : 500€
• Process de validation : 1,500-11,500€

Économies réalisées : 150,000-2,000,000€

• Éviter une mauvaise embauche : 150K€ minimum
• Prévenir une violation de données : jusqu’à 4.88M€
• Maintenir la réputation : valeur inestimable

ROI moyen : 1,200% sur 2 ans

🎯 Quiz : Détectez-vous les imposteurs en cybersécurité ?