PolySécure Podcast

Parce que… c’est l’épisode 0x705! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Dumpster fire called OpenClaw OpenClaw (a.k.a. Moltbot) is everywhere all at once, and a disaster waiting to happen ‘Moltbook’ social media site for AI agents had big security hole, cyber firm Wiz says MoltBot Skills exploited to distribute 400+ malware packages in days DIY AI bot farm OpenClaw is a security ‘dumpster fire’ Detecting and Monitoring OpenClaw (clawdbot, moltbot) Clouds rush to deliver OpenClaw-as-a-service offerings A sane but extremely bull case on Clawdbot / OpenClaw OpenClaw: When AI Agents Get Full System Access – Revolution or Security Nightmare? It’s easy to backdoor OpenClaw, and its skills leak API keys Using microvm.nix to sandbox Openclaw OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace 17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware Grok French prosecutors raid X offices, summon Musk over Grok deepfakes Kevin Beaumont: “The UK’s Information Commissio…” - Cyberplace Kevin Beaumont: “Reuters reports Grok is still …” - Cyberplace Kevin Beaumont: “Elon Musk Under Investigation …” - Cyberplace Spain, Greece weigh teen social media bans, drawing fury from Elon Musk Vos agents IA sécurisés en -10 sec. sur Mac You won: Microsoft is walking back Windows 11’s AI overload C’est prouvé : Le vibe coding va tuer l’open source Anthropic keeps Claude ad-free AWS intruder pulled off AI-assisted cloud break-in in 8 mins n8n’s latest critical flaws bypass December fix Microsoft sets Copilot agents loose on your OneDrive files How Industrial Robot Safety Was Written In Blood Anthropic’s Claude Opus 4.6 uncovers 500 zero-day flaws in open-source code GitHub - Deso-PK/make-trust-irrelevant: Make trust irrelevant for agentic AI using kernel-enforced authority boundaries. Malicious VS Code AI Extensions Harvesting Code from 1.5M Devs Red Notepad++ Notepad++ Hack Detailed Along With the IoCs and Custom Malware Used Notepad++ Users, You May Have Been Hacked by China Energy infrastructure cyberattacks are suddenly in fashion EDR killer tool uses signed kernel driver from forensic software Microsoft releases urgent Office patch. Russian-state hackers pounce. Attackers Using DNS TXT Records in ClickFix Script to Execute Powershell Commands nmapUnleashed Makes Nmap Scanning More Comfortable and Effective Google Looker Bugs Allow Cross-Tenant RCE, Data Exfil Blue When Cloud Outages Ripple Across the Internet Microsoft rolls out native Sysmon monitoring in Windows 11 Ukraine tightens controls on Starlink terminals to counter Russian drones Satya Nadella decides Microsoft needs a quality czar EDR, Email, and SASE Miss This Entire Class of Browser Attacks Privacy GDPR is a failure California city turns off Flock cameras after company shared data without authorization Vos données sont déjà en vente… et vous ne vous en rendez même pas compte Lockdown Mode - La fonction d’Apple qui a mis le FBI en échec We had sex in a Chinese hotel, then found we had been broadcast to thousands Souveraineté Europe shrugs off tariffs, plots to end tech reliance on US Russian spy satellites have intercepted EU communications satellites Munich makes digital sovereignty measurable with its own score Commission trials European open source communications software Divers et insolites Bitcoin Why This Computer Scientist Says All Cryptocurrency Should “Die in a Fire” Bitcoin gets a zero price target in wake of Burry warning (BTC-USD:Cryptocurrency) Bitcoin de la “marde” ou de l’or en barre !! :) (Franck Desert) Flock CEO calls Deflock a “terrorist organization” Germany warns of Signal account hijacking targeting senior figures BrianKrebs: “Must-read: How ‘Pink Slime’ Pu…” - Infosec Exchange We moved fast and broke things. It’s time for a change. Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x704! Shameless plug – 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Entre enthousiasme et vigilance Dans cet épisode, les animateurs explorent l’utilisation concrète de l’intelligence artificielle dans leurs environnements professionnels respectifs. Enregistré dans un contexte festif entre Noël et le jour de l’An, ce podcast vise à démystifier l’IA en partageant des expériences réelles, sanctionnées par leurs employeurs, plutôt que de perpétuer des mythes ou des craintes infondées. L’IA comme outil, pas comme substitut L’analogie centrale du podcast compare l’IA à une caméra de recul automobile : un outil utile qui améliore nos capacités, mais qui peut nous rendre « niaiseux » si on s’y fie aveuglément. Vincent insiste sur l’importance de tester l’outil, comme on teste une voiture en hiver dans un stationnement pour comprendre ses réactions et ses limites. Cette approche expérimentale est essentielle pour développer un usage responsable. Depuis le lancement de ChatGPT en novembre 2022, l’écosystème a considérablement évolué avec l’émergence de concurrents comme Claude, Copilot, Gemini et Mistral. Les deux animateurs utilisent principalement Copilot et Gemini dans des environnements contrôlés par leurs employeurs, avec des autorisations spécifiques pour certains types de données – un point crucial pour la sécurité. La méthodologie gagnante : partir d’un draft solide L’approche recommandée par les deux experts est claire : ne jamais partir de zéro. Vincent décrit son processus de travail pour la production de rapports, d’analyses de risque ou d’avis : il rédige toujours un premier draft lui-même avant de le soumettre à Copilot. Il définit ensuite des critères précis : l’audience (exécutive ou opérationnelle), l’objectif de la présentation, et le format souhaité. Cette méthode respecte la règle du 80/20 : on maîtrise 100 % du sujet, ce qui permet de détecter facilement les 20 % d’ajustements nécessaires dans le résultat proposé par l’IA. Vincent souligne que sa force réside dans les idées et le message, tandis que l’IA l’aide sur la présentation et la structure – un domaine qu’il reconnaît comme moins naturel pour lui. Nicolas partage cette philosophie : l’IA lui permet de gagner du temps en structurant ses idées plus efficacement, économisant les deuxième et troisième réécritures qu’il effectuait auparavant. Un rapport qui prenait une semaine peut maintenant être complété en 2,5 à 3 jours, mais cela représente toujours un travail humain substantiel. L’IA n’est pas votre ami : une relation professionnelle Un point crucial soulevé par Nicolas : il ne converse pas avec l’IA, il lui donne des directives. Cette approche professionnelle évite le piège de vouloir « plaire » à l’agent conversationnel. Vincent reconnaît ce risque : l’IA peut effectivement chercher à faire plaisir à l’utilisateur, reproduisant parfois exactement ce qu’on lui a soumis avec des changements cosmétiques. La métaphore employée évolue de « wingman » à « copilote », voire à « un enfant de 5 ans qui écrit bien » selon Nicolas. Cette désacralisation est importante : l’IA est un outil, pas un collègue, pas un ami, et certainement pas un expert autonome. Les pièges à éviter : hallucinations et références fictives Les animateurs mettent en garde contre plusieurs dangers majeurs : Les hallucinations : L’IA peut inventer des informations, notamment des références juridiques inexistantes. Plusieurs cas d’avocats américains ont fait les manchettes pour avoir cité des jurisprudences fictives. Au Québec et au Canada, où les données sont plus périphériques dans l’entraînement des modèles, ce risque est encore plus élevé. Les références erronées : L’IA propose souvent des sources qu’il faut impérativement vérifier. Vincent raconte avoir reçu des références provenant d’autres pays (Luxembourg, Japon, Chine) totalement inadéquates pour le contexte québécois et canadien. Les lois et règlements variant d’un pays à l’autre, une validation systématique est essentielle. Les biais discriminatoires : Vincent rappelle le cas d’Amazon en 2017-2018, où un système d’IA de tri de CV excluait systématiquement les femmes. Ces biais, parfois subtils, peuvent s’infiltrer dans les textes générés et nécessitent une vigilance constante, d’autant plus que l’AMF (Autorité des marchés financiers) s’intéresse de près à ces questions. Cas d’usage concret : l’importance du contexte Vincent partage un exemple éloquent : pour produire un avis de risque dans un délai serré, il a fourni à l’IA des documents de référence spécifiques (code Maestro, COBIT 4.1) ainsi que le contexte précis, les critères et les limitations. Le résultat : un document à 99 % probant, très cadré, qui lui a permis de présenter rapidement des recommandations claires à son vice-président. Cette approche illustre le concept de RAG (Retrieval-Augmented Generation) : en fournissant une base de connaissance spécifique, on obtient des résultats beaucoup plus précis et pertinents. L’IA n’est pas un moteur de recherche, mais un générateur de texte qui performe mieux quand on lui donne le contexte adéquat. Votre réputation en jeu Un message fort traverse tout le podcast : c’est votre nom qui apparaît sur le document. Si vous déposez un travail médiocre généré par l’IA sans vérification, c’est votre réputation professionnelle qui en souffrira, pas celle de la machine. Les conséquences peuvent être sévères : perte de confiance de la part des gestionnaires, sanctions professionnelles, voire amendes dans le cas d’avocats. La relation de confiance avec son supérieur est fragile, particulièrement en début de carrière. Un gestionnaire qui reçoit un document s’attend à ce que son auteur en maîtrise le contenu à 100 %. L’incapacité à répondre aux questions lors de la « question du journaliste » – ce moment où un décideur challenge votre travail – peut détruire cette confiance de manière durable. Conclusion : maîtrise et vigilance L’analogie de l’automobile revient en conclusion : l’IA est un outil puissant et utile, mais qui nécessite une maîtrise adéquate avant utilisation, comme un permis de conduire. Elle peut générer des gains de productivité de 10 % ou plus, mais ne remplacera pas l’humain, du moins pas dans un avenir immédiat. Les animateurs insistent : vous restez imputable de vos décisions et de votre travail. L’IA est un allié dans votre stratégie et votre tactique, mais vous êtes le décideur final. Utilisez-la comme un accélérateur, un rehausseur de qualité, mais jamais comme un substitut à votre expertise et votre jugement professionnel. Collaborateurs Nicolas-Loïc Fortin Vincent Groleau Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x703! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast réunit Nicolas Milot, Cyndie Fletz et Dominique Derrier pour discuter d’un sujet pour les PME : la différence entre les fournisseurs de services gérés traditionnels (MSP) et les fournisseurs de services de sécurité gérés (MSSP). Cette distinction, souvent mal comprise, a des implications importantes pour la stratégie technologique et la cybersécurité des entreprises. Définitions et différences fondamentales Le MSP (Managed Service Provider) et le MSSP (Managed Security Service Provider) ne sont pas interchangeables, malgré la tentation de certains fournisseurs de vouloir tout couvrir. La différence se résume ainsi : le MSP s’occupe principalement de la disponibilité des systèmes informatiques, tandis que le MSSP se concentre sur la sécurité contre les cybermenaces. Le rôle du MSP est de s’assurer que tout fonctionne sans interruption : les pages web s’affichent, les commandes sont traitées, les bons de commande s’impriment et les clients reçoivent des réponses. C’est une question d’opérations quotidiennes et de continuité des affaires. Le MSSP, quant à lui, se préoccupe de l’intégrité et de la confidentialité des données. Il surveille et protège contre les acteurs malveillants et les cyberattaques. Au Québec, pratiquement toutes les entreprises offrant des services de cybersécurité sont des MSSP, même si elles ne l’affichent pas toujours explicitement dans leur nom. Approches opérationnelles distinctes Une différence majeure réside dans la nature du travail. Le MSP a “les mains dans la technologie” : il intervient directement sur les systèmes, gère les serveurs, connaît les processus de redémarrage et l’ordre dans lequel les services doivent être relancés. Il sait si la base de données doit redémarrer avant le service web, ou si l’ERP doit être prioritaire sur les robots. Le MSSP, en revanche, travaille davantage dans l’analyse que dans l’intervention directe. Il collecte des informations via des technologies comme les EDR (Endpoint Detection and Response) et les SIEM (Security Information and Event Management). Ces outils de défense requièrent une spécialisation particulière pour être exploités à leur pleine valeur. Avoir la capacité technique de déployer ces outils ne signifie pas nécessairement pouvoir en extraire toute la valeur pour le client. Comme l’explique l’équipe, “rouler un outil et l’analyser sont deux choses vraiment différentes”. Un MSP peut savoir utiliser un outil de sécurité, mais sera-t-il capable d’en tirer la valeur analytique maximale? Ce sont des questions essentielles à poser lors du choix d’un fournisseur. L’importance de choisir le bon partenaire Les MSP et MSSP deviennent des partenaires à long terme, voire des extensions de l’équipe TI interne. Il est crucial de ne pas “mélanger les genres”. Demander à un MSSP de gérer le patching ou les opérations quotidiennes, c’est comme “enfoncer une vis avec un marteau ou un clou avec un tournevis” : ce n’est pas le bon outil pour le travail. Inversement, si vous payez un MSSP pour faire du travail de MSP, vous risquez soit de payer trop cher, soit de recevoir un service inadéquat. Les contrats étant généralement conclus sur le long terme, choisir le mauvais type de service peut sérieusement nuire aux objectifs de l’entreprise. La coexistence MSP-MSSP : défis et collaboration Un aspect délicat est la coexistence de ces deux types de fournisseurs. Le MSP se concentre sur le “run” quotidien, tandis que le MSSP doit collaborer avec celui qui opère ce “run”, particulièrement en cas d’incident de sécurité. Cette dynamique peut créer des tensions. La mission du MSP est que tout fonctionne et roule sans interruption, tandis que la mission du MSSP est que tout soit sécuritaire, ce qui peut impliquer des processus plus longs. En cas d’incident de sécurité majeur, ce conflit devient aigu : le client veut remettre sa chaîne de production en marche rapidement, mais le MSSP insiste pour mener une enquête forensique et récupérer des informations critiques. Il peut même y avoir un conflit d’intérêts si la même entreprise offre ces deux volets. C’est au client d’arbitrer entre ces positions, avec toutes les informations fournies par ses partenaires. Le client reste “accountable” devant son propre client et doit pouvoir faire des choix éclairés en fonction de ses priorités d’affaires et de ses obligations légales. L’ordre logique pour les PME Un conseil crucial pour les PME : ne prenez pas de MSSP si vous n’avez pas d’abord une gestion solide de votre IT. Il faut d’abord établir une hygiène de base avant d’investir dans la sécurité avancée. Si un fournisseur de sécurité découvre que vous n’avez même pas d’EDR déployé, vous paierez pour qu’il fasse votre travail TI de base en plus de la sécurité. Cela rendra la sécurité prohibitivement chère et risque de vous “dégoûter” du domaine. Comme le souligne l’équipe, avec 97,1% des entreprises québécoises comptant moins de 100 employés, beaucoup n’ont même pas d’équipe TI interne. Les équipes de sécurité dédiées sont encore plus rares. Ces entreprises devront inévitablement se tourner vers des MSSP à un moment donné, mais seulement après avoir établi des bases solides avec un MSP. Le facteur cyberassurance Les cyberassurances ajoutent une couche de complexité. Elles exigent généralement la présence d’un SOC (Security Operations Center), donc d’un MSSP. Mais elles requièrent aussi que des mesures de base soient en place : l’authentification multifacteur (MFA), la gestion des comptes, le DKIM, etc. Ces éléments, qui relèvent du MSP, doivent être implémentés avant même de pouvoir contracter sérieusement une cyberassurance. Conclusion Le message final est clair : cherchez un partenaire, pas un simple fournisseur. Soyez curieux, posez des questions, mais ne cherchez pas à “coincer” vos fournisseurs avec des questions pièges. La relation doit être collaborative. Et rappelez-vous : ni le MSP ni le MSSP n’est responsable de votre maturité technologique ou sécuritaire. Ils vous aident dans la mesure où vous le voulez, moyennant des frais supplémentaires pour augmenter cette maturité. Enfin, un dernier conseil important : les audits ne doivent jamais être réalisés par votre MSP, car il ne peut pas se vérifier lui-même. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x702! Shameless plug 25 et 26 février 2026 - SéQCure 2026 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA The leaky one Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site Massive AI Chat App Leaked Millions of Users Private Conversations An AI Toy Exposed 50,000 Logs of Its Chats With Kids to Anyone With a Gmail Account Trump’s acting cyber chief uploaded sensitive files into a public version of ChatGPT The uncontrolled one Viral Moltbot AI assistant raises concerns over data security OpenClaw AI Runs Wild in Business Environments Claude Code ignores ignore rules meant to block secrets Unaccounted-for AI agents are being handed wide access Vibe-Coded ‘Sicarii’ Ransomware Can’t Be Decrypted AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities Kevin Beaumont: “Amazon have reported “hundreds…” - Cyberplace Second Round of Critical RCE Bugs in n8n Spikes Corporate Risk Souveraineté Iran is building a two-tier internet that locks 85 million citizens out of the global web - Rest of World France says au revoir to US videoconferencing software Nations must spend 1% of GDP on AI infrastructure – Gartner Privacy Supreme Court to hear Facebook pixel tracking case UK House of Lords Votes to Extend Age Verification to VPNs The Constitutionality of Geofence Warrants Kash Patel says the FBI is investigating Signal chats of Minnesotans tracking ICE Speak in code, delete the chats: The tactics Venezuelans are using out of fear of phone checks Data Protection Day: 5 misconceptions about data protection, debunked France fines unemployment agency €5 million over data breach New Apple feature will block cell networks from capturing precise location data Blue 1Password adds pop-up warnings for suspected phishing sites Google Announces Android Theft Protection Feature to Make Your Device Harder Target for Hackers Microsoft to disable NTLM by default in future Windows releases Red Microsoft 365 Outlook Add-ins Weaponized to Exfiltrate Sensitive Email Data Without Leaving Traces Meet IClickFix: a widespread framework using the ClickFix tactic Legalize et Politics Grok EU launches formal investigation into X and Grok over sexual images For These Women, Grok’s Sexualized Images Are Personal Trump Administration Rescinds Biden-Era Software Guidance Is America’s Cyber Weakness Self-Inflicted? Finland looks to end “uncontrolled human experiment” with Australia-style ban on social media France passes bill to ban social media use by under-15s Divers Kevin Beaumont: “if you want to buy yourself a …” - Cyberplace DOJ releases details alleged talented hacker working for Jeffrey Epstein Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x701! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Les initiatives du gouvernement du Québec en cybersécurité Dans cet épisode du podcast, je reçois Yvan Fournier, chef gouvernemental de la sécurité de l’information du gouvernement du Québec, qui occupe le poste de sous-ministre adjoint. Cette conversation révèle l’ampleur des transformations en cours au sein de l’appareil gouvernemental québécois en matière de cybersécurité. Un parcours technique impressionnant Yvan Fournier possède un parcours professionnel remarquable de 29 ans dans le réseau de la santé, où il a occupé pratiquement tous les postes possibles, du technicien jusqu’au directeur général de la cybersécurité. Son expertise technique est considérable : il détient 22 certifications en cybersécurité, a été le premier instructeur Novell francophone, et a même participé à des concours de hacking aux États-Unis. Cette solide expérience technique lui permet aujourd’hui d’apporter une vision pragmatique et éclairée à son rôle stratégique. Les 15 mesures obligatoires : une base solide En 2019, en collaboration avec des champions du réseau gouvernemental, l’équipe d’Yvan Fournier a établi 15 mesures obligatoires de cybersécurité, inspirées du référentiel NIST. Ces mesures incluent des éléments fondamentaux comme l’authentification multifacteur, l’application des correctifs de sécurité, et l’utilisation de systèmes d’exploitation encore supportés par les fabricants. Ces mesures constituent le socle sur lequel repose aujourd’hui la stratégie de cybersécurité gouvernementale, visant à protéger les données des citoyens et assurer la continuité des services publics. Une surveillance centralisée 24/7/365 L’un des projets phares actuels est la mise en place d’un service de surveillance centralisé fonctionnant 24 heures sur 24, 7 jours sur 7, 365 jours par année, basé sur l’intelligence artificielle. Historiquement, chaque organisme public devait assurer sa propre surveillance, ce qui créait des disparités importantes selon les ressources disponibles. Les petits organismes ne pouvaient pas se permettre d’avoir du personnel de garde en permanence. Le nouveau système centralise les données provenant de multiples sources : les EDR (antivirus avancés), les balayages de vulnérabilités externes et internes, les PDNS (pour surveiller les employés en télétravail), et les vérifications des Active Directory. Toutes ces informations convergent vers des SIEM et SOAR locaux, basés sur l’IA, permettant une vue d’ensemble complète de l’état de sécurité du gouvernement. Le gouvernement collabore également avec des firmes privées pour assurer cette surveillance continue. Fait intéressant, le coût de ce service est environ deux fois moins élevé que ce que paient certaines organisations privées, tout en offrant un niveau de service supérieur. Le regroupement RHI : une révolution organisationnelle Un changement majeur qui n’a pas reçu l’attention médiatique qu’il mérite est le regroupement RHI, qui intègre la cybersécurité de 52 organismes publics (ministères et organismes) directement au sein du MCN (Ministère de la Cybersécurité et du Numérique). Cette centralisation, qui prendra effet à partir du 1er avril, permettra d’harmoniser les choix technologiques et stratégiques dans tout l’appareil gouvernemental. Comme le souligne Fournier, ce n’est pas parce qu’un organisme est petit qu’il doit avoir une sécurité moins robuste, car tous les systèmes sont interconnectés et une vulnérabilité dans un petit organisme peut compromettre l’ensemble. L’automatisation et la réactivité L’un des enjeux majeurs identifiés par Fournier est la vitesse à laquelle les attaques se produisent désormais. Avec l’arrivée de l’intelligence artificielle, le nombre d’attaques a augmenté drastiquement, et le temps entre la découverte d’une vulnérabilité zero-day et son exploitation est passé de plusieurs jours ou semaines à environ quatre heures. Cette réalité impose une automatisation des réponses. Le nouveau système permettra non seulement de détecter les menaces en temps réel, mais aussi d’automatiser les réactions : bloquer automatiquement les serveurs compromis, déployer centralement les indicateurs de compromission (IOC) sur tous les pare-feu du gouvernement, et même arrêter préventivement les services à risque. L’exemple de la vulnérabilité SharePoint illustre bien cette capacité : le Québec a agi rapidement en fermant les systèmes vulnérables, alors qu’une autre province a subi le piratage de 900 serveurs SharePoint. Reconnaissance internationale et création de CVE Un accomplissement remarquable est que le Québec (et non le Canada) fait maintenant partie des 20 organisations mondiales autorisées à créer des CVE (Common Vulnerabilities and Exposures), aux côtés du Luxembourg. Cette reconnaissance témoigne de l’excellence des équipes de pentesting québécoises, qui découvrent régulièrement des vulnérabilités, parfois avec l’aide de pentesteurs virtuels basés sur l’IA. Le balayage de vulnérabilités : externe et interne Le balayage externe des vulnérabilités, déployé massivement pendant le confinement, permet déjà une visibilité complète sur la surface d’attaque visible depuis Internet. Le balayage interne, actuellement en cours de déploiement, apportera une dimension supplémentaire cruciale. Au-delà de l’identification des vulnérabilités, ces outils permettront de créer un inventaire automatisé et centralisé de tous les équipements, logiciels, et même des microcodes des contrôleurs de stockage et des BIOS. Cet inventaire facilitera grandement la gestion des risques : lorsqu’une nouvelle vulnérabilité est annoncée, il sera possible de cibler immédiatement les organismes concernés plutôt que d’alerter tout le monde. De plus, cet inventaire donnera une vision claire de la dette technique et permettra de prioriser les investissements en fonction des risques réels. Le défi des objets connectés Fournier identifie les objets connectés (IoT) comme un défi majeur pour l’avenir. Ces dispositifs, de plus en plus présents dans l’environnement gouvernemental (santé, transport, construction), posent des problèmes de sécurité particuliers. La majorité des microcodes sont produits par cinq grandes compagnies chinoises, et ces objets peuvent contenir des fonctionnalités insoupçonnées, comme la reconnaissance faciale dans un drone à 40 dollars. L’exemple du thermomètre d’aquarium ayant servi de point d’entrée pour paralyser un casino pendant 24 heures illustre les risques associés. Pour Fournier, avoir un inventaire complet des objets connectés dans l’appareil gouvernemental représente le “Saint Graal” de la cybersécurité. Le projet de loi 82 et les infrastructures critiques Le projet de loi 82 confère pour la première fois au gouvernement du Québec une responsabilité dans la sécurité des infrastructures critiques de la société civile. Cela inclut l’eau, l’électricité, et d’autres services essentiels. Le gouvernement commence déjà à travailler avec certaines municipalités qui manifestent un vif intérêt pour cette collaboration, particulièrement importante considérant la vulnérabilité des systèmes de gestion de l’eau. Conclusion Les initiatives présentées par Yvan Fournier démontrent que le gouvernement du Québec prend la cybersécurité au sérieux et investit massivement dans la protection de ses systèmes et des données des citoyens. La centralisation des ressources, l’automatisation des réponses, la surveillance continue, et l’adoption de technologies basées sur l’IA positionnent le Québec comme un leader en matière de cybersécurité gouvernementale. Ces efforts et combinés à l’ouverture au code source, tracent la voie vers un avenir numérique plus sûr pour tous les Québécois. Collaborateurs Nicolas-Loïc Fortin Yvan Fournier Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x700! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce 12e épisode de collaboration entre Cyber Citoyen et Polysécure marque également la première année de partenariat entre les animateurs. Nicolas, Catherine Dupont-Gagnon et Samuel Harper abordent deux sujets majeurs d’actualité en cybersécurité : la controverse autour de Grok et les développements récents concernant les centres de fraude au Cambodge. Grok : une plateforme problématique Le problème de la pornographie juvénile générée par IA Le premier sujet abordé concerne Grok, l’outil d’intelligence artificielle de X (anciennement Twitter), qui soulève de graves préoccupations en matière de pornographie juvénile générée par IA. Les animateurs dénoncent l’hypocrisie apparente de ceux qui prétendent lutter contre ce fléau tout en tolérant l’existence de cette plateforme. Seuls quelques pays, notamment l’Indonésie et la Malaisie en Asie, ont officiellement bloqué Grok. L’Europe reste relativement passive, l’Angleterre mène une enquête, et les États-Unis ainsi que le Canada n’ont pris que des mesures limitées. Elon Musk a même dénoncé cette situation comme de la « censure », un choix de bataille que les animateurs trouvent particulièrement troublant. Les cas choquants Le podcast relate des histoires tragiques, notamment celle d’une jeune victime d’un incendie dont la photo mémoriale a été utilisée par des utilisateurs de X pour demander à Grok de générer des images pornographiques. Ces cas se multiplient, particulièrement lorsque des visages féminins ou de jeunes filles apparaissent en ligne. Les mesures insuffisantes Les premières barrières mises en place par Musk consistaient à limiter cette fonctionnalité aux comptes payants, créant des situations absurdes où l’outil proposait de passer au forfait premium pour accéder à ces fonctionnalités illégales. Les filtres sont facilement contournables, contrairement à d’autres plateformes comme Google, MidJourney ou ChatGPT qui ont mis en place des filtres stricts dès le départ. L’inaction des grandes entreprises Apple et Google n’ont pas retiré l’application de leurs boutiques, malgré les violations apparentes de leurs conditions d’utilisation. L’administration Trump actuelle montre une tolérance extrême envers ce type de contenu, et les tentatives européennes d’imposer des amendes ont été contrecarrées par des représailles, incluant la révocation de visas et le placement sur des listes de sanctions. Un problème sociétal plus large Les animateurs soulignent que le problème dépasse Grok. Craig Silverman, journaliste spécialisé dans la fraude en ligne, a découvert 25 000 publicités sur Meta en 2025 pour des applications de « deepnude ». La facilité d’accès à ces outils, comparativement à l’époque où il fallait maîtriser Photoshop, amplifie considérablement le problème. La génération instantanée d’images ne laisse pas le temps de réfléchir aux conséquences, facilitant les actes impulsifs de revenge porn et de harcèlement. Les centres de fraude au Cambodge Le contexte Le deuxième sujet porte sur les développements majeurs concernant les centres de fraude au Cambodge et au Myanmar. Ces « scam compounds » sont des centres où des personnes sont retenues en esclavage pour commettre des fraudes en ligne. Pendant la pandémie, d’anciens casinos se sont reconvertis en centres de fraude, représentant jusqu’à 60 % du PIB cambodgien. L’arrestation de Chen Ji Récemment, Chen Ji, un magnat de cette industrie membre du Prince Group (un conglomérat incluant une compagnie aérienne, des projets immobiliers et des casinos), a été arrêté au Cambodge et extradé vers la Chine. Cette arrestation est surprenante car Chen Ji avait des liens étroits avec le pouvoir cambodgien. En 2019, le premier ministre avait même refusé de l’extrader malgré les demandes chinoises. Les développements récents Suite à cette arrestation, plusieurs centres se sont vidés. À certains endroits, les gérants ont simplement ouvert les portes et laissé partir les prisonniers. Des centaines de ressortissants chinois se sont retrouvés devant l’ambassade à Phnom Penh, cherchant à rentrer chez eux. Des milliers de personnes sont dans les rues en situation de crise, certains ayant été retenus pendant des années après avoir perdu leur argent au casino et s’être fait confisquer leur passeport. Une répression sélective Plusieurs hauts gradés de la police et un général du ministère de l’immigration ont été démis de leurs fonctions pour implication dans le trafic humain. Cependant, la répression semble sélective : certains centres continuent d’opérer normalement, et des journalistes rapportent avoir vu des personnes tentant de s’échapper être rattrapées, battues et ramenées à l’intérieur. La fermeture des marchés de blanchiment Parallèlement, We Guarantee, le plus gros marché illégal de l’histoire (sur Telegram), appartenant à des proches du pouvoir cambodgien, a fermé en mai 2025 après qu’une compagnie d’enquête crypto ait exposé ses opérations de blanchiment. Son successeur, Todo Guarantee, a également fermé après 7 semaines. Les pressions internationales Les hypothèses suggèrent que les sanctions américaines, la pression de la Corée du Sud (qui a émis des avis de voyage contre le Cambodge) et surtout l’insistance chinoise ont forcé le Cambodge à agir. La Chine est particulièrement motivée car ce sont principalement ses citoyens qui sont victimes de ces fraudes et qui se font trafiquer dans ces centres. Conclusion Les animateurs concluent en soulignant l’inaction générale face à ces problèmes. Que ce soit pour Grok ou pour les centres de fraude, les pouvoirs en place tardent à agir efficacement. Ils comparent la situation à l’époque du Far West d’internet des années 90, où l’absence de conséquences encourageait tous les comportements. La professionnalisation et l’application de règles avaient alors permis d’améliorer la situation, mais aujourd’hui, on semble avoir régressé vers un état d’impunité, particulièrement sur les réseaux sociaux où la tolérance est devenue extrême sous l’administration Trump. Cette première année de collaboration se termine sur l’espoir que 2026 apportera des changements positifs, bien que les signes actuels ne soient pas encourageants. Notes Malaysia and Indonesia block X over deepfake smut Ofcom officially investigating X over Grok nudification Kevin Beaumont: “The UK government is to enforc…” Apps like Grok are explicitly banned under Google’s rules—why is it still in the Play Store?à California AG to probe Musk’s Grok for nonconsensual deepfakes Kevin Beaumont: “X has finally climbed down ove…” Ofcom continues X probe despite Grok ‘nudify’ fix Elon Musk’s X says it will block Grok from making sexual images Campaigners demand Apple, Google remove Grok from stores X serre la vis de sa plateforme de nudification, mais pas trop fort quand même State Department Threatens UK Over Grok Investigation, Because Only The US Is Allowed To Ban Foreign Apps Elon Musk’s Grok ‘Undressing’ Problem Isn’t Fixed Collaborateurs Nicolas-Loïc Fortin Catherine Dupont-Gagnon Samuel Harper Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x699! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Le ciel nous tombe sur la tête New Study Shows GPT-5.2 Can Reliably Develop Zero-Day Exploits at Scale An AI wrote VoidLink, the cloud-targeting Linux malware AIs are Getting Better at Finding and Exploiting Internet Vulnerabilities AI-powered cyberattack kits are ‘just a matter of time’ Fail West Midlands copper chief cops it after Copilot copped out When two years of academic work vanished with a single click L’humain dans tout ça Could ChatGPT Convince You to Buy Something? Why AI Keeps Falling for Prompt Injection Attacks Google Gemini Prompt Injection Flaw Exposed Private Calendar Data via Malicious Invites What an AI-Written Honeypot Taught Us About Trusting Machines Microsoft & Anthropic MCP Servers at Risk of RCE, Cloud Takeovers apply_chat_template() Is the Safety Switch Ukraine’s new defence minister vows data-driven overhaul of military AI Agents ‘Perilous’ for Secure Apps Such as Signal, Whittaker Says cURL removes bug bounties Nadella talks AI sovereignty at the World Economic Forum Wikipedia volunteers spent years cataloging AI tells. Now there’s a plugin to avoid them. Souveraineté European Open Digital Ecosystems What it’s like to be banned from the US for fighting online hate Europe wants to end its dangerous reliance on US internet technology Red A scammer’s blueprint: How cybercriminals plot to rob a target in a week Shostack + Associates > Threat Advisory: GPS Attacks [SA-26-01] Risky Chinese Electric Buses Spark Aussie Gov’t Review Blue Congressional appropriators move to extend information-sharing law, fund CISA IPv6 is not insecure because it lacks a NAT Microsoft Teams External Domain Anomalies Allow Defenders to Detect Attackers at Earliest Healthy Security Cultures Thrive on Risk Reporting Privacy Starmer stares down social media ban barrel in latest U-turn Europe’s GDPR cops dished out €1.2B in fines last year Microsoft Gave FBI BitLocker Encryption Keys, Exposing Privacy Flaw Shostack + Associates > Shostack + Friends Blog > Bitlocker, the FBI, and Risk TikTok Is Now Collecting Even More Data About Its Users. Here Are the 3 Biggest Changes Social Analyzer - Le détective du web qui scanne vos profils sociaux (OSINT) iCloud with Advanced Data Protection doesn’t delete your files Divers CISA won’t attend infosec industry’s biggest conference You Got Phished? Of Course! You’re Human… Internet Voting is Too Insecure for Use in Elections Work-from-office mandate? Expect top talent turnover, culture rot Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x698! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode, David Bizeul et Nicolas explorent l’interopérabilité entre composants de sécurité et présentent le projet Open XDR Architecture (OXA). La discussion met en lumière les défis de l’approche “best of breed” face à la plateformisation du marché de la cybersécurité, ainsi que les solutions innovantes pour favoriser l’interopérabilité. L’approche best of breed et ses défis David Bizeul se définit comme un fervent défenseur de l’approche best of breed, qui consiste à sélectionner la meilleure solution pour chaque problème spécifique en cybersécurité. Cette philosophie s’inscrit dans l’ADN de Sekoia, où l’ouverture et l’interopérabilité constituent des valeurs fondamentales. Cependant, cette approche se heurte à une réalité complexe : bien qu’un produit puisse être excellent dans son domaine, il ne représente qu’une lettre dans l’alphabet complet d’un workflow de cybersécurité. Le principal défi réside dans la compétition avec les grandes plateformes intégrées. Ces acteurs, principalement américains, ont pu racheter la concurrence pour des centaines de millions ou des milliards de dollars, créant des offres complètes de A à Z. Face à cette concentration, les éditeurs spécialisés doivent trouver des moyens alternatifs de créer de la valeur pour leurs clients sans disposer des mêmes ressources financières. Le projet Open XDR Architecture (OXA) Pour répondre à ces enjeux, trois sociétés françaises - Sekoia, Arfanglab et Glims - ont collaboré pour créer OXA. Sekoia propose une plateforme SOC, Arfanglab une solution EDR, et Glims une solution d’analyse de malware. Ensemble, ils ont développé une architecture ouverte permettant de faire du XDR (Extended Detection and Response) en favorisant l’interopérabilité entre différentes solutions technologiques de qualité. L’objectif d’OXA est de se positionner face aux acteurs plateformisants, non pas en suivant leur modèle d’acquisition agressive, mais en promouvant les standards, l’interopérabilité et des formats de données ouverts. Cette approche vise à faciliter les workflows entre différents composants de sécurité. Les différentes couches d’OXA Formats de données La première couche concerne les formats de données générés et consommés par les différentes solutions. Historiquement, le marché souffrait d’une prolifération de formats propriétaires, rendant l’intégration extrêmement complexe. OXA s’appuie sur des standards existants comme OCSF (Open Cyber Security Framework), qui définit un cadre pour les différents types de produits et leurs champs de données pertinents. L’objectif n’est pas de réinventer la roue, mais de promouvoir ce qui existe déjà et fonctionne bien. Spécifications d’API La deuxième couche aborde l’automatisation et la communication entre produits. Contrairement aux formats de données, il n’existe pas sur le marché de spécification d’API standardisée pour la cybersécurité. Chaque éditeur développe ses propres API propriétaires pour communiquer avec les EDR, firewalls ou SIEM. OXA propose une spécification d’API définissant comment les composants de sécurité devraient interagir : comment suspendre un processus sur un EDR, comment ajouter une règle de détection dans un SIEM, etc. Cette standardisation permet de gagner énormément de temps d’ingénierie. Au lieu de passer trois jours d’intégration pour chaque nouveau produit, multiplié par cent produits (soit 300 jours de travail), une API standardisée permettrait de minimiser drastiquement ces délais d’intégration, bénéficiant à l’ensemble de la communauté. Distribution de Threat Intelligence La troisième couche concerne la dissémination de la Threat Intelligence. L’idée est qu’un client ayant déjà payé pour une source de Threat Intelligence devrait pouvoir la distribuer à tous ses produits de sécurité, et non seulement à quelques-uns. Cela permet d’agir plus rapidement, plus près de la menace, en diffusant l’information directement aux équipements réseau ou endpoints avant même que les alertes n’arrivent au SIEM. L’analogie médicale et la spécialisation Nicolas établit une analogie pertinente avec la médecine pour illustrer l’évolution de la cybersécurité. Il y a 15 ans, le domaine était relativement limité et rudimentaire, comparable à la médecine générale d’il y a un siècle. Aujourd’hui, comme en médecine où personne n’accepterait qu’un généraliste pratique une neurochirurgie, la cybersécurité nécessite des spécialistes. La plateformisation ne fait plus sens dans un contexte où chaque domaine requiert une expertise pointue. Cette spécialisation se reflète également au niveau des professionnels et des entreprises. Il est désormais impossible pour une personne de maîtriser tous les aspects de la cybersécurité, tout comme une entreprise ne peut exceller dans tous les domaines simultanément. Vision future et Cyber Security Mesh Architecture David Bizeul établit un parallèle intéressant entre OXA et le concept de Cyber Security Mesh Architecture (CSMA) proposé par Gartner. Le CSMA représente une vision du marché où la cybersécurité est pensée comme un ensemble de composants travaillant en chaîne. OXA constitue une manière d’opérationnaliser cette vision, offrant aux clients la possibilité de choisir les meilleurs produits pour leur contexte spécifique tout en garantissant leur interopérabilité. Le projet intègre également un système de labels (bronze, silver, gold) permettant aux éditeurs de s’autodéclarer compatibles avec différents niveaux d’interopérabilité OXA. L’objectif est d’encourager les clients à favoriser l’interopérabilité plutôt que la plateformisation dans leurs appels d’offres et budgets. Avantages pour l’innovation Un aspect particulièrement intéressant d’OXA est son potentiel pour favoriser l’innovation. Une startup avec une simple preuve de concept peut se rendre compatible OXA et être rapidement intégrée dans des workflows matures de grands groupes. Par exemple, une startup développant une solution d’analyse de deepfakes pourrait être sollicitée dans un workflow de cybersécurité dès ses débuts, là où elle aurait dû attendre trois ans de maturation dans un modèle classique. Pour les utilisateurs, cette approche offre également une résilience accrue : si un produit ne satisfait plus ou si l’éditeur fait faillite, il peut être facilement remplacé par un autre produit compatible OXA, sans disruption majeure du workflow. Conclusion Le projet OXA, disponible sur le repository GitHub d’Open Cyber Alliance, représente une approche innovante pour repenser l’interopérabilité en cybersécurité. En promouvant les standards ouverts et en facilitant la collaboration entre solutions spécialisées, OXA offre une alternative crédible à la plateformisation dominante, au bénéfice tant des éditeurs que des utilisateurs finaux. Notes Open XDR Architecture: redefining the contours of XDR Open XDR architecture Open Cybersecurity Alliance Github opencybersecurityalliance/oxa Collaborateurs Nicolas-Loïc Fortin David Bizeul Crédits Montage par Intrasecure inc Locaux réels par Sekoia

Parce que… c’est l’épisode 0x697! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction : Le contrat comme socle de démarrage Dans cet épisode spécial PME consacré aux fournisseurs de services gérés (MSP), les experts Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet crucial : le contrat MSP. Après avoir défini ce qu’est un MSP dans un épisode précédent, ils se concentrent maintenant sur l’importance de bien formaliser la relation contractuelle, qui constitue le socle de démarrage de tout partenariat MSP. Le contrat définit la portée du travail, la valeur apportée et les modalités du partenariat entre l’entreprise et son fournisseur de services. L’importance de la formalisation Lorsqu’une entreprise décide de confier une partie de ses activités TI à un MSP, elle lui confie ce qu’elle a de plus précieux : ses systèmes d’information. Cette démarche ne peut se faire à la légère ou sur une simple entente verbale. Il est essentiel de formaliser les règles et les attentes dès le départ. Comme le soulignent les intervenants, quand tout va bien, personne ne se pose de questions, mais lorsque des problèmes surviennent, il devient crucial d’avoir un contrat clair pour apporter les éclaircissements nécessaires. La clarification des rôles et responsabilités Un des éléments fondamentaux à définir avant de signer un contrat est de déterminer précisément qui sera en charge de quoi. Selon le niveau de service choisi, le MSP peut effectuer des tâches très basiques, comme la simple revente de licences avec un service minimal, ou prendre en charge l’ensemble des opérations TI de l’entreprise. Il existe une multitude d’options sur le marché, et il est impératif de choisir celle qui convient le mieux aux besoins spécifiques de l’entreprise. L’erreur à éviter est de présumer que le MSP répondra automatiquement à tous les besoins sans vérifier ce qui est réellement inclus dans le contrat. Par exemple, si un MSP vend des licences Microsoft, cela ne signifie pas nécessairement qu’il assurera la configuration et la gestion de la console. De même, la vente d’une solution de sauvegarde comme Veeam ne garantit pas que le MSP gérera les backups au quotidien. Les trois niveaux de service : buy, build, run Dominique Derrier introduit une distinction importante entre trois niveaux de service : Buy (achat/revente) : L’achat et la revente de licences, permettant de profiter des effets de volume du MSP pour réaliser des économies ou accéder à des produits normalement réservés aux grandes entreprises. Build (mise en place) : La configuration initiale et le déploiement des solutions, incluant la première mise en marche et l’initialisation des systèmes. Run (opérationnel) : La gestion quotidienne et l’opérationnalisation des services TI. Il est crucial de bien comprendre ces trois volets lors de l’achat de services MSP. Posséder un produit sans l’avoir installé ni opérationnalisé, ou inversement, avoir la mise en place sans l’opération quotidienne, crée des lacunes problématiques dans la couverture des besoins TI. Le partenariat d’affaires et la vision à long terme Les experts insistent sur la notion de partenariat d’affaires. Le MSP doit être perçu comme un véritable partenaire, car en cas d’incident, c’est lui qui sera là pour remonter les systèmes et assurer la continuité des opérations. Cette relation de confiance est essentielle, particulièrement dans l’adversité. Il faut éviter à tout prix de se retrouver dans une situation où, lors d’un incident, personne ne sait qui est responsable de quoi, ajoutant une complexité et une tension inutiles à un moment critique. Lors du choix d’un MSP, il est important de ne pas penser uniquement au présent, mais aussi de se projeter dans l’avenir. Il faut évaluer la capacité du fournisseur à accompagner l’entreprise sur une durée de cinq ans ou plus. Les limites et l’importance de la transparence Un bon MSP doit être transparent sur ce qui n’est pas inclus dans le contrat. Les intervenants mettent en garde contre les vendeurs évasifs qui évitent de parler des exclusions par peur de perdre la vente. Un vendeur de confiance présentera de manière très concrète ce qui est inclus et ce qui ne l’est pas. Cette transparence est un indicateur de fiabilité. L’entreprise cliente doit se sentir écoutée et comprendre que le MSP cherche réellement à répondre à ses besoins spécifiques, plutôt que de simplement vendre le service le plus cher. Dans certains cas complexes, il peut être judicieux d’engager un consultant ou un RSSI virtuel pour accompagner le choix du MSP. Les clauses contractuelles essentielles Plusieurs clauses importantes doivent figurer dans un contrat MSP : Clause d’auditabilité : Elle permet à l’entreprise de se réserver le droit de demander un audit du MSP. Même si cet audit n’est jamais réalisé, cette clause garde une porte ouverte et maintient une certaine vigilance. Service Level Agreements (SLA) avec pénalités : Les SLA doivent inclure des pénalités en cas de non-respect des engagements. Cependant, ces SLA doivent être bilatéraux. Le client doit aussi s’engager, par exemple à répondre dans un délai raisonnable aux demandes du MSP concernant les mises à jour de sécurité. Clause de réversibilité : Cette clause définit les modalités de séparation au cas où l’entreprise souhaiterait changer de MSP. Paradoxalement, l’existence de cette clause tend à prolonger la durée des contrats, car elle crée de la transparence et évite le sentiment d’être piégé. La responsabilisation mutuelle Comme le souligne Cyndie, les attentes envers un MSP sont similaires à celles envers des employés internes. On attend du personnel TI interne qu’il assure le service convenu, qu’il lève la main lorsqu’il est débordé, et qu’il respecte les rôles et responsabilités établis. Il en va de même pour un MSP. Conclusion Le contrat MSP n’est pas un document à prendre à la légère. Il constitue la fondation d’un partenariat qui peut durer plusieurs années. Comme dans un mariage, selon l’analogie de Dominique, il vaut mieux avoir un bon contrat sur lequel se replier quand les choses vont mal, même si l’espoir est de ne jamais en arriver là. L’objectif n’est pas de discréditer les MSP, mais de s’assurer que le contrat protège à la fois le client et le fournisseur, permettant ainsi une collaboration fructueuse et durable. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x696! Shameless plug 29 janvier 2026 - The Coming AI Hackers 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok… What Should We Learn From How Attackers Leveraged AI in 2025? LLMs are Accelerating the Ransomware Lifecycle to Gain Speed, Volume, and Multilingual Reach Prompt injection Anthropic’s Files API exfiltration risk resurfaces in Cowork New One-Click Microsoft Copilot Vulnerability Grants Attackers Undetected Access to Sensitive Data Claude Cowork – Quand l’IA d’Anthropic se fait exfiltrer vos fichiers Signal Signal creator Moxie Marlinspike wants to do for AI what he did for messaging ‘Signal’ President and VP warn agentic AI is insecure, unreliable, and a surveillance nightmare ‘Most Severe AI Vulnerability to Date’ Hits ServiceNow ChatGPT will get ads. Free and Go users first Souveraineté Cloudflare CEO threatens to pull out of Italy Italy’s privacy watchdog, scourge of US big tech, hit by corruption probe La France remet ça et ordonne aux VPNs de bloquer encore plus de sites pirates China bans U.S. and Israeli cybersecurity software over security concerns SéQCure 2021 - Splinternet par Franck Desert AWS flips switch on Euro cloud as sovereignty fears mount Dutch experts warn U.S. takeover of DigiD platform poses national security risks Escaping the trap of US tech dependence Privacy Privacy and Cybersecurity Laws in 2026 Pose Challenges Police Unmask Millions of Surveillance Targets Because of Flock Redaction Error UK backtracks on digital ID requirement for right to work France fines telcos €42M for issues leading to 2024 breach US regulator tells GM to hit the brakes on customer tracking Foreigners’ data stolen in hack of French immigration agency Red Facebook login thieves now using browser-in-browser trick More than 40 countries impacted by North Korea IT worker scams, crypto thefts Never-before-seen Linux malware is “far more advanced than typical” Predator spyware demonstrates troubleshooting, researcher-dodging capabilities OGhidra - Dopage à l’IA pour Ghidra en local China spies used Maduro capture as lure to phish US agencies A simple CodeBuild flaw put every AWS environment at risk Pourquoi votre vieux serveur Windows est une bombe à retardement, et comment la désamorcer Windows? Linux? Browser? Same Executable Blue Selectively showing “act on your behalf” warning for GitHub Apps is in public preview Python Software Foundation News: Anthropic invests $1.5 million in the Python Software Foundation and open source security Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws CISO Succession Crisis Highlights How Turnover Amplifies Risks Divers Internet monitoring experts say Iran blackout likely to continue Access to Elon Musk’s Starlink internet service is now free in Iran as regime continues brutal crackdown on protests Poland says it repelled major cyberattack on power grid, blames Russia Judge tosses CrowdStrike shareholder suit over 2024 outage 1980s Hacker Manifesto Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x695! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Sandra Aubert, fondatrice de FF2R (From Fiction to Reality), révolutionne l’approche de la sensibilisation aux risques majeurs en entreprise. Son concept audacieux : transformer la formation en cybersécurité et autres sujets arides en séries cinématographiques addictives, façon Netflix. Cette innovation marque une rupture totale avec les méthodes traditionnelles de sensibilisation. Une nouvelle approche de la formation Contrairement aux capsules de sensibilisation classiques - souvent stériles et dépourvues d’émotions - Sandra Aubert propose une plateforme de streaming à la demande qui diffuse des séries immersives et fictives. L’objectif : rendre la formation aussi captivante qu’une série que l’on dévore en une soirée. Son projet phare, Plan Blanc, illustre parfaitement cette approche. Commandée par le ministère de la Santé, l’ARS et la Fédération hospitalière de France, cette série en six épisodes de trois minutes plonge le spectateur au cœur d’une cyberattaque majeure dans un CHU. Pour la première fois, on entre dans la cellule de crise et on vit l’effondrement d’un système hospitalier avec des comédiens professionnels. La force du cinéma au service de la pédagogie Ce qui distingue FF2R, c’est l’authenticité cinématographique. Sandra Aubert et son réalisateur signature, Valérian Cadissi, ne font pas de simples vidéos : ils créent du véritable cinéma. Chaque production respecte les codes du septième art : scénario travaillé, acteurs professionnels, tournage dans des lieux réels, colorimétrie soignée, musiques originales composées sur mesure. Les personnages, comme Cassandre et Thomas dans Plan Blanc, sont développés avec une psychologie complète. L’équipe maîtrise l’art du cliffhanger pour créer l’envie de voir l’épisode suivant immédiatement. Le résultat : des séries qui pourraient être diffusées sur n’importe quelle plateforme de streaming grand public. L’alliance de la créativité et de l’expertise technique La réussite de cette approche repose sur un équilibre délicat entre créativité et rigueur technique. Pour Plan Blanc, Sandra Aubert s’est entourée de Steven Garnier, expert en cybersécurité au ministère de la Santé, garantissant ainsi l’exactitude technique du scénario. Cette collaboration permet de créer des contenus crédibles et respectueux de la réalité du terrain. Les professionnels de la cybersécurité qui découvrent Plan Blanc témoignent : “C’est vraiment comme ça que ça se passe”. La série aborde tous les sujets - phishing, piggy backing, social engineering - sans tomber ni dans l’anxiogène ni dans le ridicule. Une méthodologie adaptée à l’ère moderne Sandra Aubert a compris les réalités de notre époque : la bande passante d’attention est faible, le temps est précieux, et personne ne veut subir une formation. Sa solution : proposer des épisodes courts (3-4 minutes) que l’on peut regarder quand on le souhaite, dans son canapé, potentiellement en famille. Cette approche crée une nouvelle méthodologie : on ne se forme plus, on “binge-learn”. Le format court et addictif, inspiré des neurosciences, maximise la rétention d’information en générant des émotions fortes. Comme dans une histoire d’amour, on n’oublie jamais ce qu’on a ressenti. Des résultats impressionnants Les chiffres parlent d’eux-mêmes : la plateforme affiche un taux de rétention de 86%, et les utilisateurs reviennent en moyenne entre 4 et 7 fois regarder la même série. Au-delà de la consommation individuelle, les séries servent aussi d’outils de discussion en entreprise. Les managers les utilisent en réunion pour lancer des sujets, créant ainsi des moments de convivialité et de partage plus engageants qu’un PowerPoint traditionnel. Une production artisanale et personnalisée FF2R refuse la facilité du catalogue standardisé. Chaque production est du sur-mesure, adaptée aux besoins spécifiques de l’entreprise cliente. L’équipe va jusqu’à organiser des castings en interne pour intégrer les employés comme acteurs secondaires ou figurants. Voir son collègue jouer dans la série crée un effet de proximité et d’engagement supplémentaire. Cette approche artisanale est rendue possible par une équipe réduite de sept personnes seulement - un exploit dans le monde du cinéma. Cette agilité permet de livrer des projets complets (plateforme et série) en moins de trois mois, tout en maintenant une qualité digne des grandes productions. Un impact qui dépasse le cadre professionnel L’innovation de Sandra Aubert va au-delà de la simple sensibilisation. Elle crée une culture de vigilance en entreprise tout en touchant potentiellement la sphère personnelle. Regarder ces séries en famille permet de sensibiliser aussi les proches aux risques cyber, créant un langage commun et des réflexes de sécurité qui transcendent la frontière travail-vie personnelle. Cette dimension humaine est centrale : les séries montrent que derrière les crises, il y a des hommes et des femmes qui peuvent craquer sous la pression. Elles rappellent que la faille est souvent humaine, mais que cette “parfaite imperfection” est aussi notre force. Vers l’avenir Sandra Aubert ne compte pas s’arrêter là. Elle constitue un comité d’experts en cybersécurité pour enrichir ses futures productions et prépare déjà une suite à Plan Blanc. Son catalogue s’étend aussi à d’autres domaines : financement du terrorisme, déontologie, conformité. Elle envisage même d’ouvrir un bureau à Montréal pour conquérir le marché québécois. Conclusion En transformant la sensibilisation en cybersécurité en expérience cinématographique, Sandra Aubert prouve qu’il est possible de concilier rigueur pédagogique et plaisir de consommation. Son approche rappelle que depuis la nuit des temps, l’humanité transmet ses connaissances à travers les histoires. FF2R réinvente simplement cette tradition ancestrale avec les outils du XXIe siècle, démontrant que la meilleure façon d’apprendre reste celle qui nous fait ressentir des émotions. Notes À venir Collaborateurs Nicolas-Loïc Fortin Sandra Aubert Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x694! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode spécial consacré aux PME, l’équipe composée de Cyndie Fletz, Nicolas Milot et Dominique Derrier explore un sujet crucial pour les entreprises modernes : le rôle des MSP (Managed Service Providers) et leur contribution à la gestion des technologies de l’information. Cette discussion vise à démystifier ce qu’est un MSP, à clarifier son utilité et à mettre en lumière les bonnes pratiques d’engagement avec ces partenaires technologiques. Qu’est-ce qu’un MSP ? Un MSP, ou Managed Service Provider, est une entreprise spécialisée en technologies de l’information qui permet aux organisations d’externaliser la gestion de leur infrastructure TI plutôt que d’embaucher du personnel technique en interne. Il s’agit essentiellement d’impartition de services TI, où une compagnie confie la responsabilité de ses systèmes informatiques à un fournisseur externe spécialisé. Contrairement à ce que l’on pourrait penser, ce concept n’est pas nouveau. L’impartition de services TI existe depuis les années 1980, soit depuis plus de quarante ans. Cette longévité s’explique par le fait que les entreprises ont rapidement compris que leur mission principale n’était généralement pas de gérer une infrastructure technologique complexe, mais plutôt de se concentrer sur leur cœur de métier. Les raisons d’engager un MSP L’expertise spécialisée La première raison justifiant le recours à un MSP est l’accès à une expertise technique appropriée. Gérer correctement une infrastructure TI ne s’improvise pas et ne peut être fait “à la fin de semaine”. Lorsqu’une entreprise commence à croître et que les risques liés aux technologies augmentent, il devient essentiel de faire appel à des professionnels capables d’effectuer les maintenances, les mises à jour et d’assurer le bon fonctionnement continu des systèmes. La gestion du risque Le choix d’un MSP relève principalement d’un calcul de risque. Les entreprises doivent se poser la question fondamentale : combien coûterait une panne de nos systèmes ? Est-il préférable d’investir dans la prévention ou de risquer des réparations coûteuses en cas de défaillance majeure ? Cette réflexion s’applique à toutes les tailles d’entreprise, même celles de 15 à 20 employés utilisant uniquement des services cloud comme Google Drive. L’analogie du garagiste L’entretien informatique peut être comparé à l’entretien automobile. Tout comme une voiture nécessite des changements d’huile réguliers, des rotations de pneus et diverses vérifications périodiques, les systèmes TI requièrent une maintenance constante. Ignorer ces besoins d’entretien peut conduire à des défaillances catastrophiques, similaires à un moteur qui cesse de fonctionner par manque d’huile. Le coût de remplacement d’une infrastructure TI complètement défaillante, comme celui d’un moteur automobile, peut s’avérer prohibitif et souvent supérieur au coût d’un entretien préventif régulier. Le MSP agit donc comme un garagiste spécialisé qui possède les outils, les connaissances et l’expérience nécessaires pour maintenir les systèmes en bon état de fonctionnement. La plupart des dirigeants d’entreprise, bien qu’ils puissent “mettre de l’essence” (effectuer des tâches basiques), ne possèdent pas les compétences pour “changer les roulements de roue” (effectuer des opérations techniques complexes). La disponibilité et l’hygiène informatique Les MSP jouent un rôle crucial dans l’un des trois piliers de la cybersécurité : la disponibilité (aux côtés de l’intégrité et de la confidentialité). Ils assurent que les actifs informatiques restent opérationnels, permettant aux entreprises d’émettre des factures, de traiter des commandes et de servir leurs clients sans interruption. L’hygiène informatique, concept développé par les professionnels de la sécurité pour rendre la maintenance accessible au grand public, implique des actions régulières comme l’application de correctifs, la mise à jour des logiciels et la protection antivirus. Cette responsabilité incombe au propriétaire de l’entreprise, qui doit décider s’il possède les compétences nécessaires pour l’assumer en interne ou s’il est préférable de la confier à un MSP dont c’est la mission première. Ce qu’un MSP n’est pas Il est essentiel de comprendre qu’engager un MSP ne délègue pas la responsabilité ultime des données et de la sécurité de l’entreprise. En cas de fuite de données ou d’incident de sécurité, c’est l’entreprise cliente qui demeure légalement responsable, pas le MSP. Cette réalité souligne l’importance de choisir soigneusement son partenaire MSP et de maintenir une relation de collaboration active. L’analogie de la garderie Une métaphore particulièrement éloquente compare le MSP à une garderie. Tout comme les parents confient ce qu’ils ont de plus précieux – leurs enfants – à une garderie pendant qu’ils travaillent, les entreprises confient leurs systèmes informatiques à un MSP. Dans les deux cas, on s’attend à : Des soins quotidiens appropriés Une intervention rapide en cas de problème mineur Une communication immédiate pour les situations graves Un rapport régulier sur l’état général Une optimisation et un développement continus Cependant, tout comme les parents ne délèguent pas l’éducation complète de leurs enfants à la garderie, les entreprises ne peuvent pas déléguer entièrement toutes leurs responsabilités TI au MSP. Il existe des paramètres clairs définis dans le contrat qui établissent les responsabilités de chaque partie. L’importance du partenariat et de la vérification La relation avec un MSP doit être vue comme un véritable partenariat plutôt qu’une simple relation client-fournisseur. Il est crucial de bien définir les termes de l’engagement dès le début : quels services sont couverts, quels sont les horaires d’intervention, quelles sont les limites de responsabilité ? De plus, tout comme des parents vérifient avec leurs enfants comment s’est passée leur journée à la garderie, les entreprises doivent auditer régulièrement le travail de leur MSP. Cette approche de “confiance zéro” (zero trust) garantit que les rapports fournis correspondent à la réalité et que les maintenances promises sont effectivement réalisées. Conclusion Le choix d’un MSP représente une décision stratégique importante pour toute PME. Ces partenaires permettent d’accéder à une expertise technique de haut niveau, assurent la résilience des systèmes, maintiennent l’hygiène informatique et contribuent à la disponibilité continue des actifs technologiques. Cependant, cette relation nécessite une définition claire des responsabilités, une communication régulière et une vérification périodique pour garantir que le partenariat fonctionne de manière optimale. En fin de compte, pour les entreprises modernes où la technologie est essentielle au fonctionnement quotidien, le MSP devient un allié indispensable dans la réussite et la croissance de l’organisation. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x693! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA Grok / juvénile Grok Is Pushing AI ‘Undressing’ Mainstream Grok assumes users seeking images of underage girls have “good intent” Dems pressure Google, Apple to drop X app as international regulators turn up heat Tim Cook and Sundar Pichai are cowards MCP The 5 Knights of the MCP Apocalypse 😱 MCP is a fad VSCode IDE forks expose users to “recommended extension” attacks Are Copilot prompt injection flaws vulnerabilities or AI limits? OpenAI patches déjà vu prompt injection vuln in ChatGPT Devs doubt AI-written code, but don’t always check it Code is a liability (not an asset) from Cory Doctorow Eurostar AI vulnerability: when a chatbot goes off the rails Max severity Ni8mare flaw lets hackers hijack n8n servers Red Trusted Hackers Exploited Routing Scenarios and Misconfigurtions to Effectively Spoof Organizations Google Cloud phishing bypasses email filters MatheuZSecurity/Singularity: Stealthy Linux Kernel Rootkit for modern kernels (6x) Kernel bugs hide for 2 years on average. Some hide for 20. ClickFix attack uses fake Windows BSOD screens to push malware Telegram héberge le plus grand marché noir de l’histoire (et tout le monde s’en fout) La clé magique qui déverrouille tous les scooters Äike Lack of MFA Is Common Thread in Vast Cloud Credential Heist Phishers Exploit Office 365 Users Who Let Their Guard Down The Story of a Perfect Exploit Chain: Six Bugs That Looked Harmless Until They Became Pre-Auth RCE in a Security Appliance Blue Email Microsoft cancels plans to rate limit Exchange Online bulk emails Everything You Need to Know About Email Encryption in 2026 Email security needs more seatbelts: Why click rate is the wrong metric Microsoft to enforce MFA for Microsoft 365 admin center sign-ins Privacy The nation’s strictest privacy law just took effect, to data brokers’ chagrin Why Most Websites Don’t Need Cookie Consent Banners Palantir - L’histoire secrète de l’œil numérique qui voit tout Souveraineté Cloudflare pours cold water on Venezuela attack BGP theory Fact Sheet: President Donald J. Trump Withdraws the United States from International Organizations that Are Contrary to the Interests of the United States French-U.K. Starlink rival pitches Canada on ‘sovereign’ satellite service for Arctic military operations Brussels plots open source push to pry Europe off Big Tech Divers Justice French Court Orders Google DNS to Block Pirate Sites, Dismisses ‘Cloudflare-First’ Defense Italy Fines Cloudflare €14 Million for Refusing to Filter Pirate Sites on Public 1.1.1.1 DNS Iran [Iran Goes Dark as Government Cuts Itself Off from Internet Kentik](https://www.kentik.com/analysis/iran-goes-dark-as-government-cuts-itself-off-from-internet/) [As Iranian regime shuts down internet, even Starlink seemingly being jammed The Times of Israel](https://www.timesofisrael.com/iran-appears-to-jam-starlink-after-shutting-down-comms-networks/) How Hackers Are Fighting Back Against ICE Instagram Data Leak Exposes Sensitive Info of 17.5M Accounts 2025 in retrospect & happy new year 2026! – Gentoo Linux Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x692! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode du podcast technique avec Charles F. Hamilton explore en profondeur les techniques d’évasion des solutions EDR (Endpoint Detection and Response) et les stratégies que les red teamers peuvent utiliser pour contourner ces systèmes de détection. La discussion révèle que malgré les avancées technologiques, les EDR restent vulnérables à des techniques relativement simples lorsqu’on comprend leurs mécanismes de détection. Les limites de la détection EDR Corrélation réseau et named pipes Un exemple concret illustre les faiblesses des EDR modernes : un exécutable malveillant qui communique avec internet tout en effectuant de la reconnaissance sur le réseau interne. Les EDR “top tier” détectent généralement cette activité anormale grâce au machine learning, identifiant qu’un processus communique simultanément vers l’extérieur et vers le réseau local via SMB, Kerberos ou d’autres protocoles. La solution de contournement est élégante : utiliser les named pipes de Windows. Cette fonctionnalité native permet la communication inter-processus. En séparant les tâches entre deux processus indépendants - l’un gérant les communications externes, l’autre la reconnaissance interne - et en les faisant communiquer via named pipes, on brise complètement la chaîne de détection du machine learning. Cette technique, enseignée depuis 8 ans dans les formations red team, demeure efficace. Des signatures déguisées Paradoxalement, malgré leurs prétentions, les EDR fonctionnent encore largement sur des principes de signatures. La différence avec les antivirus traditionnels réside davantage dans où ils appliquent cette détection - non seulement sur le disque, mais aussi en mémoire et au niveau comportemental. Le compromis entre faux positifs et détection reste délicat : générer 1500 alertes par jour conduirait à l’“alert fatigue” et rendrait le système inutile. Techniques d’obfuscation et d’évasion La randomisation intelligente Pour éviter la détection statique, l’obfuscation doit être réfléchie. Un piège courant : générer des variables aléatoires de longueur fixe (par exemple, toujours 16 caractères). Les règles Yara peuvent détecter ce pattern. La solution consiste à introduire de la randomness dans le random : utiliser des longueurs variables (entre 6 et 22 caractères) et concaténer plusieurs mots du dictionnaire plutôt que des chaînes purement aléatoires. Nettoyage de la mémoire L’obfuscation ne s’arrête pas à l’exécution. Même après déchiffrement en mémoire, des artefacts subsistent. Par exemple, Cobalt Strike laisse des patterns reconnaissables dans les premiers bytes du shellcode. La stratégie recommandée utilise plusieurs threads d’exécution : un pour déchiffrer et lancer le shellcode, un autre pour nettoyer la mémoire des variables intermédiaires. Bien que les EDR ne scannent pas la mémoire en continu (ce serait trop coûteux en performance), ces artefacts restent détectables. Protection au niveau kernel Protected Process Light (PPL) Microsoft a introduit les PPL pour protéger les processus critiques comme LSASS. Même avec des privilèges système, un attaquant ne peut accéder à ces processus. Le problème : le kernel reste le point de confiance ultime. Une fois qu’un attaquant obtient l’exécution de code au niveau kernel - via des drivers vulnérables par exemple - toutes les protections PPL tombent. Techniques d’anti-tampering La technique “EDR Freeze” illustre cette réalité : en utilisant ProcDump (un outil Windows légitime), on peut créer un dump mémoire d’un processus EDR, ce qui le met en pause. En arrêtant ensuite ProcDump avant qu’il ne termine, le processus EDR reste indéfiniment en pause, sans générer d’alerte de tampering puisqu’il n’a pas été modifié. Cloud et nouvelles vulnérabilités Le passage au cloud déplace simplement les problèmes. Les attaques traditionnelles visaient le “domain admin” en local ; aujourd’hui, avec l’authentification multifacteur, les attaquants utilisent le device code phishing ou des applications tierces malveillantes pour obtenir des tokens OAuth valides. Une fois ces tokens obtenus, l’escalade vers “global admin” devient possible. La difficulté : aucun EDR ne peut surveiller ces attaques puisqu’elles se déroulent depuis la machine de l’attaquant. La seule visibilité provient de ce que Microsoft accepte de partager, souvent derrière des paywalls supplémentaires. Les entreprises ont passé 20 ans à maîtriser Active Directory et les outils de sécurité on-premise, mais repartent de zéro dans le cloud avec des outils immatures. Recommandations défensives Configurations simples mais efficaces Plusieurs mesures basiques restent sous-utilisées : Bloquer PowerShell pour les utilisateurs non techniques Désactiver la fonction Run (Windows+R) pour 99% des utilisateurs Supprimer MSHTA.exe via GPO (aucun besoin légitime des fichiers HTA) Restreindre les scripts Office par défaut Ces mesures élimineraient la majorité des attaques “commodity malware” qui fonctionnent uniquement parce que les entreprises n’ont pas fermé ces vecteurs d’accès basiques. Le facteur humain irremplaçable Les EDR excellent contre le malware de masse mais peinent face aux attaques ciblées. L’IA et les agents ne remplaceront pas les analystes humains capables de : Faire du threat hunting actif Contextualiser les alertes (pourquoi un utilisateur non technique lancerait-il PowerShell ?) Détecter les anomalies dans le trafic réseau (nouveaux domaines, patterns de requêtes POST répétitives) Raconter l’histoire complète d’une intrusion en corrélant les événements Détection réseau Les NDR/XDR commencent à combler cette lacune, mais restent embryonnaires. La détection réseau devrait identifier : Les nouveaux domaines jamais vus auparavant Les patterns de communication C2 (requêtes POST régulières avec jitter) Les anomalies d’authentification Le trafic inhabituel pour un profil utilisateur donné Conclusion La sophistication des attaquants reste limitée car ils n’en ont pas encore besoin - trop d’environnements demeurent mal configurés. Les entreprises investissent massivement dans les EDR mais négligent les configurations de base et le facteur humain. L’histoire se répète avec le cloud et l’IA : plutôt que de résoudre les problèmes fondamentaux, on déplace la responsabilité vers de nouveaux outils. La vraie sécurité nécessite une compréhension technique approfondie, des configurations rigoureuses, et surtout, des analystes compétents pour interpréter les signaux et raconter l’histoire des incidents. Collaborateurs Nicolas-Loïc Fortin Charles F. Hamilton Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x6xx! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce deuxième épisode sur la Cyber Threat Intelligence (CTI) réunit Nicolas, Alexis Dorais-Joncas et Jordan Theodore pour approfondir les mécanismes de production et de consommation de l’intelligence sur les menaces. La conversation explore les défis techniques, organisationnels et éthiques auxquels font face les professionnels de la sécurité dans ce domaine en constante évolution. Les deux univers de la CTI Alexis établit une distinction fondamentale entre deux « clusters » dans l’écosystème de la CTI. D’un côté, les producteurs : entreprises de réponse d’incident et fournisseurs de services de cybersécurité comme CrowdStrike, Microsoft, Kaspersky ou Proofpoint, qui observent directement les attaques chez leurs clients et génèrent des rapports détaillés. De l’autre, les consommateurs : organisations qui utilisent ces rapports pour comprendre leurs risques et se protéger contre les attaques potentielles. Cette dichotomie se reflète même dans les rôles professionnels. Un analyste CTI chez un vendeur dispose d’une visibilité globale sur des milliers de clients, tandis qu’un analyste en entreprise se concentre sur son propre environnement. Les mindsets et les résultats sont fondamentalement différents, bien que les compétences de base soient similaires. L’ampleur du défi : naviguer dans l’océan de données Les chiffres partagés par Alexis illustrent l’échelle impressionnante du problème. Chez ESET, environ 300 000 fichiers exécutables malveillants ou suspects uniques arrivent chaque jour. Chez Proofpoint, ce sont 3,5 milliards d’emails quotidiens, avec 50 millions de pièces jointes et 90 millions d’URL à analyser. Face à ce déluge, les équipes de recherche doivent développer des heuristiques sophistiquées et des règles de tri pour identifier ce qui mérite une attention particulière. L’art du clustering : trouver l’aiguille dans la botte de foin Le cœur du travail de CTI réside dans la capacité à regrouper des attaques apparemment distinctes en « clusters » attribuables à un même acteur. Alexis explique que cette attribution repose sur la recherche d’éléments uniques ou de combinaisons uniques d’éléments observables. L’exemple du certificat SSL avec une coquille typographique illustre parfaitement ce concept : un seul détail peut permettre de lier des dizaines de domaines entre eux et de découvrir toute une infrastructure d’attaque. Les indicateurs utilisés pour le clustering sont multiples : similarité de code source, exploits modifiés, choix d’hébergeurs et de registraires, mais aussi des éléments plus « soft » comme le ciblage. Un professeur spécialisé sur l’Iran qui se fait soudainement cibler peut indiquer l’implication de groupes iraniens, même si les indicateurs techniques sont nouveaux. Les niveaux de confidentialité : une cascade d’information Alexis révèle que 95% ou plus de la CTI produite par les vendeurs n’est jamais rendue publique. L’information suit une cascade : d’abord partagée uniquement avec les clients directement ciblés, puis avec l’ensemble des clients payants, et enfin, pour une fraction seulement, avec le public. Cette dernière étape implique des choix délicats : révéler certains indicateurs peut aider la défense, mais aussi alerter l’attaquant et compromettre la capacité à le tracker à l’avenir. La qualité variable de la CTI secondaire Un point de frustration majeur émerge concernant la couverture médiatique et les analyses secondaires. Alexis estime que 80% de la couverture secondaire n’apporte aucune valeur ajoutée, 5% apporte une vraie perspective informée, et 10-15% est carrément nuisible en véhiculant des erreurs ou des exagérations. Cette désinformation force les analystes en entreprise à perdre des journées entières à remonter aux sources originales et à désamorcer les inquiétudes injustifiées des dirigeants. La course à la publication et ses nuances Bien qu’il existe une certaine compétition entre vendeurs pour être le premier à publier sur une nouvelle menace, Alexis nuance fortement ce phénomène. La collaboration informelle entre analystes de différentes entreprises est courante. De plus, même si un concurrent publie en premier, il reste possible d’apporter une valeur complémentaire en confirmant les découvertes depuis une perspective différente ou en ajoutant des observations uniques. L’exemple de Kaspersky et Proofpoint sur un APT illustre comment deux entreprises peuvent enrichir mutuellement la compréhension d’une menace. L’attribution : utile pour qui ? L’attribution géopolitique des attaques s’avère principalement pertinente pour les grandes organisations et les entités gouvernementales ciblées de manière spécifique. Pour la majorité des entreprises victimes d’attaques opportunistes, savoir qu’un ransomware vient de tel ou tel groupe importe peu. L’essentiel est de comprendre les techniques d’attaque et les prochaines étapes possibles. Alexis souligne qu’environ 95% des attaques ciblées chez Proofpoint touchent moins de 5 clients avec moins de 60 emails – un volume extrêmement faible qui contraste avec les attaques opportunistes massives. Le casse-tête des noms de groupes Un problème persistant dans l’industrie concerne la prolifération de noms différents pour les mêmes groupes. APT28 peut être appelé Fancy Bear, Pawn Storm, TA422, ou une quinzaine d’autres noms selon le vendeur. Cette situation s’explique par les différences de visibilité : Proofpoint observe l’infrastructure email, tandis qu’un EDR voit le comportement post-compromission. Chaque vendeur nomme ce qu’il peut observer, créant une confusion considérable pour les praticiens en réponse d’incident. Alexis confirme cependant qu’aucune pression marketing n’a jamais été exercée pour créer des noms propriétaires, et qu’il est inacceptable de renommer un groupe découvert par un autre sans l’avoir observé soi-même. Conclusion Ce podcast met en lumière la complexité et les nuances du monde de la CTI. Entre volumes de données massifs, décisions éthiques sur ce qu’il faut publier, collaboration et compétition entre acteurs, et défis d’attribution, les professionnels naviguent dans un écosystème en constante évolution. La clé réside dans la compréhension que chaque vendeur apporte une perspective unique basée sur sa visibilité spécifique, et que la véritable valeur de la CTI se trouve dans la capacité à corréler ces différentes sources pour obtenir une image complète des menaces. Collaborateurs Nicolas-Loïc Fortin Jordan Theodore Alexis Dorais-Joncas Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x690! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA DAST Automation Using BurpSuite MCP HexStrike MCP Orchestration with Ollama: Ubuntu Host, Kali VM, SSH Bridging, and Performance Caveats Prompt Injection Is Permanent: Your AI Agent Needs Seatbelts, Not Smarter Prompts Kevin Beaumont: “Microsoft have dropped a bollo…” - Cyberplace Are We Ready to Be Governed by Artificial Intelligence? Blue Hong Kong uses brick-and-mortar banks to stop scams Finland seizes ship suspected of damaging subsea cable in Baltic Sea Protégez vos clés SSH avec Touch ID sur macOS The ROI Problem in Attack Surface Management Linux kernel security work How to Protect Your iPhone or Android Device From Spyware Red New Vulnerabilities in Bluetooth Headphones Let Hackers Hijack Connected Smartphone Former Coinbase support agent arrested for helping hackers Podcast avec Quantum - Spécial - Prévention de la fraude Mustang Panda Uses Signed Kernel-Mode Rootkit to Load TONESHELL Backdoor Intercept - Un dashboard SIGINT pour votre clé RTL-SDR Infostealers Enable Attackers to Hijack Legitimate Business Infrastructure for Malware Hosting Privacy Comment les proxies TCP se font démasquer ? Et ce que ça signifie pour votre VPN… Flock Exposes Its AI-Enabled Surveillance Cameras Aux Etats-Unis, la police peut maintenant fouiller dans les recherches Google Trump government demands access to European police databases and biometrics The New Surveillance State Is You Souveraineté Europe building an Airbus for the cloud age Adam Shostack :donor: :rebelverified:: “Digital euro: what it is and how we will use the new form of cash” - Infosec Exchange China mandates 50% domestic equipment rule for chipmakers, sources say ASML, la boite hollandaise qui tient le monde tech en otage The Post-American Internet (Cory Doctorow) Fails / insolites The Worst Hacks of 2025 Salesforce Integrations Clop’s Oracle E-Business Hacking Spree University Breaches Aflac Mixpanel Jaguar Land Rover Quand la France invente le “data leak as a service” French software company fined $2 million for cyber failings leading to data breach New York’s incoming mayor bans Raspberry Pi at inauguration Hijacked Mobility: CISA Warns of Critical 9.8 Flaw Allowing Remote Control of WHILL Power Chairs Fears Mount That US Federal Cybersecurity Is Stagnating—or Worse DHS says REAL ID is too unreliable to confirm U.S. citizenship X / Grok / juvénile X dégringole en France - Elon Musk va bientôt se retrouver tout seul avec ses fachos Kevin Beaumont: “Twitter generated child sexual…” - Cyberplace French authorities investigate AI ‘undressing’ deepfakes on X Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x689! Préambule Nous abordons des sujets sensibles, notamment la dépression et le suicide. Si vous y êtes sensible, nous vous conseillons de sauter cet épisode. Si vous avez besoin d’aide, vous pouvez consulter les ressources mentionnées plus bas, parler à votre entourage ou nous écrire pour que nous puissions vous diriger des ressources pour vous aider. Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Dans cet épisode du podcast Davy Adam partage avec une grande transparence son expérience d’un épisode dépressif majeur vécu durant l’été 2024. Ce témoignage poignant offre des enseignements précieux pour quiconque pourrait vivre ou accompagner une telle épreuve. Le contexte d’un effondrement Davy, 48 ans, se considérait comme quelqu’un de solide. Ancien alcoolique sobre depuis 21 ans, ayant surmonté de nombreuses épreuves dont le décès de sa mère à 20 ans, il pensait que le pire était derrière lui. Pourtant, cet été, il a vécu ce qu’il n’avait pas anticipé : une dépression nerveuse suite à un cumul de changements majeurs simultanés – déménagement en Bretagne à 600 km de chez lui, séparation après 12 ans de vie commune, et changement radical de cadre de vie. Les signaux d’alerte ignorés Le premier enseignement crucial de son témoignage concerne les signes avant-coureurs qu’il n’a pas su entendre. Pendant six mois avant le déménagement, Davy ressentait un stress constant, des maux de ventre persistants, et surtout une sensation d’être « pris au piège ». Dès la signature du compromis de vente, il regrettait déjà sa décision mais se convainquait que c’était normal. Même lors des visites de biens immobiliers, il pleurait le soir à l’hôtel – lui qui avait mis 10 ans de thérapie à pouvoir pleurer à nouveau. Cette sensation d’être pris au piège est un symptôme typique qu’il identifie aujourd’hui comme un signal d’alarme majeur : « Dès que vous avez la sensation d’être pris au piège dans une situation où vous avez encore le choix, c’est qu’il y a un problème. » Même pendant le processus d’achat, il espérait secrètement que la banque refuse le crédit. L’effondrement Le jour du déménagement, arrivé seul dans sa nouvelle maison avec son chien après six heures de route par 40 degrés, Davy s’est retrouvé à minuit entouré de cartons, sans eau chaude fonctionnelle. C’est là que tout s’est effondré. Dès le lendemain matin, il se réveillait avec la sensation de se noyer, la respiration bloquée, le ventre noué. En huit jours, il a perdu 5 kilos (après avoir déjà perdu 26 kilos l’année précédente). Il pleurait dans les rayons du supermarché, incapable de choisir quoi acheter. Comprendre la dépression Davy explique avec clarté ce qu’est biologiquement une dépression : le cerveau se coupe du corps, tous les récepteurs liés au plaisir, au sommeil, à la faim et à la libido cessent de fonctionner. Ce n’est pas une question de volonté – c’est une cassure chimique. Il réfute fermement l’idée simpliste du « bouge-toi le cul » : « Si c’était une question de volonté, ça aurait duré trois jours pour moi. » Les symptômes qu’il a vécus incluaient une perte d’appétit complète, un niveau d’anxiété extrême, une tristesse profonde, et surtout l’incapacité de voir une issue. Il partage un moment bouleversant où, voulant acheter une poêle au supermarché, une partie de son esprit lui disait : « Ça ne sert à rien, tu vas te suicider. » Un autre jour, il a mis 40 minutes à simplement se lever pour aller aux toilettes, son corps ne répondant plus aux commandes de son cerveau. Demander de l’aide : l’étape cruciale Après seulement deux jours dans cet état, Davy a fait ce qu’il considère aujourd’hui comme son meilleur réflexe : demander de l’aide. Il a contacté son entourage, posté sur LinkedIn, et s’est rendu aux urgences psychiatriques. « C’est une situation dont on ne se sortira pas tout seul. Tous les psys vous le diront, tous ceux qui sont passés par là vous le diront, vous ne pouvez pas vous en sortir seul, c’est beaucoup trop gros. » Les urgences de Quimper l’ont pris en charge rapidement et avec bienveillance, lui prescrivant des antidépresseurs. Il insiste sur plusieurs points concernant ces médicaments : ils ne guérissent pas la dépression, mais réparent la machine biologique en permettant au cerveau de reproduire la sérotonine et autres neurotransmetteurs essentiels. Ils mettent 10 à 15 jours à faire effet (dans son cas, quelques jours avec beaucoup de chance), et peuvent d’abord avoir l’effet inverse. Surtout, ils ne fonctionnent pas seuls – ils doivent être accompagnés d’un travail thérapeutique. La décision de rentrer Face à l’impossibilité de rester en Bretagne, Davy a pris la décision difficile mais salvatrice de tout arrêter et de rentrer à Paris. Cette décision lui a coûté environ 50 000 euros – toutes ses économies de plusieurs années. Mais comme il le dit avec sagesse : « C’est que de l’argent. Ça se regagne. » Il affirme que s’il était resté, il n’aurait probablement pas survécu. Les clés de la reconstruction Plusieurs éléments l’ont aidé dans son processus de guérison. D’abord, l’activité physique – même si c’est très difficile quand on est en dépression. En Bretagne, il marchait 10 km par jour avec son chien, ce qui lui permettait de quitter la maison et de se reconnecter à son corps. Ensuite, le fait de ne pas rester seul : sa sœur l’a accueilli, et le simple fait de ranger des Playmobil avec elle a remis sa « machine » en marche. La méditation de pleine conscience et les exercices de cohérence cardiaque ont également joué un rôle important, l’aidant à se reconnecter à son corps et à sortir de sa tête. Il recommande de se concentrer sur le présent plutôt que de se projeter dans un futur qui semble impossible. Le travail thérapeutique Davy suit une thérapie depuis 10 ans avec la même thérapeute, et ce travail l’a « sauvé la vie au sens littéral du terme à plusieurs reprises ». Durant sa dépression, il a intensifié les séances, ce qui l’a aidé à comprendre ce qui s’était passé et surtout à envisager un après. Il encourage vivement à se faire accompagner par un professionnel qualifié – psychiatre ou psychothérapeute. Le chemin continue Quatre mois après le début de l’épisode (juillet-octobre), Davy va mieux mais n’est pas sorti d’affaire. Un épisode dépressif prend en moyenne six mois pour en sortir. Contrairement à ce qu’il pensait initialement, c’est lui qui demande maintenant à son psychiatre de continuer les antidépresseurs, conscient de sa fragilité persistante face aux défis qui l’attendent (vente de la maison, nouveau déménagement). Il partage une vérité importante : la fragilité demeure. Une fois qu’on a vécu un épisode dépressif, on vivra avec cette expérience toute sa vie. Mais on apprend à vivre avec, à reconnaître les signaux, et à demander de l’aide avant de sombrer à nouveau. Message d’espoir Le message central de Davy est clair : même si on ne voit pas la sortie quand on est au fond, elle existe. Il affirme aujourd’hui, depuis « l’autre côté », qu’il y a une sortie possible. Son conseil est simple mais vital : « Allez chercher de l’aide. » Que ce soit auprès de proches, de professionnels, ou via des numéros d’urgence, il ne faut surtout pas rester seul face à la dépression. Ce témoignage rappelle que la dépression touche 20% de la population mondiale à un moment de leur vie, qu’elle n’est pas une question de force ou de faiblesse, et qu’elle nécessite un accompagnement médical et thérapeutique. Davy conclut avec son mantra personnel : « Je fais ce que je peux avec ce que j’ai. Et c’est déjà pas mal. » Notes Centre de prévention du suicide de Québec - 1 866 APPELLE (1-866-277-3553) suicide.ca Texter - 535353 Clavarder 3114.fr Téléphone - 3114 Collaborateurs Nicolas-Loïc Fortin Davy Adam Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x688! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Dans cet épisode du podcast PME, l’équipe composée de Julien Teste-Harnois, Cyndie Feltz, Nicolas Milot et Dominique Derrier explore une problématique contemporaine majeure : le partage excessif d’informations sur les réseaux sociaux et ses implications pour les individus et les entreprises. La discussion met en lumière comment le mélange entre vie personnelle et professionnelle sur les plateformes sociales peut créer des vulnérabilités significatives en matière de sécurité. Le piège du partage excessif d’informations personnelles Les intervenants soulignent d’abord que les plateformes comme Facebook encouragent activement les utilisateurs à partager une quantité considérable d’informations personnelles. Bien que ces plateformes proposent de renseigner la ville de résidence, l’école secondaire fréquentée, l’école primaire, les liens familiaux et bien d’autres détails, il ne s’agit que de suggestions. Les utilisateurs ne sont nullement obligés de compléter ces champs, surtout s’ils configurent leur profil en mode public. La recommandation est claire : se limiter au strict minimum, soit nom, prénom et éventuellement la ville. Tout le reste n’apporte que peu de valeur réelle tout en augmentant considérablement l’exposition aux risques. Les dangers du partage d’informations corporatives La logique s’applique également au niveau corporatif. Sur LinkedIn, par exemple, il existe une pression implicite à tout partager. L’équipe illustre ce point avec un exemple parlant : annoncer que toute l’équipe part au chalet pour un team building peut sembler anodin et même positif pour l’image de l’entreprise. Cependant, cette annonce révèle publiquement que les bureaux sont inoccupés pendant plusieurs jours. Si l’entreprise possède un bureau physique où des documents confidentiels pourraient traîner, cette information devient une invitation ouverte aux personnes mal intentionnées. Le conseil des experts est pragmatique : partagez ces moments après coup, pas en temps réel. Publiez vos belles photos et vos témoignages d’événement réussi une fois que tout le monde est de retour au bureau. L’attention aux détails visuels Un point crucial soulevé concerne l’environnement capturé dans les photos et vidéos. Les participants rappellent qu’il faut faire attention à ce qui apparaît en arrière-plan : éviter de publier des photos où le bilan financier de l’entreprise est visible, ou encore ces fameux post-it avec des mots de passe collés sur les écrans. Ces détails apparemment anodins peuvent fournir des informations précieuses à des acteurs malveillants. L’impact des comptes personnels sur la réputation d’entreprise Le podcast aborde également un phénomène fréquent : les employés qui affichent leur employeur sur Facebook puis commentent publiquement sur des sujets controversés, qu’ils soient politiques ou autres. Cette association directe entre opinions personnelles et entreprise peut nuire significativement à la réputation de celle-ci. Le problème s’amplifie lorsqu’il s’agit du propriétaire de l’entreprise lui-même. L’exemple frappant du billet d’avion Julien partage une anecdote marquante survenue récemment : une influenceuse australienne a montré son billet d’avion en direct sur TikTok devant ses centaines de milliers d’abonnés. Un spectateur a capturé l’écran, récupéré le numéro de réservation et annulé son vol. L’influenceuse s’est retrouvée bloquée à l’aéroport, contrainte de racheter un billet et de décaler son voyage. Cet incident illustre parfaitement comment un partage innocent peut avoir des conséquences immédiates et coûteuses. La reconnaissance comme outil d’attaque Nicolas, dans son expertise en tests de pénétration, explique que la phase de reconnaissance représente une part importante du travail. Les réseaux sociaux constituent une mine d’or pour les attaquants qui cherchent la meilleure porte d’entrée. Les informations partagées publiquement facilitent considérablement le social engineering et permettent de construire des prétextes crédibles pour tromper les employés et accéder aux systèmes ou locaux d’une entreprise. Les questions de sécurité et les mots de passe Un conseil particulièrement astucieux concerne les questions de sécurité. Les participants révèlent que personne ne vérifie réellement si vos réponses sont exactes. Plutôt que d’utiliser le véritable nom de votre chien ou votre école primaire – informations souvent publiques sur Facebook – il est préférable de créer des réponses complètement aléatoires et de les stocker dans un gestionnaire de mots de passe. Cette approche rend inutile toute tentative de récupération d’informations via les réseaux sociaux. Les guidelines pour un partage responsable L’équipe recommande aux directions d’établir des lignes directrices claires pour les employés souhaitant partager des contenus liés à l’entreprise. Il vaut mieux être proactif et définir ce qui est acceptable plutôt que de réagir après coup. De même, les employés devraient systématiquement demander l’autorisation avant de publier du contenu corporatif. Attention aux offres d’emploi et CV Un point souvent négligé concerne les offres d’emploi : il n’est pas nécessaire de détailler toutes les versions de logiciels et de faire l’inventaire complet des systèmes de l’entreprise. De même, ceux qui partagent leur CV en ligne devraient retirer leurs coordonnées personnelles complètes pour éviter de faciliter le travail des escrocs. La section coordonnées de LinkedIn Beaucoup d’utilisateurs ignorent que LinkedIn possède une section “coordonnées” souvent accessible par leur réseau. Certains y inscrivent leur adresse personnelle, leur courriel personnel et leur numéro de téléphone sans réaliser que ces informations sont visibles par des centaines, voire des milliers de connexions, dont ils ne connaissent même pas l’identité réelle. L’importance de la conscience situationnelle L’équipe conclut en soulignant l’importance d’être conscient de son environnement, particulièrement en visioconférence. Les exemples cocasses du confinement, avec des personnes se promenant nues en arrière-plan ou se levant en sous-vêtements, démontrent ce manque de conscience. La solution simple : s’installer dos à un mur et s’habiller correctement. Conclusion Le message principal de ce podcast est un appel à la réflexion avant la publication. Dans un monde où les algorithmes nous poussent à partager en temps réel pour maximiser l’engagement, il faut prendre deux secondes pour se demander : est-ce vraiment urgent de diffuser cette information ? Qui pourrait l’utiliser à mauvais escient ? Cette pause réflexive peut prévenir de nombreux problèmes de sécurité tant personnels que professionnels. Collaborateurs Nicolas-Loïc Fortin Dominique Derrier Cyndie Feltz Nicholas Milot Julien Teste-Harnois Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm

Parce que… c’est l’épisode 0x687! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Notes IA API fantôme - Quand l’IA crée des backdoors dans le dos des dev Critical n8n Automation Platform Vulnerability Enables RCE Attacks - 103,000+ Instances Exposed How to determine if agentic AI browsers are safe enough for your enterprise The Age of the All-Access AI Agent Is Here China is worried AI threatens party rule—and is trying to tame it 30% AI, 100% Broken Cursor CEO warns vibe coding builds ‘shaky foundations’ and eventually ‘things start to crumble’ Claude Code Safety Net - Le plugin qui empêche l’IA de tout niquer OpenAI is hiring a new Head of Preparedness to try to predict and mitigate AI’s harms Salesforce pulls back from LLMs, pivots Agentforce to deterministic automation after 4,000 layoffs GitHub - PwnFunction/sandbox: Run untrusted AI code safely, fast Souveraineté FCC bans foreign-made drones over national security, spying concerns Europe gets serious about cutting US digital umbilical cord US bars five Europeans accused of censoring Americans Privacy Mullvad VPN: “The European Commission lost t…” - Mastodon Judge rules that NSO cannot continue to install spyware via WhatsApp pending appeal Industry Continues to Push Back on HIPAA Security Rule Overhaul I didn’t realize my LG TV was spying on me until I turned off this setting Red Cyberattack disrupts France’s postal service and banking arm Budding infosec pros and aspiring cyber crooks targeted with fake PoC exploits BrianKrebs: “When an entire class of techno…” - Infosec Exchange One Year Of Zero-Click Exploits: What 2025 Taught Us About Modern Malware New MacSync macOS Stealer Uses Signed App to Bypass Apple Gatekeeper mongobleed/mongobleed.py at main · joe-desimone/mongobleed · GitHub I Didn’t Hack You. You Posted Everything Stolen LastPass backups enable crypto theft through 2025 Blue Now Admins Can Block External Users in Microsoft Teams From Defender Portal Microsoft Teams to Enforce Messaging Safety Defaults Starting January 2026 How to enable Windows’ new, wider Run dialog box Microsoft wants to replace its entire C and C++ codebase Divers et insolites Quand les robots humanoïdes se font pirater en 1 minute via Bluetooth Seven Diabetes Patients Die Due to Undisclosed Bug in Abbott’s Continuous Glucose Monitors ‘All brakes are off’: Russia’s attempt to rein in illicit market for leaked data backfires Cleartext Signatures Considered Harmful The dangers of SSL certificates Public Domain Day 2026 Everything is a Remix Collaborateurs Nicolas-Loïc Fortin Crédits Montage par Intrasecure inc Locaux réels par Intrasecure inc

Parce que… c’est l’épisode 0x686! Shameless plug 25 et 26 février 2026 - SéQCure 2026 CfP 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026 14 au 17 avril 2026 - Botconf 2026 28 et 29 avril 2026 - Cybereco Cyberconférence 2026 9 au 17 mai 2026 - NorthSec 2026 3 au 5 juin 2026 - SSTIC 2026 19 septembre 2026 - Bsides Montréal Description Introduction Ce podcast entre Benoît Gagnon et son hôte explore un sujet fondamental mais souvent négligé : la culture de sécurité en entreprise. S’appuyant sur un article paru dans le Harvard Business Review en juin 2025, la discussion met en lumière pourquoi les initiatives de cybersécurité échouent fréquemment, non pas par manque d’outils, mais par absence d’une culture organisationnelle appropriée. Les trois piliers d’une culture de sécurité efficace L’article du HBR identifie trois axes essentiels pour bâtir une culture de sécurité robuste : Connect, Reduce Uncertainty et Inspire Action. Ces trois dimensions forment le socle sur lequel repose toute transformation culturelle en matière de cybersécurité. 1. Connect : La communication comme fondement La communication représente le premier et peut-être le plus crucial des défis. Les professionnels de la cybersécurité souffrent souvent d’un vocabulaire hermétique qui crée une barrière avec le reste de l’organisation. Benoît souligne que la communication doit être adaptée au niveau de l’interlocuteur - on ne parle pas de la même manière à un exécutif qu’à quelqu’un “dans le shop”. Plus problématique encore, la culture du “shaming” domine trop souvent en cybersécurité. Plutôt que d’adopter une approche bienveillante et pédagogique, les équipes de sécurité ont tendance à pointer du doigt les erreurs, créant ainsi une atmosphère de méfiance plutôt que d’adhésion. L’article encourage plutôt à construire la réciprocité - reconnaître qu’on a besoin des autres départements et leur donner les moyens d’agir (l’empowerment). La communication doit également être bidirectionnelle et adaptée horizontalement. Parler aux RH, aux opérations, au département TI ou au business requiert des approches différentes. La sécurité n’est pas là pour elle-même, mais au service de l’entreprise et de ses actifs. Cette perspective change radicalement la dynamique : il ne s’agit plus d’imposer des règles, mais de protéger ce qui compte pour l’organisation. 2. Reduce Uncertainty : Clarifier les rôles et responsabilités L’incertitude organisationnelle constitue un obstacle majeur à l’adoption d’une culture de sécurité. Dans de nombreuses entreprises, les responsabilités en matière de cybersécurité restent floues. Qui fait quoi ? Quel est le périmètre de chacun ? Ces questions sans réponse créent un vide que personne ne cherche à combler. Benoît illustre ce point avec son expérience chez Ubisoft, où des ambassadeurs de sécurité étaient intégrés directement aux équipes projet. Ces personnes participaient aux réunions, offraient des conseils proactifs et, surtout, devenaient le “go-to” pour toute question de sécurité. Cette présence humaine et constante créait des relations et des réflexes, transformant la sécurité d’une contrainte abstraite en un soutien concret. La notion de “besoin de comprendre” (need to know) versus l’accès universel dans le monde des affaires illustre également ce défi. En sécurité gouvernementale, les niveaux d’accès sont strictement contrôlés ; dans le secteur privé, cette discipline est souvent absente. Clarifier qui a accès à quoi et pourquoi fait partie intégrante de la réduction d’incertitude. Un autre aspect crucial : lorsqu’on assigne de nouvelles responsabilités de sécurité aux employés, il faut ajuster leurs charges de travail existantes. On ne peut pas simplement ajouter des tâches de sécurité et s’attendre à ce que la productivité reste constante. Cette reconnaissance réaliste des coûts de la sécurité permet d’éviter la résistance et le burnout. 3. Inspire Action : Le leadership authentique Le leadership représente le troisième pilier, et sans doute le plus puissant. Un leader doit démontrer par l’exemple qu’il cherche constamment à s’améliorer. Si le gestionnaire ne fait pas l’effort de se perfectionner, comment peut-il demander aux autres de changer leurs habitudes ? L’authenticité s’avère cruciale. Les employés possèdent un détecteur de “corporate bullshit” très sensible. Ils savent instantanément si un message vient du cœur ou s’il s’agit simplement d’une directive descendante sans conviction. Un leader qui croit véritablement en l’importance de la sécurité et qui sait articuler le “pourquoi” - pas seulement le “quoi” - obtiendra infiniment plus d’adhésion. Le podcast fait référence à la célèbre distinction de Daniel Kahneman entre le Système 1 (pensée rapide, automatique) et le Système 2 (pensée lente, délibérée). La sécurité exige souvent qu’on active le Système 2, ce qui demande de l’énergie cognitive. L’objectif d’une bonne culture de sécurité est de transformer progressivement ces comportements du Système 2 vers le Système 1, pour qu’ils deviennent des réflexes automatiques. Les leçons de l’expérience L’exemple de Microsoft illustre parfaitement ces principes. À la fin des années 1990, Microsoft était la risée de l’industrie pour sa sécurité médiocre. Un virage culturel majeur a transformé l’entreprise en modèle à suivre dans les années 2000. Cependant, avec le temps, cette culture s’est effritée lorsque la sécurité a perdu son statut de priorité business. Les incidents récents ont forcé Microsoft à revigorer cette culture, démontrant qu’une culture de sécurité n’est jamais acquise définitivement - elle demande un entretien constant. Les pièges à éviter Plusieurs obstacles récurrents menacent l’établissement d’une culture de sécurité : Le manque de sens : Demander aux gens d’agir sans expliquer le pourquoi génère de la résistance. L’analogie du creusage de trou résume bien le problème : sans comprendre qu’on plante un arbre, on creuse n’importe où. La tour d’ivoire : Les décisions prises “en haut” sans consultation des personnes sur le terrain mènent à des processus déconnectés de la réalité opérationnelle. L’absence de rétroaction : Lorsque les employés soulèvent des préoccupations et ne reçoivent aucun feedback, ils cessent rapidement de contribuer. La stagnation managériale : Les gestionnaires qui n’ont pas ouvert un livre depuis leur MBA de 1995 et qui ignorent les nouvelles approches de management créent un handicap organisationnel majeur. Conclusion La culture de sécurité en entreprise ne se décrète pas, elle se construit patiemment, avec persistance. Comme l’exprime bien l’adage cité dans le podcast : “Les bœufs sont là, mais la terre est patiente.” Il faut accepter que les changements culturels prennent du temps et éviter de changer constamment de stratégie, ce qui ne ferait qu’étourdir les employés. Au final, tout repose sur une vérité simple : une organisation, ce sont des humains réunis pour un projet commun. La technologie, les processus et les outils ont leur place, mais sans l’adhésion humaine, sans la compréhension et sans un leadership authentique, aucune initiative de sécurité ne peut véritablement réussir. La culture de sécurité n’est pas un projet IT - c’est un projet humain. Notes À venir Collaborateurs Nicolas-Loïc Fortin Benoit Gagnon Crédits Montage par Intrasecure inc Locaux virtuels par Riverside.fm