Je vais être direct, comme un panda qui n’a plus de bambou à partager : à partir d’aujourd’hui, le contenu public de ce blog va être plus limité qu’il ne l’était jusqu’ici. Non, je ne pars pas en Chine monter une secte du threat modeling. Je change juste la façon dont je distribue mon travail, parce que visiblement une licence ça se lit, mais ça ne se respecte pas toujours.
Le constat
Ce blog est sous licence CC BY-NC-ND 4.0 : partage autorisé, attribution obligatoire, pas d’usage commercial, pas de modification. Personne n’a besoin d’un décodeur ni d’un doctorat pour la lire : c’est un standard connu, lisible en deux minutes, affiché en bas de chaque page, avec un lien cliquable et tout. Un stagiaire en droit d’un jour comprendrait le principe ; un panda qui sait à peine lire aussi, et pourtant j’ai l’impression d’être le seul du duo à l’avoir fait.
Et pourtant. Depuis plusieurs mois, je retrouve régulièrement m mes tableaux de risques, mes checklists ou des articles entiers repris quasiment mot pour mot par des sociétés, des ESN et des consultants, sans attribution, sans lien, et le plus souvent dans un cadre parfaitement commercial : supports de formation vendus, livrables clients facturés, présentations internes rebrandées avec un logo différent collé par-dessus le mien. Parfois avec juste assez de reformulation pour se donner bonne conscience, mais la structure, les exemples et le raisonnement ne trompent personne. On reconnaît son panda même habillé différemment.
Note du PanaRedacteur : et le meilleur sur le bambou, certains/certaines se permettent de me poser des questions via les réseaux sociaux par rapport a ce que j’ai écrit car c’est pas assez clair et ils veulent le détailler plus pour leur Panda en chef…. voir me propose de relire leur veille/doc….pour avis….
Je ne suis pas contre le partage ; c’est la raison d’être de ce blog depuis le début, et ça continuera. Je suis contre le fait que ce partage soit systématiquement digéré, recraché et revendu par des acteurs qui en tirent un bénéfice commercial direct, sans respecter la seule contrepartie que je demande : citer la source. C’est gratuit, ça prend cinq secondes, et apparemment c’est déjà trop demander à certains.
Écrire un article de threat modeling STRIDE ou PASTA sérieux, avec un DFD, une table de menaces par composant et un plan de mitigation actionnable, ce n’est pas une heure de travail entre deux cafés. C’est souvent plusieurs heures, sur mon temps personnel, en dehors de mon activité professionnelle, pendant que d’autres regardent Netflix.
Ce qui change
Je ne ferme pas ce blog, je ne vais pas arrêter d’écrire, et non, je ne vais pas non plus mettre un watermark PandaHack en filigrane sur chaque phrase (quoique, l’idée fait son chemin). Mais je vais changer la manière dont je distribue le contenu le plus dense, celui qui demande le plus de travail : analyses, playbooks, checklists détaillées, pipelines DevSecOps de bout en bout, intégrations, détails en profondeurs, config etc…
- Une partie devient du contenu premium, disponible en téléchargement complet sur demande, en dehors du flux public du blog. Ce contenu-là (playbooks, pipelines complets, checklists opérationnelles) reste premium durablement ; contrairement au contenu paywallé qui va être mis en place, il n’a pas vocation à être republié gratuitement sur le blog par la suite. Pas de teasing marketing ici, pas de “bientôt disponible gratuitement si vous partagez trois fois”. Certaines choses restent au coffre, point final, comme le dernier carré de bambou avant l’hiver.
- Une partie passe derrière un paywall, avec ensuite une republication partielle ici, sur le blog. Ce contenu finira par être republié intégralement et sans paywall, progressivement, une fois passé le délai qui protège la valeur que j’estime commerciale. Le contenu n’est donc pas perdu pour tout le monde ; il est juste mis au régime pendant un moment, comme une bonne cure de jeûne intermittent.
- Le blog public continue de recevoir des articles de fond, des retours d’expérience et des analyses d’actualité, mais avec une profondeur volontairement plus limitée sur les sujets qui demandent le plus d’investissement personnel. Vous aurez toujours de quoi lire ; juste un peu moins de quoi copier-coller intégralement dans un PowerPoint facturé 1042 euros la journée.
Je ferme pas la boutique, je déplace juste le curseur entre ce que je donne gratuitement et ce que je réserve à celles et ceux qui font l’effort de me contacter ou de s’abonner. Je continue par ailleurs à militer pour l’open source(tout comme je le fais depuis 1994 !!) et à publier des choses en open source ; simplement un peu moins, et sur un périmètre plus limité, à cause de tous ces anthropophages qui confondent « libre accès » et « libre-service ».
Pourquoi maintenant
J’ai longtemps considéré que le partage sans contrepartie faisait partie du jeu, et c’est resté vrai pour l’immense majorité des lecteurs, qui citent, partagent ou reprennent avec attribution, et que je remercie sincèrement. Le problème n’est pas la lecture ni même la reprise ; c’est l’anthropophagie silencieuse d’un travail personnel par des structures qui en tirent un revenu direct sans jamais en reconnaître la source. Un panda qui partage son bambou, c’est généreux. Un panda dont on pille discrètement la réserve pendant qu’il fait la sieste, c’est juste un vol, avec une jolie couleur noir et blanc en plus.
Je préfère ajuster ma manière de publier plutôt que de laisser cette dynamique continuer indéfiniment, et regarder mon travail financer les livrables des autres pendant que le mien reste gratuit.
Précision utile, parce que je sais que la question va arriver dans les commentaires ou en message privé : je suis salarié, ce blog n’est pas mon gagne-pain, et le paywall n’a strictement rien à voir avec un besoin de payer mon loyer. Le paywall ne paiera ni mon loyer ni mes bambous (vu la quantité que j’avale, faudrait un nombre a 3 Zeros par jour) ; il paie le principe. On appelle ça une taxe sur le culot, et elle est non négociable.
C’est simplement le moyen le plus poli que j’ai trouvé de dire à certains pilleurs de contenu, sans les nommer (pour l’instant) : je vous ai vus, je sais où vous avez pris ça, et si vous voulez continuer à vous resservir dans ma réserve de bambou, ce sera désormais sur facture. Considérez ça comme une forme d’amende honorable tarifée : vous payez, ou vous citez correctement la source, ou vous vous passez du contenu. Trois options, aucune n’implique de continuer à faire comme si de rien n’était.
Non, je ne vais pas faire de wall of shame nominatif avec logos et captures d’écran ; ce serait un article à rallonge, un cauchemar juridique, et probablement plus long que l’article original qu’on m’a piqué. Mais ne vous y trompez pas : la liste existe, elle est tenue à jour, et un panda a une excellente mémoire quand il s’agit de qui a mangé son bambou sans dire merci.
Si vous êtes un lecteur régulier, un contributeur de la communauté sécurité, ou simplement quelqu’un qui cite ses sources : rien ne change pour vous, continuez comme avant, vous êtes la raison pour laquelle ce blog existe encore. Si vous voulez accéder au contenu premium ou passer avant tout le monde le paywall, le plus simple reste de me contacter sur LinkedIn ; on trouvera un arrangement, promis, sans même sortir les griffes.