Je supervise des réseaux depuis plus d'une décennie, et je dois le dire franchement : les NFT ne peuvent pas sécuriser votre réseau. Je sais que vous avez vu les gros titres. Peut-être qu'on vous a proposé une connexion basée sur un NFT. Peut-être que vous avez lu sur la sécurité blockchain sur Twitter. Mais voici ce que j'ai réellement vu faire tomber des réseaux — des routeurs mal configurés, des mots de passe réutilisés, des firmwares non patchés datant de 2021. Jamais un NFT n’a été le problème. Jamais il n’a été la solution.

L’expression « comment garder votre réseau sécurisé avec des solutions NFT » n’est pas un vrai conseil. C’est un piège à mots-clés. C’est ce qui arrive quand quelqu’un confond « blockchain » et « sécurité ». Ce ne sont pas la même chose. Même pas proche.

Laissez-moi être clair sur ce que j’ai vu se produire l’année dernière. Une banque de taille moyenne a retardé le déploiement de l’authentification multifactorielle (MFA) de quatre mois parce que leur CTO poursuivait des logins basés sur des NFT. Quatre mois. Pendant que leur réseau était exposé. Pendant ce temps, j’ai vu des fournisseurs prétendre que leurs produits sont sécurisés par NFT, tokenisés, vérifiés par blockchain — et quand vous demandez où se trouve réellement le matériel cryptographique, ils se taisent. J’ai vérifié trois plateformes NFT soi-disant sécurisées le mois dernier. Aucune n’avait de rapports SOC 2. Zéro résultats de pentests publiés. Un livre blanc était littéralement composé de trois pages de métaphores.

Voici ce qui fonctionne réellement. Ce que je déploie sur chaque réseau. Ce qui arrête les attaques réelles :

Des mots de passe forts plus la MFA. Pas l’un ou l’autre. Les deux. Et n’utilisez pas la MFA par SMS — elle peut être interceptée. Utilisez Microsoft Authenticator ou une clé matérielle. Je désactive le SMS sur tous les réseaux clients.

Patch tout. Votre routeur avec un firmware de 2021 ? Déjà compromis de trois façons connues. Votre OS ? Même histoire. Aucune exception.

Segmentation du réseau. Si votre VLAN RH peut communiquer avec votre Wi-Fi invité, si votre imprimante peut atteindre votre serveur de paie, vous avez déjà perdu. La containment des brèches n’est pas théorique quand vous segmentez correctement — c’est automatique.

DNS chiffré. DoH ou DoT. Empêche l’espionnage local. Bloque les redirections malveillantes DNS. Sans coût supplémentaire. Il suffit de l’activer.

Avant le déjeuner aujourd’hui, faites ceci : désactivez UPnP, renommez vos comptes administrateurs par défaut (sérieusement, changez « admin »/« password »), vérifiez que les mises à jour automatiques sont bien activées et fonctionnent.

Vous n’avez pas besoin d’IA. Vous n’avez pas besoin de blockchain. Vous avez besoin de discipline.

L’année dernière, j’ai élaboré un vrai plan de sécurité pour un petit cabinet d’avocats. La première semaine, j’ai désactivé Telnet et SMBv1. La troisième semaine, MFA partout. Entre la cinquième et la huitième semaine, nous avons segmenté le réseau correctement. La neuvième semaine, nous avons simulé un exercice — en faisant semblant que les logs du pare-feu montraient Cobalt Strike, pour voir qui savait vraiment où étaient les sauvegardes. Le succès ne se mesurait pas avec des outils sophistiqués. Il se mesurait par ce qui ne s’était pas produit : zéro CVE critique non patché en 30 jours, zéro clic de phishing après le deuxième mois.

J’ai lu 47 présentations de fournisseurs cette année. Toutes utilisaient des phrases comme « accès sécurisé par NFT » ou « pare-feu tokenisé » ou « possédez vos clés réseau via NFT ». Vous savez ce que cela signifie vraiment ? Une recherche dans une base de données avec un appel API supplémentaire. Un fichier de configuration renommé en firewall.json. Vous détenez un jeton qui pointe vers une clé contrôlée par quelqu’un d’autre. La FTC a infligé une amende de 2,5 millions de dollars à une entreprise l’année dernière pour avoir prétendu que leur VPN authentifié par NFT respectait FIPS 140-2. Ce n’était pas le cas.

Si un fournisseur commence par la sécurité NFT avant de mentionner TLS 1.3 ou la correction des CVE, passez votre chemin. Si la démo ne montre pas un module de sécurité matériel ou une génération de clés isolée, supposez que c’est du théâtre.

La blockchain fait une chose bien : elle rend les logs difficiles à falsifier. C’est utile. Ce n’est pas magique. Ce n’est pas un pare-feu. C’est un registre. Votre pare-feu a toujours besoin de règles. Vos utilisateurs ont toujours besoin de formation. Votre CISO doit toujours dormir.

Une vraie sécurité, c’est ennuyeux. C’est mettre à jour le firmware. C’est vérifier votre routeur en ce moment même. C’est changer ce mot de passe par défaut.

Ne poursuivez pas des tokens brillants. La liste de vérification Shields Up de CISA est gratuite. NIST SP 800-207 est gratuit. Les contrôles CIS v8 sont gratuits. Utilisez-les. La cohérence l’emporte toujours sur la nouveauté.

MFA sur tous les comptes administrateurs et cloud. Faites-le avant demain. Pas la semaine prochaine. Pas après la réunion. Avant de fermer cette page. Votre réseau n’est pas sécurisé parce qu’il a l’air sécurisé. Il l’est parce que vous avez réellement fait le travail.